零信任SASE-安全体系与支撑基座的融合建设实践(二)
嘉宾信息
罗兴峰 杭州数云信息化与安全资深总监
安全体系与支撑基座的融合建设实践(二)
三、关于生态协作中不同身份如何管理
不管企业的大或小,其实你在企业里面,协作生态里面都会有很多很多不同的人,比如说你自己的员工,你自己的员工也有业务人员,非业务人员,有高安全级别的,非高安全级别的,有数据安全的团队,有离线计算的团队,大家接触的数据权限其实是不一样,每一个团队或者是每个组织,他的的组织结构是不断的变化的,而且项目组的人进或出其实频率是很高的,那你可能一个星期人员就有发生变化,外国的人员,你项目肯定不能,如果要发展,肯定不能只靠自己人,你自己的人员的数字和特点实际上是非常固化的,成长起来是很慢的,比如说某一些特别的电端项目,或者是一些高应用的项目,它实际上是需要很多外部的专家和外部的顾问来在短期内参与你的项目,贡献整个经验和能力的,项目其实对于公司业务来说,需要不同的角色的人和不同密集的人进来,去参与某种项目,对于安全来说,那这些人是临时的进货的,他的权限级别,我必须要识别他的身份,有些人他可能进到这里去做,做完这个事,事情可能到下个月的时候,他进到另一个事业部,或者是另一个项目组的时候,那他的整个权限和数据权限的这个定义实是不一样,比如说,他参与可能端着销售的一个项目时,他可能只是对他,对他的就是文档,可能是进行数据健全是完全是没有的,但是,如果这个人可能到后期进行项目合作和实施的时候,他开始有一些跟客户交互的数据时候,他的密积提高了,我们使用公司不同的身份组织就必须要能够识别,识别它,我们在落地的时候,就有多个钉钉组织在这种情况下,你公司用什么组织的合作伙伴,用什么样的组织?你的协同的项目组到底怎么定义,在主织结构里面怎么体现,行业的个人专家是放在哪里,他怎么样去打这个角色的标签,实际上就是你的组织结构是要能够配置,我不可能配置在一个很独立的系统,我肯定是配置在统一的公司的组织,数据目前可能比较多,我们用多个钉钉会比较多,那在情况下,是要求的方案是能够去对接的,使用我的统一的数据,我不可能去使用,我要把所有的变化或者是点放在里面,其实是我不可能去做这个事情的,为什么这个地方的变化是不同公司的?
人事管理流程是密切相关的,因为你组织结构的变更都在你这个oov的流程和人是人事的流程里面去发生,那我必须在那边发生,完了以后能马上应用,这个就是融合性方案里面要求比较强的,在我们落地的时候。
实际上我们做了一个事,这个地方就是公司组织,合作研发的钉钉组织,还有就是生产合作伙伴的组织,多个的钉钉组织的,或者多个人员不同角色组织的的现状,统一身份登录的时候,我们其实左边已经用了这样的区分,只是它是一种割裂的状态,就是他在使用的过程中,虽然他在组织里面,但是跟我的整个终端安全,新闻管理还有文件分析管理的时候,他是分开的。
我们其实还蛮在寻找这个,在做方案的时候,看到一个人在这里,我们成为了我们很好的一个衔接,他很好的能够去使用钉钉组织来进行身份的融合,配置完成以后,我的整个安全策略和整个身份定义的策略就可以实现,我这个公司组织跟他有效的一个界限,而不需要做额外的太多的定制化开发,这是我们非常好的一个体验,实际上这是一个在运转的过程中的一个状态,可能涉及到的就是我组织里面有哪些人,我业务系统有哪些。
四、通过SASE和SSO的贯通安全运营全链路
我的业务数据有哪些?他们所有的点我们都会要求尽可能的,因为这是一个推进的过程,可能某些核心系统快速的去接入网络,是高安全级别的,你必须在某个时间点之前,完成c网络的接入,那对于应用的账号,有统一登录系统,原来我们是把它全部用钉钉,但是要后来发现有很多系统也不支持钉钉,我们实际上也在这里面去选择能走钉钉,不能走钉钉,走统一的,其实钉钉已经是在这条线上,设计的原则是我们可能坚持的原则,那我们所有的点就是原来业务,整个安全的运营就是最左边和最右边,原有的时候,实际是割裂的,我们有很多组织结构在跑,有很多业务系统在跑,有很多业务的数据在发生,右边有很多安全的管理的策略,要求通知,在点上没有办法去把它结合起来,只能通过定期的审计,三个月一次的审查,再做这个人员的判排难点,再去看体系它可以每年去做一次这个评审,甚至每半年可能做一次内审,但实际上它都是之后,因为你没有办法在真正的生产系统里面和这个安全管理系统里面去做结合,以因为可能都停留在纸面,但是如果有了sso以后,在这个点上,我们其实是把所有的安全的策略就直接配置在网网络里面,这就有了一个很好的管理的抓手,于是我们在企业落地的时候,实际上在我们的办公系统,客户关系管理系统,这些系统里面全部去开始启用网络和那个sso接入的,这就奠定了我们整个在安全建设的一个机械,我们实际上是用机械去设增长,我们整个在企业运转里面的整个安全框架,而其实如果你是用生长的方式去走的话,在这里面的实现的代价和成本其实是不高的,它比较灵活的去接入,而且对你的系统的新性实际上很低的。
我们1000人的一个状态,在这种情况下,其实就可以用很低的,性价比很高的方案去产生企业的安全管理的一个系统,我未来还有很多系统,还有是自研的很多系统的时候,我们都用方式去接入的时候,开发的成本甚至比我原有的方案还要低,接入体系,它是不用开发这部分代码的原有的内容,如果没有,他还得自己去开发一套整个账号管理体系,安全策略的体系,其实很难的,因为都不是很很专业的事情,有了这套方法,我们可能整个运营链路的落地,我们就发现,其实我们实现了安全能力的增加,比如说我的人力资源,我原有的可能人力只能在被调或者是一些基本的人员信息的场合去,尽可能加强识人的一些点,那我们可以现在可以在入职的流程里面就实现完成身份的绑定,我的人员如果不完成实人认证,或者是一些三次网络,那我的人力流程里面其实在就可以来做,我的调岗流程,我的离子流程其,我的人力的调网流程,完成整个调网以后,马上就会实现权限的约限,因为权限里面会配合人力组织结构的方式来做,其实它一定程度上是让人力的流程变成跟安全的流程是融合,合作伙伴负能,那我们其合作伙伴也有一个钉钉,我们在这个合作伙伴开始跟我们建立联系,或者是进入项目组织前,其实要完成一个合作伙伴的安全检测流程,那流程里面就比较多的安全检检测的接入,如果不接入的话,它其实是无法访问整个合作的系统代码或者是项目,或者是一些特定的系统的一些点,实际上合作伙伴的安全能力也被我们无形中就是抬高了水平,因为有很多合作伙伴,你不能保证它在内部的安全能力是拉起的,有些很强,有些其实很很初级,在情况下,我们至少把它的安全水平线往上一起拉平,不会出太大的问题,而且他后期的审计能力会很强,我项目实施的团队的安全,原有的可能项目经理自己会去做,可能就是内部安全的意思,甚至有一些别的系统,他分散的去落地一些安全的策略,那在现在来说,进入项目组必须进入钉钉组织里面的某个项目,因为我们的某项目的组织也在钉钉组织里面,项目实施的安全的能力,
它也是被拉起了,客户的安全赋能,如果客户要求我们,你们有没有更好的的账号管理的方式,或者是变成方式我们也可以用你们的,我们的最佳实践的模型是可以让客户说你可以参考这个做或者用我们的也行,但是设计的思路会跟客户一起去介绍,因为我们也不会说所有的安全都做的极端安全没问题,但是我们会告诉客户我们是怎么去做的,那在这个方案上哪些可以借鉴,哪些可以去一起体系共创。
客户你也可以学习,我们实际上是跟有一些客户有一些贡献的,这个实际上还蛮好,研发安全,实际上就是如果他进入到特别的岗位,比如说某一个人,从一个普通的数据岗,调到了一个高密集的数据岗的时候,他发现我在组织结构里面还没有变现,他就开始干那个事了,他实际上就会发现他在安全系统里面,访问不了系统,为什么这个资源我是到拿不了的?我们看组织结构里面,你的组织结构还没有完成调岗,你必须要去跟这个流程去完成,这个时候他就发现我原来要调个岗,跟这个公司的管理的这个团队上报,这个人已经发生了变更,一旦完成整个调岗流程以后,他的整个安全级别,就有相当于跟他真实的运转的情况就匹配了,我们实际是知道哪些人是具有权限的,哪些人是不应该具有权限的,这样是在主结构里面就已经策略就配好了,这就是在些网络其实给了我们很多的能力,原来东西都是你的,你的希望是美好的,你希望每一个角色或者高敏感的角色可以被管理的,但是实际上你在落地的体验里面的时候,你的组织跟你的配置,这是脱节的,甚至脱节的时间是远远大于6个月的时候,你这个愿望的美好,跟真实的现实实际上存在的中间的差距很大,就导致实际上我没有办法去做这个事情,在网络以后,我的所有的策略是基于中心的这个地方来做,而包括的人力流程也跟他做融合就变得很简单了,就变得天然是融合在一起的,我们要做的安全运营,实际上不是天天去干苦活,而是去关注和发现真实的运转跟我们配置的里面有没有差异?有没有一些点是我们需要改进的,大家去做更更有效的的一个点,那这个时候我需要的人力的数量就是那种苦活的数量是很少的,发现的全是改进点,那发现发现在改进点以后,我们就制定策略,怎么样去会更好,我们就可以不断的越来越强?随着我们跑的时间越长,能力实际上是越落地的越多。
五、常态化的开展安全运营工作
实际上常态化就开展了,我用的人很少,我全团队里面的人的数量是不多的,但是看门或者是看那个安全控制台的人是有闲人的,实际上拥有的经验其实还蛮足,并不是说一个简单的报警,我要向上去报安全,但实际是要看这个流程里面,这个地方的有一个高危动作是不应该发生的,实际上我们已经零零散闪的去做到了,介绍了一些安全控制点的一个情况。在我们这个情况里面员工的入职,部门的调岗,外部合作的审批,生产的访问的一些配置策略,数据传输的一些策略,在这些点上,他在很多细致节的点都跟这个网络进行了融合,比如说安全的流程,多个钉钉组织之间的协同,以前可能多个钉钉组织的用途,我们基本上只能停留在纸面,我们定义做这个丁组织,但实际上真实生产的时候,怎么都没有约束,也没有一个地方是去把你的定义和策略结合起来。
现在我来说,我原来的定义是在变的,但是现在同时我的整个的配置策略是按照这个定义的策略来进行,我实际上就可以匹配,当我发生不一样的时候,其实我还能知道到底是哪出问题了,到底是定义出问题了,还是配置出问题了。这实际上是两个不同的面,在执行落地的人员里面,实际上比较苦恼的,我们说大的安全管理流程是比较好做的,因为越上层的安全策略实际上是越清晰的,但是越往下,你安全策略挂钩点是越难的,而在企业里面,最后的就是那个短板,你最后安全能力是由你最短的那个板去决定的,任何一个地方输入点最后都会造成你的整个安全的降低,那在这个点上,我的业务的准入,我的风险的分析,终端的一些安全机械的一些落地等等的都融入了整个安全的运营的点,其实它有很好的安全的风险的控制的中心,或者是告警中心,这个安全的日志在安全志的管理上,其实我们是分散的,原有很多分散的地方,是不知道每个系统我们只能要求你们安全日志做什么样的开发,做什么样的留导,但实际上我们接入在次以后其实有一些比较核心的,比如说登录和高危操作的一些安全我们是可以机动化的,一方面我们可以跟做集成,我不仅解决这个运营的问题,我还解决安全日志的归集和这个集中的管理的方案,一个事情,他做了很多融合性的事情,这就是我们可能在日常里面可以看到的点,因为我的团队实际上是流程细化,团队和安全就是融合的两个不同的组织结构,但是都在协作的方式下工作,安全团队发现的这个整个安全问题,他会报给流程团队,基于这个安全设计,在流程里面发现了一个风险点,这个流程是要要改进的,你当前这个触发全事件就要怎么去弥补,但是更重要的是,你的流程在哪个地方去增加变更,它的变更都在我的团队里面,在这种情况下相互解耦也存在着护背的一种方式,其实是还蛮难的,所以必须是这个,协作和相互的审计的方式来做的时候,完全能力才会去不断的提升,这就是可能一个企业里面在oa,或者是在日常办公里面发生频率非常高的点,但这些点都开始融入这个安全运营的一些能力,这个是在默默的背后发生这个作用的点,这是我们可能去建设的比较想想要的一种状态,因为我的人力其实还是比较聚焦的,他的人力资源其实是蛮少的,大概是这样的一个场景,我们实际上针对不同的安全风险环节,就实现了安全运营的融合,我们可能重点的实际上有几大点是可能我们想抓的,风险比较高的就是监督审计审核点。
