【技术战疫】远程办公安全威胁升级，疫情下企业如何自保？

身份认证安全的 AI 化，是未来的一个大的趋势。相信很多安全从业人员对最近两年IDaaS在业界的兴起都耳熟能详。它是Gartner中区别传统IAM产品的一个定义，全称是IDentity as a Service，主要是指云化的身份认证服务。今天，我们就来聊聊身份认证安全如何为远程办公抗疫保驾护航。

行业趋势

本次2019-nCoV病毒的爆发，加速了办公上云和移动的演变过程。无数企业今年的开工都转到了线上，几万人的直播，这种临时性的波峰需求能良好的适配非云莫属。这场突如其来的变故，也催熟了移动办公的需求。员工都在家里，通过自己的移动设备来参与工作。

即使没有这些，IDaaS专注的密码技术的安全挑战在过去也是与日俱增的。如果说通过对称算法的账户密码方式容易被撞库，今天，即使用非对称技术生成的短期令牌，也仍然受到了挑战。通过发一个钓鱼的宏文件，或是一张有恶意脚本的图片，都可以窃取你的会话凭证的，无论它有多少个字节长。企业能做的，就是启用更复杂的安全策略，但是在用户体验上，又带来了更多的诟病。

如上所述，企业很快发现更细粒度的去验证用户看起来并不可行。未来，通过引入AI技术，对所有对内和对外的业务系统的访问进行全面分析计算，动态检查和更新现有的安全策略，然后利用适当的自动安全控制，通过后台来决定是否允许对核心系统的访问，会大行其道。所有这些努力都是既安全又不会让用户烦恼。

AI技术发展到今天，除了BostonDynamic那个机器人的惊艳后空翻，在这次抗疫过程中也是大显身手。尽管机场车站人来人往，但是测温设备已经能快速甄别出发热人员。

ESG年度研究报告指出，2020年安全性投资的前4个重点领域排在首位的是：使用AI/ML进行威胁检测的人工智能网络安全技术（32％）。原因很简单，未来的数据是海量的，靠人工去筛选，效率是个大问题。如果不能及时捕获异常，就不能及时响应。

国内趋势

2019年，国内的安全厂商也从自己擅长的技术点纷纷切入零信任安全。一拨是传统的v*n厂商提供软件定义边界SDP产品，减少互联网暴露面作为卖点的。值得一提的是，离开了身份为核心的零信任安全是不完整的。身份和边界必须充分结合起来才是完整的零信任，不能盲人摸象。

本次抗疫暴露了不少问题，一方面，形势需要，另一方面，仓促上阵。很多企业，还停留在传统的v*n远程办公上。它能满足领导和运维人员已经很好了，上万人开视频会议肯定挂。某国内顶级银行，对基础设施投资数亿每年，但是面对目前海量的在家办公需求，还是卡顿，不得不寻求新的解决方案。

可以预见的是，疫情对行业的影响也将是深远的。远程办公，在线教育都会成为热点。IT圈子对围绕身份认证授权的零信任网络也会有更高的热情。但是，罗马不是一天建成的。谷歌自2013年开始，前后花了6年推出了BeyondCorp，企业是不可能在一夜之间将原有的体系推倒，从零搭建零信任体系的。更务实的做法是尽早开始尝试，哪怕一开始是简单的模型，社会事件和安全事件都是很好的推手，加速产业成熟。

IDaaS解决方案

以IDaaS（统一身份认证服务）为核心，阿里云云盾提供的零信任安全解决方案基本完整，类似谷歌的BeyondCorp简化版本。通过Agent终端管控，SPG（Service Provide Gateway）应用接入，和IDaaS身份认证齐头并进，可以提供灵活的组合方案从而满足企业的要求。

                                身份为核心的零信任模型

如上图，公有方式IDaaS和SPG部署在阿里云上，通过v*n隧道，可以接入到企业的内网。这样，在防火墙上只需要配置SPG一个入口IP的ACL规则，从而确保所有能进入企业内网的流量，都是经过阿里云WAF、IPS等清洗过的。

钉钉整合

抗疫战斗中，钉钉很好的扮演了在终端上作为应用门户入口的角色。

这次在家远程办公的要求之高之急对很多的IT人是没有心理准备的。钉钉连续两天扩容1万多台服务器，就表明了受欢迎程度还是很高的。初期，对钉钉的应用还是浅的，主要是直播会议等。未来，当钉钉真正成为办公入口的时候，内网应用开放给钉钉会带来更大的安全挑战。

展望与总结

抗疫过程中，阿里巴巴集团秉承自身的To B基因，除了有全球采购物资等社会担当，同时也展现了很多的技术能力。

真正的零信任安全构建体系化，从端到云，需要全链路的保护。终端、接入、AI和云原生是阿里云的核心竞争力。云原生的核心优势在于云上架构可以从IaaS、PaaS、SaaS自下而上构建可信链条，第三方安全厂商是很难中间植入的。

除了IDaaS，云盾DDOS, WAF, SDDP，风控，实人，SSL证书等有用武之地，阿里巴巴集团的阿里郎，钉钉，RAM，v*n，SAG，达摩院的AI等等，未来都是整合出更丰富的安全解决方案的弹药储备。

最后，不管你乐意不乐意看见，以身份为边界的零信任安全是大势所趋。

疫情，让这个春天云和移动的需求迎面撞来，对应的安全防护也越来越外延化。移动终端设备，公有云服务器，都挪到了企业传统的安全边界防火墙的外面，原来的鸡蛋壳式安全模式被打破。如果说20年前的边界主要是围绕IP来构建ACL，防火墙（包括NGFW）需求爆发；10年前WEB2.0带来了WAF的长足发展；那么，零信任也必将带来IDaaS等以身份为新边界的安全需求增长。而此类市场动向，会以重视安全的政府和金融用户为先锋驱动，让我们拭目以待。