BYOD:零信任的最佳實踐場景
責編:gltian |2019-05-09 15:14:55移動化辦公是移動互聯網發展的必然趨勢。企業有多種選擇,重視員工體驗和隱私,規模不大,可以是BYOD(自帶設備辦公);辦公場景大量涉及有高敏感的內容,甚至是高密級,那自然,設備強管控的COPE(企業所有,配發個人使用)在領導心中更為可靠。其它常見的移動辦公形式,還有CYOD(自選辦公設備)已經COBO(針對特定企業或行業)。
企業想在BYOD這個場景下對移動端進行較為完善、成熟的安全管理是比較困難的,特別是在中國。這個難度是綜合作用的結果。這包括是來自移動端自身的復雜性,例如繁多設備類型、碎片化的操作系統,以及混亂的應用市場。其次,是對移動端應用快速迭代的支持與保障。安全能力要內嵌,無論是對性能還是體驗均不能造成負面影響,更不要提阻礙,這是開展安全工作的前提。三是對員工隱私的重視,以及手段自身的安全性與能力。
這也就意味著,想要實現安全的移動辦公,需要的不僅是一個單點安全能力,而是一套完整的安全框架。緊密與辦公需求整合的同時,還要適應企業IT環境的變化與發展,以及安全能力在網絡端和移動端的協同。
目前較為成熟的移動設備管理(MDM)主要是針對COPE進行設備級的通用安全管控,屬于強管控。MDM的特點是針對設備,而不是應用和數據,安全能力不夠完善和深入。同時,MDM選擇在一定程度犧牲用戶的隱私和體驗,這意味相較于更自由的BYOD,員工對COPE會有更多的負面情緒,這也不利于管理的推行。
不對MDM的利弊做過多的討論,本文將聚焦BYOD場景,介紹兩種目前較為典型實現安全移動辦公的思路。
瓦坎達vs. 阿斯加德
先說點題外話。《黑豹》和《雷神》系列都是漫威宇宙中令人印象深刻的電影。《黑豹》的國度“瓦坎達”,不只是坐擁全球最為豐富的振金資源,同時其黑科技——防護罩也在《復仇者聯盟3》中拖延了不少滅霸奪取幻視的寶石的時間。而《雷神》中提及的“仙宮”阿斯加德,是神的住所,在安全方面,也擁有如海姆達爾一樣日夜不用休息,擁有最好的眼睛的守衛。
從網絡安全的角度理解,這是兩種思路,一種是著重主動的威脅發現與響應能力,這對應著阿斯加德;一種是構建一個足夠安全、可信的環境,就如同瓦坎達的防護罩,可以覆蓋全域,除非是極端情況或者主動開啟,否則任何人都難以通過。
BYOD下的移動辦公安全,同時有這兩種思路的實踐。
1. 重威脅 “發現與防御” 的MTD
Gartner在相應市場指南中,對其提出的移動威脅防御(MTD)有詳細的描述。
方案上,Gartner認為,MTD可以從設備、網絡和應用三個不同級別提供安全防護能力。設備層面,主要監控OS版本、參數、配置、固件、漏洞、是否越獄或root等信息;網絡層面,可以檢查無效或虛假證書,針對中間人攻擊做檢測;應用層面,則主要是通過沙箱和代碼分析來識別惡意軟件。
可以說,MTD方案的特點在于收集(通常通過應用形式的設備代理、服務器組件等形式)和分析威脅的跡象,以識別異常行為并進行防御。單獨部署MTD,特別是因為用戶體驗或其它原因無法管理設備,如BYOD這一典型非托管設備場景時,會是重要的安全解決方案。
MTD會是企業安全管理員在員工設備上隱形的眼睛,著眼于移動端的風險與威脅發現。
Gartner還認為,MTD可以提供比傳統PC終端更強的安全性,以及彌補目前企業在移動端傾向于防泄漏而不是針對惡意威脅的安全布局。這也是Gartner認為到2020年,MTD方案將被30%組織采納的重要原因。盡管目前,2018年,這個比例仍不到10%。
2. 打造可信環境的安全工作空間(TrustSpace)
奇安信提出的 “安全工作空間”,則猶如瓦坎達的防護罩,是個有極強安全性的屏障。除了囊括基礎的檢測與防御能力外,還強調了更多通過身份來實現安全的能力,以及“零信任”的理念。
奇安信認為,企業移動化辦公的核心安全挑戰,在于如何確保在正確的時間和地點,在正確的設備上,向正確的用戶,提供正確的應用程序和數據。要實現這些,需要一個安全架構,從身份、系統環境、以及應用數據三個角度實現可信,在BYOD這樣一個近乎零管控的場景下,為企業構建安全的移動工作空間。
方案上,首先,在終端系統環境這個角度,奇安信的能力構建思路和Gartner的MTD是類似的。分別在系統、網絡和應用級構建威脅檢測和風險感知能力。特別在網絡層,還加入了對wifi的安全檢查。
從身份的角度,是通過沙箱與身份認證技術的深度結合,來構建安全邊界。這也是體現零信任的一點,即認證與授權不是一次性的,而是動態、多次。這里的安全邊界有兩個作用,一是將企業應用和個人應用隔離開,二是將含高敏感內容的應用與普通企業辦公應用隔離開。沙箱技術可以通過免拆包以及系統級HooK方式提供高效穩定的應用隔離,高敏感應用則有更強的身份認證能力的加持(如加入時間、地理位置、行為等指標)。
最后,應用數據的可信,則是圍繞數據生命周期的四個階段(存儲、傳輸、使用和共享),從加密、防泄密、權限控制等角度保證數據的安全。特別,在密鑰和證書的管理上,也使用了沙箱來實現數據的安全存儲。
除了實現身份、系統環境、以及應用數據三個角度的安全外,基于對移動安全的理解,奇安信還在這一解決方案中還融入了更多“白名單”的思路——提供安全辦公應用套件,如瀏覽器、云盤、郵件系統、文檔閱讀等手機app,作為安全保障能力的補充。
當然,以上只是 “安全工作空間” 這個架構的核心能力與思路,不同的應用場景,這套方案可以附加更多的安全能力。這也是奇安信作為全線安全廠商的完整解決方案上的優勢。例如上文提及,在高敏感內容場景下,通過智能身份平臺實現的強身份認證、動態授權和統一的用戶管理,以及在大中型企業中,可以通過TrustSpace應用網關(應用級SSL VPN)實現遠程的安全內網接入,滿足部分企業將移動辦公的安全轉變為內網安全的需求。