首页 新闻 技术 数据中心 云计算 大数据 互联网 研究报告 机房地图 IDC探营 企业名录 IDC大会 资讯大全 专题 专栏 图片

当前位置: 首页 > 新闻资讯 > 国内资讯

完美世界 何艺:重建企业内部安全边界

2016-12-28 14:34  中国IDC圈  

核心提示: 会上,完美世界信息安全事业部 总监何艺 出席IDC服务大会并为当天的安全运维分论坛做《重建企业内部安全边界》主题演讲。

中国IDC圈12月28日报道,12月20-22日,第十一届中国IDC产业年度大典(IDCC2016)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会,之前已成功举办过十届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上,完美世界信息安全事业部 总监何艺 出席IDC服务大会并为当天的安全运维分论坛做《重建企业内部安全边界》主题演讲。

何艺3

完美世界信息安全事业部总监 何艺

以下是演讲实录:

随着前几年从外部安全,到最近几年的业务安全、风控。对于传统企业内网安全的关注点少之又少,但是这一块也是企业内部的核心,今天我会围绕这一块讲一下我们公司是如何去做的。

我可以简单先自我介绍一下,下面我列了两个工作经历,我是2004年去CNCERT做安全工作,2011年去的完美世界,两份工作时间都比较长,很少跳槽。这里面有好有坏,相对好处的话,我对公司的安全问题了解的会更加深入,知道一些痛点,也会知道在安全场合里推进安全方案可能会遇到的障碍,包括公司对安全产品的考虑,这种体验会更多一点。我个人关注的重点在于企业的安全管理、安全产品、架构设计、安全攻防,这是我关注比较大的领域。

今天的主题是围绕企业内网,这几点也是围绕这个制定的。首先是企业内网会遇到的安全问题。第二在2015年谷歌CORP项目引起了当时比较大的轰动,我会说一下给我们带来的启发,以及借鉴它的方法运用到企业中。第三个就是企业内网的架构设计,这个架构有些部分是来自于以前的传统架构,有些是我们整合谷歌的想法。第四未来我们会在这块怎么去做。

这是我找一个气象站点,用内网漫游这四个关键字查了一下,因为数据不全,它只有到2014年的数据,但是基本上出来四万多条,也说内网漫游这个事情很多公司都经历过,包括我们也经历过,我们曾经也被漫游过,这个问题还是比较普遍的痛点。

针对这些数据我又做了分类,把里面入侵的原因做了一下统计。大家可以看到最多的几项,一个是命令执行,一个是系统/服务器运维配置不当,一个是服务器弱口令,包括我们也出现一档事情,机器出现问题之后,因为在上面保存了一些口令的记录,这些记录在很多服务器是通用的,一旦出了问题很容易被漫游。在企业生存中也是大家优先考虑的最重要的数据。一个是账户体系控制不严以及后台弱口令,我们可以天天看到口令的包泡。还有未授权访问/权限绕过,会有大量的人在里面去爬虫、去搜索,搜索完之后会把信息摘出来做渗透。剩下的一些小的就不一一说明了。

但是总结去看,基本上离不开这几点,一个是安全漏洞、不安全的配置、弱口令、帐号问题、访问控制,访问控制在内网渗透,通过外网方式拿到服务器权限,但是因为防控不严,你会通过这台机器跳到公司的核心资料里,甚至会把资料的一些权限拿走。

把这些问题精简了一下,就是企业面临最大的问题方面,漏洞、口令、权限。权限除了应用企系统权限还有网络权限,网络权限很容易被渗透进去。

最常见的解决方案会有这些,我们随便列了一下,比如像安全管理制度,这个在事业单位和金融单位做的最多,包括像中国的人保,大家会通过制度方式去约束,制度方式有一个核心的要点就是强调人是安全的漏洞产生的源头,它的想法就是把人控制好,安全就会控制好。防火墙隔离是很平常的。还有安全加固,系统上去加固,然后把安全配置做好。后面还有包括监控审计,用大数据的方式做分析做告警,以及现在比较热的渗透测试。但这些东西最终会考虑两个点,一个是它的成本,还有它的效果。像安全管理制度,虽然大家都说人是安全的一切来源,但是真正去实施,你会发现成本很高,你会定很多制度,但是制度是不是真的能够落实下去,包括我之前跟一些同行去聊,大家反馈的结果,很多制度很难去落实,很难去约束他。防火墙隔离也是,就是业务方会提出各种各样的申请,但是当业务下线的时候,这个资源很难被回收,通过防火墙的方式是希望建造一个边界,随着时间的增加,这个边界会千疮百孔。业务随着时间的推移也忘了这个规则是有效还是无效的。渗透方式,因为涉及到成本,你很难覆盖到每一次更新,或者是不是保证每一次渗透都是完整的。这里面的问题就是要付出很高的成本做这个事情。

包括我们公司也都会用到一些方法,但是总的来说,它还是会有一些弊端在里面。我们在2015年的时候看到这样一个新闻,就是谷歌决定不再区分内外网,这篇文章当时还挺火的,我们搞安全的人基本上都在转,不搞安全的人也在转,甚至当时我们CEO还特地把这个新闻转给我,意思就是说谷歌不区分内外网,大大提高了效率,我们是不是也可以做。当时我看到这篇文章,我把他们以前在一次论坛里面演讲的视频找出来看了看,包括我现在的老板也是从谷歌里面过来的,我也从他的使用角度做分析。总体来说,谷歌这套方案还是给我们带来些启发。一个是这套方案解决了信任文化,安全的本质在于信任,做安全能不能解决信任问题,无论是你去做峰会,或者说传统的招聘,它要解决的问题是我怎么知道登录这个系统的人你就是你,怎么证明你就是你这个问题,虽然我们现在会通过一些方式,但是这个问题得不到基础,信任后面的很多机制很难推动下去。谷歌是把这种信任关系往前面做了一步,它并不是说局限于以前的通过口令来去做信任,它是把信任关系做到设备上面去。因为谷歌所有的设备上面都有加明信片,然后再通过证书,可以做到一点所有的设备接入进来是所信任的设备。

再下一步,它把人的弱口令问题解决掉,所有的登录都通过APP,这样就解决了帐号口令弱口令的问题。这是信任这块,它的信任机制是不限制任何人,它只限制设备,只限制它所发出来的证书的OPP,它通过这个来把信任的关系往前做了一步。

第二个就是边界的控制。这几年大家都在说边界的概念越来越淡,因为像自己自带一些设备,包括一些移动的应用,边界防控已经不存在了。包括这篇文章当时也是说谷歌把传统的防火墙都废弃掉,但是仔细分析它的方案你会发现,它并不是废弃边界,而是而是强化了边界,它把所有的入口集中到这个地方,它的边界不但没有给淡化掉,反而是加强。

我们后来也看了一下,觉得这个解决方案里面有一些东西我们已经具备了,整个方案并不是不可复制的。针对这方面我们也自己做也了一些尝试,这是我们内网系统的架构,我们主要解决了这么几个问题。第一就是统一的身份管理,因为做企业安全,尤其是公司规模比较大的企业,会发现一个问题,会有很多系统,然后每个系统都会有自己的管理人员,都会有自己的帐号,这里面会导致的一个问题,就是人员一旦离职、转岗,他的帐号权限不会被删除掉,这里面导致的问题就是人走了,帐号还在。包括我们这里曾经出现一个管理事件也是,这个人已经离职了,但是他有这个系统管理员的最高权限,这个帐号并没有被关掉。用这套方案可以解决把身份人群统一起来,人员的生命周期可以被积存下来,从入职到离职、转岗,它的帐号权限被统一管理起来。

第二是多因素认证,我们公司的人会下载我们研发的网络硬盘,上一次就会产生一次密码,这样的话就可以把一些入口的问题解决掉。

第三是强边界隔离,我们把所有的应用都放到反向代理的后面,这样一个好处就是当你要访问后面的业务应用,你必须要经过反问代理来进行控制,这时候它会把你强制切换到反向代理的登录,只有登录之后才会看到后面的页面,登录的过程要输入你的密码。我们还用到了证书方式,不单是要你的一次一式的口令,还要有你的证书。就类似于你在支付宝上面做支付,它原来的策略就是要求你下载数字证书,电脑才能进行支付,我们也是类似的做法,但是我们做的是把核心应用设置成需要读里面的证书才能打开页面。未来我们考虑把这块放置在前面去做,而不是做到应用里面去。

第四是减少攻击面,我们的入口分三大块,一个是从外网,VPN是进入企业内网的唯一通道,进去之后如果要访问应用,外部端会被在反向代理里控制,反向代理会绑定单点登录系统。财会就是管理,我们是把服务器全部放在跳板机后面。通过这三个点,传统的攻击面会被有效地控制住。涉及像一些数据库,他们要去访问数据库的应用,这块我们还没有做,但未来也会考虑用一些反向代理的方式做更强的认证。

系统的模块功能说明是这样一个逻辑。前面蓝色这块做入口,这入口有三个点,黄色的部分就是业务应用,包括服务器。绿色的这块是后台服务,主要分为认证服务器还有访问控制系统,访问控制管两个地方,一个是应用的权限,还有一个是服务器的网络权限分配。用户数据库这块是所有信息都会存放,包括帐号运用哪些权限会放在这里管理。资产系统和防火墙是辅助系统,我们会通过资产管理系统获取用户的访问信息。

架构实现主要的模块和系统是四大类。单点这块,最早是商业系统,但商业系统比较坑,不销售了,也没有售后支持,服务链全部都断了,所以我们在做迁移到开元里面去。包括辅助系统、权限管理系统、认证系统都是我们自研的。

使用过程中会遇到哪些风险,我们把全部系统集中之后会带来一个最大问题是单点风险,但单点风险可以通过LVS来分散掉。第二个是帐号整合的时候,因为要把各个系统的权限和帐号管理集中在一起,这会出现帐号冲突这类问题,这块的整个风险也会有。还有业务介入,如果是自己开发的业务还好,但是里面会有一些商业系统,帐号系统登录是写死的,没有办法去改代码,要考虑怎么跟它的系统进行整合。还有流程重建,把这些东西集中到一起方便用户去问,比如用户需要哪些权限,你怎么能够很快地开通。最后是用户习惯,这里要考虑到怎么方便用户去用,这样推广的成本才能降低下来。

下一步我们做的事情有这么几个。第一个是多认证方式,未来我们可能会把扫描推送登录,这种方便用户使用的方式做进去,这是为了提高用户的使用成本,让用户更好地接受这套系统。另外是WAF的接入,这一块是天然的WAF防护入口,这个WAF可以保护公司后面所有的应用,这个成本还是蛮低的,收益会非常高,而且在企业内网一旦有攻击的行为比较好溯源。后面是SOC,未来我们会把SOC接进去,有一个好处用户在公司内部所有的行为是可以知道的,知道之后就可以鉴定规则,他只能访问哪些系统的权限,他有没有访问不该访问的系统,或者尝试不该访问的服务,这种情况下你可以做规则,来快速地识别出到底这个人是被黑了,还是他是自己想做内部的破坏,还是说是个无意识的行为,这样你的安全控制能力会进一步加强。

这套系统并不能解决内网所有的安全问题,但是它带来一个最大的好处是把安全的成本降的比较低,因为所有的入口集中起来,所有的帐号全部管理起来,你的口令和密码会慢慢淘汰掉,这样安全所遭受攻击的面,或者你所面对的风险和你的防护能力,随着你后面上WAF的东西,你的成本会被控制住。等于你把一个一个安全问题点集中到一个地方,你在这上面投入产出的效果就会更高,谢谢。



为了解各类群体对《中国IDC圈网站》的服务需求,为网站改版提供参考,我们特开展此次调查活动。您的宝贵意见将有助于中国IDC圈的建设与发展。为了答谢用户,我们将从参与调查的用户中抽出10名幸运网友,赠送50元话费充值卡。 参与调查》》

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
 

推荐专题 更多

热点图集 更多