作者 | kirazhou

導讀：在 10000 多公里之外的舊金山，網絡安全盛會 RSAC2020 已經落下了帷幕。而身處杭州的肖力，正在談起今年大會的主題——Human Element。2020 年，從“人”出發，這顆石子將在國內的安全市場池子里激起怎樣的漣漪？Human Element 的背后隱藏著怎樣的安全洞見？

在 Gartner 的《2020 年規劃指南：身份和訪問管理》報告中，我們看到了 IT 必須推進 IAM（身份和訪問管理）計劃，而身份治理和管理、混合/多云環境作為可預見的趨勢，更是已經在風口蓄勢待發。

人、身份和云端，這三者之間的角力、千絲萬縷和無限可能，正是此次采訪的最大收獲。

Human Element：了解人的脆弱性

我們常常談起，“安全的本質在于人與人之間的對抗。”

從攻防對抗的視角來看，人的因素使得攻防對抗成為一個動態的持久過程。攻擊者的手段、工具和策略都在發生變化，而防御者的安全防護能力也在提升，兩者之間持續對抗，安全水位線一直動態變化。

在整個攻防對抗過程中，人，既是防御者，也可能成為攻擊者，而對抗不僅會發生在企業與外部的對峙中，很多時候也發生在企業內部。

人，是絕對的安全核心，這是今年 RSAC 大會傳遞給我們的訊息。而在關注人的安全技能與能力建設之余，也要清晰地認知：人的脆弱性使人本身成為安全中薄弱的一環。因此，企業在應對來自外部攻擊的同時，如何防范來自企業內部人員的威脅同樣關鍵。

2017 年卡巴斯基的調查報告中提出，46% 的 IT 安全事故是由企業員工造成的。現在，這個比例已經上升至 70%~80%，譬如內部開發者由于未遵守安全規范或自身安全能力不足，而導致所研發的應用在設計之初就留下了漏洞，亦或是在職/離職員工由于操作不規范或直接的惡意行為導致企業安全問題。

“整個安全體系絕對不僅是和自動化蠕蟲做對抗，這只是冰山一角”。

面對“人”帶來的安全影響，肖力認為問題根源在于企業的安全基線做得不到位。目前，很多企業更注重于威脅檢測與響應，這一部分確實有用，但還不夠。“我們思考的不是出了問題后如何去解決，而是如何不出問題。”因此，事前的安全基線設置比起事后的檢測與響應更為關鍵。企業安全基線包括了：

1. 所有應用系統的統一身份認證與授權
2. 安全運營：設置紅線
3. 建立應用開發安全流程：確定開發人員培訓、內部安全考試與認證等規范

如果說企業的安全基線是走向安全的基礎 60 分，那么，只有先做好安全基線再去做事后檢測響應能力的提升，才能讓企業安全體系更為穩固。其中，“身份”作為在互聯網中的直觀映像，身份管理對于有效降低內部人員的行為帶來的安全威脅可以說有著重要作用。

身份：零信任理念下的新舊邊界交替

網絡身份的重要性無需再贅述，而身份如何從安全因素之一轉變為企業安全防護的“主角”，2010 年是一個隱形的節點。

肖力指出，在過去的 IT 環境中，尤其是 2000~2010 年期間，邊界隔離是企業安全防護的主要手段。但 2010 年后， IT 整體環境發生了巨大的變化：

1. IT 架構根源性的變化：隨著移動互聯、lOT 設備的普及，整個內網、辦公網絡都受到了巨大的沖擊，大量的設備接入，導致原來的邊界難以守住；
2. 企業數據庫從 IDC 遷移到云上：隨著云計算的浪潮，越來越多的企業選擇全站上云或 50% 業務上云，導致防護環境發生變化。
3. 企業 SaaS 服務發展：企業網盤、釘釘等企業 SaaS 服務的發力，意味著越來越多的企業工作流、數據流和身份都到了外部，而非固定在原本的隔離環境中。

隨著環境因素的變化，傳統的邊界將漸漸消亡，僅依靠傳統的網絡隔離行之無效，這時候，基于零信任理念的統一身份管理為企業重新筑造了“安全邊界”。

基于零信任理念，企業可以構建統一的身份認證與授權系統，將所有賬號、認證、權限統一管理。譬如，離職員工被視為企業的重要威脅之一。在整個企業安全體系建設的實踐中，必須要做到賬戶對應到應用系統的權限統一，實現每天離職員工的所有身份、賬號權限可以在企業內部系統中一鍵刪除。

包括近一段時間安全圈內熱議的微盟員工刪庫事件，從身份認證與管理的技術角度來看，也是完全可以避免的。肖力認為：

• 一方面，企業在實施 IAM（身份和訪問管理）時，秉持最小權限原則，通過帳號的權限分級，給到員工應有的權限即可，而類似“刪庫”的特權賬號不應該給到任何一個員工；
• 其次，哪怕員工下發了批量數據刪除的指令，企業也可以通過內部異常行為檢測，識別出該類指令基本不會發生在正常的生產環境中，從而不執行該指令。

除了技術層面的實現，身份認證與管理的本質依舊是安全基線。同時肖力指出，安全團隊在企業中的位置與影響力則決定了基線能否被確定、切實地落實到業務中去。判斷安全團隊在企業、業務中的影響力大小，最直觀的就是組織架構：安全團隊是否為獨立部門，直接匯報給 CTO 甚至 CEO。

未來，IAM 應該還會向零信任架構推進，并基于零信任理念衍生出多應用場景下的身份治理方案，打通“身份認證”與云安全產品，構建云上零信任體系。

基于云原生安全的 IAM

身份管理提供商 SailPoint 的首席執行官兼聯合創始人 Mark McClain 曾經說過：“治理的世界是有關誰有權限訪問什么東西，誰應該訪問什么東西，以及如何正確使用這些權限的世界。但現實是，大多數消費者距離前兩條都差得很遠，更不用說第三條了。”幸運的是，現在的 IAM 工具/服務越來越易用，并且加快延伸至云端環境。

肖力指出，云原生的安全紅利是可見的。“常態化”的云幾乎成為了企業操作系統，涉及 IaaS 層、PaaS 層和 SaaS 層。各個云服務商在安全上注入巨額投資，以規模化的人力物力打磨云安全產品和技術，讓企業開始嘗到云原生技術帶來的安全紅利。

普通企業不必重復造輪子，搭載上阿里云等云服務廠商的航母，就能在云計算浪潮里前行，享受高等的安全水位。

其次，云化帶來的 6 大云原生安全能力：全方位網絡安全隔離管控、全網實時情報驅動自動化響應、基于云的統一身份管理認證、默認底層硬件安全與可信環境、DevSecOps 實現上線即安全，讓企業脫離原本復雜的安全管理模式，從“碎片化”到“統一模式”。

隨著企業上云趨勢日益明顯。IT 基礎設施云化、核心技術互聯網化，最終讓企業架構發生變革。而“云化”的過程中，越來越多的企業開始思考混合和多云環境下的 IAM（身份和訪問管理）問題。

混合云：場內工作+公有云環境服務的使用；
多云：多個公有云服務商服務的使用。

關于混合云，基于企業上云后的統一管理模式，可以在復雜的混合云環境下直接實現統一的身份接入，將企業云上與云下身份打通，并且基于對云端上的用戶環境做評估，動態地授于不同人以不同權限，從而讓任何人在任何時間、地點，都可以正確地訪問內部資源。而多云的環境則可以利用活動目錄的工作負載實現身份管理。

云上的環境，賦予了統一身份管理更多的可行性，而進一步探索混合和多云 IAM 實現方案將成為企業戰略的新方向。

最后，由身份管理衍生的數據安全問題，同樣值得關注。2019 年，數據安全絕對是最熱的話題之一，不管是高發的動輒上億級別的數據泄露，或是陸續頒布的數據隱私法規，都在反復強調數據安全的重要性。

在采訪的尾聲，肖力同樣談到了今年 RSAC 的創新沙盒冠軍 Securiti.ai。有意思的是，過去 3 年創新沙盒冠軍中有 2 年都是做數據安全的，似乎給網絡安全企業的下一步發展提出了一個非常明確的方向。

首先，數據安全本身的命題就很大，數據的流動性使得數據安全問題橫跨各個安全技術領域，并出現在企業的各個環節中；其次，市場需求大。企業對于如何保障內部數據安全、保障客戶的數據隱私安全有著迫切的需求。如此看來，“說不定明年的冠軍也是做數據安全的呢。”

因此，在未來的 5~10 年，如果安全公司可以通過核心的產品和技術突破幫助用戶解決數據安全問題，比如依靠技術摸清底盤，了解用戶隱私數據在哪里有哪些，必然可以在市場分得很大一塊蛋糕。

肖力最后指出，需求正在倒逼技術的發展。數據安全領域亟需通過技術突破迎來爆發。

“ 阿里巴巴云原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦云原生流行技術趨勢、云原生大規模的落地實踐，做最懂云原生開發者的公眾號。”