随着數字化經濟和遠端辦公的興起,網絡通路方式的轉變,讓企業意識到傳統的安全防護暗含着巨大的風險。在此背景下,零信任逐漸從概念走向落地,作為新一代的網絡架構理念,其核心思想是所有的資産都是身份,所有的流量都需要被看見、被認證,所有資産之間的網絡連接配接必須經過身份認證和授權。
但說概念容易,落地難,業内目前大多企業主要在辦公網采用了零信任的安全管理理念或方法,例如Google BeyondCrop。但是對于内部的生産網管控,則很少能有企業,根據新一代的網絡架構,真正進行零信任的落地。
阿裡雲作為國内份額最大的雲廠商,内部業務結構多元,通路流量複雜、身份變動頻繁,給安全帶來了極大的挑戰。雲安全團隊經過多年摸索,将零信任和雲原生進行結合,落地并實踐了一套身份和微隔離結合的方案,解決了大企業生産網中的隔離問題。
了解新一代網絡架構下
零信任的核心
5個假設
零信任的定義一般建立在以下5個假設之下:
- 網絡無時無刻不處于危險的環境中
- 網絡中自始至終存在外部或内部威脅
- 網絡的位置不足以決定網絡的可信程度
- 所有的裝置、使用者和網絡流量都應當經過認證和授權
- 安全政策必須是動态的,并基于盡可能多的資料源計算而來
需要特别強調的是:網絡的位置不足以決定網絡的可信程度。因為從安全營運實踐來看,企業内網管理存在着普遍誤區:“内網是安全的(辦公網和生産網),安全在邊界上搞搞就好了”。但從安全事件上來看,帶有目的性的入侵,一定會涉及到内網中進一步的橫向滲透。如果内網暢通無阻,沒有安全防護手段,必将導緻嚴重安全問題。
生産網的零信任嘗試
BeyondProd & Istio
在零信任安全的落地實踐中,目前廣為人知的零信任方案主要集中在辦公網。比如經常被提到的Google BeyondCorp,通過将通路權限控制措施從網絡邊界轉移至具體的使用者(基于使用者、裝置的身份而不是裝置位置),BeyondCorp 使使用者幾乎可以在任何地點安全地工作,而不必借助于傳統 VPN,安全的通路辦公網中的各類系統。
對于生産網内服務之間的零信任方案,業界成熟的方案相對較少。公開、大規模、成熟落地似乎僅有Google BeyondProd。
在開源的k8s架構下,Istio嘗試通過service mesh(服務網格)将零信任引入生産網。其核心思想是借助k8s架構,在生産網中每個Pod均部署service mesh sidecar,由于service mesh天然的接管了Pod之間的RPC通信,是以可以在其中增加網絡通路的認證、鑒權與安全日志記錄。但在實踐中我們也發現原生的Istio存在一些問題:
1
Istio本身的安全功能未經過生産環境驗證,隻是Demo階段
2
Istio對于工作負載之間(Peer authentication)的身份認證是通過将RPC協定封裝在mtls中實作的。mtls帶來的額外計算成本與延時開銷相對較大,很多業務難以接受
3
Istio僅接管RCP流量,非RPC流量鑒權機制不完善
通過對業内實踐的參考,再結合Forrester對“零信任模型“的三個基本理念,阿裡雲團隊在企業内網分步驟落地零信任:
- 檢查并記錄所有網絡流量的日志
- 驗證并檢查所有來源
- 限制并嚴格執行通路控制
阿裡雲的生産網保護
基于零信任的網絡微隔離
生産網中南北向的資料通過WAF、防火牆可以做到網絡隔離。而對于工作負載之間的通信,也就是東西向流量,缺乏有效的網絡安全隔離手段,是以微隔離的核心能力自然是聚焦在東西向流量的隔離管控上。
對于一般的企業生産網,往往僅部署了邊界防禦裝置,如Waf、防火牆。
首先
如果攻擊者突破邊界防禦(WAF、防火牆),或心懷不軌的員工連入生産網,便可直接觸内網中的所有工作負載。内網的脆弱性将直接暴露在攻擊者面前,且沒有有效的隔離手段控制爆炸半徑。
其次
企業,特别是網際網路企業,由于業務快速發展,傳統的按照安全域、VPC的隔離手段難以有效的适應業務的快速變化,導緻無法有效隔離。
最後
随着雲原生技術的逐漸普及,k8s開始大規模應用。在雲原生環境中,應用執行個體的工作負載是可遷移的、甚至是短時存在的,一天内可能有幾千、甚至上萬Pod建立與銷毀。傳統的通過IP進行隔離的手段将導緻頻繁的政策變更,政策幾乎不可維護。
是以我們寄希望于通過結合雲原生技術的網絡微隔離将企業生産網分割成彈性可變的N網,以滿足業務快速變化的彈性隔離,并且降低入侵後的攻擊面,控制爆炸半徑。
在實踐中,阿裡雲将零信任的基于身份通路控制與網絡微隔離相結合,使用身份進行網絡微隔離,降低入侵後的攻擊面,以提高企業生産網的安全防禦水位。
同時借鑒Istio sidecar的思想,将給基于零信任的網絡微隔離下沉至每個工作負載的Pod中,這樣從架構層面帶來幾個好處:
随業務工作負載部署,以應用身份為粒度進行網絡管理
安全能力可以随着業務的彈性擴縮容自動部署
安全能力與業務代碼解耦,對業務系統無侵入性
在工作負載通信階段,我們也進行兩層的認證、鑒權能力的建設:
在L3/4通信層面
附加應用身份,保證連接配接級别認證、鑒權
在L7通信層面
附加應用身份,保證request級别的認證、鑒權
若L7層面無需request級别通路控制
在隻開啟L3/4層認證、鑒權的情況下可以做到網絡性能幾乎無損耗,并且支援各種應用層協定
在安全營運層面,阿裡雲進行分階段部署與建設:
首先确定網際網路邊界應用、核心業務應用為優先保護對象
通過微隔離安全容器的部署,采集了完善的内網東西向流量資料
原始的東西向流量資料通過應用身份+資産庫資訊,将IP之間的通路關系轉換成應用身份之間的通路關系,并通過一段時間的觀察建立應用間的通路基線
4
在安全政策執行層面,優先對高危服務(SSH、SMB、LDAP、Kerberos等)、關鍵服務(敏感資料接口等)進行強制的認證、鑒權,提高關鍵系統的安全隔離水位
5
最後,進行了持續的營運監控。一方面為了防止誤攔截導緻業務受損,另一方面通過監控内網高危服務流量,發現可以的橫向入侵行為或蠕蟲感染事件
未來展望
在經過不斷探索後,我們發現結合雲原生技術,在安全領域可以做出新的創新實踐。在過去的一段時間中,各個安全企業一直在思考雲原生架構的安全問題,如何保護雲原生系統。其實安全可以利用雲原生架構的優勢,做出新的安全方案。比如将WAF、防火牆能力下沉至sidecar中,随業務快速彈性部署。如果安全sidecar在擁有認證鑒權能力之外,還具備WAF、防火牆的能力,這樣可以做到内網安全水位與邊界安全水位持平,最大限度的保護每一台工作負載。
在雲原生安全的路上,阿裡雲将持續探索。
阿裡雲安全
國際領先的雲安全解決方案提供方,保護全國 40% 的網站,每天抵禦 60 億次攻擊。
2020 年,國内唯一雲廠商整體安全能力獲國際三大機構(Gartner/Forrester/IDC)認可,以安全能力和市場佔有率的絕對優勢占據上司者地位。
阿裡雲最早提出并定義雲原生安全,持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力,和基礎設施深度融合推動安全服務化,支援彈性、動态、複雜的行業場景,獲得包括政府、金融、網際網路等各行業使用者認可。
作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者,阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境,為使用者提供全球最高等級的安全可信雲。