数字化时代企业如何重构网络安全信任体系

刘询

近日，TGO鲲鹏会北京年度家宴举办，来自多家企业CEO、CTO以及技术负责人等管理者共聚一堂，共同探讨全球前沿技术的未来。腾讯安全咨询中心负责人陈颢明发表了《如何重构网络安全信任体系》的主题演讲，并从网络信任体系遇到的挑战、信任体系重构的思路以及信任体系建立等关键维度，对当前数字化浪潮下的企业所面临的安全信任建设问题给出了自己的解读和建议。

随着当前高新技术的快速落地，数字化已成为企业发展核心驱动力的同时，也使基于边界的传统网络安全架构无法满足企业数字化升级之需，企业迫切需要一个支持无边界及云上资源安全访问的解决方案。

针对如何建立IT身份与自然人的信任关系，陈颢明提出了重构信任建设体系的新思路。在他看来，身份和信任体系一直都是企业安全建设的短板，信任体系重构需重點围绕识别保护对象、梳理依赖关系、人与资产和账号绑定关系、统一账号生命周期管理、强身份认证、无边界访问控制、行为监控和审计、动态授权以及资产间访问管控等9个重要层面展开，才能不断强化多因素认证、无边界访问控制、行为监控、动态授权、数字实体的访问关系。

其中，防护对象识别是信任体系建设的前提，需要对所有数字实体资产（需要细化到数据、服务和接口）进行识别，注册并标识唯一身份ID，连同自然人的网络身份ID，建立人与资产和账号的绑定关系，以此实现人、数字实体和账号的“全要素”信任管理体系。

在整个信任体系的建设过程中，可以保证人和证形成强关联，尽可能做到双因素认证，基于依赖关系，进行访问授权，保证数字实体资产的操作全记录和全监控，从而实现“全要素”安全管控。

最后，陈颢明还结合腾讯构建的信任体系架构和能力图谱，提出包括资产全要素和依赖关系梳理、信任能力梳理、能力差距分析、信任场景梳理、规划场景建设路径以及完成信任体系构建等关键维度的重构路径。企业只有了解信任建设的能力目标，根据能力视图、业务优先级规划建设场景路径，才能分场景、分阶段完成信任整体能力体系的建设。以下为陈颢明演讲实录：

很高兴有这次机会沟通，我本人20年来一直做信息安全工作，我们做信息安全这么多年，一直在思考一个问题，信任问题是我们信息安全的一个核心的问题。在座的都是技术大佬，网络上TCP/IP协议是不够信任、不够可靠的一个协议，所以导致有各种各样的安全问题，包括刚才主持人说的DDoS攻击就是用了TCP/IP三次握手这种不够严谨的问题导致的，很多信息安全问题跟信任都有非常大的关系，因为信任体系建立的不够强壮，导致很多安全问题的出现。所以，我们选择了信任这个话题，现在大家都在提零信任或者各种信任体系，尤其今年在疫情期间，大家可能都要在家庭办公、远程办公，导致需要从家里或者在外围连接公司企业网。怎么保证信任问题，这个话题今年被提的频次特别高，所以我们今天谈谈信任，就是信息安全的信任问题。

先来盘点一下那些年我们构建的信任体系。最早我们接触的信任体系是PKI和CA体系，当时各种加解密、公私钥、认证中心和授权中心是网络安全最为重要的解决方案。我记得很多银行开始上这些PKI体系，导致系统异常的复杂，因为每笔业务都需要注册证书、发证、授权及加解密等一系列操作。

另外，边界隔离。随着网络日趋复杂化，大家开始考虑网络区域划分和隔离，每个网络区域是有信任关系的，低安全级别区域不能向高安全区域级别访问，把安全域划分好，网络隔离措施做好，就是相对安全的架构，这是另外一种信任的模式。

大家对信任的探索一直没有停，后来大家开始考虑一个简单的方法，从人下手，管好人的认证。就像现实中，人去到什么地方，只要有一个员工卡或者身份证，就能进去，身份管理体系在各个企业开始逐步推行。也就是说企业要建一个基于用户身份的全生命周期的管理，从入职到进入到这个部门，再到产生线上的业务，包括内部的办公应用，通过IAM体系统一管理。后来发现运维人员和高权限的人越来越多，开始考虑把这些人通过CA、堡垒主机管理，像银行的数据管理员掌握的数据太多，权限太大，用特权账号管理体系来管理。

随着IT高新技术最近两年爆发式的变革，云计算、大数据、微服务架构以及应用的轻量化包括5G、移动互联网的产生，发现以前边界的防护体系基本被打破，大家都在倡导互联互通，原来还相对牢固的信任和隔离措施，突然显得问题多多，甚至是不太适用，用户和应用的关系越来越复杂，权限管理失控，包括之前所倡导的PKI体系，其实在IT变革过程中遇到很多阻力和问题。

举个实战攻防演练实例，之前提到相关的安全体系该企业都已经建立，但红方的攻击队很轻易就可以突破我们边界的防护措施，比如说企业VPN，只要你没有做双因素认证，利用社工库、各种帐号的破解办法会很快入侵到内网，进入到内网更可怕的是横向移动，因为我们在企业内防守的话，南北向防的很严；但东西向，尤其很多企业现在上云了，云虚拟机之间的访问控制基本上很容易被突破；再加上内部还有一些账号集权管理系统，如AD域、堡垒主机和网管服务器，一旦被突破，整个内部的应用和系统基本全部突破，这就是目前企业在信任体系的现状。

为什么呢？最关键的核心是身份管理体系建立的还不够强壮，很多企业更多的是围绕基础架构安全、边界防护、安全域划分隔离措施和纵深防御。但在红蓝对抗或者高级别的攻击对抗场景下很容易被突破，这里提到一个问题就是企业如何把信任体系做的足够健壮，黑客攻击到内部系统大多是利用了企业现有比较薄弱的身份和账号管理体系，欺骗了认证体系，进到内网进而发动攻击。

直到今年，大家开始提零信任、SDP和微隔离，这是最近听到最多的3个词，零信任体系提出核心还是希望从对任何用户、任何设备是不信任的，怎么建立信任关系，持续认证持续鉴权，这是谷歌最开始提出的思路，因为他之前遭受了恶意攻击事件，所有的网络安全措施全部失效，之后他们一狠心，把以前传统的安全建设模式和体系全部改掉，按照全新的信任体系架构再重新搭建。

零信任近几年虽然很火但大家都不太懂，到底他包含了哪些具体内容，怎么搭建？有哪些要素构成？信任体系核心是什么？为了究其根源，一些对于“信任”的定义，给了我很多启发，也给大家分享一下。信任在社会学中的解释是信任，是相信对方是诚实、可信赖、正直的。另外，信任是涉及交易或交换关系的基础。信任被认为是一种依赖关系。

信任是需要建立关系的，如果没有具体的关系很难信任，这也是我们为什么会收到诈骗电话、诈骗短信，年轻人可能会置之不理，但老年人不一定。其实核心就是没有建立信任关系的联系，都可以断掉。通常在信息安全管理过程中，似乎没有真正考虑过这点，信任是一种依赖关系，是有关联、有业务关系或者有依存关系，这是信任的前提。还有比较重要的一些概念，交换过程中信任者要值得信任的证据，一定要证明你是这个自然人或者你是可信的设备，这一点也是关键。

而英文对Trust的定义是，相信这个人是好的、诚实的，还有一个关键点，这个事儿是安全靠谱的。也就是说，信任，不光要考虑对人的信任，还得考虑对的资产和行为的信任。我们所有的实体，现在有一个词叫数字实体，其实很关键，也就是说因为之前理解的IT资产很简单，服务器、终端包括应用，可能就到这个粒度了。实际上，随着云计算的发展，包括微服务的发展，会发现每一个应用、服务和应用的接口，都属于数字实体，我们做身份管理需要把这些所有的数字实体都考虑进去。

所有的数字实体，腾讯提了一个概念叫做“全要素”。我们要重构信任体系，需要考虑全要素身份体系的定义，其中包括身份体系的关联关系，也就是全要素之间的关联关系，以及全要素的安全控制体系。

我们加一个IT层面要考虑的问题，就是把IT或者说数字实体的资源和自然人关联起来，而且是紧密关联，以上这些都应该是我们考虑信任体系重构的关键要素。

我们把解读字面意思得到的一些启发再放到整个网络环境中，第一个要素自然人是我们安全管控的核心，人要依靠终端、用户身份ID、通过帐号和获取认证拿到授权，去操作相应的资产，记录下日志和监控。从整个人到资产之间的访问链条来看，黑客会从哪边入手呢？就是帐号，他从帐号入手，把前面的链条全部切断，直接用你的帐号获取认证，进行操作，你溯源的话只是溯源到帐号，实际上很难抓到其他相关的内容，就会发现如果在整个帐号体系和前端没有打通的环境下，溯源工作基本就失败了，这个就是目前很多站点被黑客攻击，却很难溯源、抓不到源头，因为和自然人、相关IT身份没有真正强绑定，比如有些企业多人共用帐号，一个人多个ID，帐号和自然人没有真正实体绑定，帐号体系没有统一的管理体系，都是造成这些问题的原因。

认证，是整个这个过程中的重中之重，人和证一定要强关联。现在有很多人脸核身、人证核身技术，我们推荐企业客户一定要做账号的双因素认证，核心就是人和帐号体系要强绑定，或者死绑定，这个才能确保安全性。

另外一个比较严重的问题是，攻击者只要拿到内网的权限，横向移动几乎是畅通无阻的。这里的问题通常是，授权粒度不够，没有达到资源级授权，缺乏流量和行为审计，缺乏违规操作识别和管控，资产间访问控制粒度不够。数字实体全要素资产的操作需要有全记录和全监控，腾讯在这点做的比较好，所有应用的操作日志以及网络流量全部记录下来，为后面溯源，包括为安全事件分析做好充足的准备。

总体来讲，建立一个完整的信任体系，身份帐号的管理，包括自然人和帐号、人脸核身和认证，包括后续对于实体的操作，包括权限控制需要做完整和严格的管控体系。

把前面所思考的点做一个汇总，做好一个信任体系，我总结了9点：

第一是识别保护对象。保护对象就是刚才提到的所有数字实体全要素的资产要识别清楚，在体系内有多少是数字资产，是关键的数字实体，这块要真正识别清楚。以前只管人或者只管服务器设备、终端和数据库。但在云时代下，这个管理颗粒度还需要细化到数据、服务甚至是应用接口。

第二是梳理依赖关系。这是之前提到的关键点，当这2个连接在业务上，但没有充分依赖的关系，就不要让它连起来。但在实际场景下，连接和访问关系异常复杂，安全管理者根本不知道谁和谁有关系，他们自由连接，真正是“互联互通”，但作为信息安全管理者或者信息管理者，如果二者之间没有依赖关系，就可以考虑不要连接。

第三是人、资产和帐号的强绑定。某些互联网企业在这方面做得非常好，作为自然人的员工进入到企业有企业微信，企业微信有Open ID这个唯一标识的ID，再和其他应用帐号再关联，和企业HR的信息直接关联，它会通过Open ID把所有帐号包括个人信息全部关联起来，最后不管是做了任何事情，都可以通过Open ID去检索和查询，永远能溯到源头。

第四是帐号的全生命周期管理。因为很多企业现在帐号体系比较分散，有可能一个企业是多个IAM系统，还没有打通后台数据，各自为政，这就存在一个人可能有多个帐号，而且一个人在多个不同的IAM平台中管理会有很大的问题。

这里我们强调是新一代的IAM，因为IAM是比较老的体系，但它要适应新的IT基础设施，目前也发现很多企业在升级IAM，主要关键点有哪些点？一个是它要支撑所有数字实体，以前身份管理体系不会考虑微服务或者API接口，这些可能不在他的考虑范围之内。现在要支持这些，还有多方的认证协议，认证协议已经变得五花八门，而且各种生物识别技术、协议支持要跟得上。还有常提到的原生安全，以及还有现在把身份管理变成一个云服务，需要兼容这些特征。以前我们身份管理更多依赖于AD、LDAP做身份数据的管理，现在大家都在用开源数据库做整个身份数据统一的管理。这都是现代IAM典型的特征，大家可以思考下在现有IAM体系中怎样做一些升级和提升。

第五是强身份的认证。这就是常说的双因素或多因素认证，其核心目的是把自然人和帐号建立强绑定关系。

第六是无边界的访问控制。现在的网络环境已经打破了原有互联网的边界、区域防护，原来特别严格的安全域划分，都是对于自由访问的，所以无边界的访问控制也是现在企业必须考虑的一个新方向。包括应用隐藏、单包授权和动态端口以及双向加密通信，通过无边界访问控制，实现外网应用隐藏，当攻击者找不到应用就很难对它造成攻击，防守效果明顯。

第七是严格的行为监控和审计。大家现在已经开始做行为建模，群体和单体的建模，之间做一些比较，做类似于UEBA的技术研究，尤其是建立不同权限用户的正常行为模型，去分析违规操作。用户行为实考虑的是正常人，但帐号体系包括信任体系建立以后，用户可能在内部做违规操作，这些全靠监控和审计系统进行用户行为分析。

第八是持续的动态授权。根据用户权限的变化要做一些授权的改变，这就要借助人工智能做一些权限动态的分配。基于用户行为的监控和审计分析，一旦发现有违规和异常操作，实时进行动态调整访问权限，及时阻断操作。

第九是资产之间的访问控制。数字实体之间访问怎么控制，一个是API网关，调用通过API网关对应用间访问和调用进行统一认证、授权和访问控制；还有微隔离技术，也是通过在容器上，包括在虚拟主机上做一些微隔离控制，实现东西向细粒度控制，这是目前各企业网络安全防护的短板。

最后，结合以上这些点完整构建了腾讯信任体系的架构和能力图谱。实际上，我们在一些场合也做了测试，包括在线上做了一个系统的基于能力图谱的评价，可以对基于能力图谱对现有信任体系做一个整体的自评估，看看自己在哪些领域、哪些部分现在做到什么程度，然后考虑未来整个网络信任体系如何去重构或者如何提升。