如需查阅更多嘉宾分享，请关注“君哥的体历”公众号。

何艺总是完美世界安全负责人，分享的零信任安全架构实践之路，对游戏行业安全从业朋友具有较高的实践借鉴意义，推荐阅读。

聂君

提示：本文有8421字，阅读大概需要40分钟。

【活动预告】零信任安全架构实践之路

【分享嘉宾】何艺

【嘉宾简介】从事甲方安全工作十六年，修过墙，垒过土，目前负责完美世界的安全工作，目前主要专注在企业安全建设、安全架构、零信任、安全分析和响应、APT对抗和数据安全，甚少换工作，在企业安全上有较多深入体会，另有个人公众号“小议安全”，用来做些输出。

【活动时间】4月24日周五晚上19:00-20:00，60分钟。

【活动形式】嘉宾通过文字形式，在“金融业企业安全建设实践”微信群内就“零信任安全架构实践之路”话题直播分享（约四十钟），之后是互动提问和回答，约二十分钟。

请大家安排好时间，准备好问题，积极参与。

----------------------------------------------------------------

以下是实录：

首先谢谢君哥邀请，能有这个机会在这里做些分享，下面我就正式开始，如果大家有任何问题，可以稍后交流。

今天我分享的主题是“零信任安全架构实践之路”，因为本身这是一个相对比较大的话题，所以我会聚焦在几个问题上，希望通过分享可以解答下面三个问题：

• 为什么做

• 如何做的

• 做的如何

具体分析的内容上，分了6个章节，分别是：

1. 为什么会实施零信任架构

2. 对零信任架构的分析（Google BeyondCorp）

3. 我所理解的零信任架构的本质

4. 我们的零信任架构设计思想

5. 基于零信任架构的安全运营

6. 后续的问题

为什么会实施零信任架构

每次有人问我这个问题的时候，我总是会回答的很不自然，因为我的回答是：我们要防APT。

“是的，就是猪猪侠还有群主朋友圈的截图，大家可以先笑三分钟，容我打打字。”

因为一说到是防APT，往往会被笑，这个很正常。曾经还有人给我发过百度关于病毒和木马到百科，耐心教导要学会区分病毒木马和APT的分别。

我个人对APT的理解是，APT是一种针对性，持续性，具有很强隐蔽和潜伏期的攻击，攻击有很强的目的，另外APT攻击并非一定会用到0day，而APT团队也是分等级，不是所有的APT团队都是GJ级的。

很多做企业安全的其实并没有机会真正接触过APT攻击，所以我记得有一次吃饭有钱总说过，能遇到APT攻击是多么幸运的一件事，这里面的原因是因为，攻击的目标价值如果不高，APT团队也没有必要花费高成本来实施行为，比如有的互联网公司最大价值的可能是用户信息，但这类数据不通过APT而是暗网去购买，成本会更低。

但游戏行业有个特点，即游戏行业里面的资产太容易“变现了”，不管是游戏代码、游戏程序、游戏服务器权限，GM后台权限，玩家数据等等，这些都是高价值目标，背后的黑产每年产值巨大。

我们其实是有过多次APT的场景，那时还找flashsky、killer大佬帮忙分析过样本，所以对我们最大的影响是，我们安全对抗难度提高，这样的话，我们以前的安全建设思路是和多数人一样，以安全分析为主，旁路为主，尽量不要侵入业务，影响业务。

但这种思路需要投入巨大资源才可以做好，只有阿里这类体量才可以，所以我就走入了主动防护的建设思路了，做防护的时候，当时也有一些现实的困难摆在面前，主要几点：

• IT基础治理比较初级：不清楚有多少资产，不清楚有多少账号，不清楚有多少系统；

• 攻击面大量暴露：防火墙规则形同虚设，NAT对外暴露服务，每个部门都有自己的业务，内网可以一蹴而就。

以上这些是当时很大的挑战。

在这个过程中，正好15年的时候国内安全媒体在宣传Google不区分内外网，甚至我们公司CEO都问我，然后我也就对BeyondCorp做了一次深入评估。

这个是当时的评估报告，其实结论是悲观的，我们完全不具备。

对零信任架构的分析（Google beyondcorp）

这个是当时Google白皮书里面的图，当时经过分析，得出的结论是：

• 不区分内外网并不是核心，哪个只是其中的一个结果；

• 核心是信任链条的建立，安全的持续动态校验，缩小攻击面。

这个是之前画的一个图，是一次访问应用所经历的校验过程，从这里可以看下我所以理解的零信任架构的本质，也就是第三章节要讨论的问题。

这里面有个两个网关，分别是网络准入网关，应用安全网关，然后终端到应用到一次访问中，在这两个网关上会有下面的判断逻辑。

网络准入网关中，需要评估以下几点：

• 是否为注册的设备，非授权的设备禁止入网；

• 确认使用者和设备是不是一致的，防止张三使用李四的设备；

• 检查环境是否安全，是否有严重漏洞，安全组件没有部署；

• 是否终端上存在异常行为，比如C2的访问之类。

这个过程是入网过程的判断，在这里其实是建立了“用户+设备”的第一步信任链。

在应用安全网关中，会有如下类型评估：

• 设备+用户+应用是否授权过，如果没有授权，流程中断；

• 登录应用的时候使用的OTP类强认证，是否通过；

• 用户是否对应用内某些特定资源有权限限制；

• 用户的行为是否有异常，比如越权尝试，爬数据类。

这个过程中，其实就会建立起零信任里面最重要的一点：设备+用户+应用信任链。

上面这个图主要用来说明零信任的本质，便于理解，下面我们说下关于零信任架构的设计。

关于零信任架构的设计

最早评估Google方案时，我是放弃的。其实想想也应该正常，因为Google大厂，IT基建超强，人员超强。我们从任何角度来看，都是不具备的。

但后来我尝试基于自己对安全理解，将BeyondCorp架构进行拆解，分成5个问题来看待：

• 用户与设备的认证管理问题；

• 用户与应用的认证管理问题；

• 用户设备的网络准入管理问题；

• 动态分析检测的问题；

• 上述都实现后，能否拼装成：用户+设备+应用的信任链。

拆解问题后，再映射到安全系统层面其实会发现，Google的BeyondCorp并不是一个黑科技和全新的技术，而是基于传统安全技术升级上来的解决或是整合方案。

所以我觉得可以做，于是从16年开始就正式在内部启动了零信任架构的项目，当然了哪个时候零信任并不火，所以我们内部代号也是BeyondCorp。

然后落地到项目规划的时候，考虑到我们自身资源情况，我们人少，经验不丰富，同时没有可借鉴的东西，所以我按照上面的问题，讲整个架构拆成了3个阶段来实施，计划是2-3年内，实际上到19年才闭环。

这个是我们的架构图，可以对照我刚说的几个问题来看：

• 用户与设备的认证管理问题：主机安全管理系统

• 用户与应用的认证管理问题：应用安全管理系统

• 用户设备的网络准入管理问题：网络安全管理系统

• 动态分析检测的问题：SOC

• 拼装问题：架构全景图。

时间关系，我就不去详细分析里面的功能了，后续会陆续再接着写相关的文章做深入分析，感兴趣的到时可以去看。

基于零信任架构的安全运营

因为安全运维本身也是非常大的话题，我集中在几个场景上做一些使用零信任后的情况。

场景一：资产梳理带来的变化

以前我们处理安全问题，还有应急响应，或是APT对抗中最怕的是，发现了问题，找不到人，找不到位置，通过查mac逐级找，浪费巨多的时间。

那么部署零信任后，我们就可以建立起：

“人 -> 资产 -> 资产属性 -> 事件”

这样一个多层结构的关系出来，可以通过人知道他名下有多少资产，可以知道资产的安全状态，知道这个资产发生过的事件，这个查询过程是及时的，可以大幅提高效率。

当然了，这个过程中，很多未知的资产也就会被梳理出来了。

抱歉，内容好像准备多了，时间可能要延迟一点

场景二：无密码化

静态密码是非常坑爹的东西，很多APT事件中会发现，关键性的那一下就是拿到了管理员的密码，比如运维，比如网管，然后就全盘皆输。

所以，我很早就想能否干掉静态密码，后来借助零信任也部分程度上实现了这一点，原因是零信任收敛了很多入口，以及我们做了集中化认证。

这个主题展开也会比较多内容，有兴趣的可以看我之前写的一篇文章。

零信任架构实战系列：干掉密码，无密码化方案落地

何艺小议安全，公众号：小议安全零信任架构实战系列：干掉密码，无密码化方案落地

场景三：远程办公

远程办公应该也现在很多人关注的内容，但我们其实实施零信任架构，并非为了远程办公，其实很长一段时间我们都没有开放公网访问。

原因其实也很简单，毕竟小厂信心还是没那么强大，但因为疫情迫使我们开放了，能开放的原因，其实还是因为日常的运营中，其实已经把基础条件打好了，包括用户的唯一化，用户和设备的关系映射，用户的权限分配。

所以真正实施零信任远程办公，从决定到开放我们很短时间就支持了全集团，关于这个我也写过一篇文章。

零信任架构远程办公实战

何艺，公众号：小议安全零信任架构远程办公实战

后续的问题

• 总的来说，我个人看法是做的还很浅，框架是搭好了，补了一些板子，但存在的问题并不少，并且往后每一步上升带来的成本和难度都是指数级，比如张欧总上次分享的零信任，他们做到了服务之间的信任关系，这点我们还做不到，而且可能很长段时间也做不到。

• 越到后期越是深刻体会到，系统也好、架构也好、平台化也好，这些都是工具，有了好的工具可以事半功倍，但如果不能运用好工具可能反而会砸了自己的脚，所以安全运营能力的提升，精益化管理是今年我们的一个重要目标，这点还要向大家学习。

• 实质上内心越来越焦虑，原因是越是往后越是看到不足和问题，也很迫切需要添加人员资源来加强，继续补板子，这也是最近声音比较大，花式招人的原因。但另外一点也有会一种感觉，就是可以看到曙光，相信通过这些大量实践和理论知识，安全是可以做的更好的，也希望可以再进一步。

最后，回答之前的问题“你们居然在防APT攻击”。我相信我们还是防不了高水平的APT攻击，但给APT增加难度和提高检出的机会应该是增强了，希望这个迭代提高的过程可以更快点，增加更多攻击成本进去。

最后的最后，抬头仰望大佬，低头踏实赶路，希望一路能有所收获，也能有所回馈，谢谢大家，我的分享就先到这里。

好像超时了很多，后面应该是提问时间了，欢迎大家提问！！

提问环节 

Q：何总辛苦，问下，在终端访问应用所经历的校验过程中，其中网络准入网关，应用安全网关作为访问的前置校验卡点，也就是第一步信任链，会否对用户访问体验或时延造成一定损耗？会否影响到业务？

A：会有认证登陆，入网的过程，但一次入网持续有效，影响不会太大。

----------------------------------------------------------------

Q：感谢何总分享，想请教下beyond corp是基于VPN技术升级上来的整合方案吗？不久的将来会代替VPN吗？

A：不是基于VPN的整合方案，还是有本质上的差别，有写过详细分析的差异文章，可以看看这篇文章。

零信任架构实战系列：如何选择零信任架构

何艺小议安全，公众号：小议安全零信任架构实战系列：如何选择零信任架构

----------------------------------------------------------------

Q：何总您好，很认真的看了您的分享记录，非常感谢。因为只是读过一些文档，但没有实际落地零信任的经历，所以提的出来的一些问题的假设可能不一定对。个人感觉零信任似乎是在尽力确保每一个终端实体都是可信，或者是准入时的可信。那么您在实际落地过程中有哪些有效且易于推广的方法去构建一条可信链（节点的可信）以及怎么有效确保根节点的可信？

A：这点理解是对的，除了终端可信，还有用户可信、权限可信。

----------------------------------------------------------------

Q：请教一下，实际的终端或应用访问路径非常多，还有应用和应用之间的互访、内网设备发起的访问等，网络设计上，如果保证正常访问路径必须要通过零信任的应用安全网关.

A：其实可以做一个有趣的小实验，如果你找一些Google的内部系统进行DNS解析，你会发现它解析出来的地址都是同一个，所以Web类可以通过反代解决。其他协议就要做全局代理了，我们现在还没实现。

----------------------------------------------------------------

Q：问下何总哈，从功能上来讲，未来零信任这条路准入设备和零信任网关是否应该合并掉？

A：这个要看你考虑的架构方向，合并的好处是比较简洁，但缺点是不够灵活。我们目前分开有历史原因，因为是分阶段来做的，另外也可以匹配不同场景。

----------------------------------------------------------------

Q：何总给力，请教下您在实现零信任的过程中主要的东西都是自己开发的吗？还是也购买有现成的一些安全产品？

A：主要靠自研，没有买过产品。

----------------------------------------------------------------

Q：请教下何总，我们在实践过程中，也是在收敛协议这里遇到了比较大的阻力，公司业务应用系统太多了，如何比较有效的推动业务接入应用网关这部分，有一些技巧么？如果要落地应用系统的接入且每次请求都进行鉴权对业务系统的感觉改造量还是比较大的，还是说如果网关架构设计的足够好，基本可以比较好的进行应用系统的快速适配。

A：2个方面：

1. 看安全是否强势，强势的话不接入，三天后断你网，自然就来了；

2. 鉴权这个是双刃剑，越安全越复杂，接入成本越高，越便捷越不安全，要看你们怎么选择了。

----------------------------------------------------------------

Q：首先感谢何总接地气的讲解。小厂针对内部应用、服务的零信任暂时还不敢想，就用户和设备的认证关系，是否需要相互绑定？实际中一人多终端、共用终端的情况都存在，基于终端准入、用户准入都可以，当然权限还是基于用户。此处避免张三用李四的终端主要避免什么？目的是什么？

A：我们主要是为了强鉴权，比如特定系统，必须是这台设备，这个用户发起的请求，其他一律禁用。

----------------------------------------------------------------

Q：我想请教2个问题：

1.从刚才介绍的方案进行生产运营，与堡垒机可实现的功能有啥区别（抛开远程访问）；

2.最近零信任比较受到关注，大多可能是由于需要远程访问引起的，零信任的场景更多的是用在办公内网，还是生产内网 

A：1. 堡垒机主要用于对后端系统的登陆访问，鉴权是基于用户+密码（静态或动态），零信任是用户+设备+权限的鉴权关系，以及对业务的访问保护

2. 我们并不区分生产和内网。

----------------------------------------------------------------

Q：请教一下，1. 数据流网络层，应用层，细节上的准入认证授权会带来大量的整合工作和审计工作，落地方案选型应该注意那些问题，或者好的开源解决方案？

2. 资产关系关系数据库也是面临同样的问题，开源方案选型还是自主开发？

A：1. 网络准入我们是改造后的1x方案；

2. 我们基本是靠自研

 -------------------------------------------------------------

 Q：想请教一下，人和资产的梳理和映射做了多长时间？安全在这里的位置是检查者/监督者（具体由it来干）？还是实操人员？怎么确保效果？

A：这个看你的策略，自己梳理，还是依赖用户自觉。比如发通知，让用户自行注册绑定

 -------------------------------------------------------------

 Q：想请教一下，无密码化核心的技术点或者难点是在哪里呢？推广用了多长时间呢？业务吐槽最多的问题会在哪块呢？

A：最大的难点是用户习惯，吐槽最多的是，我密码不能记录了，每天都要登陆。总的推广时间很长，我们是小部分强制otp过度到大部分otp，中间1-2年的培养时间。

 -------------------------------------------------------------

 Q：再请教一个问题，打造零信任架构大致要建设多少系统群呢？都是自研吗？

A：我们现在大大小小系统20多个，服务器算上SOC有几十台，自研为主

 -------------------------------------------------------------

 Q：请教何总，这样的单位内网，非电脑设备像打印机、摄像头之类的怎么解决接入问题？

A：接入不了，哑终端都是白名单放行了

 -------------------------------------------------------------

 Q：再请教一个问题，打造零信任架构大致要建设多少系统群呢？都是自研吗？

A：我们现在大大小小系统20多个，服务器算上SOC有几十台，自研为主

 -------------------------------------------------------------

 Q：请教一下，终端环境的动态检测现在能做到什么程度

A：做的一般，不如商业EDR产品

 -------------------------------------------------------------

 Q：分享中提到的“用户的行为是否有异常，比如越权尝试，爬数据类”异常是通过应用网关规则设置还是UBA联动？

A：我们是通过SOC来分析，应用网关没有复杂的规则引擎

 -------------------------------------------------------------

 Q：想请教一下，关于网络准入网关确认用户身份和设备匹配，类似通过wifi portal认证网络准入怎么做到用户、设备、权限的鉴权的，有什么方案能同时鉴权么？还是通过认证后，网络中传输识别认证过的mac？类似通过wifi portal认证网络准入，攻击者连上free wifi，arp一下获取周围网络进行过认证的设备mac后，伪造mac访问是否能绕过网络准入网关

A：需要有agent部署到终端上，由agent+设备证书进行准入，准入鉴权不是基于MAC地址判断

 -------------------------------------------------------------

Q：感谢何总的精彩分享。我的问题好像被冲过去了，想了解的几个问题具体如下：

1.在零信任的实施中微隔离是不是必要条件。

2.目前零信任网关权限管理粒度是做到应用服务器级别还是具体到url级别。

3.应用如有对用户安全级别有分级展示数据的需求，现有的零信任方案如何实现用户安全状态的传递。

A：1. 不是必要条件，可以锦上添花；

2. 通常到应用，特定情况可以基于URL，视需求和成本；

3. 我们有鉴权分级设定，但没有应用根据安全级别显示内容，不过这倒是个好想法，只是可能场景不会太多，更多还是应用自己内部分级了。

 -------------------------------------------------------------

对于分享中提到的“关于多层结构关系：人 -> 资产 -> 资产属性 -> 事件若不同的业务线都有这样的一个结构关系，并在此关系结构基础上再加以细化延伸，不同业务线，维护的资产结构表不同，不统一，对各分支自维护是很方便，但对于集团整体安全也是个问题。排查还是会耗时。”

Q：想请教下，如何使得不同的部门或业务分支进行资产结构统一呢？

A：这里面目前我们处理的比较好的是用户和办公终端的关系，因为通过零信任可以强绑定，但管理员和服务器的关系目前还有比较大的问题，没法做强绑定，导致维护成本太高

 -------------------------------------------------------------

 Q：请教两个问题：

1. 数据流网络层，应用层，细节上的准入认证授权会带来大量的整合工作和审计工作，落地方案选型应该注意那些问题，或者好的开源解决方案？

2. 资产关系关系数据库也是面临同样的问题，开源方案选型还是自主开发？

A：1. 堡垒机主要用于对后端系统的登陆访问，鉴权是基于用户+密码（静态或动态），零信任是用户+设备+权限的鉴权关系，以及对业务的访问保护

2. 我们并不区分生产和内网。

-------------------------------------------------------------

企业安全建设，离不开“守望相助”。金融业企业安全建设微信群，入群方式：请加以下微信为好友，备注：姓名-公司-负责领域。销售从业人员暂时不邀请入群，不保证每位申请者入群，敬请谅解。