“刪庫(kù)”事件過(guò)去了，微盟原計(jì)劃28號(hào)恢復(fù)商家服務(wù)，這事兒就算漸漸淡出了人們的視野，如今又好巧不巧被創(chuàng)始人的魔幻輿論推得一浪更比一浪高。

觀眾吃瓜一時(shí)爽，企業(yè)也紛紛順著熱點(diǎn)蹭上來(lái)，踩著別人的錯(cuò)誤往上爬，還能花樣踢腿加劈叉。整個(gè)安全圈一片喜氣洋洋。

實(shí)際上大家彼此心知肚明，這次事件只需要最簡(jiǎn)單的雙人復(fù)核就能避免，多一次打擾，少虧12億。那么為什么最初級(jí)的操作也做不到呢?

一、原因分析篇

有人指出這次“刪庫(kù)”原因是微盟沒(méi)有使用堡壘機(jī)，僅僅如此嗎?

愛(ài)因斯坦說(shuō)，問(wèn)題往往不會(huì)在它發(fā)生的那個(gè)層面得到解決。

現(xiàn)在很多互聯(lián)網(wǎng)公司對(duì)自己的技術(shù)非常有信心，為了節(jié)省成本，會(huì)選擇基于開(kāi)源軟件自主研發(fā)安全產(chǎn)品。但在設(shè)計(jì)產(chǎn)品和管理產(chǎn)品的過(guò)程中，難免缺乏專業(yè)經(jīng)驗(yàn)。

專業(yè)的人做專業(yè)的事。脫離錢(qián)去談安全，就有可能丟了**還套不著狼。

“刪庫(kù)”這么狗血的事情已經(jīng)在歷史上重演很多次了，有蓄意破壞的，也有失手誤刪的，歸根結(jié)底，都是人的因素。當(dāng)你大門(mén)敞開(kāi)，這庫(kù)就遲早要?jiǎng)h，即便現(xiàn)在沒(méi)有動(dòng)機(jī)，也不能保證沒(méi)有手誤的可能。

人永遠(yuǎn)存在犯錯(cuò)的可能性，而安全又是一個(gè)神奇的四兩撥千斤的問(wèn)題，任何一點(diǎn)小錯(cuò)誤都有發(fā)展成大規(guī)模破壞的潛力。因此運(yùn)維安全的第一步，就是對(duì)“人”的權(quán)限管控。

構(gòu)建成熟的權(quán)限管控體系，才能最小化排除人的不穩(wěn)定因素。

二、整體方案篇

數(shù)據(jù)中心內(nèi)的運(yùn)維安全體系分為身份驗(yàn)證，授權(quán)，訪問(wèn)控制，審計(jì)和主機(jī)防護(hù)5個(gè)方面，而其中的授權(quán)+訪問(wèn)控制實(shí)現(xiàn)權(quán)限管控。從字面意義上理解：授權(quán)就是授予相應(yīng)的人相應(yīng)的權(quán)限(人+賬號(hào)+資產(chǎn))，訪問(wèn)控制就是在人在獲得權(quán)限之后允許做哪些事情不允許做哪些事情(時(shí)間+地點(diǎn)+操作)。二者本質(zhì)上是一個(gè)授予和執(zhí)行的關(guān)系。

1. 授權(quán)-修橋鋪路

在數(shù)據(jù)中心內(nèi)，根據(jù)業(yè)務(wù)場(chǎng)景的不同有三種授權(quán)通道：工單申請(qǐng)、動(dòng)態(tài)授權(quán)、靜態(tài)授權(quán)。

(1) 工單授權(quán)

操作人員根據(jù)每天需要處理的事務(wù)向部門(mén)領(lǐng)導(dǎo)提交工單申請(qǐng)，包括：服務(wù)器IP、賬號(hào)、運(yùn)維事項(xiàng)、時(shí)間范圍等，領(lǐng)導(dǎo)審批后操作人員才可在堡壘機(jī)中查看到申請(qǐng)的訪問(wèn)權(quán)限。

• 優(yōu)點(diǎn)：按需供給，通過(guò)流程嚴(yán)格控制訪問(wèn)權(quán)限。
• 缺點(diǎn)：需要緊急處理事務(wù)時(shí)，流程審批耗時(shí)會(huì)耽誤處理時(shí)機(jī)。

(2) 靜態(tài)授權(quán)

對(duì)于人員固定，訪問(wèn)目標(biāo)固定且低風(fēng)險(xiǎn)的訪問(wèn)權(quán)限可以使用靜態(tài)授權(quán)，如：張三每周一至周五早上9點(diǎn)到10點(diǎn)之間都需要對(duì)備份機(jī)做巡檢，巡檢用到的賬號(hào)是一個(gè)只讀的低權(quán)賬號(hào)。

在執(zhí)行授權(quán)的過(guò)程中，通常會(huì)伴隨常規(guī)策略設(shè)置，定義基礎(chǔ)權(quán)限，主要包括人、賬號(hào)、資產(chǎn)，偶爾也會(huì)涉及到事件、地點(diǎn)、操作等策略配置。

• 優(yōu)點(diǎn)：權(quán)限管控粒度細(xì)
• 缺點(diǎn)：配置過(guò)程相對(duì)復(fù)雜且難調(diào)整

(3) 動(dòng)態(tài)授權(quán)

相對(duì)于靜態(tài)授權(quán)的條目多，配置復(fù)雜，動(dòng)態(tài)授權(quán)提供了一種按屬性，按標(biāo)簽的更便捷的配置方式。例如：按用戶部門(mén)(系統(tǒng)，數(shù)據(jù)庫(kù)，網(wǎng)絡(luò))，角色(管理員，值班員)，設(shè)備類型(主機(jī)，數(shù)據(jù)庫(kù)，中間件)，業(yè)務(wù)系統(tǒng)(網(wǎng)銀，手機(jī)銀行)等，根據(jù)標(biāo)記自動(dòng)生成訪問(wèn)權(quán)限，實(shí)現(xiàn)動(dòng)態(tài)授權(quán)。

• 優(yōu)點(diǎn)：配置靈活，組合條件多
• 缺點(diǎn)：權(quán)限查看和搜索比較麻煩

2. 訪問(wèn)控制-分道限速

授權(quán)階段足以滿足登陸訪問(wèn)的基礎(chǔ)需求了，然而不足以將“人”的風(fēng)險(xiǎn)降至最低。訪問(wèn)控制則是對(duì)“人的行為”進(jìn)行風(fēng)險(xiǎn)控制的強(qiáng)力補(bǔ)充。

通過(guò)時(shí)間策略、源地址策略、操作規(guī)則的進(jìn)一步設(shè)置，連同人、賬號(hào)、資產(chǎn)的基礎(chǔ)權(quán)限，形成六維細(xì)粒度權(quán)限管控體系，實(shí)現(xiàn)權(quán)限最小化管理。

• 時(shí)間條件：按時(shí)間維度縮小權(quán)限范圍，比如：2020年1月1日9:00 -10：00，每周一至周五00:00-02:00
• 源地址條件：按IP地址為度縮小權(quán)限范圍，比如：只允許在192.168.1.10-20地址范圍訪問(wèn)
• 操作條件：按指令，剪貼板上下行，磁盤(pán)映射，文件傳輸上下行等縮小權(quán)限范圍，比如：不允許支持rm -rf *，只允許文件上傳不允許下載
• 控制動(dòng)作：當(dāng)觸發(fā)以上規(guī)則時(shí)系統(tǒng)執(zhí)行相應(yīng)的動(dòng)作，比如：不阻斷但發(fā)郵件報(bào)警，阻斷并發(fā)syslog，等待管理員審批等。

目前常見(jiàn)的幾種權(quán)限管控包括：ACL(基于黑白名單)【1】、RBAC(基于角色)【2】、ABAC(基于屬性)【3】，在不同的業(yè)務(wù)場(chǎng)景下，適配不同的技術(shù)手段。

三、結(jié)語(yǔ)

不得不承認(rèn)，權(quán)限管控是一件干起來(lái)十分吃力又不討好的事情，安全本身看不見(jiàn)效果。即便是比較好的自動(dòng)化平臺(tái)，至少也需要人來(lái)審批。從前期準(zhǔn)備到后期運(yùn)用，很容易形成成本升高、效率卻降低的局面。

的確，樹(shù)上的果子摘下來(lái)就能吃，何必要洗一遍呢?

但最近這個(gè)世界在告誡我們，你不知道那個(gè)果子有沒(méi)有被果蝠碰過(guò)。

愿大家身體健康，也愿行業(yè)更健康。

Reference：

• 【1】ACL(Access Control List)訪問(wèn)控制表，基于白名單和黑名單提供決策依據(jù)，其中，白名單用于允許，黑名單用于拒絕。通過(guò)訪問(wèn)控制模塊，對(duì)數(shù)據(jù)進(jìn)行匹配，命中則執(zhí)行設(shè)定的動(dòng)作。比較常見(jiàn)的場(chǎng)景：傳統(tǒng)防火墻策略。
• 【2】RBAC(Role-BasedAccess Control)基于角色的訪問(wèn)控制，常見(jiàn)于軟件管理系統(tǒng)的用戶分權(quán)。與ACL中一一對(duì)應(yīng)的授權(quán)執(zhí)行關(guān)系不同，RBAC引入了角色(role)，與操作權(quán)限和資源權(quán)限相關(guān)聯(lián)，適合在操作權(quán)限和資源權(quán)限控制簡(jiǎn)單，且相對(duì)固化，但人員變更頻繁的場(chǎng)景下使用。比較常見(jiàn)的場(chǎng)景：數(shù)據(jù)庫(kù)的用戶角色(role)管理。
• 【3】ABAC(Attribute-BasedAccess Control)基于屬性的訪問(wèn)控制，常見(jiàn)于分布式業(yè)務(wù)場(chǎng)景的用戶分權(quán)。ABAC是一種貼近自然語(yǔ)言的權(quán)限控制模型，抽取異構(gòu)場(chǎng)景的共性屬性，用屬性的自然組合來(lái)解決權(quán)限控制問(wèn)題。針對(duì)復(fù)雜、分布式、動(dòng)態(tài)、細(xì)粒度的權(quán)限管控要求，ABAC擁有難以取代的優(yōu)勢(shì)。