YUNDUN王曉旭:零信任思考與實踐
2020年6月16日起,安在講堂公益直播第三季,即網安強中強——2020網絡安全產品及創新技能直播大賽全新開啓,以新技術、新產品、新解決方案的分享傳播為側重,意圖呈現當下中國網絡安全的新生力量,“乙方”亮相,一展風采。
2020年7月7日,安在特邀請YUNDUN CEO王曉旭做客直播間,以“YUNDUN零信任思考與實踐”為主題,和網絡安全從業者分享YUNDUN對於“零信任”的相關理解思考與實踐方案。
(注:本期文章所有內容皆可在千聊“安在講堂”直播間回看,公益講座,全部免費。)
截至統計時:
收看直播人數:395
討論數量:18
簽到人數:83
本次直播內容為零信任思考與實踐,將以YUNDUN視角闡述零信任理念的理解到落地,最後進行YUNDUN解決方案的展示。
YUNDUN對零信任的理解
什麼是零信任
新技術尤為關鍵的是:到底能解決什麼問題?
我們剛剛開始説零信任這個概念的時候,也是在想這個技術到底能解決什麼問題,結合大量的學術資料的研究實踐,我們理解零信任一個全新的思想,它解決了一個核心、抽象的問題,即傳統邊界的安全模型不適用於現在的企業架構的問題。
以往的安全產品,都是在傳統的這種邊界安全背景下研製的,這些年不斷升級對抗策略,所以出現了超強下一代防火牆。但是這幾年還是會有很多泄露的安全事件發生,是因為邊界它總會被突破,我們所做的安全正處於這種狀態。疫情之後現在的社會也逐步在變遷,比如在家辦公,各地移動辦公的人也越來越多,工作負載也逐步增加,我們認為這應該是未來的一個趨勢。
零信任理念的本質,完全顛覆了過去基於傳統邊界思想的防禦模型,從有邊界定義到了沒有邊界的。在傳統的安全模型下面,有足夠大的信任邊界存在,零信任解決的,就是讓這個信任邊界消失,或者把邊界縮到最小。如果網絡沒有了現在的邊界,那新的邊界在哪?現在很多做生態安全的廠商在説,身份就是新的、最小的邊界。而當身份變成新邊界之後,行為就成為了新的控制點,這也是為什麼很多行為分析的專家投身於零信任產業。
總得來説,零信任是一個不在原來的問題對抗點去升級對抗的戰略思想,完全轉變對抗點,讓原來的問題消失了,同時也會帶來新問題。
傳統安全邊界面臨的挑戰
挑戰一:邊界安全保護入站訪問
過去或者現在都是部署或是構建一個安全邊界,遠程辦公或是移動的用户通過VPN來撥入具備IP級別的信任訪問權限。隨之而來帶來的問題是VPN授權面過大導致了病毒木馬擴散,以及一旦VPN的憑證泄露,黑客或者內部的惡意人員就能夠對內網做滲透和漫遊了。企業的安全人員為解決VPN的授權過大的問題,又得去構建非常複雜的一個隔離策略,造成了極大的運營成本,但漏洞是永遠修不完的,不能保證邊界永遠不被突破,整個安全防護就一直處於被動。另外隨着90後00後進入職場,新一代用户對於互聯網的追求變得不同,糟糕的用户體驗會影響工作。
挑戰二:邊界安全保護出站訪問
過去企業通過在內部或者在總部、在分支機構來部署一系列的安全設備,遠程的用户也是通過VPN,做流量回送,最終進行統一的安全策略檢查。用户離開辦公區域後,將面臨上述VPN的使用類似的問題,SaaS服務不受控制,傳統DLP失效,多地分支複雜的IT網絡帶來了高額成本和安全風險。
挑戰三:邊界安全保護互聯網業務
基於邊界安全保護互聯網業務的安全思想,過去一直是通過部署一些設備來保障企業業務的安全。但是,也會遇到一些問題,傳統的安全設備它不太適用互聯網的業務,因為它本身就暴露在外面,安全防護也一直是處在被動,黑客隨時可以通過公網在互聯網上面踩點,去摸索我們的業務資產,定向發動APT攻擊。另外所有的互聯網在線業務都是執行先訪問後驗證的模式。
因此我們就有思考:整個互聯網業務在某些產品上是否有異曲同工之處:比如企業私有的應用、移動的APP,或者一些物聯網的產品。
YUNDUN零信任的落地
為什麼要在雲/邊緣構建零信任?
基於客户產品調研,我們發現移動辦公的日益增長的需求把工作負載上雲,如果客户想建設零信任,根據現有的物理架構改造則會花費巨大成本,甚至會帶來性能風險,而基於雲的零信任可以在互聯網交付應用程序同時不暴露攻擊面。
今年的疫情非常特殊,這個原因導致很多企業的員工都在家或者是移動辦公,那麼有一些客户他就出現了VPN登不上,訪問太慢,不穩定也需要擴容。內網的應用如果直接放在公網上面,也有很大的安全問題。
雲WAF+零信任=應用可信訪問
我們給客户提供了一個應用的可信訪問,採用了連接的方式。連接最大的特點是沒有從外向內的原則,所有的訪問都是從內向外的連接,不管是本地的數據中心也好,還是雲上數據中心,通過零信任網關,保證所有的請求都是從內向外發起的,連接到一個邊緣節點。員工也是通過這樣的方式,訪問連接到邊緣節點來使用所需要的應用。
DDoS+和零信任=安全加速SDK
傳統安全防禦一直在做資源對抗,比如黑客有100G的流量,那我就得儲備100G的帶寬,跟他做1V1的PK,我們自身具備這種天然的帶寬基礎,所以也不怕他,可以做這種持續的對抗。
但是,我們也在思考,有什麼其他的方式,可以撬動這種傳統資源對抗式的解決方案。這類傳統的方案按量計費會讓客户覺得費用不可控,如果黑客攻擊了還要另付費,所以大部分的客户會再買一個保險,平時放在那裏也沒用,導致整個安全的投入產出效率不高。
未來的零信任,能預見到隨着5G、ipv6還有物聯網等這些基礎設施的發展,攻擊流量會每年增長變化,未來突破10個T也不是不可能。而且過去企業的UDP\TCP協議防護效果不佳,會造成連接中斷或者高誤殺率。
所以零信任給我們帶來了一個非常大的啓發。傳統的邊界網絡有很大的信任區域,只要突破了這個邊界就能在裏面使用很大的訪問內網的權限。而零信任帶來的理念是説,我怎麼把這個關口最大化地往兩邊去移動縮小。向兩端前移,最小化的一個控制和授權。最理想的狀態就是每個用户都有一個各自的邊界。
而先訪問業務資源,再進行認證授權的方式導致了黑客可以先獲取到攻擊面,用一條攻擊鏈不斷去滲透。零信任則先連接了安全網關,認證授權後再訪問,這樣可以解決資源隱藏的問題。
在移動APP的場景,我們結合了零信任的思想,推出了叫安全加速SDK的產品:縮小了攻擊面,先驗證後連接,整個安全網關非白即黑。同時很重要的一點是,我們做了設備資源行為的動態可信評估。通過這種方式,我們徹底改變了過去資源對抗的這種方式。
SD-WAN+零信任結合的思考
SD-WAN是這幾年非常火的話題。它的理念和零信任非常相似,也是過去傳統的邊界模式,升級到了軟件定義邊界的模式。企業的網絡環境發生了變化,我們也要考慮怎麼去面臨挑戰,確保用户和設備可以在任何地方安全快速連接到互聯網,無需面對傳統方法相關的複雜。主動識別、阻止和環節威脅,例如惡意軟件、網絡釣魚以及針對用户的高級零日攻擊等等。
Gartner定義的安全訪問服務邊緣(SASE),是一個結合了網絡服務和安全即服務的非常龐大的概念,未來可能的趨勢是,所有的企業的內部應用都能通過邊緣節點來訪問,並且不需要那麼複雜的網絡架構,同時也能提高整體的安全性。
YUNDUN解決方案展示
我們設想的架構中,員工和企業的合作伙伴,還有一些攻擊和危險都通通由我們來面對,最後再回到客户自己本地的數據中心。整個架構都基於雲原生。
我們目前實現了整個應用的可信訪問,在邊緣安全節點集成了身份認證和應用權限管控,身份認證可以打通企業微信、釘釘等身份認證源,如果企業的相關係統是部署在內網,我們也可以集成內部AD域。
最後是YUNDUN雲平台的基礎架構,YUNDUN基於白山天然的CDN、SD-WAN業務基礎,為客户提供獨特的、近源的雲原生安全服務,構建端到端的安全訪問新邊界,以縱深安全加速的產品理念,運用零信任安全思想,融合全球智能邊緣安全平台,一站式解決數字業務的應用漏洞、黑客滲透、爬蟲Bot、DDoS等安全威脅,滿足合規要求,提高用户體驗。
謝謝大家。
問答環節
Q1:“原來的安全邊界已經消失,身份成了新的邊界”的提法很新穎,也很形象。到處都有驗證,驗證的地方就是邊界,驗證通過才算進入了安全的界內。但是如果到處需要驗證,如果操作複雜,人的弱根性就是想辦法繞過或糊弄。請問在這方面貴司的產品是如何解決的,就是如果做到既方便又安全?
A:這個問題其實就是客户對人的信任問題,用誰的產品,甚至是你用一些傳統的硬件也不排除有後門。
目前我們主要是用在互聯網,主要是一些遊戲的客户。同時我們也在尋找一些新的客户產品,推薦新的客户團隊,現有客户給我們帶來了很大的價值,所以我們也繼續在尋找更多的客户產品來落地。
現在在企業的內外一樣能夠實現這個領域,只是內網相對來説是一個物理架構,它去實現實時連接的話,改造的成本會比較大,而且要遵循一些零信任的原則。安全它本身就一直是個重複的事情。我們怎麼去平衡產品,製作用户行為分析,讓它能跟我們的身份認證系統很好地結合,能夠實時持續地去分析用户的一些異常行為。
Q2:SDK相對傳統高防有什麼優勢?
A:高防根據不同的場景有它的優勢,也有它的劣勢,它是有侷限性的,只能適用於企業私有端到端的安全。而不同於傳統高防基於邊界的防禦模式,安全加速SDK將傳統單一的硬件+硬性資源對抗轉移到了多維度軟件+彈性資源對抗,主動免疫DDoS攻擊威脅。SDK默認不信任外部任何人/事/物,只對通過驗證和被授權的用户開放“訪問隧道”,實現被保護對象的隱身。通過貫通雲端彈性防護資源、網絡和終端設備,形成了安全可信的虛擬邊界,實現全網的協同防護與有效管控。
Q3:安全加速SDK 目前落地了哪些場景和案例?
A:基本都可以適用,只有少數場景不行。比如適用於公共的瀏覽器,我們工作人員是來訪問的,這種業務場景用不了我們的SDK,它只是用海量的帶寬來跟所有的黑客對抗,在防禦的同時能保證加速的效果和用户體驗不受太多的損耗。