前言

隨著云計(jì)算、大數(shù)據(jù)等技術(shù)在企業(yè)大規(guī)模的推廣使用，持續(xù)集成持續(xù)部署的業(yè)務(wù)交付模式以及移動(dòng)辦公的接入方式深刻地影響了信息安全建設(shè)思路，如何能夠更動(dòng)態(tài)更智能更安全地保護(hù)企業(yè)的數(shù)字資產(chǎn)的同時(shí)不損失效率和體驗(yàn)？Google分享的零信任安全架構(gòu)實(shí)踐的相關(guān)論文給我們提供了一個(gè)非常好的思路，事實(shí)上，全面身份化即對(duì)網(wǎng)絡(luò)參與的各個(gè)實(shí)體（人、服務(wù)、設(shè)備等）在統(tǒng)一的框架下進(jìn)行全生命周期管理，而構(gòu)筑全新的身份安全體系是零信任安全架構(gòu)的基石。分布式設(shè)計(jì)模式和實(shí)踐（如微服務(wù)，容器編排和云計(jì)算）已經(jīng)讓我們的生產(chǎn)環(huán)境變得越來(lái)越動(dòng)態(tài)和異構(gòu)，我們認(rèn)為傳統(tǒng)的安全實(shí)踐（例如僅僅基于四層網(wǎng)絡(luò)控制策略的訪問(wèn)控制）在這種復(fù)雜性下難以擴(kuò)展，急需一套全新的IAM（身份和訪問(wèn)控制管理）框架。而云IAM就是能夠支持在萬(wàn)物互聯(lián)背景下的全面身份化以及多租戶、多帳號(hào)體系、多用戶渠道、云原生支持等特性的一整套解決方案，這對(duì)于將安全防護(hù)從網(wǎng)絡(luò)層訪問(wèn)控制升級(jí)到應(yīng)用層動(dòng)態(tài)訪問(wèn)控制起到至關(guān)重要的作用，也將有效助力零信任安全架構(gòu)的建設(shè)。下文將重點(diǎn)講述我們對(duì)云IAM的理解、方案設(shè)計(jì)以及部分重點(diǎn)模塊的解析。

業(yè)務(wù)發(fā)展帶來(lái)的安全風(fēng)險(xiǎn)

首先介紹我們的業(yè)務(wù)背景，因?yàn)榘踩珡谋举|(zhì)上來(lái)說(shuō)就是為業(yè)務(wù)服務(wù)的。中通目前是國(guó)內(nèi)業(yè)務(wù)量最大的快遞公司，2017年快遞業(yè)務(wù)量達(dá)到62.2億件，居全球第一，并且已經(jīng)保持了兩年的行業(yè)龍頭地位，今年剛剛過(guò)去的雙十一期間的業(yè)務(wù)量又刷新了記錄。另外，2016年中通登錄美國(guó)紐交所，成為了當(dāng)年IPO規(guī)模最大的中概股。目前中通全網(wǎng)有三十多萬(wàn)員工，網(wǎng)絡(luò)合作伙伴9400多個(gè)，服務(wù)網(wǎng)點(diǎn)將近三萬(wàn)個(gè)，覆蓋了全國(guó)絕大部分區(qū)縣和鄉(xiāng)鎮(zhèn)。在強(qiáng)勁的快遞主業(yè)的帶動(dòng)下，中通還積極拓展整個(gè)電商產(chǎn)業(yè)上下游生態(tài)鏈的業(yè)務(wù)，如中通快運(yùn)、中通云倉(cāng)、中通國(guó)際、中通商業(yè)、中通金融、中快傳媒等，并且已經(jīng)建成了多元發(fā)展的集團(tuán)型企業(yè)。

那么在業(yè)務(wù)如此急速發(fā)展的情況下，對(duì)我們的IT特別是對(duì)信息安全帶來(lái)了哪些挑戰(zhàn)和風(fēng)險(xiǎn)呢？第一是需要上線大量各類應(yīng)用系統(tǒng)，自研的、外購(gòu)的、本地部署的、公有云部署的等等，對(duì)眾多的異構(gòu)系統(tǒng)如何做好安全管控的集成是非常大的挑戰(zhàn)，另外在大促活動(dòng)時(shí)，如雙十一期間也需要所有安全組件可以水平靈活擴(kuò)展。第二，從整個(gè)集團(tuán)來(lái)看，整體組織架構(gòu)非常復(fù)雜，人員和設(shè)備的數(shù)量巨大并且變動(dòng)頻繁，如何做好安全管控也是難題。第三，由于業(yè)務(wù)的需要，敏感數(shù)據(jù)需要參與到系統(tǒng)流程中去進(jìn)行流轉(zhuǎn)，安全保護(hù)的難度直線上升。第四，作為電商業(yè)務(wù)的重要一環(huán)，需要和各個(gè)生態(tài)合作伙伴進(jìn)行數(shù)據(jù)對(duì)接，并在開(kāi)放平臺(tái)提供了大量API，安全管控難度較大。那面對(duì)這些安全挑戰(zhàn)和風(fēng)險(xiǎn)，有什么比較好的應(yīng)對(duì)方案呢？

解決方案

幸運(yùn)的是，Google分享的零信任安全架構(gòu)實(shí)踐給我們提供了一個(gè)非常好的問(wèn)題解決思路的參考，可以在很大程度上解決上述問(wèn)題，經(jīng)過(guò)我們初步研究后發(fā)現(xiàn)，IAM平臺(tái)是零信任安全架構(gòu)的核心基礎(chǔ)。圖1中橙色的模塊都可以算作IAM的范疇，如單點(diǎn)登錄、設(shè)備庫(kù)、用戶和組數(shù)據(jù)和證書簽發(fā)等模塊，甚至接入代理也可以作為訪問(wèn)控制管理的一個(gè)組件。然而傳統(tǒng)的IAM方案已經(jīng)無(wú)法滿足我們的需求，因此打造一個(gè)強(qiáng)大靈活的下一代IAM平臺(tái)勢(shì)在必行。

圖1：零信任安全架構(gòu)（Google BeyondCorp）及其中的IAM組件

結(jié)合我們面臨的實(shí)際問(wèn)題以及零信任安全架構(gòu)的需求，我們對(duì)下一代IAM的設(shè)計(jì)提出了如下三個(gè)目標(biāo)：

• 全面身份化支持，使用通用安全身份框架SPIFFE，將客觀世界的對(duì)象抽象成邏輯上具備不同屬性的身份，如人員、設(shè)備、應(yīng)用、API等，實(shí)現(xiàn)支持萬(wàn)物互聯(lián)的身份認(rèn)證技術(shù)，為訪問(wèn)控制奠定基礎(chǔ)。

• 云原生支持，真正打通本地/云/辦公等網(wǎng)絡(luò)邊界，全面從網(wǎng)絡(luò)層訪問(wèn)控制升級(jí)為應(yīng)用層動(dòng)態(tài)智能深度檢測(cè)和控制，同時(shí)使用容器、微服務(wù)、服務(wù)網(wǎng)格、服務(wù)編排等技術(shù)，實(shí)現(xiàn)靈活的水平擴(kuò)展和異構(gòu)系統(tǒng)互操作支持，以及端到端全鏈路的雙向認(rèn)證和傳輸加密。

• 復(fù)雜組織的支持，針對(duì)中通這種具有幾十萬(wàn)人橫跨多個(gè)業(yè)務(wù)單元、面向不同終端客戶的商業(yè)組織，需要滿足跨租戶、跨帳號(hào)體系、跨端、跨用戶渠道、跨應(yīng)用、跨生態(tài)的需求，以及應(yīng)用和身份數(shù)據(jù)分離的聯(lián)邦和多協(xié)議的支持，并且能在資源層面對(duì)所有操作進(jìn)行分類分級(jí)及自動(dòng)化審計(jì)。

根據(jù)以上設(shè)計(jì)目標(biāo)，我們的整體設(shè)計(jì)方案的功能全景視圖見(jiàn)圖2，盡可能地解耦和拆分模塊并作獨(dú)立部署，將身份相關(guān)基礎(chǔ)數(shù)據(jù)抽離出來(lái)單獨(dú)做成身份中心，結(jié)合認(rèn)證中心、權(quán)限中心、應(yīng)用中心、資源中心、證書中心、管理控制臺(tái)以及開(kāi)放API、SDK和APP等構(gòu)成一套體系，然后可以靈活地與各類應(yīng)用在不同的層級(jí)進(jìn)行對(duì)接。這樣做的好處就是，不管企業(yè)的應(yīng)用部署到哪里，都可以共享一套強(qiáng)大靈活的身份和訪問(wèn)控制的安全管理基礎(chǔ)設(shè)施，解決了異構(gòu)系統(tǒng)集成安全管控問(wèn)題以及人員設(shè)備、敏感數(shù)據(jù)和API的安全管控問(wèn)題。

圖2：云IAM功能全景視圖

云IAM的總體工作流程如圖3所示，首先是用戶和設(shè)備的認(rèn)證流程，通過(guò)單點(diǎn)登錄代理將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)認(rèn)證協(xié)議的處理模塊，認(rèn)證處理模塊根據(jù)請(qǐng)求上下文連接到對(duì)應(yīng)的身份提供商IDP，經(jīng)過(guò)一系列的交互成功認(rèn)證后下發(fā)訪問(wèn)token。接下來(lái)用戶攜帶相關(guān)訪問(wèn)token發(fā)起相關(guān)資源的操作請(qǐng)求，在接入代理和接入控制引擎層面會(huì)去認(rèn)證中心校驗(yàn)token的合法性、拉取授權(quán)、鑒權(quán)以及相關(guān)的風(fēng)控操作，如果通過(guò)校驗(yàn)滿足訪問(wèn)控制策略，則提交到相關(guān)應(yīng)用的API執(zhí)行，當(dāng)然在返回?cái)?shù)據(jù)包中還需要進(jìn)行再次校驗(yàn)是否滿足安全策略，以及進(jìn)行相應(yīng)的審計(jì)日志記錄。云IAM平臺(tái)本質(zhì)上是以更靈活及更細(xì)粒度的方式來(lái)管控資源的操作。傳統(tǒng)的業(yè)務(wù)流程就是身份實(shí)體首先進(jìn)行身份認(rèn)證，認(rèn)證通過(guò)后發(fā)起資源操作請(qǐng)求，收到操作請(qǐng)求后根據(jù)授權(quán)信息進(jìn)行鑒權(quán)，通過(guò)則放行操作。那我們新的設(shè)計(jì)大量地參考了aws的設(shè)計(jì)理念，更靈活及更細(xì)粒度是體現(xiàn)在權(quán)限模型、授權(quán)方式以及API和資源的嚴(yán)格定義上。無(wú)疑aws老板貝索斯是非常有遠(yuǎn)見(jiàn)的，很多年前就定下了服務(wù)化的架構(gòu)原則，要么服務(wù)化要么滾蛋。事實(shí)上這一點(diǎn)至關(guān)重要，如果不能把資源以及操作資源的API定義清晰和有效隔離，那么將無(wú)法實(shí)現(xiàn)功能強(qiáng)大的權(quán)限控制策略。

圖3：云IAM總體工作流程

重點(diǎn)模塊的設(shè)計(jì)

1.身份空間

我們知道身份是任何安全基礎(chǔ)架構(gòu)的基本概念，那么把身份相關(guān)的操作串聯(lián)起來(lái)就形成了身份空間，如圖4所示。其中包括身份生命周期的管理，主要是客觀身份實(shí)體和邏輯對(duì)象的實(shí)時(shí)映射，如果要能支持萬(wàn)物互聯(lián)的認(rèn)證需求，那么就需要將除了人員以外的更多的實(shí)體納入進(jìn)來(lái)，邏輯對(duì)象映射到可操作系統(tǒng)的身份實(shí)體，如身份到帳號(hào)是個(gè)一對(duì)多的映射關(guān)系，給身份實(shí)體賦予了相關(guān)權(quán)限才能對(duì)資源進(jìn)行操作。這里有一個(gè)開(kāi)源的通用身份認(rèn)證框架SPIFFE，大家有興趣可以了解和參考它的設(shè)計(jì)。

圖4：身份空間的設(shè)計(jì)

2.帳號(hào)體系

云IAM平臺(tái)需要支持多租戶模式，如圖5所示。每個(gè)租戶下面會(huì)支持設(shè)置多個(gè)帳號(hào)體系如辦公的、2b和2c的，每個(gè)帳號(hào)體系下面可以建立各種形式的帳號(hào)組如根據(jù)組織架構(gòu)自動(dòng)建立的、根據(jù)角色建立的等，帳號(hào)組里實(shí)際上會(huì)有各類帳號(hào)組成如人員身份的、機(jī)器人身份的、設(shè)備身份的等。

圖5：帳號(hào)體系的設(shè)計(jì)

3.復(fù)雜組織架構(gòu)

根據(jù)我們的實(shí)際需求，還需要支持集團(tuán)性質(zhì)租戶的復(fù)雜組織架構(gòu)，如圖6所示。集團(tuán)下轄成千上萬(wàn)的分公司和子公司，公司下面除了掛部門也可以掛公司，同一個(gè)帳號(hào)可以在不同公司間進(jìn)行自由切換，同時(shí)伴隨部門和角色權(quán)限的變換等。值得一提的是，我們還設(shè)計(jì)了組織架構(gòu)類型的帳號(hào)群組，系統(tǒng)自動(dòng)創(chuàng)建，除了可以輔助人員入職時(shí)自動(dòng)授權(quán)外還可以自動(dòng)加入內(nèi)部協(xié)作IM工具的溝通群組，幫助業(yè)務(wù)提升協(xié)同辦公效率。

圖6：復(fù)雜組織架構(gòu)

4.系統(tǒng)集成

作為一個(gè)云原生設(shè)計(jì)的IAM平臺(tái)，必然需要支持和各類異構(gòu)系統(tǒng)進(jìn)行安全訪問(wèn)控制的集成以及互操作，如圖7所示。第三方應(yīng)用或者租戶可以很方便地接入IAM平臺(tái)，用戶可以無(wú)縫使用平臺(tái)上的應(yīng)用，這個(gè)場(chǎng)景下IAM平臺(tái)通過(guò)配置直接使用第三方的身份數(shù)據(jù)源IDP。對(duì)應(yīng)的，IAM平臺(tái)上用戶也可以無(wú)縫使用第三方的應(yīng)用，這時(shí)相當(dāng)于在第三方本地建立了一個(gè)IAM上云端的IDP緩存，當(dāng)然這個(gè)集成的過(guò)程需要符合一些規(guī)范的認(rèn)證協(xié)議和數(shù)據(jù)同步接口，如OIDC、OAuth2、SAML2、SCIM、REST等。

圖7：支持系統(tǒng)集成的設(shè)計(jì)

5.授權(quán)

在權(quán)限模型方面，我們采用RBAC用于粗粒度訪問(wèn)控制，如控制某一類人可以查看哪些模塊，采用ABAC進(jìn)行細(xì)粒度訪問(wèn)控制，如控制某個(gè)人員對(duì)模塊內(nèi)部的訪問(wèn)權(quán)限。在授權(quán)方式上支持更多更加靈活的方式，如基于身份的策略、基于資源的策略、獨(dú)立的訪問(wèn)策略以及設(shè)置權(quán)限邊界等。一個(gè)典型的權(quán)限配置過(guò)程包括定義資源、定義每個(gè)資源操作的API、定義訪問(wèn)實(shí)體、定義角色權(quán)限或者訪問(wèn)策略等。 那么授權(quán)的本質(zhì)是什么呢？主要是回答這個(gè)問(wèn)題：“誰(shuí)能不能在什么樣的上下文中對(duì)什么樣的資源做什么樣的操作”，為此我們?cè)O(shè)計(jì)了一個(gè)簡(jiǎn)易的自定義DSL來(lái)描述這個(gè)資源操作請(qǐng)求。如{"appid":"eihxiidhh23s","user":"jack","action":"getArticleID","resource":"resources:articles:zto","context":{"remoteIP":"192.168.0.5","trustScore":“90"}}，其中的trustScore是我們重點(diǎn)設(shè)計(jì)的元素，放入到上下文中，和零信任架構(gòu)中的風(fēng)控引擎以及具體的訪問(wèn)控制策略結(jié)合起來(lái)形成一個(gè)動(dòng)態(tài)智能的深度鑒權(quán)。

 6.微服務(wù)安全架構(gòu)

為了實(shí)現(xiàn)整個(gè)平臺(tái)的靈活擴(kuò)展和部署，我們參考了ISTIO 微服務(wù)架構(gòu)。ISTIO的安全架構(gòu)設(shè)計(jì)得非常漂亮，示意圖也非常清晰，如圖8。首先是內(nèi)部微服務(wù)通過(guò)集成證書中心實(shí)現(xiàn)了微服務(wù)之間的雙向認(rèn)證和傳輸加密，再結(jié)合用戶側(cè)的傳輸層加密可以實(shí)現(xiàn)端到端全流程的雙向認(rèn)證及傳輸加密，當(dāng)然要做到這一點(diǎn)是非常有挑戰(zhàn)的，我們還在努力中。通過(guò)控制平面的pilot組件以及服務(wù)名稱管理和證書還可以實(shí)現(xiàn)各個(gè)微服務(wù)間的安全隔離和訪問(wèn)控制，另外pilot結(jié)合數(shù)據(jù)平面的邊車節(jié)點(diǎn)也可以實(shí)現(xiàn)訪問(wèn)策略的執(zhí)行。

圖8：ISTIO微服務(wù)安全架構(gòu)

7.證書簽發(fā)、輪換和吊銷

基于傳統(tǒng)PKI，為了匹配性能及擴(kuò)展性方面的需求，設(shè)計(jì)了證書中心，主要涉及證書簽發(fā)、證書按規(guī)則輪換以及證書吊銷三部分的功能，工作流程如圖9。新的終端設(shè)備或者新的服務(wù)上線，都需要自動(dòng)提交證書申請(qǐng)到證書服務(wù)集群，由證書服務(wù)集群代理向CA發(fā)起請(qǐng)求，拿到證書后轉(zhuǎn)發(fā)到申請(qǐng)者。證書輪換由證書申請(qǐng)者按照一定的規(guī)則自動(dòng)重復(fù)申請(qǐng)流程即可，證書吊銷申請(qǐng)和證書吊銷查詢服務(wù)也統(tǒng)一由證書服務(wù)集群代理，通過(guò)接口實(shí)時(shí)查詢是否吊銷，實(shí)現(xiàn)即時(shí)吊銷的功能。

圖9：證書中心工作流程

8.自動(dòng)化審計(jì)

云IAM平臺(tái)中另外一個(gè)重要的功能點(diǎn)就是安全審計(jì)，主要是跟蹤記錄誰(shuí)在什么時(shí)間什么地點(diǎn)以什么樣的方式做了什么，聚焦在及時(shí)發(fā)現(xiàn)和處理異常。我們?cè)谶@一塊的創(chuàng)新點(diǎn)在于自動(dòng)化審計(jì)，首先對(duì)所有資源進(jìn)行分類，然后對(duì)所有資源和操作對(duì)進(jìn)行分級(jí)，最后根據(jù)分類分級(jí)和權(quán)限以及與其它系統(tǒng)集成自動(dòng)過(guò)濾大部分異常，可以節(jié)省大量的人工審計(jì)工作。安全審計(jì)交付物通常有三方面：主動(dòng)及時(shí)匯報(bào)和確認(rèn)異常以推動(dòng)策略實(shí)施及問(wèn)題解決；確保審計(jì)對(duì)象得到合理準(zhǔn)確的處理和合規(guī)；對(duì)企業(yè)內(nèi)審計(jì)對(duì)象進(jìn)行關(guān)聯(lián)性分析并得到綜合性的報(bào)告。

9.移動(dòng)端APP

我們的云IAM平臺(tái)還設(shè)計(jì)開(kāi)發(fā)了配套的移動(dòng)端APP，主要包括了安全認(rèn)證模塊、IM模塊、應(yīng)用發(fā)布模塊以及工具模塊等，如圖10所示。移動(dòng)端APP幫助我們得以停用傳統(tǒng)的靜態(tài)密碼認(rèn)證方式，配合進(jìn)行實(shí)人認(rèn)證以及執(zhí)行風(fēng)控校驗(yàn)的指定動(dòng)作等，極大地提升了整個(gè)平臺(tái)的安全性，增加了用戶交互方式同時(shí)也優(yōu)化了用戶體驗(yàn)。

圖10：移動(dòng)端APP

總結(jié)和展望

目前我們已經(jīng)落地了部分模塊和功能，如認(rèn)證中心SSO模塊支持多種認(rèn)證方式（密碼/短信/TOTP/推送/掃碼/刷臉/會(huì)話代理等）；身份中心借助人臉識(shí)別、OCR、活體檢測(cè)等人工智能技術(shù)實(shí)現(xiàn)了實(shí)人認(rèn)證功能，可以將人員、證件、帳號(hào)以及設(shè)備進(jìn)行綁定；權(quán)限中心支持跨應(yīng)用的集中統(tǒng)一權(quán)限管理，目前已經(jīng)接入了幾百個(gè)應(yīng)用；我們通過(guò)IAM和第三方廠家網(wǎng)絡(luò)準(zhǔn)入軟硬件的對(duì)接，實(shí)現(xiàn)了精細(xì)化的安全訪問(wèn)控制；可以較好地支持聯(lián)邦認(rèn)證，通過(guò)我們的IAM平臺(tái)和阿里云郵箱的LDAP進(jìn)行集成，實(shí)現(xiàn)無(wú)縫的用戶體驗(yàn)；平臺(tái)可以較好地支持認(rèn)證互操作，可以分別在釘釘和我們的移動(dòng)端APP上集成自有應(yīng)用以及第三方應(yīng)用。

未來(lái)我們將落地更多的模塊及在云IAM平臺(tái)上集成更多的安全組件，如零信任安全架構(gòu)相關(guān)的組件以及一些SDL組件或者工具等。另外我們還將積極擁抱開(kāi)源技術(shù)和開(kāi)源文化，積極采用開(kāi)源技術(shù)并且制定開(kāi)源計(jì)劃回饋社區(qū)，未來(lái)將逐步開(kāi)源一些經(jīng)過(guò)我們實(shí)踐檢驗(yàn)過(guò)的成熟的安全組件，希望能幫助到有需要的安全團(tuán)隊(duì)。

參考資料：

1.Google的beyondcorp安全解決方案：https://cloud.google.com/beyondcorp/

2. AWS的IAM安全解決方案：https://aws.amazon.com/iam/

3. 通用安全身份框架SPIFFE：https://spiffe.io/

4. 服務(wù)網(wǎng)格開(kāi)源項(xiàng)目ISTIO：https://istio.io/