万物互联时代,全球数据量与日俱增。人们在探索数据价值的同时,也打开了数据安全的潘多拉魔盒。1、为什么传统的网络安全在数据安全时代开始失效?尽管部署了完善的网络安全措施,但数据安全事件仍时有发生。进入数据安全时代,那些原本行之有效的安全措施开始失效甚至失效。这个世界发生了什么变化?1、互联网业务的迅猛发展,打破了常规的时间和空间限制,让我们服务的人群变得无限大。当然,互联网在带来无限客户的同时,也带来了无限的黑客。面对海量黑客,任何微小的漏洞都可能被捕获,导致安全风险被无限放大。尤其是两个基本假设的成立让我们不知所措:任何应用都会存在漏洞;黑客总是会先于用户发现漏洞。2、社交网络泛滥随着移动互联网的兴起,社交网络发生了新的颠覆性变化。从邮箱到QQ、微博、微信等,内外网络完全打通,网络界限越来越模糊。每个人在社交网络上都有一大批“最熟悉的陌生人”,他们可以利用我们的信任轻松进入我们的网络。3.无限增长的数据价值从网络安全向数据安全转变的根本原因是数据的无限增长价值。在很多组织中,数据已经成为他们的核心财富,甚至是最大的财富。甚至有“抢银行不如抢数据”的说法。在数据财富无限快速扩张的过程中,数据财富的管理并未发生本质变化,基本处于裸奔状态。因此,那些不受保护的数据财富,不断地引诱着企业的员工和合作伙伴犯错误,不断地引诱着黑客对其进行抢夺。在现实生活中,我们不会把巨额现金放在客厅、广场等公共场所。我们总是小心翼翼地对这些财富采取重重的保护措施,或者将它们委托给更专业的信用机构(如银行)进行保管。然而,我们现在对待数据财富的方式无异于把它放在客厅里,甚至放在广场上。在数据世界中,我们还没有找到像银行这样的机构来保护我们的数据财富。4、数字世界与现实世界的镜像随着数据价值的凸显,尤其是人工智能的兴起,我们正在将现实世界中发生的一切都数字化、数字化。可以预见,在不久的将来,数据世界将很快成为现实世界的投影或镜像,现实生活中的抢劫、杀人等犯罪行为将映射到数字世界中的“数据破坏”。二、从可信验证体系到“零信任”安全体系1、可信验证与零信任体系并存人们大部分时间都生活在可信验证体系中,每个人都可以自由处置自己的财富和其他物质。例如:我花钱买了一个茶杯,可以用来喝茶或咖啡,要么闲置,要么干脆当垃圾处理。我有权处理这个茶杯。在大多数生活场景中,我们用类似的方式来处理财富、物质甚至人际关系。然而,当财富或物质影响力达到一定程度时,我们往往需要用另一种形式来应对。例如:虽然你花钱买了一件价值连城的古董,但你无权随意砸碎它;对于森林绿化,虽然山林是你的,但你无权随意砍伐。可见,涉及到大利益和公共利益时,往往还有另一种机制在起作用:零信任机制。比如战略情报、重大选举、法律法规的制定、多重认证(权限的认可)等,都是基于零信任体系的运行机制。前提是自然不能信任任何人。2、传统IT系统中的可信验证体系传统IT系统(如操作系统、数据库等信息系统)在生活中几乎都严格遵循可信验证的安全设计理念:人人有权随意处置。例如:在Oracle数据库中,Schema账户对Schema下存储的所有对象具有任意处置权,可以任意查询、更新、删除、清除。DBA账户作为整个数据库的所有者,拥有对数据库中所有对象的处置权。这种处分论看似正确,但仔细想想就会发现,这种处分方式非常“可笑”,很大程度上取决于人的本性,即守法自觉。DBA只是管理数据库的人,而不是处理数据的人。就像仓管员一样,他只负责仓库的清洁、温湿度、安全等事宜,而无权处置仓库中的粮食和物资。Schema账户类似于一个仓库。数据和代码只需要存储在仓库中。仓库管理员不应有权处置存放在仓库中的材料。这种基于传统账户的安全体系虽然在相对可信的内网环境中有很好的生存空间,但本质上存在概念上的混乱。该系统很容易混淆帐户和身份之间的区别。账户只是一个信息系统的登录凭证和参考凭证,而身份是现实生活中的人。两者基本上是分开的。在真实的数据库实践中,账户更多的是数据库对象存储的容器,而不是身份。这种混淆最终模糊了生活中可信验证系统核心的身份。现代网络环境下的身份安全越来越差,这种模糊性最终导致传统网络安全体系的不可持续。3.走向零信任安全体系走向零信任安全体系主要有两个方面的驱动:互联网、移动互联网和社交网络已经连接了世界上的每一个人,突破了时间和空间的限制,网络边界越来越多并且更加晦涩难懂,并且实际上不再存在安全网络。因此,基于账户的安全体系是不可持续的,需要将账户转化为身份才能在此类网络中安全生存。当现实生活中涉及到巨大的价值或巨大的公共利益时,往往通过零信任系统而不是可信系统来解决。数据的价值已今非昔比。近年来,其价值不断放大。数据的托管性和多面性,总会涉及到很多公共利益。参考现实模型,零信任安全体系可以作为最合适的数据安全体系架构。3、“零信任”安全体系的基本原则当数据构成我们的财富和核心竞争力时,传统的可信体系面临着巨大的挑战,无法满足用户数据安全的需求。我们需要构建一个零信任系统,以管理战略情报的思维来管理数据。零信任安全(或称零信任网络、零信任架构、零信任)最早由JohnKindervag于2010年提出。2010年,美创科技也并行提出零信任安全体系并付诸实践。是全球最早零信任安全体系架构的构建者和践行者。美创科技在多年的零信任实践中形成了一系列零信任安全体系的基本原则和实践原则。在零信任安全体系建设中,美创科技遵循四大基本原则:1.灯下黑不能被发现,就代表它不会被攻击,即使我们的业务和系统充满了各种安全漏洞.比如隐身战机,速度慢,防御差,但被攻击的概率不高。光下黑放弃了传统的对抗思维,让我们免疫了黑客式的网络攻击。2.与狼共舞,以毒攻毒在网络边界模糊的今天,假设我们的网络总是被攻破,网络内部总会有“坏人”,我们需要确保关键资产不被破坏和泄露,确保关键业务不会受到影响。3.无阻断,无安全入侵者或破坏者往往只需要几秒到几分钟就能对关键资产和关键业务造成破坏和影响。除了少数专业机构外,大多数机构都无法对入侵做出快速反应。即使机构具备这种快速反应能力,但快速反应的巨大成本也是大多数机构无法承受的。我们需要在事件发生之前将其制止,并在不部署快速响应能力的情况下实现最大的安全性。4.知白守黑如何识别“坏人”一直是传统网络安全的核心命题。我们利用积累的“坏人数据库”,勾勒出各种“坏人”的特征。遗憾的是,大量的“坏人”特征仍然不能更好地帮助我们识别可能的“坏人”。知白守黑,换个角度看待“坏人”。我们不勾勒“坏人”的特征,而是勾勒出“好人”的特征。不符合“好人”特征的就是“坏人”。从商业角度看,“坏人”的特性是取之不尽的,而“好人”的特性在特定场景下是可以用尽的。知白守黑,才能更好地保障数据安全和业务安全。四、“零信任”安全体系的实用原则1、从保护对象出发,很难想象要保护什么才能谈安全。如何在不知道保护目标的情况下确保安全。当不知道防护目标或防护目标已知但无法描述时,只能尽力识别可能的“坏人”,只能进行全面的通用防护,或进行场景化防御对抗虚构攻击。数据安全不同于网络安全,它定义了一个明确的保护目标:数据。每一条数据都有其固有的特征和行为,我们可以围绕这些固有的特征和行为构建保护和防御系统。2、保护应该由内而外,而不是由外而内。当我们明确将数据作为保护的目标时,由内而外的保护就成了我们自然而然的选择。众所周知,越接近数据,保护就越强大。从内到外的层层保护都是为了同一个目的——更有效地保护数据安全。3.当基于身份而不是基于账户定义对数据本身的访问时,它不是基于账户。账户只是一个信息符号,是访问数据库、业务、操作系统等的凭证,而不是访问数据的凭证。我们总是把数据访问定义得尽可能接近于人的真实身份,定义为某个人或某个身份可以访问特定的数据。或者定义特定数据可以通过代表身份的某些规则访问。4.知白守黑,从正常行为和特征推断安全。当我们明确了保护对象的数据后,发现访问数据的正常行为是可以定义和穷举的。因此,访问定义详尽列表之外的所有访问都是不合规且不安全的。而且,通过对历史访问行为的研究,可以表征正常访问的特征,不符合正常访问特征的访问行为就是非法的、不安全的。5.剔除特权账户剔除特权账户是构建零信任安全体系的前提。引入多方联动监管约束机制是零信任安全的基本实践。
