作者 |?kirazhou

導讀：在 10000 多公里之外的舊金山，網(wǎng)絡安全盛會 RSAC2020 已經(jīng)落下了帷幕。而身處杭州的肖力，正在談起今年大會的主題——Human Element。2020 年，從“人”出發(fā)，這顆石子將在國內的安全市場池子里激起怎樣的漣漪？Human Element 的背后隱藏著怎樣的安全洞見？

在 Gartner 的《2020 年規(guī)劃指南：身份和訪問管理》報告中，我們看到了 IT 必須推進 IAM（身份和訪問管理）計劃，而身份治理和管理、混合/多云環(huán)境作為可預見的趨勢，更是已經(jīng)在風口蓄勢待發(fā)。

人、身份和云端，這三者之間的角力、千絲萬縷和無限可能，正是此次采訪的最大收獲。

Human Element：了解人的脆弱性

我們常常談起，“安全的本質在于人與人之間的對抗。”

從攻防對抗的視角來看，人的因素使得攻防對抗成為一個動態(tài)的持久過程。攻擊者的手段、工具和策略都在發(fā)生變化，而防御者的安全防護能力也在提升，兩者之間持續(xù)對抗，安全水位線一直動態(tài)變化。

在整個攻防對抗過程中，人，既是防御者，也可能成為攻擊者，而對抗不僅會發(fā)生在企業(yè)與外部的對峙中，很多時候也發(fā)生在企業(yè)內部。

人，是絕對的安全核心，這是今年 RSAC 大會傳遞給我們的訊息。而在關注人的安全技能與能力建設之余，也要清晰地認知：人的脆弱性使人本身成為安全中薄弱的一環(huán)。因此，企業(yè)在應對來自外部攻擊的同時，如何防范來自企業(yè)內部人員的威脅同樣關鍵。

2017 年卡巴斯基的調查報告中提出，46% 的 IT 安全事故是由企業(yè)員工造成的。現(xiàn)在，這個比例已經(jīng)上升至 70%~80%，譬如內部開發(fā)者由于未遵守安全規(guī)范或自身安全能力不足，而導致所研發(fā)的應用在設計之初就留下了漏洞，亦或是在職/離職員工由于操作不規(guī)范或直接的惡意行為導致企業(yè)安全問題。

“整個安全體系絕對不僅是和自動化蠕蟲做對抗，這只是冰山一角”。

面對“人”帶來的安全影響，肖力認為問題根源在于企業(yè)的安全基線做得不到位。目前，很多企業(yè)更注重于威脅檢測與響應，這一部分確實有用，但還不夠。“我們思考的不是出了問題后如何去解決，而是如何不出問題。”因此，事前的安全基線設置比起事后的檢測與響應更為關鍵。企業(yè)安全基線包括了：

所有應用系統(tǒng)的統(tǒng)一身份認證與授權

安全運營：設置紅線

建立應用開發(fā)安全流程：確定開發(fā)人員培訓、內部安全考試與認證等規(guī)范

如果說企業(yè)的安全基線是走向安全的基礎 60 分，那么，只有先做好安全基線再去做事后檢測響應能力的提升，才能讓企業(yè)安全體系更為穩(wěn)固。其中，“身份”作為在互聯(lián)網(wǎng)中的直觀映像，身份管理對于有效降低內部人員的行為帶來的安全威脅可以說有著重要作用。

身份：零信任理念下的新舊邊界交替

網(wǎng)絡身份的重要性無需再贅述，而身份如何從安全因素之一轉變?yōu)槠髽I(yè)安全防護的“主角”，2010 年是一個隱形的節(jié)點。

肖力指出，在過去的 IT 環(huán)境中，尤其是 2000~2010 年期間，邊界隔離是企業(yè)安全防護的主要手段。但 2010 年后， IT 整體環(huán)境發(fā)生了巨大的變化：

IT 架構根源性的變化：隨著移動互聯(lián)、lOT 設備的普及，整個內網(wǎng)、辦公網(wǎng)絡都受到了巨大的沖擊，大量的設備接入，導致原來的邊界難以守住；

企業(yè)數(shù)據(jù)庫從 IDC 遷移到云上：隨著云計算的浪潮，越來越多的企業(yè)選擇全站上云或 50% 業(yè)務上云，導致防護環(huán)境發(fā)生變化。

企業(yè) SaaS 服務發(fā)展：企業(yè)網(wǎng)盤、釘釘?shù)绕髽I(yè) SaaS 服務的發(fā)力，意味著越來越多的企業(yè)工作流、數(shù)據(jù)流和身份都到了外部，而非固定在原本的隔離環(huán)境中。

隨著環(huán)境因素的變化，傳統(tǒng)的邊界將漸漸消亡，僅依靠傳統(tǒng)的網(wǎng)絡隔離行之無效，這時候，基于零信任理念的統(tǒng)一身份管理為企業(yè)重新筑造了“安全邊界”。

基于零信任理念，企業(yè)可以構建統(tǒng)一的身份認證與授權系統(tǒng)，將所有賬號、認證、權限統(tǒng)一管理。譬如，離職員工被視為企業(yè)的重要威脅之一。在整個企業(yè)安全體系建設的實踐中，必須要做到賬戶對應到應用系統(tǒng)的權限統(tǒng)一，實現(xiàn)每天離職員工的所有身份、賬號權限可以在企業(yè)內部系統(tǒng)中一鍵刪除。

包括近一段時間安全圈內熱議的微盟員工刪庫事件，從身份認證與管理的技術角度來看，也是完全可以避免的。肖力認為：

• 一方面，企業(yè)在實施 IAM（身份和訪問管理）時，秉持最小權限原則，通過帳號的權限分級，給到員工應有的權限即可，而類似“刪庫”的特權賬號不應該給到任何一個員工；
• 其次，哪怕員工下發(fā)了批量數(shù)據(jù)刪除的指令，企業(yè)也可以通過內部異常行為檢測，識別出該類指令基本不會發(fā)生在正常的生產(chǎn)環(huán)境中，從而不執(zhí)行該指令。

除了技術層面的實現(xiàn)，身份認證與管理的本質依舊是安全基線。同時肖力指出，安全團隊在企業(yè)中的位置與影響力則決定了基線能否被確定、切實地落實到業(yè)務中去。判斷安全團隊在企業(yè)、業(yè)務中的影響力大小，最直觀的就是組織架構：安全團隊是否為獨立部門，直接匯報給 CTO 甚至 CEO。

未來，IAM 應該還會向零信任架構推進，并基于零信任理念衍生出多應用場景下的身份治理方案，打通“身份認證”與云安全產(chǎn)品，構建云上零信任體系。

基于云原生安全的 IAM

身份管理提供商 SailPoint 的首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Mark McClain 曾經(jīng)說過：“治理的世界是有關誰有權限訪問什么東西，誰應該訪問什么東西，以及如何正確使用這些權限的世界。但現(xiàn)實是，大多數(shù)消費者距離前兩條都差得很遠，更不用說第三條了。”幸運的是，現(xiàn)在的 IAM 工具/服務越來越易用，并且加快延伸至云端環(huán)境。

肖力指出，云原生的安全紅利是可見的。“常態(tài)化”的云幾乎成為了企業(yè)操作系統(tǒng)，涉及 IaaS 層、PaaS 層和 SaaS 層。各個云服務商在安全上注入巨額投資，以規(guī)模化的人力物力打磨云安全產(chǎn)品和技術，讓企業(yè)開始嘗到云原生技術帶來的安全紅利。

普通企業(yè)不必重復造輪子，搭載上阿里云等云服務廠商的航母，就能在云計算浪潮里前行，享受高等的安全水位。
其次，云化帶來的 6 大云原生安全能力：全方位網(wǎng)絡安全隔離管控、全網(wǎng)實時情報驅動自動化響應、基于云的統(tǒng)一身份管理認證、默認底層硬件安全與可信環(huán)境、DevSecOps 實現(xiàn)上線即安全，讓企業(yè)脫離原本復雜的安全管理模式，從“碎片化”到“統(tǒng)一模式”。

隨著企業(yè)上云趨勢日益明顯。IT 基礎設施云化、核心技術互聯(lián)網(wǎng)化，最終讓企業(yè)架構發(fā)生變革。而“云化”的過程中，越來越多的企業(yè)開始思考混合和多云環(huán)境下的 IAM（身份和訪問管理）問題。

混合云：場內工作+公有云環(huán)境服務的使用；
多云：多個公有云服務商服務的使用。

關于混合云，基于企業(yè)上云后的統(tǒng)一管理模式，可以在復雜的混合云環(huán)境下直接實現(xiàn)統(tǒng)一的身份接入，將企業(yè)云上與云下身份打通，并且基于對云端上的用戶環(huán)境做評估，動態(tài)地授于不同人以不同權限，從而讓任何人在任何時間、地點，都可以正確地訪問內部資源。而多云的環(huán)境則可以利用活動目錄的工作負載實現(xiàn)身份管理。

云上的環(huán)境，賦予了統(tǒng)一身份管理更多的可行性，而進一步探索混合和多云 IAM 實現(xiàn)方案將成為企業(yè)戰(zhàn)略的新方向。

最后，由身份管理衍生的數(shù)據(jù)安全問題，同樣值得關注。2019 年，數(shù)據(jù)安全絕對是最熱的話題之一，不管是高發(fā)的動輒上億級別的數(shù)據(jù)泄露，或是陸續(xù)出臺的數(shù)據(jù)隱私法規(guī)，都在反復強調數(shù)據(jù)安全的重要性。

在采訪的尾聲，肖力同樣談到了今年 RSAC 的創(chuàng)新沙盒冠軍 Securiti.ai。有意思的是，過去 3 年創(chuàng)新沙盒冠軍中有 2 年都是做數(shù)據(jù)安全的，似乎給網(wǎng)絡安全企業(yè)的下一步發(fā)展提出了一個非常明確的方向。

首先，數(shù)據(jù)安全本身的命題就很大，數(shù)據(jù)的流動性使得數(shù)據(jù)安全問題橫跨各個安全技術領域，并出現(xiàn)在企業(yè)的各個環(huán)節(jié)中；其次，市場需求大。企業(yè)對于如何保障內部數(shù)據(jù)安全、保障客戶的數(shù)據(jù)隱私安全有著迫切的需求。如此看來，“說不定明年的冠軍也是做數(shù)據(jù)安全的呢。”

因此，在未來的 5~10 年，如果安全公司可以通過核心的產(chǎn)品和技術突破幫助用戶解決數(shù)據(jù)安全問題，比如依靠技術摸清底盤，了解用戶隱私數(shù)據(jù)在哪里有哪些，必然可以在市場分得很大一塊蛋糕。

肖力最后指出，需求正在倒逼技術的發(fā)展。數(shù)據(jù)安全領域亟需通過技術突破迎來爆發(fā)。

“阿里巴巴云原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦云原生流行技術趨勢、云原生大規(guī)模的落地實踐，做最懂云原生開發(fā)者的公眾號。”

總結

以上是生活随笔為你收集整理的阿里巴巴副总裁肖力：云原生安全下看企业新边界——身份管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。