不得不知道网站,西安大雁塔音乐喷泉时间,阿里云注销网站,监利县建设局网站作者 | kirazhou 导读#xff1a;在 10000 多公里之外的旧金山#xff0c;网络安全盛会 RSAC2020 已经落下了帷幕。而身处杭州的肖力#xff0c;正在谈起今年大会的主题——Human Element。2020 年#xff0c;从“人”出发#xff0c;这颗石子将在国内的安全市场池子里激起…
作者 | kirazhou 导读在 10000 多公里之外的旧金山网络安全盛会 RSAC2020 已经落下了帷幕。而身处杭州的肖力正在谈起今年大会的主题——Human Element。2020 年从“人”出发这颗石子将在国内的安全市场池子里激起怎样的涟漪Human Element 的背后隐藏着怎样的安全洞见 在 Gartner 的《2020 年规划指南身份和访问管理》报告中我们看到了 IT 必须推进 IAM身份和访问管理计划而身份治理和管理、混合/多云环境作为可预见的趋势更是已经在风口蓄势待发。
人、身份和云端这三者之间的角力、千丝万缕和无限可能正是此次采访的最大收获。 Human Element了解人的脆弱性
我们常常谈起“安全的本质在于人与人之间的对抗。”
从攻防对抗的视角来看人的因素使得攻防对抗成为一个动态的持久过程。攻击者的手段、工具和策略都在发生变化而防御者的安全防护能力也在提升两者之间持续对抗安全水位线一直动态变化。
在整个攻防对抗过程中人既是防御者也可能成为攻击者而对抗不仅会发生在企业与外部的对峙中很多时候也发生在企业内部。
人是绝对的安全核心这是今年 RSAC 大会传递给我们的讯息。而在关注人的安全技能与能力建设之余也要清晰地认知人的脆弱性使人本身成为安全中薄弱的一环。因此企业在应对来自外部攻击的同时如何防范来自企业内部人员的威胁同样关键。
2017 年卡巴斯基的调查报告中提出46% 的 IT 安全事故是由企业员工造成的。现在这个比例已经上升至 70%~80%譬如内部开发者由于未遵守安全规范或自身安全能力不足而导致所研发的应用在设计之初就留下了漏洞亦或是在职/离职员工由于操作不规范或直接的恶意行为导致企业安全问题。
“整个安全体系绝对不仅是和自动化蠕虫做对抗这只是冰山一角”。
面对“人”带来的安全影响肖力认为问题根源在于企业的安全基线做得不到位。目前很多企业更注重于威胁检测与响应这一部分确实有用但还不够。“我们思考的不是出了问题后如何去解决而是如何不出问题。”因此事前的安全基线设置比起事后的检测与响应更为关键。企业安全基线包括了 所有应用系统的统一身份认证与授权安全运营设置红线建立应用开发安全流程确定开发人员培训、内部安全考试与认证等规范如果说企业的安全基线是走向安全的基础 60 分那么只有先做好安全基线再去做事后检测响应能力的提升才能让企业安全体系更为稳固。其中“身份”作为在互联网中的直观映像身份管理对于有效降低内部人员的行为带来的安全威胁可以说有着重要作用。 身份零信任理念下的新旧边界交替
网络身份的重要性无需再赘述而身份如何从安全因素之一转变为企业安全防护的“主角”2010 年是一个隐形的节点。
肖力指出在过去的 IT 环境中尤其是 2000~2010 年期间边界隔离是企业安全防护的主要手段。但 2010 年后 IT 整体环境发生了巨大的变化 IT 架构根源性的变化随着移动互联、lOT 设备的普及整个内网、办公网络都受到了巨大的冲击大量的设备接入导致原来的边界难以守住企业数据库从 IDC 迁移到云上随着云计算的浪潮越来越多的企业选择全站上云或 50% 业务上云导致防护环境发生变化。企业 SaaS 服务发展企业网盘、钉钉等企业 SaaS 服务的发力意味着越来越多的企业工作流、数据流和身份都到了外部而非固定在原本的隔离环境中。随着环境因素的变化传统的边界将渐渐消亡仅依靠传统的网络隔离行之无效这时候基于零信任理念的统一身份管理为企业重新筑造了“安全边界”。
基于零信任理念企业可以构建统一的身份认证与授权系统将所有账号、认证、权限统一管理。譬如离职员工被视为企业的重要威胁之一。在整个企业安全体系建设的实践中必须要做到账户对应到应用系统的权限统一实现每天离职员工的所有身份、账号权限可以在企业内部系统中一键删除。
包括近一段时间安全圈内热议的微盟员工删库事件从身份认证与管理的技术角度来看也是完全可以避免的。肖力认为
一方面企业在实施 IAM身份和访问管理时秉持最小权限原则通过帐号的权限分级给到员工应有的权限即可而类似“删库”的特权账号不应该给到任何一个员工其次哪怕员工下发了批量数据删除的指令企业也可以通过内部异常行为检测识别出该类指令基本不会发生在正常的生产环境中从而不执行该指令。
除了技术层面的实现身份认证与管理的本质依旧是安全基线。同时肖力指出安全团队在企业中的位置与影响力则决定了基线能否被确定、切实地落实到业务中去。判断安全团队在企业、业务中的影响力大小最直观的就是组织架构安全团队是否为独立部门直接汇报给 CTO 甚至 CEO。
未来IAM 应该还会向零信任架构推进并基于零信任理念衍生出多应用场景下的身份治理方案打通“身份认证”与云安全产品构建云上零信任体系。 基于云原生安全的 IAM
身份管理提供商 SailPoint 的首席执行官兼联合创始人 Mark McClain 曾经说过“治理的世界是有关谁有权限访问什么东西谁应该访问什么东西以及如何正确使用这些权限的世界。但现实是大多数消费者距离前两条都差得很远更不用说第三条了。”幸运的是现在的 IAM 工具/服务越来越易用并且加快延伸至云端环境。
肖力指出云原生的安全红利是可见的。“常态化”的云几乎成为了企业操作系统涉及 IaaS 层、PaaS 层和 SaaS 层。各个云服务商在安全上注入巨额投资以规模化的人力物力打磨云安全产品和技术让企业开始尝到云原生技术带来的安全红利。
普通企业不必重复造轮子搭载上阿里云等云服务厂商的航母就能在云计算浪潮里前行享受高等的安全水位。 其次云化带来的 6 大云原生安全能力全方位网络安全隔离管控、全网实时情报驱动自动化响应、基于云的统一身份管理认证、默认底层硬件安全与可信环境、DevSecOps 实现上线即安全让企业脱离原本复杂的安全管理模式从“碎片化”到“统一模式”。
随着企业上云趋势日益明显。IT 基础设施云化、核心技术互联网化最终让企业架构发生变革。而“云化”的过程中越来越多的企业开始思考混合和多云环境下的 IAM身份和访问管理问题。 混合云场内工作公有云环境服务的使用 多云多个公有云服务商服务的使用。 关于混合云基于企业上云后的统一管理模式可以在复杂的混合云环境下直接实现统一的身份接入将企业云上与云下身份打通并且基于对云端上的用户环境做评估动态地授于不同人以不同权限从而让任何人在任何时间、地点都可以正确地访问内部资源。而多云的环境则可以利用活动目录的工作负载实现身份管理。
云上的环境赋予了统一身份管理更多的可行性而进一步探索混合和多云 IAM 实现方案将成为企业战略的新方向。
最后由身份管理衍生的数据安全问题同样值得关注。2019 年数据安全绝对是最热的话题之一不管是高发的动辄上亿级别的数据泄露或是陆续出台的数据隐私法规都在反复强调数据安全的重要性。
在采访的尾声肖力同样谈到了今年 RSAC 的创新沙盒冠军 Securiti.ai。有意思的是过去 3 年创新沙盒冠军中有 2 年都是做数据安全的似乎给网络安全企业的下一步发展提出了一个非常明确的方向。
首先数据安全本身的命题就很大数据的流动性使得数据安全问题横跨各个安全技术领域并出现在企业的各个环节中其次市场需求大。企业对于如何保障内部数据安全、保障客户的数据隐私安全有着迫切的需求。如此看来“说不定明年的冠军也是做数据安全的呢。”
因此在未来的 5~10 年如果安全公司可以通过核心的产品和技术突破帮助用户解决数据安全问题比如依靠技术摸清底盘了解用户隐私数据在哪里有哪些必然可以在市场分得很大一块蛋糕。
肖力最后指出需求正在倒逼技术的发展。数据安全领域亟需通过技术突破迎来爆发。 “阿里巴巴云原生关注微服务、Serverless、容器、Service Mesh 等技术领域、聚焦云原生流行技术趋势、云原生大规模的落地实践做最懂云原生开发者的公众号。” 原文链接 本文为云栖社区原创内容未经允许不得转载。
