2021云安全联盟大中华区大会 | 基于零信任与现代IAM的数字化转型实践

2021-05-26

很荣幸今天与大家相聚在此。自从1500年以前古印度人发明“零”这个概念以來就已经被各个领域的许多重要理论和思想所采用,“0”在科学和生活中起到重要的作用。如科学上的绝对零度、博弈论中的零和博弈、金融上的零息债券,以及彼得·蒂尔(Peter Thiel)为创业者写的一本书《从0到1》。今天我想在这里探讨有关IT安全领域的另一个重要的零概念,就是“零信任”。


什么是零信任?一位世界著名的投资者曾经说过,如果您无法在两分钟或更短的时间内向10岁的孩子解释为什么拥有某只股票,你就不应该拥有它。因此,我想用最短的时间内谈下对零信任的理解以及作为公司或组织为何需要运用“零信任”这个理念来部署行动计划。关于零信任,首先需要了解的是它不是具体指某一个技术,也不能像5G或微芯片那样使用。零信任是一种技术框架,概念或体系结构的一种,也是访问控制的一种模型,基本理论可以理解为不信任何人和任何设备,因此需要以一种动态发展中的理念和机制,并结合多层次立体化的技术手段来持续适应和抵御由新技术应用和新环境变化带来的风险。


我们现在先思考几个问题:你的同事是在家办公还是在酒店或是在出差途中办公?他们是否经常使用个人手机来收发邮件?在我们手机上是否装有非公司的APP? 公司是否有同事在出租车、火车等室外场所丢失过手机或电脑?公司是否有员工离职到另外的公司工作?我们是否经常使用微信与同事探讨工作?针对这些问题,如果回答的多是“yes”, 我们再继续下面几个小问题:他们在公司场所外比如在家中、酒店或咖啡厅用个人手机或笔记本电脑访问公司电子邮箱或应用系统时,是否总是通过使用公司的VPN? 员工个人设备是否都有安装公司发行的防病毒软件?当员工离职前,其行为活动是否受到有效的控制?如果这几个问题答案多数为“否”,同时针对以上工作中经常出现的情况,那么我们负责IT安全部门的人员思考下当前组织中的信息系统环境确切是安全的吗?如果答案是否定的,我们也就更好地了解“零信任“理论开始的基础以及为何朝着这一理念不断迈进。


我们通过以上简单回顾零信任思想的发展和起因,可以更加清晰地了解对于现代企业的IT安全管理,公司需运用零信任理念构建信息系统环境,并加强来自于不同触点的访问请求。虽然零信任一词最早在2009年提出,但其背后的概念在2003年就开始发展了。”具体来讲,自2003年以来有4个主要技术驱动着零信任理念的发展。它们改变了人们的工作方式和消费习惯。

1、2004年,成立5年时间的Salesforce成功上市充分展示了全球市场对SaaS的需求。业务应用不再仅是内部自部署的管理模式,预计今年全球将有100多家SaaS公司的年收入达到10亿美元。

2、2007年,首个智能手机被广泛应用, 随之企业和消费者开始在个人移动设备上使用各种APP应用。由此,去年售出了超过15亿个设备以及在主要的APP商店售出350万个APP应用。BYOD自带设备被企业和员工广泛应用。想一下有多少人用个人的手机或电脑设备没有通过公司VPN进行工作?

3、2010年,AWS IaaS的收入超过了15亿美元,并且在短短的10年内,今年的收入就达到400亿美元。现今,企业不仅可以采用不需在内部自建和管理众多的业务应用系统的管理方式,而且也可选择不需自行建立和维护服务器和网路设备,由此按照以往建立防火墙的方式就难以适应新技术应用的变化。

4、最终,自2003年至今,随着互联网3g 、4g、 5g技术的快速演变,网路无处不在,而成本日益降低。我们可以在机场、火车等众多地方免费或廉价地访问互联网和进行工作。


零信任是对技术进步并改变人们工作方式的一种有效回应。在行业广泛使用互联网和智能手机之前,公司仅侧重于如何保护好自己的内网并监控进入内网的任何接入点。一种简单的可视化方法就是”建一个有护城河的城堡。“那时,公司仅重点关注的是如何通过安全的入口进入内网,普遍认为安全环境只需要部署类似防火墙、网闸等物理环境的安全设备即可,而忽视了进入内网后由“人”产生的各种权限滥用或潜在的行为风险,缺失对不同类型用户访问不同类型资源的合理控制。旧时传统的IT架构被形象地比喻为城堡架构或护城河架构。但随着互联网的快速发展和技术进步,以及智能手机的普及应用,人们开始更多地在家中或旅途中工作,由此需要在原有的信息系统环境中,设立更多的访问入口以及为每个用户设定安全合理的访问权限,确保访问资源不被滥用。与此同时,众多行业开始逐步选择从第三方SaaS 、IaaS 、PaaS和IDaaS云服务提供商进行访问,这些技术应用的驱动成为零信任模式的重大转折点。另外,我们大家都知道的就是全球新冠疫情的发生,极大改变了人们工作方式,从而高速推动了远程办公领域的发展。例如微软在线协作平台,2019年每天有1900万用户,现在每天有8000万用户。还有华为、zoom等在线办公平台都在快速发展。


2020年是非常具有挑战的一年,疫情发生前,世界变革的步伐已在加快,而现在组织需要在更短的时间来完成曾经制定的数字战略规划。欧洲的一项调查显示,约70%的高管表示,疫情会加快数字化转型的步伐。因为他们可以明显看到跨部门、跨地域业务的快速增长。银行需要迅速地将更多实体渠道迁移到线上,医疗机构需要考虑如何快速接入远程医疗,保险公司正在尝试自助索赔,以及零售商如何开展线上购物和交付。数字化已成为不同行业、不同业务交互的核心。敏捷的工作方式成为企业满足客户不断变化需求的先决条件。当前,组织需要比以往更快地学习和应用创新技术,比以往任何时候都更愿意合作、共享数据和经验,以保持与客户、员工、供应商以及渠道合作伙伴的紧密联系,提升组织的快速优化迭代能力。


技术驱动创新,创新改变生活。新基建、智慧城市、工业互联网、一网通办、城市大脑、远程医疗等各行业的创新发展充分展现了数字化的全领域赋能作用。无论是智慧城市,还是企业数字化转型,都需要建立一个高敏捷、高扩展性、高安全性的数字化共享平台,将不同的人员、组织、流程、数据等高效融合与赋能业务。因此,如何快速融合各种新技术,并加强对日益增多的内部员工、渠道合作伙伴、供应商、外部客户等不同类型用户的高效、统一管理,同时保障各方用户能够安全共享、访问数据,这些都是组织数字化转型面临的重要挑战。而IAM(Identity and Access Management,身份管理与访问控制)正是确保各项新技术高效协同和安全运行的基础保障平台。IAM的核心价值就是能够实现:“连接”、“控制”、“集约化”“智能化”、即能够高效连接组织内外部的不同类型的业务应用系统,并有效控制是谁,在什么时间,有哪些访问权限,访问什么系统,并高效记录各种访问行为,同时通过AI融合认证系统,为组织建立丰富多样化的认证能力中心,从而减少IT资源的重置开发与投入,同时通过智能风险引擎快速识别风险并进行安全有效的访问控制以及实现用户身份与访问权限管理的自动化授权和管理。数字化时代,每个人、每台设备都拥有一个独立的身份标识,需要确保数字身份安全和访问行为安全。无论在企业、还是存储大量个人隐私数据的公众服务机构,管理者都需要在规划科技应用的同时,同步考虑到安全风险和有效的防范措施。需考虑到信息系统架构的安全性,灵活性以及它的标准规范性,这样就可以高效、便捷地在共享平台上运用最新的业务应用,增强客户体验,并提升系统与数据的安全性。


以上这些让我们了解了数字转型,零信任和IAM之间的关系。成功的数字化转型难于在旧化的安全模型下完成,而转向“零信任”,因为零信任有效适应了新技术应用的变化。IAM作为零信任的核心组件,提供端到端的安全和可信支撑。通过IAM技术建立以身份为中心的安全框架,实现对所有人、接入设备的数字身份真实性的验证以及对访问行为的动态授权和控制。通过IAM平台完成身份验证,授予最小权限并建立会话,同时在访问过程中,访问主体的行为会被持续评估,一旦发现异常,通过IAM平台动态调整访问控制策略,包括降低访问等级,二次认证,甚至切断会话。以IAM为核心的零信任体系能将传统的边界防护上升为立体动态的安全防护体系,为组织提供端到端的安全和可信支撑。无论政府、还是企业,在信息化的不断投入与发展中,都需要注重效率、安全与风险的平衡发展。从零信任到数字化转型,从IAM回到零信任,我们回到了原点。有时零并不是坏事,它代表了一个崭新的起点!