• 《電子技術應用》
    您所在的位置:首頁 > 通信與網絡 > 業界動態 > 【零信任】Airbnb的零信任架構實戰案例

    【零信任】Airbnb的零信任架構實戰案例

    2021-04-21
    作者: 冀托
    來源: 白話零信任

      介紹理念的文章太多了,這次換換口味,介紹一個實戰案例??纯椿ヂ摼W巨頭的零信任落地架構??纯戳阈湃蔚慕缑骈L什么樣。

      1、Airbnb原來的架構

      Airbnb是全球最火的短租平臺。平臺對外提供很多特別酷的民宿,有別墅,有城堡,有樹屋……用戶還可以在airbnb.com網站上共享自己的房間做短租。

      Airbnb.com網站部署在亞馬遜AWS上。Airbnb公司內部的一些管理系統,為了減少延遲,部署在了公司本地的機房。

      下面是Airbnb的網絡架構圖。

     2.png

     ?。?)圖中間是用戶,用戶可以自由地使用不同的瀏覽器訪問業務系統。員工在公司的話,通過802.1x認證才能連上公司網絡。員工在家的話,是用VPN接入。

     ?。?)圖左邊是用戶平時會用到的SaaS服務,比如Slack(相當于國內的釘釘)、Google系列(郵箱、文檔等)、Github等等;

     ?。?)圖右邊是公司的亞馬遜AWS云,云上有一大批業務系統,Airbnb自己的或采購第三方的都有;

     ?。?)值得一提的是,Airbnb已經做了一套很完善的終端管理工具。他們使用開源的OSquery工具收集終端的信息,并且自己開發了一套終端信息分析預警系統StreamAlert。

      所以,Airbnb本身已經有一些零信任技術的基礎了。

      2、Airbnb面臨的挑戰

      Airbnb公司10年前在舊金山成立。如今的Airbnb在全球40多個城市建立了分公司。

      隨著公司的擴張,公司的IT架構也面臨越來越大的挑戰。

      4.png

      AIrbnb還是小公司的時候,安全很容易搞。

      把業務系統放AWS云上,用設置IP白名單的方式做訪問控制,只允許來自公司IP的訪問。這樣,安全方面基本上就不會出什么大問題。

      但是公司擴張了,很多問題就跑出來了。一次技術分享上,Airbnb的安全工程師列出了下面這些問題。

      (1)802.1x的局限

      802.1x是一種網絡準入協議??偛繂T工用起來沒什么問題。但分公司一般都用不起來。

      雖然說確實有一些技術可以實現分公司的802.1x認證,但是總的來說還是太麻煩。所以,Airbnb分公司的員工都是通過VPN遠程接入的。

     5.png

      (2)VPN的局限

      VPN太慢了。Airbnb在全球都有分公司,但大部分業務系統都跑在美國。結果就是訪問這些系統的延遲非常的高。尤其是距離VPN網關很遠的員工,或者在飛機上的員工。你離總部越遠,問題就越嚴重。

      最可笑的例子就是,用VPN的時候,要求輸入動態碼的場景。員工訪問內部系統要進行多因子驗證。多因子驗證要用動態碼。動態碼是幾秒一變的。有時候趕上VPN特別慢,員工每次輸完動態碼,提交過去的時候,動態碼就過期了。用戶就一直都過不了多因子認證。體驗非常糟糕。

    6.png

      VPN本來就很慢了。有時候用戶還會選錯VPN網關,讓事情更糟。

      比如澳大利亞的用戶想連VPN的時候,首先會想連到離他最近的新加坡的接入點。但是如果你看看地球儀的話,就會發現澳大利亞-新加坡-美國這條路線,比澳大利亞直接到美國的路線要長50%。

      再比如在飛機上的情況,飛機上一般使用基于衛星的wifi,流量要去外太空繞一圈,延遲至少要600毫秒。從東京飛洛杉磯的話,流量一般會在衛星間跳轉幾次,最后從歐洲出口出來。用戶應該選擇歐洲的VPN網關,但是用戶不知道啊,如果憑直覺選了美國的vpn網關,就慢死了,用戶還不知道為啥。

      當然這都不能怪用戶。用戶不懂這些。

      用戶只會對比互聯網的速度和VPN的速度。當用戶可以很快的打開Gmail的時候,他就會期望打開內部系統也是很快的。

      3、Airbnb的目標

      跟很多媒體文章的觀點不同,現實中的公司,例如Airbnb,沒有對VPN的安全性做出太多抱怨。Airbnb主要對VPN的性能和體驗感到不滿。

      Airbnb的愿景是——如果用戶的互聯網很快,而且用戶設備的安全等級足夠,那么他就應該能夠同樣快速地接入內網。

      當然如果把系統全部放在互聯網上,體驗是最好的,但安全方面肯定接受不了。

      Airbnb的安全工程師希望找到一個用戶體驗和安全的最佳平衡點。體驗要比VPN好,安全性要比直接暴露在互聯網上高。

      8.png

      4、零信任似乎是個合適的解決方案

      為了解決安全和體驗的問題,Airbnb把目光投向了谷歌的零信任方案——BeyondCorp。

      最早,谷歌公司內部也是用VPN,體驗問題同樣嚴重。谷歌還經歷過一次嚴重的攻擊,攻擊者順著VPN就進到內網了,谷歌吃過大虧。所以攻擊事件之后,谷歌吸取教訓,把VPN替換成了安全又快速的BeyondCorp。

      BeyondCorp跟VPN的區別主要在于——BeyondCorp的網關是一個分布式的云。

      云的好處有很多,例如云能夠提供負載、加速、彈性擴容、自動容災等等特性。這就解決了VPN的性能瓶頸。

     10.png

      BeyondCorp的性能更好,如果安全性上也能超越VPN的話,那么它就是更佳的替代方案。

      下面就通過BeyondCorp的架構圖看看它的安全性。

      5、BeyondCorp的架構

      BeyondCorp目前已經在谷歌云上有商用版本了(可惜國內用不了),下面就是這個商用版的架構圖。

      BeyondCorp分為Global Frontend負載、訪問規則引擎、策略執行節點等三個部分。

    12.png

      (1)BeyondCorp客戶端:收集用戶的身份、行為、設備信息。

      身份沒什么可說的。

      舉個“行為”的例子。例如,你每周二都從家里登錄,但是突然有一個周二你在另一個地方登錄了,不管其他因素是否可信,這次的行為肯定是偏離了用戶行為規律。很有可能是發生了賬號竊取等情況。這種情況下,系統會記錄一條異常行為記錄,或者發出告警。

      設備信息是指設備上的配置合不合理。比如,磁盤是否做了加密、是否開啟了鎖屏密碼、操作系統版本是否最新等等。

      BeyondCorp一共用到了120多個環境因素作為是否授權的判斷條件。起碼從數量上看,可以說是非常完善了。

      (2)Global Frontend:這是谷歌云提供的全球部署的負載,可以提供對業務系統的加速。

      谷歌每天都在掃描全球所有網站,所以谷歌的威脅情報還是不錯的。BeyondCorp會屏蔽掉來自惡意IP的流量。

      (3)規則引擎:用于制定訪問規則。

      例如,設備必須安裝最新的操作系統版本,并且來自某個特定IP,才能可以訪問安全級別最高的系統。OS版本比最新低2個版本以內的設備,可以訪問安全級別為中級的系統。

      所以規則還是比較靈活的。安全級別比較低的用戶也不是說就完全不能進入了,而是他們只能進入級別要求比較低的系統。

      (4)執行節點:負責持續阻攔不符合規則的訪問請求。BeyondCorp會檢測每個訪問請求的位置、時間、線程時間等等信息,不只是登錄的時候檢測。

      6、BeyondCorp實際用起來是什么效果

      員工要使用BeyondCorp,必須先安裝一個Chrome插件。好像Chrome企業版是可以后臺自動推送插件的。而且國外Chrome的使用率也比較高,所以對Airbnb來說,還不算麻煩。

      14.png

      (1)限制用戶和IP

      管理員可以在后臺配置員工的權限,和業務系統的安全級別。

      例如,A系統允許外包公司的員工Bob訪問,但訪問者的IP限制為只有Bob公司辦公室的IP才能訪問。

      15.png

      這時候,Bob在辦公室的時候,可以訪問系統A。當Bob離開辦公室,連上樓下咖啡館的WIFI的時候,打開系統A,就會彈出報錯。

      16.png

      (2)限制Mac OS版本

      管理員還可以在后臺對設備進行限制。

      例如,有一天蘋果突然公布了一個系統漏洞,非常嚴重。管理員希望所有用戶都升級到打了安全補丁的最新版本。怎么辦呢?

      管理員可以在后臺設置一下安全級別,限制只有Mac OS版本高于10.0.1的設備才能訪問系統A。

    17.png

      這個時候,所有不符合安全級別的用戶就都無法訪問了。

     18.png

     ?。?)設備管理

      一般公司的資產登記表是不靠譜的。人的天性就是懶。自己的設備一般就直接給其他人用了,不會去更新登記表。

      零信任的一個額外的好處就是資產統計更準確了。從后臺可以查出每個用戶都使用了哪些設備,哪些是公司發的,哪些是自己帶的。

      19.png

      還可以查看設備的詳情,看到設備的安全等級等等信息

     20.png

      7、Airbnb的零信任架構

      BeyondCorp的零信任網關部署在業務系統之前。員工先走代理,再轉發到業務系統。零信任網關是安全策略執行者,也是個負載。

      下面是Airbnb部署零信任產品后的架構圖。

      從架構圖上可以看到零信任對Airbnb的架構影響很小,只有VPN和802.1x被替代掉了,其他基本不變。

     22.png

      用戶的使用流程是:

     ?。?)用戶裝上終端檢測插件。

     ?。?)用戶連上零信任網關,進行一系列身份檢查。

     ?。?)然后網關就可以直接把合法流量轉發到業務系統了。

      實際部署的時候Airbnb發現了一個問題,就是BeyondCorp不能把流量導到AWS(可能是有競爭關系吧),所以用了一個Nginx把流量導到公司內網。然后,云和內網用AWS的連接工具做了打通。

     ?。?)osquery整合到零信任體系里面了。osquery收集的信息跟零信任插件的信息會匯總到一起,進入日志分析系統、公司的資產統計表。Airbnb的分析系統還會反過來反饋分析結果給到零信任的規則引擎。

      8、零信任帶來的好處

      (1)無邊界

      原來用戶在公司總部用802.1x,在外地用vpn?,F在無論在哪,直接打開chrome就能訪問了,使用變得特別簡單。

     ?。?)加速

      零信任網關做了全球加速。尤其是對澳大利亞、日本的員工和常常出差的員工來說,體驗有極大的提升。

      (3)安全

      零信任加強了終端的安全檢測,這是原來VPN做不到的。零信任還替代了Airbnb原來自己開發的終端檢測工具。一個頂倆。

      9、總結

      這個案例里,谷歌的零信任在各方面都能吊打VPN。我感覺國內產品應該還都達不到谷歌的水平。

      國內廠商似乎都過于關注安全方面了,體驗和加速方面還不夠吊打VPN的程度。從用戶角度看,雖然安全必不可少,但是體驗肯定是一個更痛的點。


    本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306116;郵箱:aet@chinaaet.com。
    日本一级婬片免费看