本篇文章4631字,读完约12分钟

何毅,完美世界:重塑企业内部安全边界 会上,完美世界信息安全事业部总监何毅出席了国际数据中心服务大会,并在当天的安全运维分论坛上发表了“重建企业内部安全边界”的主旨演讲。 中国国际数据中心圈12月28日报道,第11届中国国际数据中心行业年会(IDCC2016)于12月20日至22日在北京国家会议中心隆重举行。在中国信息与通信研究院、发展与政策论坛和联盟的指导下,本次会议由中国国际数据中心行业年会组委会主办,中国国际数据中心圈主办,得到了众多媒体的大力支持。

何毅,完美世界:重塑企业内部安全边界

作为中国云计算和数据中心领域最大、最具影响力的标志性事件,IDC中国行业年会已经成功举办了10次。本次会议的规格和规模都是“上一层楼”,吸引了全部现场人员,其影响力涵盖了数据中心、互联网、云计算等所有领域。

会上,完美世界信息安全事业部总监何毅出席了国际数据中心服务大会,并在当天的安全运维分论坛上发表了“重建企业内部安全边界”的主旨演讲。

完美世界信息安全部主任何毅

以下是这次演讲的文字记录:

随着前几年外部安全的发展,近年来业务安全和风控。对传统企业内部网的安全性关注很少,但这也是企业的核心。今天,我将谈谈我们公司是如何做到这一点的。

我可以先简单介绍一下自己。我在下面列出了两个工作经历。我在2004年去了中国核应急中心做安全工作,并在2011年完善世界。两个工作时间都相对较长,我很少换工作。这有正反两方面的原因。如果有相对的好处,我将对公司的安全问题有更深的了解,知道一些痛点,也知道在安全情况下推广安全计划可能遇到的障碍,包括公司对安全产品的考虑。这种经历会多一点。我个人关注的重点是企业的安全管理、安全产品、建筑设计、安全攻防,这是我比较关注的一个领域。

何毅,完美世界:重塑企业内部安全边界

今天的主题是围绕企业的内部网,这些观点也是围绕这个。首先是内部网会遇到的安全问题。其次,谷歌公司项目在2015年的那个时候引起了轩然大波。我将谈谈它给我们带来的灵感以及它用于企业的方法。第三是内部网的架构设计。这种架构有些来自于以前的传统架构,有些是我们整合谷歌的想法。第四,我们将来会在这里做什么?

何毅,完美世界:重塑企业内部安全边界

这是我找到的一个气象站,我用漫游的四个关键字在内部网络中进行了检查。因为数据不完整,它只有截至2014年的数据,但基本上有超过40,000篇文章。也有消息称,包括我们在内的许多公司都经历过内部网络漫游。我们也经历过漫游。这个问题仍然是一个常见的棘手问题。

根据这些数据,我再次对它们进行了分类,并计算了入侵的原因。您可以看到最多的项目,一个是命令执行,另一个是不正确的系统/服务器操作和维护配置,另一个是服务器弱密码。即使机器有问题,因为一些密码记录保存在机器上,这些记录在许多服务器上很常见,一旦有问题,可以很容易地漫游。在企业中生存也是每个人都优先考虑的最重要的数据。一是账户系统控制不严,后台密码薄弱。我们每天都能看到密码泡沫。还有未经授权的访问/许可绕过,大量的人会爬进去搜索,搜索之后,他们会提取信息进行渗透。剩下的小问题就不一一解释了。

何毅,完美世界:重塑企业内部安全边界

然而,总而言之,这些要点基本上是不可或缺的。一个是安全漏洞、不安全的配置、弱密码、帐户问题、访问控制。访问控制渗透到内部网络,并通过外部网络获得服务器权限。但是,由于防控不严,你会通过这台机器跳进公司的核心数据,甚至拿走一些数据的权限。

为了简化这些问题,企业面临着最大的问题:漏洞、密码、权限。除了应用企业系统权限之外,权限还包括网络权限,网络权限很容易被渗透。

最常见的解决方案包括这些。我们随便列举了一下,比如安全管理系统,它在公共机构和金融机构中做得最多,包括中国的人民保险,每个人都会通过这个系统来限制它。该系统的核心点是强调人是安全漏洞的来源。它的理念是很好地控制人,安全将得到很好的控制。防火墙隔离很常见。还有安全加固。系统将得到加强,然后完成安全配置。还有监控审计、警报的大数据分析,以及现在相对较热的渗透测试。但是这些东西最终会考虑两点,一是它的成本,二是它的效果。就像安全管理系统一样,虽然每个人都说人都是安全的源泉,但是如果你真的实施它,你会发现成本很高,你会设置很多系统,但是这个系统真的可以实施吗,包括我之前和一些同事谈过的。由于每个人的反馈,许多系统很难实现和约束。防火墙隔离也是如此,也就是说,业务方将提交各种应用程序,但是当业务离线时,这种资源很难回收。通过防火墙,人们希望建立一个边界,随着时间的推移,这个边界将布满漏洞。随着时间的推移,企业忘记了这条规则是有效还是无效。渗透模式,因为涉及的成本,你很难涵盖每一个更新,或确保每一个渗透是完整的。这里的问题是为此付出高昂的代价。

何毅,完美世界:重塑企业内部安全边界

即使我们公司会使用一些方法,但总的来说,它还是有一些缺点。我们在2015年看到这样一个消息,谷歌决定不区分内部和外部网络。这篇文章当时很受欢迎。为安全工作的人基本上是在转变,不为安全工作的人也在转变。就连我们的首席执行官当时也特意把这个消息转给了我,这意味着谷歌不区分内部和外部网络,从而大大提高了效率。我们也能做吗?当时,我看到了这篇文章,我在一个论坛上查阅了他们之前演讲的视频,包括我现在的谷歌老板,我也从他的使用角度进行了分析。总的来说,谷歌的计划仍然给了我们一些启发。一是这个方案解决了信任文化。安全的本质在于信任。做安全工作是否能解决信任问题,无论你是去参加峰会还是传统招聘,要解决的问题是我如何知道你是登录这个系统的人,我如何证明你就是你?虽然我们现在会采用一些方法,但是这个问题是没有根据的,信任背后的许多机制很难推进。谷歌将这种信任关系向前推进了一步。这并不意味着它仅限于以前通过密码进行的信任。它是将信任关系放在设备上。因为所有谷歌设备都附有明信片,然后通过认证,所以所有设备都是可信设备。

何毅,完美世界:重塑企业内部安全边界

下一步,它解决了人们的弱密码问题。所有登录都是通过APP进行的,解决了账号密码弱密码的问题。这是信任。它的信任机制不会限制任何人。它只限制设备,只限制OPP颁发的证书。这使信任关系向前迈进了一步。

第二是边境控制。在过去的几年里,每个人都在说边界的概念越来越弱,因为边界预防和控制不再存在,就像它自己的一些设备一样,包括一些移动应用。包括这篇文章在内,当时也有人说谷歌放弃了传统的防火墙,但是仔细分析它的计划就会发现,它没有放弃边界,而是加强了边界。它集中了这个地方的所有入口,它的边界被加强而不是被稀释。

何毅,完美世界:重塑企业内部安全边界

我们后来也看了一下,发现这个解决方案中已经有了一些东西。整个解决方案不是不可复制的。有鉴于此,我们也做了一些尝试。这是我们内部网系统的架构。我们主要解决了这些问题。首先是统一的身份管理,因为对于企业安全,尤其是对于大型企业,一个问题就会被发现,而且会有很多系统。然后每个系统将有自己的管理人员和帐号。一个将会出现的问题是,一旦一个人离开他的工作并改变他的职位,他的账号权限将不会被删除。由此造成的问题是,这个人已经离开了,账号还在。包括这里发生的管理事件,此人已经离职,但他拥有此系统管理员的最高权限,并且此帐户尚未关闭。该方案可以解决身份群体的统一问题,并可以积累人员的生命周期。其账户权限可以从进入到离开和转移进行统一管理。

何毅,完美世界:重塑企业内部安全边界

第二是多因素认证。我们公司的人会下载我们开发的网络硬盘,并在最后一次生成密码。这样,一些入门问题就可以解决了。

第三是强边界隔离。我们将所有应用程序放在反向代理后面。这样做的一个优点是,当您想要访问后台业务应用程序时,您必须通过反向代理来控制它们。此时,它将强制您切换到反向代理的登录。只有在您登录后,您才能在登录过程中看到背面并输入您的密码。我们还使用了证书方法,这不仅需要您的一次性密码,还需要您的证书。这类似于你在支付宝上付款的方式。它最初的策略是要求你在电脑付款前下载一个数字证书。我们做同样的事情,但是我们做的是设置核心应用程序来读取证书以便打开页面。在未来,我们将考虑把这一块放在我们面前,而不是把它投入应用。

何毅,完美世界:重塑企业内部安全边界

第四是减少攻击面。我们的入口被分成三个街区。一个来自外部网络。虚拟专用网是企业内部网络的唯一入口。如果您想在进入后访问应用程序,外部端将由反向代理控制,它将绑定单点登录系统。会计就是管理。我们把所有的服务器都放在跳板机后面。通过这三点,传统的攻击面将得到有效的控制。对于一些数据库,他们将访问数据库的应用程序。我们还没有做到这一点,但我们将考虑在未来使用一些反向代理方法来进行更强的身份验证。

何毅,完美世界:重塑企业内部安全边界

系统的模块功能描述就是这样一个逻辑。前面的蓝色是入口。这个入口有三个点。黄色的是业务应用程序,包括服务器。绿色的是后台服务,主要分为认证服务器和访问控制系统,访问控制管理分两个地方,一个是应用权限,另一个是服务器的网络权限分配。用户数据库是存储所有信息的地方,包括在此管理帐户使用的权限。资产系统和防火墙是辅助系统,我们将通过资产管理系统获取用户访问信息。

何毅,完美世界:重塑企业内部安全边界

架构实现的主要模块和系统分为四类。单点最初是一个商业系统。然而,商业系统相对较差。售后不支持。服务链全断了。因此,我们要搬到开元。包括辅助系统、权限管理系统和认证系统都是我们自己开发的。

在使用过程中会遇到什么风险?当我们集中所有系统时,我们将带来的最大问题之一是单点风险,但单点风险可以通过LVS分散。二是当账户被整合时,由于每个系统的权限和账户管理都应该是集中的,会出现账户冲突等问题,这方面存在整体风险。还有商业干预。如果自己开发的业务是好的,但是会有一些业务系统在里面。帐户系统的登录已经失效,无法更改代码。我们应该考虑如何与它的系统集成。还有过程重构,它把这些东西放在一起让用户去问,比如用户需要什么权限,以及如何快速打开它们。最后,根据用户的习惯,这里我们应该考虑如何方便用户使用,这样可以降低推广成本。

何毅,完美世界:重塑企业内部安全边界

我们接下来要做的事情太多了。第一种是多重认证方法。今后,我们可能会推出扫描登录,方便用户使用。这是为了增加用户的使用成本,使用户更好地接受系统。另一个是WAF访问。这是一个自然的WAF保护入口。这个WAF可以保护公司背后的所有应用。这个成本仍然很低,而且收入会很高。此外,如果内部网受到攻击,最好追溯到源头。以下是足球。在未来,我们将连接SOC。一个优势是用户可以知道公司内的所有行为。知道之后,他可以识别规则,他只能访问哪些系统,他是否可以访问他不应该访问的系统,或者尝试他不应该访问的服务。在这种情况下,您可以制定规则来快速识别此人是否被黑客攻击,他是否想要造成内部伤害,或者这是否是无意识的行为。这样,你的安全控制能力将进一步加强。

何毅,完美世界:重塑企业内部安全边界

该系统不能解决内部网的所有安全问题,但它带来的最大好处之一是降低了安全成本,因为所有入口都是集中的,所有账户都是管理的,您的密码和密码将被慢慢淘汰,因此安全的攻击方,或您面临的风险和您的保护能力,将与您身后的WAF一起被控制。如果你一次只关注一个安全问题,你的投入和产出的效果会更好。谢谢你。

何毅,完美世界:重塑企业内部安全边界

完美的互联网世界与“战雷”开发者合作推出沙箱车游戏“创造战车” 完美世界今天宣布,它已与俄罗斯独立游戏开发商盖金娱乐公司达成合作,并宣布它将作为其沙盒载体游戏“CROSSOUT”的代理。 网络星级酒店无线上网的困难和痛苦是什么 随着旅游市场的繁荣,人们在旅游消费过程中对体验的追求也越来越多。酒店业的竞争焦点已经从硬件竞争转向服务竞争,网络服务是服务竞争的关键因素之一。杭州G20 2016

标题:何毅,完美世界:重塑企业内部安全边界

地址:http://www.yunqingbao.cn/yqbxx/2211.html