阿里巴巴副总裁肖力：云原生安全下看企业新边界——身份管理

做者 | kirazhou

导读：在 10000 多千米以外的旧金山，网络安全盛会 RSAC2020 已经落下了帷幕。而身处杭州的肖力，正在谈起今年大会的主题——Human Element。2020 年，从“人”出发，这颗石子将在国内的安全市场池子里激起怎样的涟漪？Human Element 的背后隐藏着怎样的安全洞见？

在 Gartner 的《2020 年规划指南：身份和访问管理》报告中，咱们看到了 IT 必须推动 IAM（身份和访问管理）计划，而身份治理和管理、混合/多云环境做为可预见的趋势，更是已经在风口蓄势待发。

人、身份和云端，这三者之间的角力、千丝万缕和无限可能，正是这次采访的最大收获。

Human Element：了解人的脆弱性

咱们经常谈起，“安全的本质在于人与人之间的对抗。”

从攻防对抗的视角来看，人的因素使得攻防对抗成为一个动态的持久过程。攻击者的手段、工具和策略都在发生变化，而防护者的安全防御能力也在提高，二者之间持续对抗，安全水位线一直动态变化。

在整个攻防对抗过程当中，人，既是防护者，也可能成为攻击者，而对抗不只会发生在企业与外部的对峙中，不少时候也发生在企业内部。

人，是绝对的安全核心，这是今年 RSAC 大会传递给咱们的讯息。而在关注人的安全技能与能力建设之余，也要清晰地认知：人的脆弱性令人自己成为安全中薄弱的一环。所以，企业在应对来自外部攻击的同时，如何防范来自企业内部人员的威胁一样关键。

2017 年卡巴斯基的调查报告中提出，46% 的 IT 安全事故是由企业员工形成的。如今，这个比例已经上升至 70%~80%，譬如内部开发者因为未遵照安全规范或自身安全能力不足，而致使所研发的应用在设计之初就留下了漏洞，亦或是在职/离职员工因为操做不规范或直接的恶意行为致使企业安全问题。

“整个安全体系绝对不只是和自动化蠕虫作对抗，这只是冰山一角”。

面对“人”带来的安全影响，肖力认为问题根源在于企业的安全基线作得不到位。目前，不少企业更注重于威胁检测与响应，这一部分确实有用，但还不够。“咱们思考的不是出了问题后如何去解决，而是如何不出问题。”所以，事前的安全基线设置比起过后的检测与响应更为关键。企业安全基线包括了：

1. 全部应用系统的统一身份认证与受权
2. 安全运营：设置红线
3. 创建应用开发安全流程：肯定开发人员培训、内部安全考试与认证等规范

若是说企业的安全基线是走向安全的基础 60 分，那么，只有先作好安全基线再去作过后检测响应能力的提高，才能让企业安全体系更为稳固。其中，“身份”做为在互联网中的直观映像，身份管理对于有效下降内部人员的行为带来的安全威胁能够说有着重要做用。

身份：零信任理念下的新旧边界交替

网络身份的重要性无需再赘述，而身份如何从安全因素之一转变为企业安全防御的“主角”，2010 年是一个隐形的节点。

肖力指出，在过去的 IT 环境中，尤为是 2000~2010 年期间，边界隔离是企业安全防御的主要手段。但 2010 年后， IT 总体环境发生了巨大的变化：

1. IT 架构根源性的变化：随着移动互联、lOT 设备的普及，整个内网、办公网络都受到了巨大的冲击，大量的设备接入，致使原来的边界难以守住；
2. 企业数据库从 IDC 迁移到云上：随着云计算的浪潮，愈来愈多的企业选择全站上云或 50% 业务上云，致使防御环境发生变化。
3. 企业 SaaS 服务发展：企业网盘、钉钉等企业 SaaS 服务的发力，意味着愈来愈多的企业工做流、数据流和身份都到了外部，而非固定在本来的隔离环境中。

随着环境因素的变化，传统的边界将渐渐消亡，仅依靠传统的网络隔离行之无效，这时候，基于零信任理念的统一身份管理为企业从新筑造了“安全边界”。

基于零信任理念，企业能够构建统一的身份认证与受权系统，将全部帐号、认证、权限统一管理。譬如，离职员工被视为企业的重要威胁之一。在整个企业安全体系建设的实践中，必需要作到帐户对应到应用系统的权限统一，实现天天离职员工的全部身份、帐号权限能够在企业内部系统中一键删除。

包括近一段时间安全圈内热议的微盟员工删库事件，从身份认证与管理的技术角度来看，也是彻底能够避免的。肖力认为：

• 一方面，企业在实施 IAM（身份和访问管理）时，秉持最小权限原则，经过账号的权限分级，给到员工应有的权限便可，而相似“删库”的特权帐号不该该给到任何一个员工；
• 其次，哪怕员工下发了批量数据删除的指令，企业也能够经过内部异常行为检测，识别出该类指令基本不会发生在正常的生产环境中，从而不执行该指令。

除了技术层面的实现，身份认证与管理的本质依旧是安全基线。同时肖力指出，安全团队在企业中的位置与影响力则决定了基线可否被肯定、切实地落实到业务中去。判断安全团队在企业、业务中的影响力大小，最直观的就是组织架构：安全团队是否为独立部门，直接汇报给 CTO 甚至 CEO。

将来，IAM 应该还会向零信任架构推动，并基于零信任理念衍生出多应用场景下的身份治理方案，打通“身份认证”与云安全产品，构建云上零信任体系。

基于云原生安全的 IAM

身份管理提供商 SailPoint 的首席执行官兼联合创始人 Mark McClain 曾经说过：“治理的世界是有关谁有权限访问什么东西，谁应该访问什么东西，以及如何正确使用这些权限的世界。但现实是，大多数消费者距离前两条都差得很远，更不用说第三条了。”幸运的是，如今的 IAM 工具/服务愈来愈易用，而且加快延伸至云端环境。

肖力指出，云原生的安全红利是可见的。“常态化”的云几乎成为了企业操做系统，涉及 IaaS 层、PaaS 层和 SaaS 层。各个云服务商在安全上注入巨额投资，以规模化的人力物力打磨云安全产品和技术，让企业开始尝到云原生技术带来的安全红利。

普通企业没必要重复造轮子，搭载上阿里云等云服务厂商的航母，就能在云计算浪潮里前行，享受高等的安全水位。

其次，云化带来的 6 大云原生安全能力：全方位网络安全隔离管控、全网实时情报驱动自动化响应、基于云的统一身份管理认证、默认底层硬件安全与可信环境、DevSecOps 实现上线即安全，让企业脱离本来复杂的安全管理模式，从“碎片化”到“统一模式”。

随着企业上云趋势日益明显。IT 基础设施云化、核心技术互联网化，最终让企业架构发生变革。而“云化”的过程当中，愈来愈多的企业开始思考混合和多云环境下的 IAM（身份和访问管理）问题。

混合云：场内工做+公有云环境服务的使用； 多云：多个公有云服务商服务的使用。

关于混合云，基于企业上云后的统一管理模式，能够在复杂的混合云环境下直接实现统一的身份接入，将企业云上与云下身份打通，而且基于对云端上的用户环境作评估，动态地授于不一样人以不一样权限，从而让任何人在任什么时候间、地点，均可以正确地访问内部资源。而多云的环境则能够利用活动目录的工做负载实现身份管理。

云上的环境，赋予了统一身份管理更多的可行性，而进一步探索混合和多云 IAM 实现方案将成为企业战略的新方向。

最后，由身份管理衍生的数据安全问题，一样值得关注。2019 年，数据安全绝对是最热的话题之一，不论是高发的动辄上亿级别的数据泄露，或是陆续出台的数据隐私法规，都在反复强调数据安全的重要性。

在采访的尾声，肖力一样谈到了今年 RSAC 的创新沙盒冠军 Securiti.ai。有意思的是，过去 3 年创新沙盒冠军中有 2 年都是作数据安全的，彷佛给网络安全企业的下一步发展提出了一个很是明确的方向。

首先，数据安全自己的命题就很大，数据的流动性使得数据安全问题横跨各个安全技术领域，并出如今企业的各个环节中；其次，市场需求大。企业对于如何保障内部数据安全、保障客户的数据隐私安全有着迫切的需求。如此看来，“说不定明年的冠军也是作数据安全的呢。”

所以，在将来的 5~10 年，若是安全公司能够经过核心的产品和技术突破帮助用户解决数据安全问题，好比依靠技术摸清底盘，了解用户隐私数据在哪里有哪些，必然能够在市场分得很大一块蛋糕。

肖力最后指出，需求正在倒逼技术的发展。数据安全领域亟需经过技术突破迎来爆发。

“阿里巴巴云原生关注微服务、Serverless、容器、Service Mesh 等技术领域、聚焦云原生流行技术趋势、云原生大规模的落地实践，作最懂云原生开发者的公众号。”