访谈嘉宾:茆正华
记者:张桂玲
分析师:徐晓丽
自2010年零信任被正式提出以来,经过十多年的发展和演进,零信任的理念和架构相对已经比较成熟,身份安全治理,作为零信任三大关键技术之一,也基本解决了从无到有的问题,但仍然没有完全达到其理念所倡导的那种“持续验证,永不信任”理想状态。原因在于,企业要做到持续的身份验证,必然会对其业务带来一定的影响,甚至会影响系统的性能,企业需要找到安全和性能的平衡点。
日前,安全牛采访了派拉软件产品总监茆正华,就数字化转型深入发展背景下,零信任身份安全治理的挑战与应对相关话题进行了探讨。在访谈过程中,茆正华始终强调“零信任架构下的身份安全治理,必须要从企业数字化业务发展出发,要能够解决实际业务中遇到的安全问题”。
茆正华:派拉软件产品总监、CZTP零信任专家、零信任产业标准工作组专家、中国产业互联网发展联盟成员。
20年信息安全行业经验,先后负责派拉软件身份安全产品、特权账号产品、零信任产品等研发工作;现负责公司IDaaS产品线及零信任三大组件中SIM的技术研究和架构设计工作。参与过多项身份安全、零信任等技术标准的制定和白皮书撰写,包括零信任国家标准、零信任产业标准工作组接口应用白皮书和身份接口白皮书等。
安全牛
“身份安全治理”被NIST定义为是零信任的三大关键技术之一,但行业似乎还没给出身份安全治理的标准定义
茆正华:
传统的IAM将身份认证作为一个独立服务,主要提供账号、认证、授权、审计功能,典型的是IAM。用户只要认证通过,登录进来了,用户控制权就交给业务系统,IAM就不再管了。
在零信任的应用中,Gartner对IAM功能进行了重新定义,要求从管理、保证、授权、分析维度对身份的整个生命周期进行管理,包括用户身份的注册、创建、转移及在各个应用系统中的权限控制。零信任也是利用IAM身份验证和权限控制的能力,对所有业务系统及身份、权限、数据的全生命周期进行治理。首先,SDP要采用身份定义边界。不管是客户端还是设备要进入零信任的网络,首先要有身份验证,通过身份验证你才能进来。其次,增强IAM,它不仅要有传统4A的能力,还要有持续认证的能力,包括能够对用户访问的所有会话进行用户行为分析。当用户访问后端资源时,不只是要做身份鉴别,还要对其行为进行鉴别,对更细粒度的权限进行鉴别。最后,关于MSG,我们看到Gartner将MSG改为身份定义微隔离(Identity-Based segmentation),注重用身份来鉴别服务与服务之间的访问以做到更加细粒度的访问控制能力。
核心能力是实时访问控制和细粒度的权限策略定义。但这部分其实在倡导零信任之前IAM就已经做过细粒度权限定义的模型,并有独立的权限控制组件(策略实施点PEP)和执行组件(策略决策点PDP),这与目前零信任架构的核心组件具有异曲同工的能力,主要包括:
(一)高性能、高稳定、高扩展性
零信任架构或者系统要对所有的访问设备以及服务进行验证,IAM要具备高性能、高稳定、高扩展的性能才能支撑零信任架构下的IAM增强要求。
(二)持续性、自动化、智能化分析
零信任系统中默认不信任,用户的每一次请求,每一次访问,都需要认证,信任评估要覆盖业务全生命周期;另外,零信任要跟云原生的应用集成在一起,相关的人、设备、应用、服务数量会几何倍增长,涉及上百万级或者上千万级用户身份的管理,需要有相应的智能化和自动化能力对资源或者访问做更加智能的权限分配和收回,并且能够对用户访问服务或者服务之间的访问行为进行分析,在行为当中发现风险并且能做到自适应。
安全牛
“持续信任评估和细粒度访问控制”是零信任的基本原则,该技术目前的发展水平如何,应用成熟度怎样?
茆正华:
持续信任评估方面,目前市场上的技术都相对保守。因为真正持续的信任评估,对IAM的性能要求非常高,甚至会导致部分业务性能下降。目前了解,还没有哪一个实践能够做到对所有访问的每一次请求包都进行持续信任评估。多数厂商采用的是:无风险短时间内无需重复验证的方式,即,如果用户本次被评估是受信任的,在未来一个短的时间内(比如30s或者50s)没有新的风险事件、设备或者服务的变化,可以同用之前的信任凭据。从成熟度的角度看,目前持续信任评估能力主要是解决了从无到有的问题。进一步持续评估能力的增强,还要通过新技术的探索来找一个安全和性能的平衡点。
细粒度访问控制方面,相对成熟的方案和架构目前主要集中于少数几个IAM厂商。因为,细粒度访问控制,重要的是做好权限定义和权限执行。这需要与客户实际业务深度耦合,并从实际应用中提炼出更多维度的权限模型,加上国内对权限、角色的控制更复杂、更灵活,仅靠RBAC、RBAC不能满足客户端实际场景应用的需求。这对于没有长时间投入IAM技术理论研究的厂商,或者做SDP、微隔离等没有太多 身份治理客户案例的零信任厂商,试图用一些开源技术做IAM产品基本上没有办法很好的实现细粒度权限控制。
安全牛
为更好的支撑零信任落地,身份安全治理技术目前还存在哪些不足和挑战?
茆正华:
首先,零信任的身份治理,从对人的管理转向了全域的身份治理,要解决真实的人或者物理世界中设备/服务在数字世界中对应身份的安全问题。传统IAM验证的实体主要是人,不管是企业雇员内部办公的EIAM还是C端的CIAM都是面向人的管理。但零信任中定义的主体不仅是人,还要管理客户端、网络、中间件、微服务、容器节点,这些身份的使用、认证、信任验证都各有不同的方法、不同的理论,这在技术结合业务的方面给厂商提出了更多挑战。
此外,零信任还要解决实时业务中的细粒度控制问题。传统的IAM只有允许访问或者不访问,类似大门级的访问控制。但零信任无论是权限控制还是身份治理,都要深入到业务系统中。这要求我们对企业本身的业务及整体的业务系统有所了解,了解实际的业务场景是什么样子,以及在不同的场景下各个节点需要做到什么粒度的控制。这从业务深度上对IAM提出了更高的要求。
这些挑战进一步要求身份安全治理不仅要实现技术一体化,还要实现业务一体化。目前行业、标准组织、协会针对一体化的零信任系统中各个业务系统如何更好地治理提出了一些标准和最佳实践,从接口标准化、场景化方面也在做细度权限控制方式和方法的探索。
安全牛
企业数据中心、私有云、公有云、混合云场景下的身份安全在治理上有哪些典型不同,并给一些目前做好身份安全治理的建议?
茆正华:
大型企业目前多数还是会使用数据中心或私有云,这些场景仍然会以采用传统IAM进行身份治理为主。因为这些网络相对封闭,多数访问属于企业网络内部访问,使用大门级的访问控制基本可以满足企业业务应用场景的需求;对于部分用户或者设备需要从外网访问进来,采用SDP+IAM的模式也可以解决。这种方案比较成熟,也是目前大型企业的通用方案。
但在公有云、混合云场景下,网络设施由公有云提供商管理,甚至企业为自己的服务购买的两个虚机之间的网络通信,也完全由云提供商控制,租户不知道自己的网络入口和网络边界在什么地方。这种场景下,需要采用零信任架构,基于细粒度访问权限在工作负载、服务与服务之间进行访问控制。它使企业可以不依赖于公有云或私有云的实际网络,仅从业务和身份上对数据进行身份管理和控制,就可以满足公有云或者混合云环境的安全治理需求。
在公有云或混合云场景下做好身份治理,要从以下几个方面着手:
首先,要对不同网络下的资源和数据按照业务和敏感度进行分级分类。比如,哪些对安全性要求较高性能可以降低一些,哪些对性能要求更高安全性可以低一些。通过分级的方式,使安全管理者对工作目标也有一个明确定义。
其次,从业务层面做到权限最小化,把企业内部的权限梳理好,不能过度分配权限。为后续升级或者采用新架构打好基础。
第三,通过统一身份认证或者单点登录的方式把现有业务系统统一纳管起来。有了统一入口可以为下一步实施零信任或者更细粒度的身份治理打好基础;否则,在数据或者权限非常乱的情况下,实施零信任架构或者身份安全治理会有很大挑战。
第四,也是比较重要的一点,是人员的安全教育。整个组织的安全离不开所有人的贡献,不能依靠某一个产品或者某一个部门解决所有安全问题。要通过流程或者任务对实际用户、开发人员、运维人员进行安全教育,将“安全共责”的思想深入人心。
安全牛
一体化零信任方案的落地是行业比较关心的问题之一,从落地及运营的角度谈一谈混合云环境下,企业怎样可以更好地实现一体化的零信任安全建设?
茆正华:
随着数字化转型,企业的业务系统越来越庞杂,像五、六百人的企业,一般都会有十几、二十多个业务系统,类型上有商业的、自研的、开源的或者买的完全SaaS化的系统,有的部署在机房有的在云端。这种环境下,业务逻辑呈网状业务入口更加开放,安全管理的挑战也更大,并且这种多云和混合环境未来会长期存在。分布的混合云环境下,没有办法每个SaaS系统都分别建一套身份管理系统,加上零信任细粒度管控与业务系统天然不可分割的特性,一体化的零信任安全建设将会成为零信任发展的一个趋势。
一体化的零信任建设中,可以考虑用IDaaS和IAM协同治理的方式解决多云或者混合云环境下的身份治理问题。通过IDaaS和IAM之间的身份互信,保证用户无论处于何种网络环境下,都不需要知道业务系统到底在什么地方,完全交给可以协同身份治理的平台实现快速、平滑、安全的访问。
其次,零信任安全建设要场景化,基于每个实际的业务场景,打造该场景下业务闭环的零信任系统。它包括该场景下相关的人、设备、流程及安全控制策略,比如,业-财-管一体化方案、数字化员工方案、数字化营销方案以及数字化隐私合规场景的方案等。然后通过单个场景化的一体化方案逐步扩展到整体的一体化。零信任安全一定要从业务出发解决业务问题。
安全牛
为更广泛地满足零信任时代的安全建设需求,从演进的视角谈一谈身份安全治理未来将会有哪些发展趋势?
茆正华:
技术方面,未来会在持续化、自动化和智能化分析方面将会有更深入的探索。目前虽然业界在零信任的持续化、自动化或者智能化分析方面已经有了一些实践或落地,但是还存在很多问题,这方面还要引入一些新的技术或者新的理念。
应用场景上,与身份安全治理发展趋势有较大关系的,一是基于区块链的个人身份自主