阿里巴巴副總裁肖力：雲原生安全下看企業新邊界——身份管理

做者 | kirazhou

導讀：在 10000 多千米以外的舊金山，網絡安全盛會 RSAC2020 已經落下了帷幕。而身處杭州的肖力，正在談起今年大會的主題——Human Element。2020 年，從「人」出發，這顆石子將在國內的安全市場池子裏激起怎樣的漣漪？Human Element 的背後隱藏着怎樣的安全洞見？

在 Gartner 的《2020 年規劃指南：身份和訪問管理》報告中，咱們看到了 IT 必須推動 IAM（身份和訪問管理）計劃，而身份治理和管理、混合/多雲環境做爲可預見的趨勢，更是已經在風口蓄勢待發。

人、身份和雲端，這三者之間的角力、千絲萬縷和無限可能，正是這次採訪的最大收穫。

Human Element：瞭解人的脆弱性

咱們經常談起，「安全的本質在於人與人之間的對抗。」

從攻防對抗的視角來看，人的因素使得攻防對抗成爲一個動態的持久過程。攻擊者的手段、工具和策略都在發生變化，而防護者的安全防禦能力也在提高，二者之間持續對抗，安全水位線一直動態變化。

在整個攻防對抗過程當中，人，既是防護者，也可能成爲攻擊者，而對抗不只會發生在企業與外部的對峙中，不少時候也發生在企業內部。

人，是絕對的安全核心，這是今年 RSAC 大會傳遞給咱們的訊息。而在關注人的安全技能與能力建設之餘，也要清晰地認知：人的脆弱性令人自己成爲安全中薄弱的一環。所以，企業在應對來自外部攻擊的同時，如何防範來自企業內部人員的威脅一樣關鍵。

2017 年卡巴斯基的調查報告中提出，46% 的 IT 安全事故是由企業員工形成的。如今，這個比例已經上升至 70%~80%，譬如內部開發者因爲未遵照安全規範或自身安全能力不足，而致使所研發的應用在設計之初就留下了漏洞，亦或是在職/離職員工因爲操做不規範或直接的惡意行爲致使企業安全問題。

「整個安全體系絕對不只是和自動化蠕蟲作對抗，這只是冰山一角」。

面對「人」帶來的安全影響，肖力認爲問題根源在於企業的安全基線作得不到位。目前，不少企業更注重於威脅檢測與響應，這一部分確實有用，但還不夠。「咱們思考的不是出了問題後如何去解決，而是如何不出問題。」所以，事前的安全基線設置比起過後的檢測與響應更爲關鍵。企業安全基線包括了：

1. 全部應用系統的統一身份認證與受權
2. 安全運營：設置紅線
3. 創建應用開發安全流程：肯定開發人員培訓、內部安全考試與認證等規範

若是說企業的安全基線是走向安全的基礎 60 分，那麼，只有先作好安全基線再去作過後檢測響應能力的提高，才能讓企業安全體系更爲穩固。其中，「身份」做爲在互聯網中的直觀映像，身份管理對於有效下降內部人員的行爲帶來的安全威脅能夠說有着重要做用。

身份：零信任理念下的新舊邊界交替

網絡身份的重要性無需再贅述，而身份如何從安全因素之一轉變爲企業安全防禦的「主角」，2010 年是一個隱形的節點。

肖力指出，在過去的 IT 環境中，尤爲是 2000~2010 年期間，邊界隔離是企業安全防禦的主要手段。但 2010 年後， IT 總體環境發生了巨大的變化：

1. IT 架構根源性的變化：隨着移動互聯、lOT 設備的普及，整個內網、辦公網絡都受到了巨大的衝擊，大量的設備接入，致使原來的邊界難以守住；
2. 企業數據庫從 IDC 遷移到雲上：隨着雲計算的浪潮，愈來愈多的企業選擇全站上雲或 50% 業務上雲，致使防禦環境發生變化。
3. 企業 SaaS 服務發展：企業網盤、釘釘等企業 SaaS 服務的發力，意味着愈來愈多的企業工做流、數據流和身份都到了外部，而非固定在本來的隔離環境中。

隨着環境因素的變化，傳統的邊界將漸漸消亡，僅依靠傳統的網絡隔離行之無效，這時候，基於零信任理念的統一身份管理爲企業從新築造了「安全邊界」。

基於零信任理念，企業能夠構建統一的身份認證與受權系統，將全部帳號、認證、權限統一管理。譬如，離職員工被視爲企業的重要威脅之一。在整個企業安全體系建設的實踐中，必需要作到帳戶對應到應用系統的權限統一，實現天天離職員工的全部身份、帳號權限能夠在企業內部系統中一鍵刪除。

包括近一段時間安全圈內熱議的微盟員工刪庫事件，從身份認證與管理的技術角度來看，也是徹底能夠避免的。肖力認爲：

• 一方面，企業在實施 IAM（身份和訪問管理）時，秉持最小權限原則，經過賬號的權限分級，給到員工應有的權限便可，而相似「刪庫」的特權帳號不該該給到任何一個員工；
• 其次，哪怕員工下發了批量數據刪除的指令，企業也能夠經過內部異常行爲檢測，識別出該類指令基本不會發生在正常的生產環境中，從而不執行該指令。

除了技術層面的實現，身份認證與管理的本質依舊是安全基線。同時肖力指出，安全團隊在企業中的位置與影響力則決定了基線可否被肯定、切實地落實到業務中去。判斷安全團隊在企業、業務中的影響力大小，最直觀的就是組織架構：安全團隊是否爲獨立部門，直接彙報給 CTO 甚至 CEO。

將來，IAM 應該還會向零信任架構推動，並基於零信任理念衍生出多應用場景下的身份治理方案，打通「身份認證」與雲安全產品，構建雲上零信任體系。

基於雲原生安全的 IAM

身份管理提供商 SailPoint 的首席執行官兼聯合創始人 Mark McClain 曾經說過：「治理的世界是有關誰有權限訪問什麼東西，誰應該訪問什麼東西，以及如何正確使用這些權限的世界。但現實是，大多數消費者距離前兩條都差得很遠，更不用說第三條了。」幸運的是，如今的 IAM 工具/服務愈來愈易用，而且加快延伸至雲端環境。

肖力指出，雲原生的安全紅利是可見的。「常態化」的雲幾乎成爲了企業操做系統，涉及 IaaS 層、PaaS 層和 SaaS 層。各個雲服務商在安全上注入鉅額投資，以規模化的人力物力打磨雲安全產品和技術，讓企業開始嚐到雲原生技術帶來的安全紅利。

普通企業沒必要重複造輪子，搭載上阿里雲等雲服務廠商的航母，就能在雲計算浪潮裏前行，享受高等的安全水位。

其次，雲化帶來的 6 大雲原生安全能力：全方位網絡安全隔離管控、全網實時情報驅動自動化響應、基於雲的統一身份管理認證、默認底層硬件安全與可信環境、DevSecOps 實現上線即安全，讓企業脫離本來複雜的安全管理模式，從「碎片化」到「統一模式」。

隨着企業上雲趨勢日益明顯。IT 基礎設施雲化、核心技術互聯網化，最終讓企業架構發生變革。而「雲化」的過程當中，愈來愈多的企業開始思考混合和多雲環境下的 IAM（身份和訪問管理）問題。

混合雲：場內工做+公有云環境服務的使用； 多雲：多個公有云服務商服務的使用。

關於混合雲，基於企業上雲後的統一管理模式，能夠在複雜的混合雲環境下直接實現統一的身份接入，將企業雲上與雲下身份打通，而且基於對雲端上的用戶環境作評估，動態地授於不一樣人以不一樣權限，從而讓任何人在任什麼時候間、地點，均可以正確地訪問內部資源。而多雲的環境則能夠利用活動目錄的工做負載實現身份管理。

雲上的環境，賦予了統一身份管理更多的可行性，而進一步探索混合和多雲 IAM 實現方案將成爲企業戰略的新方向。

最後，由身份管理衍生的數據安全問題，一樣值得關注。2019 年，數據安全絕對是最熱的話題之一，不論是高發的動輒上億級別的數據泄露，或是陸續出臺的數據隱私法規，都在反覆強調數據安全的重要性。

在採訪的尾聲，肖力一樣談到了今年 RSAC 的創新沙盒冠軍 Securiti.ai。有意思的是，過去 3 年創新沙盒冠軍中有 2 年都是作數據安全的，彷佛給網絡安全企業的下一步發展提出了一個很是明確的方向。

首先，數據安全自己的命題就很大，數據的流動性使得數據安全問題橫跨各個安全技術領域，並出如今企業的各個環節中；其次，市場需求大。企業對於如何保障內部數據安全、保障客戶的數據隱私安全有着迫切的需求。如此看來，「說不定明年的冠軍也是作數據安全的呢。」

所以，在將來的 5~10 年，若是安全公司能夠經過核心的產品和技術突破幫助用戶解決數據安全問題，好比依靠技術摸清底盤，瞭解用戶隱私數據在哪裏有哪些，必然能夠在市場分得很大一塊蛋糕。

肖力最後指出，需求正在倒逼技術的發展。數據安全領域亟需經過技術突破迎來爆發。

「阿里巴巴雲原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐，作最懂雲原生開發者的公衆號。」