项目背景
随着中通集团生态圈业务的快速发展,支持业务发展的IT系统规模迅速扩大,日常产生的数据体量越来越大,并且数据作为重要的生产资料也越来越宝贵,因此解决企业面临的数据安全问题变得至关重要。围绕现有的IT体系和安全架构,打造一套我们自己的数据安全治理体系及相关技术平台是我们一直在努力的目标,本文将讲述其中的数据安全分发模块的一些实践及思路。
目前,我们在数据分发和使用环节主要面临如下几个场景的安全挑战:
1.监管部门数据查询和报送场景
中通作为物流快递行业的领先企业,必然会承担更大的社会责任。在实际工作中,需要和大量的相关监管部门进行必要的对接,在配合监管部门工作时,会经常需要进行各类文档材料的分发传送,而我们的很多业务部门会使用QQ、微信等通信工具不进行加密就直接发送这些数据,这样的交互方式不仅带来了繁琐的操作,同时也无法保证数据的安全分发和审计。
2.公司内数据分发场景
公司内部的数据分发也面临一系列的安全挑战。中通的网点遍布全球各地,总部为了更好的管理全网,会不定期的下发各类通知和政策类文件、报表等,我们需要确保这些数据既能触达全网又能保证政策类文件和通知类附件的信息安全。这类数据往往很难遵从最小权限原则精准推送到匹配的人群,并且很难规避再分发。
3.应用系统敏感数据批量导出场景
在实际的业务场景中,经常需要导出各类敏感数据,各个应用系统和大数据平台均提供了数据导出功能,并各自进行管理和维护。如此一来便存在平台数据导出功能重叠、权限控制混乱、无安全审计等安全风险。
4. 日常运维工作中数据上传下载场景
在《中通安全Jumpserver安全运维实践》中曾提到,安全运维在安全体系中变得举足轻重,各种风险常常给企业带来不可估量的损失。中通特色的Jumpserver虽然可以避免和减少大部分运维安全隐患,但在一些特殊的运维场景中,仍有一些风险未被规避。例如在维护服务器时,IT运维人员常常使用pscp、lrzsz等工具来进行服务器的文件上传下载操作,这里就产生了一个安全访问问题。无论在内网还是办公网环境下,只要有相应服务器的登录权限,相关人员都可以对服务器的数据进行上传和下载操作。这对一些敏感数据如关键配置文件和数据库文件造成了安全风险。针对此类场景,我们不仅需要Jumpserver对服务器进行管理,还需要进行更高级别的安全管控。
解决方案
1设计目标
针对以上场景,我们梳理了业务架构,设计了数据安全分发平台。
图1 数据安全分发平台业务示意图
针对运维文件传输和敏感数据导出问题,我们将平台设计为导出数据的唯一出入口,并纳入到结合多种安全访问控制策略的认证授权体系。设计目标如下:
- 服务端和客户端之间数据传输出入口唯一,所有操作都被审计
- 数据的上传和下载过滤敏感及有安全威胁的内容
- 对接统一的认证授权体系
针对公司内外数据分发和业务对接问题,我们需确保每个人无论内部还是外部员工,按照最小权限原则进行受控的操作,结合事先编制好的自动化工具,尽可能避免接触到敏感数据。这就要求我们不仅要对数据分发进行更细致的管控,也要对接收者进行更多维度的校验。设计目标如下:
- 用短信邮件结合的方式,对数据接收者进行多维度验证
- 文件和消息状态实时跟踪
- 服务间通信进行双向TLS认证和加密传输
另一方面,我们也要确保我们平台本身以及通过平台分发的数据安全可信,确保它们仅由授权用户进行操作。也就是说,在我们的平台内需建立一套完整的权限策略来隔离所有的数据资源,把每个用户的访问权限控制到最小,并且将待分发的数据进行加密存储,与平台隔离,存取过程也需进行服务级的身份认证。这就涉及到以下技术目标:
- 数据需作为资源进行权限管控,确保它们只能由授权用户获取
- 数据需进行加密存储,确保其机密性
2平台架构
我们的数据安全分发平台集成了多个自研的安全基础设施服务,协助进行数据分发的多维度风险管控。
图2 数据安全分发平台架构示意图
2.1 数据传输模块
数据安全分发平台的数据传输模块由客户端和服务端两部分组成。在用户和服务端的交互过程中,数据交互只能通过传输客户端和平台的前端界面来进行,所有交互通过签名算法来保护数据的机密性。同时,用户需完成平台登录,数据资源的授权,数据的安全扫描等流程才能进行正常的数据上传和下载操作。所有操作将通过日志记录并推送至Kafka,最后存储到安全日志中心,安全部门同事可通过安全日志中心进行记录查询和分析告警。
图3 数据传输模块业务流程示意图
关于数据资源权限管理,我们构建了以数据资源为对象的权限管控体系。用户仅可以访问自己被授权的数据资源,数据的容量大小也可以进行限制。
图4 数据资源授权效果图
2.2 数据的安全存储和安全扫描
平台通过和中通安全文件存储服务对接,将用户数据加密后存放在一个分布式文件存储系统,确保数据的机密性和高可用。中通安全文件存储以FastDFS为底层存储,支持浏览器HTTP或者SDK的形式上传、下载和删除文件,并对敏感数据的操作进行严格的日志记录,一旦发生信息泄露,可以做到及时定位泄露的数据及对应的操作用户。
在上传至存储之前,数据资源需进行解析和扫描,一旦发现敏感文件,如数据库文件、关键配置文件和病毒木马类文件,则会拦截并通过邮件和消息通知到用户上级主管以及安全部门,以便及时处理。
图5 数据的安全存储和安全扫描流程示意图
2.3 用户消息推送和文件获取
中通全球几万个网点的消息通讯是通过自研的安全通讯软件进行交互的,数据安全分发平台通过和其对接,统一提供有访问控制的消息和文件上传下达及分发服务。针对监管部门查询数据的场景,业务对接人员可以在校验监管部门人员身份后,录入其邮箱地址和手机号,直接在平台上申请需要哪些数据,经过相关审批工作流后,平台会自动将导出的数据进行加密,并发送到对方的邮箱,同时将密钥通过短信进行发送。当需要传递机密文件时,用户会收到由吉信APP发送的文件接收通知和验证码,用户登录数据安全分发平台后,通过一次性验证码来获取该文件。
在发送全网通知时,我们使用安全分发平台代替原本的OA附件方式,用户可以在平台内查看附件的下载情况,文件未读状态超时后可以自动向接收者发送提醒。网点在查看和下载附件时会自动增加水印,防止附件泄漏。
图6 用户消息推送和文件获取流程示意图
2.4 数据导出和风控
数据安全分发平台的数据导出模块目前仍在开发中,此模块将集成权限管控和安全审计等功能,方便各应用子系统的快速对接,避免各应用子系统的重复开发,数据复用等情况。通过对接大数据平台,生成批量操作任务,对大批量数据进行快速筛选和聚合,降低应用子系统因数据导出而导致的资源占用,提高了各应用子系统的性能和可用性。另外平台还会对接风控系统,对数据导出行为进行实时监管,对异常操作进行实时拦截,避免敏感数据外流。
2.5 用户认证和授权
我们正在积极探索建设零信任安全体系,并且零信任已经成为安全架构设计的实践准则。零信任安全的信任基于全新构建的身份认证和资源授权,依赖于全面的身份化,那么对于数据中心内部的文件传输服务来说,也应该将其对接到零信任可信接入网关,只有认证通过的设备和用户,并且具备足够的权限才能使用该服务。
数据安全分发平台通过和中通统一认证(SSO)系统对接,完成用户认证和授权管理,可以在整个认证授权的流程中保证用户信息安全和验证结果可靠,并以实人认证为基础的人员帐号关联手段,增强了帐号的安全管控,同时也解决了敏感操作追溯到人的问题。
图7 平台登录界面效果图
图8 传输客户端登录效果图
未来展望
中通数据安全分发平台目前在多个场景下进行了应用,解决了相应的安全问题,化解了部分安全风险,但离我们的目标仍有一定的距离。我们的目标是打造一个支持混合云架构的安全的跨租户数据分发和交换平台,接下来我们还需要不断地在真实的业务场景里逐步完善。
我们计划聚焦在以下几个方向:
- 在文件传输模块,大文件的传输处理还有待优化,整个业务流程包括权限隔离等接入使用规范还需要进一步厘清和文档化
- 文件安全存储和安全扫描方面,提供更多的数据存储方式,提升安全扫描的速度和准确性
- 消息推送和文件分发,还需提供更多的触达渠道和传输通道,持续提升用户体验
- 数据导出模块的进一步开发,我们将在近期和多个应用子系统进行对接,并针对特定的业务流程对导出功能进行优化
未来,我们还将与大数据平台做更多互动,充分利用大数据平台可以对海量数据进行快速分析处理的优势,同时与中通其他安全产品做更深入的集成,做到互联互通,形成更加成熟的数据安全整体解决方案。
作者简介
王晓阳,中通信息安全团队安全研发工程师,主要负责中通安全产品的后端开发,专注研究K8S、Istio等微服务架构。
团队介绍
中通安全团队是一个年轻、向上、踏实以及为梦想而奋斗的大家庭,我们的目标是构建一个基于海量数据的全自动信息安全智能感知响应系统及管理运营平台。我们致力于支撑中通快递集团生态链全线业务(快递、快运、电商、传媒、金融、航空等)的安全发展。我们的技术栈紧跟业界发展,前有 React、Vue,后到 Golang、Hadoop、Spark、TiDB、AI 等。全球日均件量最大快递公司的数据规模也将是一个非常大的挑战。我们关注的方向除了国内一线互联网公司外,也关注 Google、Facebook、Amazon 等在基础安全、数据安全等方面的实践。
声明:本文来自中通安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
