[[315595]]

 阿里妹導讀：身份認證安全的 AI 化，是未來的一個大的趨勢。相信很多安全從業(yè)人員對最近兩年IDaaS在業(yè)界的興起都耳熟能詳。它是Gartner中區(qū)別傳統(tǒng)IAM產(chǎn)品的一個定義，全稱是IDentity as a Service，主要是指云化的身份認證服務。今天，我們就來聊聊身份認證安全如何為遠程辦公抗疫保駕護航。

行業(yè)趨勢

本次2019-nCoV病毒的爆發(fā)，加速了辦公上云和移動的演變過程。無數(shù)企業(yè)今年的開工都轉(zhuǎn)到了線上，幾萬人的直播，這種臨時性的波峰需求能良好的適配非云莫屬。這場突如其來的變故，也催熟了移動辦公的需求。員工都在家里，通過自己的移動設備來參與工作。

傳統(tǒng)企業(yè)遠程辦公

即使沒有這些，IDaaS專注的密碼技術的安全挑戰(zhàn)在過去也是與日俱增的。如果說通過對稱算法的賬戶密碼方式容易被撞庫，今天，即使用非對稱技術生成的短期令牌，也仍然受到了挑戰(zhàn)。通過發(fā)一個釣魚的宏文件，或是一張有惡意腳本的圖片，都可以竊取你的會話憑證的，無論它有多少個字節(jié)長。企業(yè)能做的，就是啟用更復雜的安全策略，但是在用戶體驗上，又帶來了更多的詬病。

如上所述，企業(yè)很快發(fā)現(xiàn)更細粒度的去驗證用戶看起來并不可行。未來，通過引入AI技術，對所有對內(nèi)和對外的業(yè)務系統(tǒng)的訪問進行全面分析計算，動態(tài)檢查和更新現(xiàn)有的安全策略，然后利用適當?shù)淖詣影踩刂?，通過后臺來決定是否允許對核心系統(tǒng)的訪問，會大行其道。所有這些努力都是既安全又不會讓用戶煩惱。

AI技術發(fā)展到今天，除了BostonDynamic那個機器人的驚艷后空翻，在這次抗疫過程中也是大顯身手。盡管機場車站人來人往，但是測溫設備已經(jīng)能快速甄別出發(fā)熱人員。

人工vs自動

ESG年度研究報告指出，2020年安全性投資的前4個重點領域排在首位的是：使用AI/ML進行威脅檢測的人工智能網(wǎng)絡安全技術(32%)。原因很簡單，未來的數(shù)據(jù)是海量的，靠人工去篩選，效率是個大問題。如果不能及時捕獲異常，就不能及時響應。

國際趨勢

零信任自谷歌推出“BeyondCorp”后，圍繞身份認證交付的零信任安全架構(gòu)，開始得到業(yè)界的普遍認可。

谷歌的BeyondCorp

這個模型的最大益處，就是把過去IT的一些最佳實踐上升到一個理論的高度，特別強調(diào)了人和設備的相互認證。有了理論指導實踐，很多問題都迎刃而解。比如，正向代理和反向代理IAP(Identity Aware Proxy， 上圖中的Access Proxy位置所示)在過去20年中被廣泛的采用，今天的演進要求是它要和身份認證授權互動起來。同時因為有了這層代理，可以記錄所有的請求/返回內(nèi)容，不僅僅是相對簡單的系統(tǒng)日志。它們可以作為后期大腦控制中心ACE(Access Control Engine)的感知輸入，作為機器學習的數(shù)據(jù)基礎。

如果還不能理解，那么聯(lián)系到最近爆發(fā)的疫情，看看各個小區(qū)路段是如何做到管控身份的就知道了。這時候，能被放行的只有小區(qū)的業(yè)主和相關人員，不僅僅是體溫正常的，你還要有本區(qū)的戶口本，或身份證等等。同時，所有的進出都要登記上報，作為調(diào)研和管控的依據(jù)。

除了谷歌，國際的其它大廠也在快速跟上。2019年，傳統(tǒng)的網(wǎng)絡和企業(yè)安全廠商思科高達20多億美金收購了認證初創(chuàng)公司Duo Security。通過并購將身份認證集成到思科的安全互聯(lián)網(wǎng)網(wǎng)關SAG，云訪問安全代理CASB，企業(yè)移動管理MDM以及其它基于混合云的產(chǎn)品陣容中。

國內(nèi)趨勢

2019年，國內(nèi)的安全廠商也從自己擅長的技術點紛紛切入零信任安全。一撥是傳統(tǒng)的VPN廠商提供軟件定義邊界SDP產(chǎn)品，減少互聯(lián)網(wǎng)暴露面作為賣點的。值得一提的是，離開了身份為核心的零信任安全是不完整的。身份和邊界必須充分結(jié)合起來才是完整的零信任，不能盲人摸象。

本次抗疫暴露了不少問題，一方面，形勢需要，另一方面，倉促上陣。很多企業(yè)，還停留在傳統(tǒng)的VPN遠程辦公上。它能滿足領導和運維人員已經(jīng)很好了，上萬人開視頻會議肯定掛。某國內(nèi)頂級銀行，對基礎設施投資數(shù)億每年，但是面對目前海量的在家辦公需求，還是卡頓，不得不尋求新的解決方案。

可以預見的是，疫情對行業(yè)的影響也將是深遠的。遠程辦公，在線教育都會成為熱點。IT圈子對圍繞身份認證授權的零信任網(wǎng)絡也會有更高的熱情。但是，羅馬不是一天建成的。谷歌自2013年開始，前后花了6年推出了BeyondCorp，企業(yè)是不可能在一夜之間將原有的體系推倒，從零搭建零信任體系的。更務實的做法是盡早開始嘗試，哪怕一開始是簡單的模型，社會事件和安全事件都是很好的推手，加速產(chǎn)業(yè)成熟。

零信任技術

毫無疑問，零信任是復雜的，有10多個不同的組件協(xié)同，包括控制中心ACE，接入網(wǎng)關IAP，認證中心IDaaS等。其中作為認證中心的IDaaS覆蓋了單點登錄SSO，接入?yún)f(xié)議Radius，和用戶管理UD，是整個方案的核心。

控制中心

整個零信任中，控制中心是大腦，是骨干。

首先，大腦是有學習能力的。傳統(tǒng)的防火墻安全策略，都是采用預定義規(guī)則的方法，主要是管理員按經(jīng)驗來設置，使用繁瑣，效果也較差。例如，周一早上9:00是一個開會簽到的高峰，一個一萬人的企業(yè)，到底峰值是一萬次/秒，還是1千次/秒?即使通過觀察設定好了該時間點的上限，11:00又是一個什么樣的數(shù)字?通過日志的機器學習，可以很容易的得出這個規(guī)律。

其次，大腦是有判斷能力的。因為引入了IAP，能做到真正的全棧日志審計。用戶的每次請求都會被記錄，如果和交換機，路由器，防火墻，準入等日志結(jié)合起來，可以做到持續(xù)自適應風險與信任評估CARTA，更好的對用戶的行為進行畫像溯源。

認證中心

零信任有很多可以做的控制點，認證中心是最佳的切入點。

同社會一樣，網(wǎng)絡是由復雜的個體組成，而其中的屬性就非常重要。通常，我們對個體的標識可以是一個身份證。通過社會的聯(lián)防聯(lián)控，更多屬性都是可以附加在一個身份上的。畢竟，檢查體溫等這種淺層次的屬性是容易獲取的，但是肺CT，核酸等就不容易啦。安全中對身份的鑒別一直是一個重點。

接入中心

接入中心是控制流量通斷的閘門。

控制中心作為大腦雖然很厲害，它的判斷也是來自于各個器官。如果沒有望聞問切等各種反饋，那么大腦也是聾子和瞎子。有了接入中心和控制中心聯(lián)動，體系才能更加的智能。比如一個口罩，它可以阻攔95%的大小顆粒就足夠好了，再高要求是99%就很勉強，做到100%是非常昂貴的。接入中心一個剛需的能力是更好的解析TCP協(xié)議，比如這是一個WEB流量，視頻流量，還是一個病毒的廣播請求，快速識別有助于系統(tǒng)作出快速響應。

綜上所述，控制中心，認證中心，接入中心，是要做好零信任安全架構(gòu)的三個核心組件。

IDaaS解決方案

以IDaaS(統(tǒng)一身份認證服務)為核心，阿里云云盾提供的零信任安全解決方案基本完整，類似谷歌的BeyondCorp簡化版本。通過Agent終端管控，SPG(Service Provide Gateway)應用接入，和IDaaS身份認證齊頭并進，可以提供靈活的組合方案從而滿足企業(yè)的要求。

公有云部署

如上圖，公有方式IDaaS和SPG部署在阿里云上，通過VPN隧道，可以接入到企業(yè)的內(nèi)網(wǎng)。這樣，在防火墻上只需要配置SPG一個入口IP的ACL規(guī)則，從而確保所有能進入企業(yè)內(nèi)網(wǎng)的流量，都是經(jīng)過阿里云WAF、IPS等清洗過的。

身份認證

阿里云云盾的IDaaS主要用來保護應用身份安全。

為什么說它很重要呢? 道高一尺，魔高一丈?，F(xiàn)在的很多攻擊，都是混雜在正常的流量中的。如果發(fā)現(xiàn)系統(tǒng)受到攻擊，就去阻斷，勢必會造成錯殺，影響正常業(yè)務。這是為什么我們強調(diào)自適應認證(Adaptive Authentication )的原因。為了在整個體系中更好的去偽存真，避免錯殺，身份復核是最好的方式。最常見的方法是IDaaS中的AI模塊檢測到IP，位置，時間等異常行為組合，判斷為危險，會殺掉現(xiàn)有會話，彈出一個OTP二次認證的界面，通過后才可以繼續(xù)，否則會被阻斷。

IDaaS將零信任中的控制中心，認證中心合二為一，其用戶行為分析UEBA具備了大腦的AI識別和判斷能力。例如，通過用戶在過去一個月的同一個工作日的登錄行為，算出平均值，形成基線。然后，對用戶的認證請求作出風險打分，根據(jù)程度對管理員釘釘告警，觸發(fā)2FA雙因子認證，直至將IP加入黑名單作出阻斷。

UEBA的設置

正如在文章開頭提到的，面對海量的網(wǎng)絡吞吐流量，如同機場車站的滾滾人流，靠人工篩選的方案是行不通的。UEBA利用了阿里云多年積累的經(jīng)驗和算法，具備快速識別風險的能力。

登錄頻率算法

此外，IDaaS還整合了阿里的業(yè)務風控能力，包括用戶的注冊/登錄，從而確保用戶在第一次使用系統(tǒng)的時候，是安全可靠的。

應用代理

應用代理很好地解決了VPN帶寬不足，暴露面過大等缺點。

傳統(tǒng)的IPSecVPN一個大的問題是一旦竊取了身份，進入內(nèi)網(wǎng)后，可以進一步橫向訪問到更多脆弱的網(wǎng)絡設備和服務器，從而提權達到攻擊的目的。這個過程在信息泄露和護網(wǎng)過程已經(jīng)被反復重現(xiàn)了。

SPG產(chǎn)品扮演了IAP的角色，對所有的WEB和TCP請求進行攔截和判斷。實踐中，開放的端口越少越安全，最好是只有Https的443端口。幸運的是今天很多業(yè)務已經(jīng)前后分離B/S化了。由此，SPG有能力做到不開放更多端口的情況下(如RDP的3389)做到業(yè)務可用。因為具備每秒上萬并發(fā)的處理能力，可以將防火墻內(nèi)外的請求統(tǒng)統(tǒng)接入。用戶在辦公室和家里，流程無變化，體驗無變化。

終端管控

IDaaS中的終端代理(IdpAgent)，保證移動和PC終端接入的安全。

比如這次疫情，很多人是把臺式機留在了辦公室，這樣就不能正常工作了。但是想要工作不能停，利用家里的電腦BYOD顯然是一個好的出路。由此引發(fā)的終端管控問題也是一個大的挑戰(zhàn)。一臺家里的電腦，接入公司的網(wǎng)絡，是一個高危的事情。因為你不知道它上面是否有病毒和木馬。

借助多年實踐阿里郎的成功經(jīng)驗，終端代理運行時會檢查漏洞補丁，殺毒軟件等是否達到基線要求，符合的才能入網(wǎng)。通過MFA身份認證后，將用戶身份和設備指紋綁定，可以自動注冊自己的PC及手機作為信任設備。下一步，還可以通過下載客戶端證書，替代傳統(tǒng)的賬戶密碼，進一步減少釣魚和中間人攻擊的機會。

除了作為終端準入使用， 移動終端的APP還可以被用來作為OTP令牌的生成工具。未來，VPN，DLP等能力，甚至包括電話會議，都可以植入到終端管控軟件中。

釘釘整合

抗疫戰(zhàn)斗中，釘釘很好的扮演了在終端上作為應用門戶入口的角色。

這次在家遠程辦公的要求之高之急對很多的IT人是沒有心理準備的。釘釘連續(xù)兩天擴容1萬多臺服務器，就表明了受歡迎程度還是很高的。初期，對釘釘?shù)膽眠€是淺的，主要是直播會議等。未來，當釘釘真正成為辦公入口的時候，內(nèi)網(wǎng)應用開放給釘釘會帶來更大的安全挑戰(zhàn)。

釘釘遠程辦公方案

一個簡單的解決方案是通過IDaaS、SPG和釘釘進行整合，靈活的去適配更多應用場景。例如，用戶在釘釘上利用內(nèi)置瀏覽器打開一個辦公應用的時候，可以用兩種方式：

• 自動到IDaaS上通過STS利用釘釘?shù)纳矸萑Q取一個令牌id_token，然后利用這個令牌去穿過SPG的驗證要求;
• 直接利用釘釘提供的Code，在SPG上到釘釘云的后臺去交換一個Access Token，并穿過SPG的驗證;

如上，在方案2中，IDaaS是一個可選的組件，也就是說企業(yè)只要提供一個合法的用戶身份即可，可以是釘釘，也可以是原有的4A系統(tǒng)利舊。

除了公有釘釘，阿里還有專屬釘釘，確保重要的文件能夠本地存儲。專屬釘釘對應的解決方案類似，不再贅述。

其它部署方式

除了提供公有云能力，同時，云盾IDaaS提供了私有云部署模式，可以跑在客戶的敏捷PaaS上。IDaaS和SPG的私有云版本，可以部署在企業(yè)的防火墻后面，更好的滿足金融等用戶的合規(guī)監(jiān)管要求。

對那些既有公有云，又有私有云的用戶， 阿里還提供了混合云部署模式，從而滿足局部上云用戶的需求。

展望與總結(jié)

抗疫過程中，阿里巴巴集團秉承自身的To B基因，除了有全球采購物資等社會擔當，同時也展現(xiàn)了很多的技術能力。

真正的零信任安全構(gòu)建體系化，從端到云，需要全鏈路的保護。終端、接入、AI和云原生是阿里云的核心競爭力。云原生的核心優(yōu)勢在于云上架構(gòu)可以從IaaS、PaaS、SaaS自下而上構(gòu)建可信鏈條，第三方安全廠商是很難中間植入的。

除了IDaaS，云盾DDOS, WAF, SDDP，風控，實人，SSL證書等有用武之地，阿里巴巴集團的阿里郎，釘釘，RAM，VPN，SAG，達摩院的AI等等，未來都是整合出更豐富的安全解決方案的彈藥儲備。

最后，不管你樂意不樂意看見，以身份為邊界的零信任安全是大勢所趨。

疫情，讓這個春天云和移動的需求迎面撞來，對應的安全防護也越來越外延化。移動終端設備，公有云服務器，都挪到了企業(yè)傳統(tǒng)的安全邊界防火墻的外面，原來的雞蛋殼式安全模式被打破。如果說20年前的邊界主要是圍繞IP來構(gòu)建ACL，防火墻(包括NGFW)需求爆發(fā);10年前WEB2.0帶來了WAF的長足發(fā)展;那么，零信任也必將帶來IDaaS等以身份為新邊界的安全需求增長。而此類市場動向，會以重視安全的政府和金融用戶為先鋒驅(qū)動，讓我們拭目以待。