“小红书的安全是紧贴业务类型与发展阶段演进开展的,从内容安全再到技术安全、网络安全等方面不断迈进。区别于传统围绕防止黑客入侵的安全建设思路,保障数据安全以及管理访问控制是小红书高度关注的要点,防止红线数据外泄是终态目标。当下,随着数据安全等政策法规的落地,数据安全成了备受关注的领域,在实现我们防护红线数据不外泄的核心目标,且保障员工工作效率及体验,我们选择性地舍去了传统云桌面、沙箱之类比较“重”的工具。基于此,共创落地零信任数据安全体系,集成至内部安全办公系统中,替代3、4个安全软件,实现最小权限访问以及数据分类分级、流转、分发等全方位管控,这样既有效保护红线数据、又不影响员工效率与体验。”
——小红书安全团队
客户金句
十年前,小红书在上海创立。用户通过图文、短视频、直播等形式记录生活,分享生活方式,并基于兴趣互动形成社区。以此为基础,小红书平台上涌现出内容与商业之间不断流转的良性交互,成长出独具特色的“种草经济”。历经10年的发展,小红书布局内容社区、商业广告和电商交易三大业务板块,用户规模快速增长,截止2022年底,小红书社区拥有超 6900 万分享者,月活分享者 2000 万,日均笔记发布量300万篇,超17万个品牌。
用户基数迅速扩大、企业快速发展的背后,安全挑战悄然而至。除了刻在骨子里的内容审核安全,企业信息安全建设变得不可或缺。因此,技术安全、网络安全、数据安全等方面紧密跟随着发展步伐!
01 数据安全是底线
随着业务规模的发展扩大,小红书目前在北京、上海、武汉、广州等多地设立办公室,多地远程办公成为常态。组织结构的扩张、办公终端多样化、网络安全及合规的高要求,无一不激发了小红书内部安全革新的动力。
在企业内部看来,数据安全是放在首位的。不仅源于国内外对数据安全法律法规等政策的严格落实,更是出于对所有用户与员工的负责态度。与黑客攻击直接对数据安全构成的威胁相比,数据泄露最大的风险潜伏在企业内部办公网络:一旦内部办公网络受到入侵,或因员工造成信息泄露,都将给企业带来不可估量的损失与风险。
小红书互联网的基因让它在基础架构以及办公安全建设上面极具前瞻性和创新性,自诞生起它便“长在云原生架构上”,灵活的办公场景,员工良好的办公体验都是安全建设考虑的必要因素。基于小红书自身在数据分析和安全风控方面具备较好基础,因此,如何在混合办公环境对核心数据进行防护的同时保证高效灵活,成了安全团队的关键目标。
“区别于传统公司可能用云桌面、沙箱之类产品去保护(红线数据),我们认为这样部署方式可能有点重,且比较影响办公效率,员工体验也不佳。”小红书安全团队说道。“我们调研过市场上主流的一些DLP(数据防泄漏)产品,使用下来,员工反馈并不理想。此外,即使数据外发策略再严格,当数据留存在终端时,仍可以通过各种手段绕过,无法进行有效监测与拦截。”
由此,一个创新的想法在团队内涌现。零信任正作为近年在安全圈持续火热的概念之一被广泛传播,小红书安全团队认为,也许结合零信任这一前沿安全理念的数据防泄漏方案能弥补传统DLP解决方案的弊端。结合这一背景,团队展开了对市场上合作厂商的多方位调研:
面临挑战
1.多身份角色,接入用户多样化导致访问控制权限难管控:
除了内部员工,还有大量合作伙伴需要访问内网应用。不同组织和人员的访问权限划分需要实时更新,耗费大量精力。
2.多终端类型,云桌面和沙箱等方案无法适用于所有场景:
如今办公终端类型多样化,除了常见的Windows、MacOS等PC设备,还有大量iOS、Android等移动设备需要接入办公,传统的数据防泄漏方案无法满足小红书多样化办公设备场景。
3.安全产品碎片化:
为了解决不同安全问题,需要部署多套产品。不同产品有不同的管理平台,运维人员需要适应不同产品的设计逻辑和操作习惯,在不同产品控制台之间频繁切换,学习成本高且维护压力大;此外,各个产品之间无法形成联动处置。
4.传统安全产品开放性低:
在OpenAPI和自定义分析能力方面无法灵活匹配小红书业务,导致1+1<2;且传统的安全产品标准化交付模式,在一些细分场景下无法匹配小红书业务,共创定制需求响应慢,甚至无法完全满足。
5.终端安装多个Agent默认就占用大量资源,导致员工办公体验差:
传统办公安全解决方案,需要安装VPN、EPP、EDR、DLP、UEM等多个Agent,会占用大量设备资源,影响员工办公体验。
6.混合办公场景下远程办公让数据暴露面变大:
快速发展的小红书,灵活办公场景随处可见。混合办公场景下各接入点的安全水位不一致,容易成为攻击者的目标。
7.数据安全法律法规发布,企业敏感数据难管控:
随着《个人信息保护法》等法律法规发布,企业的敏感数据面临监管压力,但如今敏感数据分布广,获取方式多样,外发通道难以管控,给企业带来了挑战。
02 共创零信任数据安全 一体化集成“内部安全办公系统”
小红书安全团队经过调研和测试过多家相关厂商的产品后,最终选择亿格云作为合作伙伴,共创落地零信任数据安全解决方案。安全团队表示:“我们有很多想法是需要共创落地的,需要一个多变、适应性强的合作方,而很多厂商无法提供灵活多样的部署模式和交付组件,这会占用大量内部研发资源。综合评估技术和服务支持之后,我们认为亿格云目前的技术与产品是国内比较领先,且适合小红书现状的。”
在安全团队看来,合作伙伴的技术能力肯定是首要的,也期待对方能提供真正意义上的合作共创能力。因此,小红书与亿格云基于SASE共创零信任数据安全一体化解决方案:
1、BeyondCorp与SASE能力的结合
小红书早期调研了以谷歌的BeyondCorp为代表的零信任方案,其无端的访问方式确实带来了极致的用户体验。安全团队可以在网关上实现各种风控能力,然而BeyondCorp也存在很大的缺陷:
协议兼容性较差,只支持七层流量
需要对外暴露HTTP(S)服务,存在较大的攻击面
缺少终端安全管控手段,无法覆盖终端的安全问题
实现高可用需要投入大量时间、精力和成本
小红书正在关注近年来的零信任新趋势,即 SASE架构,它天然弥补了上述几个缺陷,分布式的POP点确保系统天然高可用,也补充了客户端的安全管控能力。然而,直接使用SASE也存在弊端,无法利用小红书自有业务网关优势,更要放弃小红书在网关上积累的风控能力,与企业内部的数据管理脱节。
综合调研了各种方案后,小红书根据自身网络架构特点,提出了一个创新的想法,将BeyondCorp与SASE能力结合,完美地满足了终端、网络和身份的安全需求。
终端 - DLP、杀毒、零信任访问等功能All in One,并且支持终端安全与访问控制策略联动
网络 - 办公网改造成非特权网;全球POP接入点实现高可用
身份 - 客户端与身份绑定,并在网关处与请求身份匹配,解决身份盗用问题
2、网关与客户端联动
在以往依赖网关实现的风控方案中,网关无法拿到终端的安全信息。小红书创新地将网关风控与客户端联动,网关风控能实时识别请求中是否包含客户端信息并检测客户端状态,确保终端的可信性。同时,还可在终端上实施各种安全合规策略。对于未安装客户端的访问请求,网关风控可将用户跳转到客户端下载页面,以低成本实现客户端全员覆盖。
3、实时风控和异常分析
小红书在风控基建上持续投入了多年,建立了完善的数据安全和风控体系。这套零信任访问系统可以将4/7层日志和客户端日志接入风控系统,实现与风控系统的无缝结合。客户端采集的安全信息为风控系统添加了更多维度的数据,实现更加精准和完善的异常分析。
4、红线数据不落地
小红书从数据安全生命周期管理出发,以“不落地”实现红线数据不泄露。在内部,小红书严格执行数据分类分级/API安全/脱敏/权限管理等措施,以数据打标和API打标作为数据防泄露管理的起点。对于内部生产类数据,将数据管控手段左移,通过在线转换业务系统产生的文档,使用在线文件取代文件下载。
相比传统的沙箱隔离和文件加密方案,这种做法不仅安全性更高,而且员工有更好的使用体验。
5、多级容灾机制
整个访问控制系统是串联在访问过程当中,一旦出现故障将影响所有员工的正常办公,所以系统的稳定性是小红书考虑的重中之重,为此小红书与亿格云创新性地打造了一个多级容灾方案。
默认情况下,流量通过小红书自建的私有POP节点,确保流量和数据都在自己可控的网络环境中。当本地POP节点发生故障时,系统可自动切换到亿格云的公有云POP节点。这种容灾方案已经可以保证超高的可用性,但是小红书不满足于此,在此基础上还实施一层Wireguard方案,当零信任防护模式失效时降级到VPN模式,以此实现更高的可用性。
6、自研客户端
小红书向员工展示自有品牌的办公安全平台,以增加员工对安全软件的认可度,同时还可以在客户端上集成更多内部常用的办公功能。小红书基于亿格云的客户端SDK,打造了一个匹配小红书自身风格的客户端UI,加之便捷的办公体验,实现其对员工的“种草”。
一年内,小红书已完成100%铺端部署,整体平滑过渡至零信任办公安全架构。在内网访问完成切换的同时对企业敏感数据实现分级分类,对不同部门和员工的外发通道进行细粒度的权限管控。这确保了准入安全,实现权限最小化、敏感数据不落地需求,建立全方位、立体化的数据全周期防护。
自落地以来成效显著,入网设备管控比例0%至100%,红线数据落地场景收敛80%!
03 效率先行,多重价值
值得一提的是,这一轻量稳定、简洁高效的一体化“内部安全办公系统”为小红书带来的价值已得以显现。在内部调研中,该系统也获得高达70%的NPS(口碑值):
1、 能力一体化、管理更精细:
一体化设计思路,即平台/功能/管理一体化,大幅降低终端安全体系建设、运行和扩展的复杂性。管控力度更精细、权限可自动梳理、运维难度更低,对终端、身份、行为和数据等进行全生命周期的精细化准入管控,确保终端符合内外部的相关准入要求,做到合法合规,准入可信。
2、安全互相赋能:
不仅实现产品平台自身不同模块之间的数据互通,更无缝衔接已有的安全能力。通过零信任平台对接现有风控系统,根据员工所在网络环境、身份、设备归属(公司设备 or BYOD)、设备安全性和访问时间等维度实时动态调整访问控制策略。
3、全域数据安全管控:
系统实现数据安全防护以数据为中心、分类分级为基础,为小红书数据资产提供事前主动防御、事中实时监测、事后追踪溯源和全程态势感知。基于数据的全生命周期提供全方位、立体化防护。
在下一阶段的部署中,小红书安全团队表示,会在此基础上增加更多安全功能,类如EDR等来保障内部办公网络安全。亿格云也将持续与小红书一起共同探索关于办公安全领域的功能开发!
我们相信,安全的风口可能会不断变化,可唯有自驱,才能有方向,与时俱进持续创新,才能保持一种向上的自我革新能力!我们也期待小红书在未来实现更多的创新迭代。