2020年6月16日起,安在講堂公益直播第三季,即網安強中強——2020網絡安全產品及創新技能直播大賽全新開啟,以新技術、新產品、新解決方案的分享傳播為側重,意圖呈現當下中國網絡安全的新生力量,「乙方」亮相,一展風採。
2020年6月30日,安在特邀請寧盾CEO劉英戈做客直播間,以「『場景化』身份認證解決方案」為主題,和網絡安全從業者分享不同場景適配的解決方案。
(註:本期文章所有內容皆可在千聊「安在講堂」直播間回看,公益講座,全部免費。)
截至統計時
收看直播人數:241
討論數量:61
籤到人數:24
身份管理既是IT基礎設施
也是安全基礎設施
身份是一切訪問的基礎,無論各種角色的用戶還是各種入網的終端,無論是訪問數據中心設備還是訪問各類應用及伺服器,又或者使用本地網絡或遠程辦公方式接入,我們藉助身份將訪問實體、訪問管通道與被訪問的客體進行連接,實現基於身份的統一認證、授權及審計。
由於身份的基礎性、通用性,身份認證在場景上呈現出碎片化的特性。因此我們要幫助企業建立一個能夠儘可能的覆蓋更多場景、覆蓋各種身份(包括人和端)的身份的第三方中立的身份認證體系。「中立」對應的「獨權」,身份管理是所有企業都需要的且最基礎的安全組件,如果身份認證不夠中立,那它在兼容性上勢必會大打折扣。所以面向企業各場景的安全管理,建立全場景且統一的身份認證體系,並且保持產品的中立性,我認為這是身份認證產品的關鍵問題。
複雜而多變的身份認證場景介紹:
場景一:通過多因子認證解決帳號口令的安全問題
市面上多因子認證形式多樣,包括UKEY、動態密碼、社交認證、生物認證等。但由於終端兼容性、開發不可控性等原因,企業場景中多以UKEY 和動態令牌為主,指紋識別、面部識別等認證方式為輔。
場景二:通過終端準入工具解決泛終端的安全認證問題
正如我們所熟悉的,企業內用戶及終端通常採用802.1X認證,通過終端撥號的方式接入企業網絡。隨著移動互聯技術的發展,越來越多設備具備了網絡傳輸能力。為保證泛終端網絡安全接入,企業需要一種輕量化,甚至無客戶端的形式實現對IT以及IoT 設備的統一認證和管理。
場景三:通過IAM統一身份認證實現業務層的集中安全認證
這裡主要面向的是業務系統,通過身份映射、身份鑑權、認證代理,實現業務系統的集中認證和安全管控。
場景四:採用網絡設備AAA解決異構網絡設備結構化審計及細粒度授權問題
隨著國產化進度的推進,網絡安全基礎設施國產化持續演進。寧盾網絡設備AAA 面向數據中心異構設備,採用TACACS+協議,幫助運維人員解決「結構化審計」、「細粒度命令集授權」、「敏感命令告警」等運維難點和痛點。在異構網絡設備層面,面向國產化產品表現出更優的兼容性,包括 Hillstone、天融信等在內的國產設備。
以上即是我大概羅列的場景。從產品維度上來講,我們實際上解決了兩大身份實體的認證問題:人的身份認證和端的身份認證。基於「人」的身份與「端」的身份,藉助多因子認證、終端準入、單點登錄以及網絡設備AAA解決企業從數據中心基礎設施到網絡層,再到應用層的場景化安全認證問題。
(如下圖)
寧盾產品框架
寧盾是一家為企業數位化轉型提供安全基礎設施的保障的公司。09年成立至今已經有11個年頭,為金融、網際網路、能源/電力以及製造業等各行各業中大型客戶提供了安全認證保障。多樣化的行業需求、不斷完善的業務場景,讓寧盾面對碎片化的場景化身份認證時,更能站在客戶的整體角度,幫助客戶解決全場景一體化的安全認證需求。
接下來我們從業務角度和政策角度來看身份認證市場的變化及趨勢。
業務角度:移動化遠程辦公
隨著移動技術的發展,企業逐漸進入移動化辦公時代。同時疫情加速了移動辦公由部分向全員辦公的過渡。
還記得09年剛創業的時候,我們的業務主要集中在雙因子認證上。當時企業需要多因子驗證的場景非常少,主要集中在VPN 場景中,當企業高層出差使用內網時,通過在帳號密碼的基礎上增加動態密碼,保障VPN 遠程接入安全。14、15年對著WiFi技術的發展,以及後來雲業務的發展,企業身份認證場景也愈加豐富。
疫情更是催生了企業全員、全場景移動化辦公的進程。還記得在諸子云 · 知識星球裡看到的兩個問題:
問題1: 遠程辦公的朋友,貴司怎麼做好遠程辦公的安全防範;
問題2: 請問大家,原來公司內網辦公的人,現在因為疫情影響無法復工,這些人要怎麼弄才能既保證數據安全,又不影響他們工作呢?
問題1的回覆就是「雙因素+VPN+雲桌面+堡壘機」;
問題2的回覆比如「VPN+虛擬化桌面+雙因素認證」
由此可見,在遠程辦公過程中,大家仍是以VPN、虛擬化形式為主,同時同步雙因素認證提升遠程接入安全。
多因子認證形式上,手機APP形式的動態口令已經被廣泛接受,另外,還與APP集成 H5 令牌,推送令牌等認證形式,其中微信小程序令牌更是可以將令牌種子備份到雲端,避免更換手機帶來的運維成本。寧盾令牌以SM3算法為主,兼容國內國際多種算法,兼容RSA、Google 等多種令牌形式,為VPN、虛擬化、網絡設備、本地及雲伺服器、郵箱/單點登錄等業務場景提供統一認證服務。
案例1:我們在14年的時候與中國銀行建立合作,為其Citrix 虛擬化桌面提供 雙因素認證保護。同時為滿足三級等保需求,網絡設備管理實現了統一身份認證,並結合ACS針對不同帳號設定不同權限,有效的控制了帳號的洩漏與共享,使登錄操作可以實名追溯。
案例2: 疫情期間我們幫助一家遊戲公司快速上線雙因素驗證,該公司在疫情期間一度出現業務量暴漲,為了在最短時間內的雙因子認證擴容,降低令牌派發及運維成本,該公司將某廠商令牌統一更換為寧盾H5 令牌,這樣員工無需額外安裝令牌APP,無需派發和激活令牌,點擊企業微信工作檯的H5令牌圖標即可實現激活。僅一個工作日解決了數千員工的帳號安全問題。
業務角度:無線有線網絡
接入安全
在有線無線網絡認證方面,平時我們看到的客戶大概有以下幾個痛點。
痛點1:廠商認證系統很難照顧用戶體驗;
痛點2:大型企業普遍存在多分支統一認證需求,基於硬體設備的產品很難實現;
痛點3:合規需求,如果Wi-Fi或者有限網絡認證之後,怎樣滿足合規需求;
痛點4:銀保監會對有線無線網絡帳號安全保護要求,要求採用雙重認證的機制;
痛點5:接入網絡後的內網訪問控制。
針對訪客的場景,讓我們給它來提供類似於協助掃碼這樣的驗證方式,由被訪人對訪客來進行面對面的掃碼,實現被訪人和訪客之間可以追溯,也可以快速幫助它聯網,那對於更加複雜的客戶,比如說有公司有做諮詢的人有內網的訪問需求,我們給他提供更加複雜的,類似於郵件審批這樣的方式來給他做訪客,個性化多樣化的反饋認證。
針對員工這一塊設備的接入,我們可以採用雙重驗證的機制,或者說也是類似於給他再劃分外網訪問權限的方式,第一個方案就是802.1X認證的,第二個方案可以甚至加雙重驗證的機制,對員工辦公的電腦來講,那也可以採用雙重驗證的機制,包括更加便捷的認證方式,通過比如說企業微信的掃一掃,類似於這樣的方式讓他來聯網,要和現有的上網行為管理,或者是做聯動來實現上網的實名審計。
大型的客戶,有多分支多品牌網絡統一管理的需求,怎麼樣通過一個認證的平臺來滿足很多的分支統一的認證?統一認證的好處在於,當我的員工在任何一個點接入的時候,可以到其他點來進行漫遊認證,對它的體驗會非常不錯。
案例1:一家券商,原來是用了一個網絡認證系統,一開始覺得網絡認證系統它的用戶體驗不是特別好,所以找到寧盾,同時面向多分支實現了全國網點的統一認證。
案例2:Wework,Wework在全國有100多家門店,核心的生產力依賴於網絡,如果網絡連接的質量、用戶認證的質量比較差,那客戶的投訴會比較厲害,所以對我們來講要解決的問題,一是要幫助他搭建一個統一的認證平臺。二,我們要滿足它在中國公安合規的聯動需求。三,我們給他的業務系統向CRM做聯動,來幫助他做客戶關係的事情,所以整個系統他們看重的是它的可靠性,因為寧盾原來的系統在各行各業有很大規模的應用的經驗。後來我們給他搭建了一個私有雲的、網絡統一認證的平臺來保證網絡連接的需求。
案例3:一家大型的體育用品的商店,在全國有1萬多人,我們為其打通網絡認證與業務系統單點登錄入口,幫助員工接入網絡的同時即可訪問業務。同時在網絡接入的時候增加雙重驗證或者安全驗證機制,以保障接入時身份的安全性。
政策加持:等保合規
那第二個維度是從政策的維度來講,不管在全世界任何一個地方,政策的合規性仍然是驅動安全最主要的一個力量。從政策的角度來講,我就針對這樣的一個場景,在等保2.0的方面給大家做一點解讀。第一個就是等保2.0和1.0比較大的區別是什麼?1.0的要求其實在堡壘機上面來實現雙重驗證就可以了,但是2.0它要求的是要在設備本身上面要做雙因素驗證,也就是說要把雙因素驗證應用在網絡設備和伺服器的登錄本身的入口,那是在設備登陸的場景下面。公安相關部門實際上推薦兩種方式,第一種方式是我剛才前面講的那些令牌的形式,第二個就是採用硬體的。如果從運維角度來講,大家其實比較傾向於用令牌的方式,除非在伺服器之間的通信可能證書會更好一點,第二個就是雙因素認證,是三級等保的必選項,如果要過保,我們認為有PPT上這些要求。
案例1:某銀行數據中心網絡設備AAA管理
針對數據中心場景,我們比較推薦的是雙因素+網絡設備AAA管理。除了我們日常所說的統一認證,包括異構設備的結構化審計以及命令集的授權,另外我們更加重視敏感命令告警。比如說我們可以設定更加細膩的策略,告訴大家在什麼時間這臺設備,不可以打什麼樣的命令,他可以發警告給相關的人,我們的數據中心運維外包的情況越來越多,這樣可以確保你整個的技術架構安全運行。例如我們為某銀行做的案例,傳統的網絡設備廠商只能用自己的東西,但我們的幾乎可以兼容所有的路由和交換設備,同時配合雙因素認證滿足三級等保需求。
業務角度3:終端身份安全
及深度準入控制
從端的角度來講,如何去做深入的控制。我還是從知識星球的問題來分析。
跟移動辦公相關的,從VPN撥入的電腦要做終端的準入預檢測,確保接入的是本公司的筆記本資產。但原來接入辦公的時候,我們只要求做人的驗證,比如說帳號密碼再加上動態驗證,我們覺得整個安全性OK了。現在移動辦公客戶不光是對於人的驗證有需求,還對終端本身的合規性是有要求的,比如說如果這臺計算機是由公司來派發的。如果說僅僅驗證了人的身份,那我也認為此鏈路是不安全的。對於更多的客戶來講,它需要對人和端要做雙重的驗證機制,是一個趨勢。
我既要確保人和端的驗證安全又要保證驗證的「輕量化」,不要有太重的終端負載。我從兩個層面上給大家說一下,第一個就是針對辦公場景,怎麼樣用零客戶端的方式來解決終端的準入問題;二是針對智能營業廳或者說辦公的場景,我們怎麼樣解決泛終端的一個管控。
為什麼會有這樣演進的過程?我們是在14年開始在做終端準入,在做的時候我們也思考了很多問題。終端準入是一個非常古老的命題,當時我們做事情是也是因為客戶給我們提的需求。一開始客戶他就讓我們做給他做訪客認證,他覺得來訪和體驗做的比較好,也開始逐漸的希望他的員工介入,也把他拉進來,變成無線的訪客和員工的統一認證,再往後就是把有線也拉進來做統一認證,當他有線無線都統一認證之後,客戶提到一個需求就是你能不能給我做終端的檢測?
當時我們非常糾結,一開始的時候我們並沒有想去做這件事情,因為市面上做終端準入的公司非常多,而且非常不錯,我們如果做這件事情,跟別人一樣的,還不如跟別人合作,因為不是我們主線的方向。後來,我們也看了技術的線路,發現就市面上所有解決終端準入的問題都是通過客戶端來解決的。未來的趨勢它一定不是單一圍繞桌面的電腦,而且桌面電腦佔的比重會越來越小。
我們最早做網際網路公司做的比較多,網際網路公司有個特點就是它有很多的分支,但是運維人員特別少。所以,接下來的趨勢,不管是採用什麼技術,管理自動化的程度或者是運維輕量化的程度,要很好,如果說你不能解決問題,那可能你的東西就沒辦法使用,所以我們就希望採用新的思路來解決問題。
我們當時在做零客戶端的基礎,希望讓it管理員解放開來, windows的電腦我們推薦「零客戶端」,對MAC電腦或者Linux電腦提供輕量化客戶端,首先界定它的合規性條件,然後到後臺去做判斷,這就是我們在做東西的前提。低成本的運維包括用戶體驗更好,整個實施和交付,後期的運維的代價都比較小。
案例1:一家晶片製造企業,在美國在發布禁令之後,沒辦法去買國外的產品來給他做準入的事情,我們去溝通,當時提的需求就是說既要滿足802.1X動態VlAN 調整,又不要裝客戶端,這就是他的一個核心的需求。我們的解決辦法是這樣的,把準入的設備旁掛著他的交換機側,同時我們給它部署一個身份認證中心,當準入設備對終端進行合規性的檢查並且探測到身份之後,匯報給身份認證中心,這樣實現了客戶既滿足802.1X又不用裝客戶端的需求,以上是我們團隊辦公室場景終端驗證的輕量化方案,我們希望終端認證讓用戶更加的方便。
案例2:以智能營業廳場景泛終端的管控為例。包括物流向、銀行網點來講,它的攝像頭,印表機,還有各種各樣ATM 、考勤機這樣的設備,一開始這樣的設備是沒有做任何的管控
直接進來的。我們一開始給客戶推了一個比較完美的方案:收集整理設備MAC地址表,導入到寧盾認證平臺中。為設備提供802.1X針對mac地址進行認證;對於通過的設備,下發ACL進行權限管理。方案能夠實現對設備基礎的授權認證權限劃分過程,一定程度上解決了通過非授權IOT設備接入網絡問題。同時也存在不足:它是靜態的,需要手工維護MAC地址列表並定期對認證系統進行更新;無法了解設備類型、狀態、位置;僅僅簡單認證,對於通過偽造MAC地址進行攻擊無法抵擋;僅僅能Cover啞終端,對於人機互動設備無法實現管控。
最後也是營業廳場景,我們通過「看見」 網絡中的實體來增強安全性,做到「看得到」,從而實現「管得了」。探測到網絡中所有終端,形成整體視圖,能夠識別出「合法設備」和「非法設備」。在營業廳側:部署探針,探測終端的設備類型、MAC地址、地理位置等,並且與本地資產庫或者聯動外部資產庫匹配終端,能夠匹配的為合法終端、匹配不成功標記為非法終端。同時進行持續性檢測,針對IOT設備持續檢測終端指紋,一旦終端指紋變化,意味著終端可能被偽造,需要標記為安全事件,並自動聯動網絡設備限制其接入。針對電腦及BYOD終端則可結合身份認證、同時掃描收集終端信息。如有需要,聯動第三方UEBA、漏洞檢測系統,收集和統計終端威脅,形成風險評估列表,讓風險設備也被看到。
Q1:如果既需要上網行為管控功能,又需要準入控制功能,能否集成在一起,因為這樣對於客戶來說性價比高,網絡改動少,這個是不是一個零客戶端/輕客戶端的趨勢?
A:這就是寧盾的產品,相對針對場景化比較標準的場景。客戶要做大的項目的時候,我們其實時是可以配合的。上網行為管控和準入控制,目前來講沒有把它集成在一塊,因為上網行為管控它是一個網關型的設備,他需要把流量給截獲,並且是要是要做控制的,但是對於準入來講,它是以旁路為主,所以目前來講我們沒有把這兩件事情給集成在一塊。
Q2:單點登錄在什麼樣的場景下比較合適?
A:當你的企業業務系統比較多的情況下比較合適,如果說你的移動化走得比較靠前的時候比較合適。很多客戶做單點登錄的主要目的是為了解決帳號的安全,要給他的入口來增加多重驗證的機制。核心訴求,還有一個就是在合規性方面,如果說你這家機構是一家三級等保的機構,很多時候他要做應用層口令的合規,他需要把各種各樣登錄的入口給它統一起來,然後在統一的入口上面做雙重驗證來滿足合規。如果是三級以上的機構,我們建議他用單點登錄來作為橋梁實現業務系統的雙重驗證。從業務角度來講,如果企業在移動化的步伐邁得比較快,那我們建議你們去採用單點登錄。
評委互動、打分、抽獎展示