直播回顾 | 贝壳、快手、数篷共探零信任在企业中的落地实践 - 新鲜讯息

2010年，Forrester资深分析师John Kindervag提出了“零信任”理念，经过多年的发酵、实践，这一理念已经在业界得到广泛传播并有了应用基础。

过去，企业的IT基础架构简单明了，一条由防火墙等边界防护设备组成的“护城河”就能抵御外部攻击，但随着越来越多的企业进行数字化转型，更多关键资产以数据形态存储在互联网中，企业上云成为常态，数据的广泛流动和多地存储使得攻击面更为广泛……当下，护城河正在失去作用，而零信任，秉持“永不信任、永远验证”，正逐渐成为企业网络安全的“宠儿”。

10月12日14：00，「贝壳安全TIME」沙龙第一期线上直播——关于零信任的落地实践，受到了广泛关注。此次，贝壳找房安全研发工程师宇佰超、快手资深安全工程师孙大川、数篷科技首席架构师王柏达三位大咖齐聚，线上分享零信任技术及落地思路。

不小心错过了直播？核心要素帮你整理好了~

贝壳实践：零信任是思想，不是技术

贝壳找房安全研发工程师宇佰超

零信任本身是一种思想/概念，企业是借助了这一思想进行零信任网络搭建。在NIST《零信任架构》中，提到了零信任的3种解决方案：

IAM（身份识别&访问管理）：使用增强的身份识别与管理，对请求“主体”、“资源”、“环境”进行动态、实时的识别与验证，确认访问主体的安全性后进行访问授权。

MSG（微分段）：使用网络微分段，保障各个层级的网络之间不再联通，进而将流量收口至“网关”，在“网关” 动态配置访问策略。

SDP（软件定义边界）：任何请求都经过“Controller”（访问控制器）决策后，才可能被授予访问权限。

目前，贝壳的实践综合了以上3种方案，在企业基础服务架构上，将网络按照使用目的进行网段划分，实现多个区域互相不能访问，并且借鉴SDP的思想引入访问控制器的概念，通过决策中心，基于身份识别和访问管理技术，对于跨域访问行为进行判断决策。

贝壳的决策中心建设方案

在直播过程中，宇佰超还分享了零信任在贝壳的多个作业场景中的落地，包括HTTP和SSH服务职场办公场景、代码调试场景、服务间调用场景、外部组织访问场景、职能同学远程访问场景、经纪人伙伴访问核心平台场景中的精准访问授权和权限收敛。

最后，在宇佰超看来，零信任的意义正是在不安全的网络环境中创建一个安全的可信的网络访问环境，保证了每一个访问主体，都得到了精准的授权，每一次访问都可以被有效识别认证，以及每一个访问动作，都被安全记录并审计。而企业如果要走向零信任，则需要横向推动，在落地上是循序渐进的，在实施上则需要企业多方资源支持（IT、运维、安全部门等）。

如何构建动态访问控制体系

快手资深安全工程师孙大川

如何让不同办公区的用户安全低成本的访问内部系统呢？访问控制策略的由“静”到“动”，该怎么做？孙大川分享了快手的实践。

Google BeyondCrop的论文提到了通过代理的方式实现访问控制的方式，而快手恰好在推动IDC与办公区之间的网络隔离时已将内部系统的流量统一收口到了Nginx反向代理，因此按照这一思路：

第一步，在流量控制层上建设Web安全网关，用于访问控制的基础实现。这种在内部系统前面添加一层统一的访问控制的操作，可以有效的避免系统权限体系疏漏导致的安全问题。

Web安全网关的访问控制实现逻辑

第二步，将静态的访问控制策略转变为动态。

快手的动态访问控制策略的实现是循序渐进的，初期使用策略来进行授权判断，即使用权限类策略来判断谁拥有哪些系统的访问权限，使用拦截类策略，根据用户风险和第三方系统数据进行拦截，比如访问主体在高敏地区访问时，会自动提升认证强度或要求其重新登录，实现动态的权限管理。

登陆时的安全不等于使用时安全。仅依靠简单的策略还不能真正地实现零信任，这时候需要有更多的信息对决策进行支持。在用户没有设置锁屏、用户的设备中了病毒等终端安全风险下，快手使用Agent进行设备管理以解决终端安全问题。

通过Cookie+设备+环境，在cookie和设备绑定的基础上，添加session环境信息形成session级的凭证，并且定时校验用户当前环境与session凭证中记录的风险是否一致，若安全级别降低则对用户发起“挑战”。

动态访问控制的实现逻辑

就像孙大川说的，“去边界并非无边界，而是用一种逻辑边界代替了物理边界。”动态访问控制也在构建着零信任的逻辑边界。

零信任技术的行业应用场景实战

数篷科技首席架构师王柏达

当企业亟需一种新的安全策略来解决传统防控手段无法解决的问题，零信任理念为企业安全提出了新的思路，与此同时，零信任在落地过程中也面临一些挑战：

基于此，数篷科技提出从单点实施（访问接入）到全面覆盖（基础设施），让零信任安全框架与基础设施深度融合，对传统的IT基础架构提出补充。

目前，很多解决方案以身份为中心，实现对业务的细粒度访问控制，而这一前提是访问主体受信。王柏达认为，那么当访问主体不守信的前提下，如何保证企业敏感数据的安全？把信任问题交给框架去做，上层只需要关注权限的策略配置。

在分享过程中，还有多个典型的应用场景的介绍，包括企业研发知识产权保护、跨组织安全协同、客服职场、营业网点用户隐私信息保护、企业全场景安全办公等。通过安全容器、可信隧道、广泛协议支持、深度隔离的新一代基础架构，实现细粒度访问控制、“数据可用不可拿”的信任级别和全场景的覆盖。

最后，从基础设施层面一体化落地零信任，解决从存储、计算、传输的端到端的问题，这是王柏达传递的零信任实践思路。

在精彩的分享过后，三位嘉宾围绕零信任的多个问题进行了圆桌讨论，从零信任落地难点到零信任建设是否有前提条件，再到国内零信任的市场机会，畅所欲言。

免费回看：

https://live.freebuf.com/activity/f10b924f52accae3cc1a40a936677f96/l_d7114c56d808556bc1cf93b28ec04678

关于「贝壳安全TIME」

贝壳安全TIME是由贝壳安全团队发起的系列活动，由行业峰会、行业闭门交流会议、高校沙龙、技术沙龙组成。聚焦产业互联网安全建设等热点话题、包含技术交流、行业规范、运营体系等多方面内容，致力于促进互联网企业在信息安全领域交流与合作，携手行业内的同行者，共同打造行业交流平台，吸引更多优秀人才加入安全行业。