相信大家已经通过各种信息渠道越来越多地接收到数字化转型这个提法,特别是经历过新冠疫情大流行后,至少会有一个共识,即各行各业不仅仅是数字化基础较好的互联网行业,还包括传统制造业,都需要立即启动并持续深化数字化转型,这不是一个组织能否健康持续发展的选择题,而是一个事关组织基本生存的必答题。那什么是数字化转型?如何判断组织的数字化转型处于哪个阶段?成熟度如何?
数字化转型是通过开发数字化技术及支持能力以构建一个富有活力的数字化业务生态,对企业来说就是最终构建一个有活力的数字化商业生态,其中一个潜在的前提是所有的业务都可以在线完成。数字化转型有几个发展阶段,第一阶段是信息数据化,包含两部分:第一部分是数字孪生,物理空间有的实体通过建模仿真进行数据化存储和展示,第二部分是在物理空间中没有的只存在于虚拟世界中的实体,比如网络IP地址资源、带宽资源、存储容量、CPU算力等,也需要进行数据化。第二阶段是基于已有数字化实体的数据进行流程化,我们的业务都是基于这些数据的流动,如果不能将业务流程化那无法高效使用数据。第三阶段是联接在线化,这不仅仅是业务在内部的封闭式连接,更是需要业务更开放式在线化连接,同时支持联接人、设备或者任意的身份实体以构建万物互联的数字化业务生态。第四阶段做到所有业务数字化在线化,不管在全球何时何地都可以方便联接以及业务运作。以上几个阶段体现了数字化转型的不同成熟度,疫情期间的远程协作办公也能侧面体现当前数字化转型的成熟度,如果成熟度不够,员工很难居家安全高效地完成所有业务运作。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图1 数字化转型定义和层次结构
站在业务角度来看我们为什么要进行数字化转型呢?首先从宏观角度看,我们人类历史上三次工业革命,第一次是蒸汽动力革命,第二次是电力革命,第三次是信息化革命。如果作为业务负责人,不考虑信息化去推进业务的数字化转型,那么跟时代的生产力发展是违背的。其次是降本增效,通过数字化转型我们可以把成本降低,效率和质量提升上来。最后是打造开放协作的业务生态的需要。现在大家看到的平台型互联网公司,都是在通过深度的数字化转型来打造开放协作的业务生态,与整个社会经济融合共生,从而增强自己的生命力和抗风险能力。我们举一个快递行业数字化转型的例子,很久之前大家寄快递都是手写面单,分拨中转都是靠人工记忆大头笔进行分流,而现在都已经变成了电子面单,通过无人化的自动分拣来实现快件的中转分流,这是数字化转型的典型,如果还继续用手写的话,是很难达到目前的购物体验的,在效率和成本上也是远远达不到现在的水平。
站在从业人员的角度看为什么要关注数字化转型呢?第一,作为从业人员要保住饭碗,如果对数字化转型,对现有新的模式不了解,有可能无法很好地完成现有工作,因为现在整个业务模式都在逐步发生改变。第二,如果在组织的数字化转型过程中做出了贡献,提高了业务效率和优化了用户体验,那就有更大概率得到升职加薪的机会。第三,如果能够适应、了解、学习、深刻地理解数字化转型背后的技术和方法论及相关实践,那对个人和团队来说是一个非常巨大的机会,机会点来源于传统方法论、技术、产品设备在未来都会被逐步淘汰,我们就可以投身数字化转型的革命打造出更适应时代的产品和服务,这给从业人员的价值输出提供了一个出入口。
综上所述,关注和推进数字化转型是各类组织及个人都要考虑的优先重要任务,而且由于其复杂性必然是一个长期战略,因此在真正落地执行之前需要考量以及准备的事项非常多,其中信息安全是数字化转型中最重要的基础保障之一。要构建开放成熟的深度化的数字业务生态也必然会面临实际的信息安全挑战,一部分是原本线下的或者内部的转移过来的安全风险,另外一部分就是线上必然要面对的安全风险。下面列举一些数字化转型中可能会面临的安全挑战场景。
这种思路通常是以网络边界为中心来打造安全边界,典型的做法有部署域控、VPN、防火墙等,我们从频发的信息安全事件结果来看这类方法无法更有效地降低安全风险。另外从数字化转型的安全保障需求来看,首先我们需要整个业务生态对外开放和在线协作,我们的业务需要在全球范围内随时随地通过BYOD接入并高效运作。其次公有云、私有云、混合云是任意异构使用的,对用户来说感知到的是业务服务本身,需要能够在多云切换下获得丝滑般如2C下的一致性用户体验。目前常用的以网络边界为中心的传统安全访问控制模型难以满足上述需求,需要迁移到更现代化的以全面身份化为支撑、软件定义并构建动态虚拟边界、基于策略的新安全访问控制模型。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
这种思路通常是将多个厂商的产品串行到业务链路中去,相互之间无中心化的控制平面使用统一的的安全策略进行联动,相当于强调各自的单兵作战能力但是无协同,同时下发安全策略通常需要申请每个设备的变更窗口。另外由于串行的设备比较多,只能最大限度地保障相邻设备之间的高可用,无法保障整体业务链路的高可用。而在数字化转型视角下,我们需要业务应用及市场活动能够快速上线并试错,其安全策略等必须得到快速配置和应用以及业务的安全性和连续性有充分的保障。因此现有的串糖葫芦式的安全产品部署模型需要更新迭代到更适用的部署模型,即打造一个中心化的安全控制平面,各类安全功能组件以插件化的方式部署在业务链路的数据平面上,统一格式规范的安全策略通过策略管理控制台实时下发配置和应用,从而在架构层面实现纵深上的即时联动以取得较好的安全防御效果,同时获得足够的高可用性及充分的灵活性。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
三、外挂飙车式安全建设思路带来的安全挑战
当前无论是甲方还是乙方在安全建设心态上都是求稳为主,甲方角度是希望线上业务可用性别出问题,出了事也要能免责,乙方为了产品服务能容易落地销售不可避免要迎合这样的心理,在这种情况下安全建设的初心就被改变了,同时动作也不可避免地变形,安全建设的效果就很难真正保障,这种情况在安全产品部署方式上体现的最为明显,即相当一部分安全产品都是以旁路镜像的方式部署,俗称外挂,就像原生系统多出来的外来补丁,难免水土不服,无法高效联动,难以发挥出该有的作用。而在数字化转型的视角下,万物互联场景中联接的深度和广度是前所未有的,而且联接的协议和内容也更加丰富并更实时互动,同时它们普遍采用各类加密方式进行传输,不同安全等级的应用访问控制策略需求差异非常大,即使同一个应用也会细分不同的业务场景有不同的业务规则参与访问控制策略的生成和执行,也就是说传统的所有流量请求全部走一遍大一统的访问控制策略列表是行不通的,同时需要能在明文情况下将业务规则参与进来。因此我们的方案是在应用层接入和分流应用场景并解析所有上下文为明文,结合业务规则在串行的链路接入统一的安全控制平面执行安全策略,将上述安全能力巧妙地融入到现有的技术和业务架构的基础设施中,实现原生的安全赋能。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
四、东西向放羊式安全现状带来的安全挑战
当前内网东西向的安全防护能力普遍较弱,大部分组织几乎处于放羊式管控现状,而业界也没有太多切实有效的安全方案,源于其巨大的落地实施的复杂性,这也是上了很多安全产品或者服务后依然会被突破边界进而全局失陷的重要原因之一。在未来,随着网络边界的模糊,东西向不仅仅局限在内网,更是扩散到不同组织的IDC到IDC之间,云服务到云服务之间,安全风险更是上升到新的层面。现有的一些对东西向安全有帮助的方案如微隔离、HIDS、欺骗防御等,要么难以实施要么隔靴搔痒,如基于防火墙等设备实施的微隔离方案实施集成的难度非常大、HIDS稍有帮助但是从架构上难以有更好的效果、欺骗防御思路很好但目前常用方案仍有引狼入室的风险。在数字化转型的视角下,大的趋势是面向用户的业务流程编排化、底层服务中台化、所有实体的身份化,各类服务之间相互依赖加深,非人员的身份实体自动化访问增加,我们需要的将是能对各类资源、身份实体及访问行为进行实时动态地自动化精细化的访问控制管理,这也需要基于原生架构就能支持的数据面和控制面结合的安全能力,此时所谓的东西向和南北向的边界也会模糊并走向融合。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
五、保险箱式安全建设思路带来的安全挑战
当前偏传统型的组织在做安全保护时采用的是严防死守的思路,把关键数据核心资产像锁到保险箱一样重重保护起来,设置多层访问控制和加密等,如VPN、防火墙、堡垒机、客户端加密、文件加密、数据库加密、操作系统层加密、各类网闸设备等,在业务处理流程上设置多级审批,操作上纯人肉搬运,这类解决方案在部分场景以及特殊组织下是合理的,但是对于需要在线运营业务的组织或者用户来说就是体验和效率的噩梦,极大地制约生产效率和市场竞争力。在数字化转型的视角下,我们需要绝大部分的数字资产如数据、服务等都是联接在线的,通过内外部的开放协作以打造闭环的业务生态,如果还是采用保险箱式安全建设思路,要么严重阻碍组织的数字化转型进程要么让业务暴露出极大的安全风险,其对策就是根据安全信任评估模型在数据面的策略执行点上实施实时动态的安全访问控制策略,打造真正的零信任数据安全闭环解决方案,从而让数据像血液一样高效流动起来以促进业务发展并且确保安全和合规。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
六、抓瞎式盲目自信的安全建设思路带来的安全挑战
安全建设者的根本任务是保护组织的关键和高价值的资源以及规避或者缓解业务风险,但是如果连组织的资源和业务的详情都不能梳理得非常清楚、资源和业务的状态变化不能实时感知、各类主体的操作行为不能识别监测和控制,那么很难讲安全建设体系有多完善,组织的安全成熟度有多高,即使拿了多少安全合规证书或者修复了多少漏洞以及开发了多么酷炫的态势感知大屏,都属于抓瞎式盲目自信安全。道理很简单,因为连被保护对象都不能足够了解就无法推断出安全保护工作做得有多好的结论。在数字化转型视角下,组织需要将所有的有形和无形资产数据化转化成资源,梳理好这些资源并尝试通过各类业务进行变现,更有挑战的是这些资源是随时动态变化的,需要能够进行自动化全生命周期的管理。解决方案是打造统一的资源管理中心,建立全局的统一资源标识体系,将所有资源按照分类分级以及标签梳理清楚,对资源状态及变更即时感知和应用策略进行联动,对所有访问资源的操作主体的行为进行识别、监测、控制和审计。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
如何正面化解和规避上述常见的种种安全挑战和潜在安全风险,我认为零信任安全架构将会是一个有价值的长期发展方向,并且与可信计算方向其实也是殊途同归,因为究其本质现有的各类安全风险都是一个安全信任治理问题,都是需要解决信任的问题。各类安全风险绝大多数可以归结为特定网络边界或区域内及区域间默认信任问题、身份伪造骗取信任问题、会话过程或代码执行过程中劫持信任问题等。我们需要对安全信任的全生命周期进行更加精细化和动态化的治理,包括信任的预授权准备、信任建立和传递过程、信任的动态评估和度量、信任与其他实体(资源、身份、操作行为等)的绑定联动、信任的撤销等。那现有的护城河式或者外挂式等安全建设方法的问题是只能在某些孤立的点或者环节对信任进行管理控制,由于在架构设计时并没有融入安全,从而无法在业务流程的关键点进行控制和及时拿到安全控制所需的足够数据,同时不同的环节无法进行默契的联动做到全生命周期的信任治理。因此如果能在架构层面融入原生的安全设计并做到安全信任的全生命周期治理那一定是个正确的解题方向,这里的架构层面既包括技术架构同时包括业务架构,需要说明的是安全架构是融入其中而不是新建一个平行空间。
接下来简要介绍零信任安全架构,包括相关概念、技术方向、部分业界落地实践案例以及未来可能的发展方向等。
零信任安全架构的基本概念如下图所示,另外它也不是万能的,只有在充分的基础设施支持的前提下才可以解决大部分安全问题。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图2 零信任安全架构的基本概念
零信任安全架构有几个理念如下图所示。第一,我们不作任何假定。比如说不会假定内网是安全的。第二,不信任任何身份。这是指在初始情况下不信任任何身份,而是要从零开始建立信任,并且要尽可能收缩隐式信任的范围,这里隐含一个前提是首先要能对相关实体全面身份化。另外传统情况下会把IP作为一个受信任的网络身份来进行访问控制策略配置,但在零信任理念里IP仅是基础设施资源。第三,随时检查一切。这是对每次操作请求都进行检查,而且重新进行信任评估,收窄了传统的会话隐式信任。第四,防范动态威胁。从访问控制策略本身到信任评估结果在运行时都可以是动态的。第五,准备最坏的情况。设想一些最坏的情况,比如数据中心部分节点失陷、部分用户端点失陷以及内外勾连等场景下,组织的核心敏感资源也应该能得到有效保护。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图3 零信任安全架构的理念
具体技术设计上,首先从抽象模型出发,这里我们参考美国国家标准技术研究院(NIST)发布的模型,如下图。其核心元素有处于不可信域的访问端点、边界的策略执行点和策略决策点、隐式可信域的受保护资源,因此零信任安全架构的最终目标是保护资源,基于策略的访问控制、身份管理等都是实现这一目标的必要支撑。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图4 NIST零信任安全抽象模型
基于上述抽象模型,NIST也发布了零信任安全概念框架如下图所示,目前业界厂商的相关产品基本上都是按照这个框架来设计,整个概念框架更加细化,拆分成数据平面和控制平面,再加上一些外部支撑组件,如身份管理、公钥基础设施、威胁情报、合规遵循、行为分析、统一访问控制策略等。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图5 NIST零信任安全概念框架
上述NIST零信任安全概念框架在全球范围内有较大的影响力,当前业界的产品方案大都以此为蓝本,具体的实现技术上有三个方向:SDP软件定义边界方向、MSG微隔离方向、现代化IAM身份增强方向。这三个技术方向并不是相互独立的,而是可以相互融合和支撑以构成端到端的零信任整体安全解决方案,并且在架构上都需要具备独立的数据平面和控制平面,功能上SDP和MSG都需要IAM作为基础支撑。接下来简要介绍这三个发展方向以及典型的落地实践案例。
一、SDP软件定义边界方向
这个方向目前是最为成熟的,其初始阶段的落地部署相对容易,主要着眼点在终端用户端点的安全以及南北向的安全接入,对于东西向安全访问控制考虑得较少,可以直接替换原有的远程办公接入工具如各类VPN等,因此也是众多零信任安全供应商选择的方向。下图是CSA云安全联盟推荐的SDP抽象模型,但实际落地场景中通常不会直连服务,而是通过代理或者网关进行中转,因为安全策略控制点需要可以融入到代理或者网关。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图6 CSA推荐的SDP抽象模型
国外比较经典的案例是Google的BeyondCorp方案,如下图所示。这套方案严格意义上属于SDP技术方向,采用了流量代理的模式,主要面向的是内部员工办公场景,对线上生产业务以及服务间东西向的安全考虑得较少。国内相关产品较多,大多采用了网关,部分使用了隧道代理等。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图7 Google的BeyondCorp方案
二、MSG微隔离方向
这个方向是相对较难部署实施的,因为需要梳理现有资产以及应用和服务间相互的依赖关系,还要能进行动态的自动化管理,挑战非常大,但是它可以对东西向应用和服务做严格的安全访问控制,因此价值也非常大。这个方向有三条技术路线,第一条是通过复用现有的SDN软件定义网络的基础设施实施可编程的网络控制,但实际上这条路线是难以走通的,因为零信任安全需要在应用层借助类自然语言的访问控制策略做更深度的解析和控制。第二条是通过复用现有的软硬件防火墙或者虚拟化设备来实施访问控制,这条路线挑战也非常大,因为现有设备的开放性及对接联动等方面的困难导致难以形成统一的控制平面和策略管理,应用层的支持往往也不够好。第三条是通过附着在工作负载上的EDR组件来组建整个微隔离控制网络,我认为这条路线是可以走通的,目前业界也有些比较成功的案例。需要说明的是这不是简单的基于主机的HIDS方案,而是更加深入的融合数据面和控制面的策略执行组件,基于此还可以发展出更加先进的欺骗防御解决方案等,形成真正的纵深防御体系。
下面介绍两个不同应用场景下的微隔离案例,都是属于EDR组件技术路线的。首先是Google的在云原生场景下的BeyondProd的方案,其和BeyondCorp相互补充,构成了谷歌企业办公和业务生产完整的零信任安全解决方案。如下图所示,首先在GFE完成边缘的安全接入,形成一个安全边界,同时将TLS转化成内部的ALTS,将请求加密传输到应用前端,应用前端对请求进行认证,这里认证包括对作为调用方的前端服务是否合法(运行的二进制是否在中心仓库注册验证过、运行的环境是否为正常可信启动、内部的ALTS双向加密传输是否合法、本次调用是否符合以服务为身份来配置的权限策略)和本次请求中的终端用户的身份凭据是否合法有效,认证通过后生成包含终端用户上下文加密的临时有效的ticket,再新建ALTS通道将ticket附加到本次请求转发到后端服务,这样前端应用和后端服务形成一个安全的调用链,最后在后端服务上根据ticket获得的上下文等来执行配置好的服务访问策略得到相关判定结果。整体而言,微隔离方案在容器环境下更加容易部署实施。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图8 Google的BeyondProd方案
而在非云原生环境下,微隔离就比较困难了,但Illumio落地实施的微隔离方案让人眼前一亮,其架构如下图所示。其采用虚拟执行节点安装在各类工作负载上,通过和控制中心进行联动,组建成一套能够跨越物理网络边界的面向混合云的微隔离解决方案,当然背后的自动化的资产依赖关系梳理、策略管理等都是需要并且难以迈过去的槛。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图9 Illumio的微隔离方案架构
三、现代化IAM身份增强方向
首先从个人角度解读一下为什么过去偏冷门的IAM突然就变得重要和火热起来了。基于上述的安全风险本质上是信任治理的问题,信任治理首先是要以身份为中心进行该身份的全生命周期的动态信任管理,对于某次的资源访问则是根据身份信息结合身份行为基线、身份被赋予的权限、外部环境及上下文信息等给出信任评估结果,该信任评估结果则是被应用在对本次资源访问请求的访问控制上,因此对于每一次的访问请求都可能会出现相当不同的访问控制结果。零信任被证明能够解决上述的大部分安全风险,那么既包括身份治理也包括动态访问控制能力的现代化IAM必然会逐步成为数字化转型下IT基础设施的坚实底座。
那么相比现在,IAM要达到作为数字化转型下IT基础设施的成熟度,从安全的角度看还有哪些挑战呢?第一,在身份层,数字实体还未完成全面身份化,特别是企业内网的微服务、中间件服务以及遍布各个角落的IOT设备,没有完成身份化,意味着无法做精准的安全访问控制。第二,在协议层,业界特别是国内还没有升级到统一标准的现代化身份认证协议,目前很多企业还在应用基于LDAP的AD域控,对多因子认证及实时的人机挑战等缺乏灵活的支持,同时安全性不足。第三,在访问控制层,单纯基于身份的访问控制模型仍然停留在传统的4A模型,无法满足在淡化网络边界的混合云环境下更灵活的访问控制需求,例如结合身份的基于资源的访问控制、基于会话的访问控制和基于权限边界的访问控制需求等,需要一个结合身份的全新访问控制模型。
现代化IAM设计的核心目标之一就是适配数字化转型下对数字化身份治理平台的新要求。一是解决全面身份化的问题。需要设计和实现独立的数字化身份实体管理模块,将所有数字实体进行有效管理并通过唯一资源标识进行身份化处理。二是解决现代化的身份认证协议问题。设计和实现一套框架兼容现有的各类身份认证协议,能够灵活支持多因子认证和人机挑战的编排,并能够实现和传统AD域控打通或者替换。三是实现满足现代化的动态访问控制需求的新模型以及必要的延伸组件如融入策略执行点的访问网关、EDR和RASP等。 核心点之一是需要设计和实现基于策略的访问控制模型PBAC,PBAC结合了RBAC和ABAC的最佳特性,在应用层采用自然语义的策略管理,它能实现更多应用场景复杂且灵活的管理控制需求,是当前和未来的最佳访问控制方案。一个可供参考的现代化IAM框架如下图所示,但其缺乏必要的策略执行组件。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图10 现代化IAM框架参考(来自于网络,侵删)
现代化IAM到底是如何基于PBAC对任何资源进行访问控制的?这种深入到底层架构层面的彻底改造是非常有挑战的,从全球角度来看,个人认为AWS是做得非常到位的,真正实现了包括服务在内的所有资源的原生安全,其概览如下图所示,可以看到AWS是非常有远见的,很多年前就定下了服务化的强制性的架构原则,如果不能把访问实体、资源以及操作资源的API定义清楚,那么将无法实现如此灵活和强大的现代化IAM,具体的设计和实现细节会在后续文章里进行解读,敬请关注本公众号(gotocreate)。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图11 AWS现代化IAM设计原型(来自于网络,侵删)
以上介绍了零信任安全架构的三种典型技术方向和部分业界落地实践案例,未来可能的发展方向个人认为是以上三种典型技术的相互渗透和融合。如某互联网金融企业的流量处理技术架构演进如图12所示,在此基础上可以较好地融合SDP南北向和微隔离东西向的安全解决方案。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图12 SDP南北向和微隔离东西向的融合示意图(来自于网络,侵删)
另外该互联网金融企业所提的切面安全概念,如图13所示,理念上和零信任安全架构也非常相似。它是从用户端、外网接入层、应用层再到应用底层的微服务网关层形成全链路的安全防护,每一层都设计有统一代理层即数据平面以深入解析和管控所有资源的访问,层与层之间有统一的控制面以共享基础信息和联动防控,可以支持全链路的数据安全流动。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图13 某互联网金融企业所提的切面安全概念(来自于网络,侵删)
总结起来,零信任安全架构理念在工程实现上需要能做到两点,如图14所示。第一点是在业务全流程的关键节点实现全流量的代理层从而嵌入策略执行点进行安全访问控制,第二点是建立统一的策略控制平面及相关组件,实现全局的安全策略联动和策略决策点的功能。在数据平面动态加载各类功能插件,结合和控制平面相关联的策略执行点,可以解决护城河式、串糖葫芦式、外挂式、东西向放羊式等安全建设思路带来的安全管控问题,以上架构再结合KMS和在线加解密服务等保障数据全链路安全闭环流动。另外零信任安全架构对清晰的资源定义以及相互调用的依赖关系有明确的需求,资源是一切可以抽象为具体数据表征的对象,如身份实体、被操作对象、操作行为等,它们的属性在资源中心可以使用标签来方便地创建和聚合查询。资源中心定位为一个中心式的数据仓库,作为底层基础组件,提供了统一的数据出口、入口以及完备的数据订阅消费和同步机制,为所有安全组件共享数据及保持数据一致性搭建了桥梁,并负责与外部系统的数据对接。通过资源中心对所有数字实体及其访问依赖关系进行全生命周期的管理和可视化,来解决抓眼瞎式安全问题,其中部署在工作负载和业务运行托管环境上的EDR组件作为资源中心的数字资产及资源状态的关键来源。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图14 零信任安全架构理念的抽象工程实现
最后回到本文的主题,我的判断是传统的信息安全建设思路已经无法满足当下及未来的数字化转型需求,包括以网络为中心的安全边界防护方法论、以护城河式串糖葫芦式和外挂式的堆孤岛设备的安全实践、以传统4A为基础的安全访问控制模型以及以保险箱式的封闭式非在线协作的数据安全保护方法等,那零信任安全架构将大概率地逐步成为数字化转型的基石,其主要特征如下图所示,主要包括以资源保护为中心、以全面身份化为基础支撑、以动态策略执行为访问控制和以应用层动态信任评估及信任的全生命周期管理为根。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图15 零信任安全架构的主要特征
因此建议各类组织的负责人们特别是数字化转型及信息安全方面的负责人可以尽早考虑规划起本组织的零信任安全架构的中长期演进路线图,早做相关的准备工作,逐步推进起来。因为零信任安全与数字化整体架构共生,触及数字化转型灵魂,在技术架构层面还需解耦为数据平面和控制平面,还要融合业务架构做业务层的风险控制,与技术架构、业务架构、组织架构以及组织的安全成熟度强相关,决策上需要组织的CXO进行战略决策,在项目推进部署实施过程中也会面临比较多的挑战和风险。首先是整体技术难度比较高,现有系统及历史遗留系统的改造周期漫长。其次是投入成本较大,需各业务部门协助配合改造,并且有可能影响线上业务系统的高可用。最后是没有一招鲜的方案,需要尽可能借鉴业界最佳实践以少走弯路,然后根据自身需求进行裁剪。
那具体如何推进组织的零信任安全架构战略呢?需要能遵循必要的战略规划和部署迁移步骤,如下图所示。首先要确定组织的战略愿景,安全架构的调整一定要匹配组织的业务及其技术支撑战略,如果组织现有情况比如业务规模还比较小、业务还处于野蛮生长阶段、现存的安全风险缺口还能控制得住等,可能不太需要花太多时间在部署实施零信任安全架构上,只需要把基础安全、数字资产梳理、帐号权限、安全运营等提升到一定成熟度即可。如果经过组织决策层判断决定部署迁移到零信任安全架构,就进入到确定战略规划阶段,这个阶段最重要的是搞定人和组织资源,因为零信任安全项目是典型的一把手工程,如果没有决策层的一把手挂帅和鼎力支持,是很难持续走下去的。有了一把手支持、具体负责人、项目团队及相关资金预算支持后,就可以根据现状确定具体的技术路线、蓝图和演进路线,在战略上明确建设哪些核心能力以及改造哪些业务及其改造范围。确定战略规划后可以根据经典的项目管理方法论制定详细的项目计划,特别注意预留一些处理各种意外的缓冲时间,在这个阶段需要确定范围优先还是能力优先,或者是两者混合交替进行。范围优先是指某些能力达到一定成熟度后不断地扩大应用范围,待推广实施完后再继续提升打磨能力,能力优先是指尽可能地在特地范围内打磨能力到相当成熟度后再进扩大范围推广。最后是进入真正的分步迭代建设阶段,根据已制定的项目计划,每一步经历概念验证、业务接入或者回退以及能力演进。
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
图16 零信任安全架构的战略规划和部署迁移
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
![数字化转型中的安全挑战与零信任安全架构]( "数字化转型中的安全挑战与零信任安全架构")
本文始发于微信公众号(互联网安全内参):数字化转型中的安全挑战与零信任安全架构
评论