如果你使用电脑的经验超过了十年半,那么你无意中以某种方式发现这些协议的几率是非常高的,尤其是在大公司当中。
如今的企业(特别是IT企业)跟1995年那时候的企业已经有了巨大的不同,然Ylonen仍然致力于研究同一个关键问题:敏感信息的访问安全问题。(他的公司,SSH通信安全,刚刚发布了一个新的SSH密钥识别和清除服务。)事实证明,在这个随时在线的世界中,它比任何时候都更加重要。
我们对他进行了采访,了解企业如何保证他们的数据安全,以及某些错误做法。
ZDNet:你现在的工作内容是什么?你想解决什么样的问题呢?
Tatu Ylonen:我们正在努力解决的问题是关于在IT基础设施中授权访问服务器的关键问题,授权访问在IT基础设施的建设中还没有真正得到妥善管理。我们已经推出了减轻这些风险的服务,前阵子,我们刚刚与一个重要的银行完成250万美元的合作。
我们基本上是为他们提供了一些基础知识——关于如何获得控制下的SSH密钥以及IT环境中后门的相关内容,然后帮助他们淘汰这些过时的密钥。在今天的环境中,有成千上万的这种密钥。这是确保交易商或者其他人在未经任何授权下,禁制访问系统的。
我们想让它能够自动改变密钥,所以,如果某些离职的员工存有密钥副本,那么也能够有效地阻止他们进行访问。
在过去的几年中,我们已经挖掘出不少SSH密钥管理的问题。我们得到了更多的用户请求。排在我们前三名中的一个零售连锁客户,通过他所提供的问题我们开始挖掘。实际上跟大多数客户一样,他们当中没有一个人知道在他们的环境中到底有多少SSH密钥。他们根本不清楚哪个人可以访问些什么内容,他们没有控制权。
ZDNet:这听起来可真疯狂,真的。
Tatu Ylonen:这个问题已经被掩藏在IT环境中了。在自动化管理责任中通常会使用到这种密钥。这些企业似乎有2万台服务器运行在他们的IT环境中。其实,协议没有什么错误,只是这些控制的管理一直都相当草率。
一家银行估计,他们在过去的10年中已经累积了40万的访问密钥。他们根本不清楚应该删除哪些密钥,因为他们不知道那些密钥是允许访问什么内容的。所以,他们不想再去关闭那些密钥了,因为他们不想误关了某些关键系统的访问大门。
在一个全球性的银行中,我们发现了超过一百万个密钥,而且都是授权访问服务器的。百分之十给的是访问根目录的。你可以想象,最大的风险是:在一种网络中,这些密钥能够相互连接到不同的服务器。如果你闯入一台服务器,那么肯定有相当大的风险,你就可以攻入到其他服务器,从而继续攻击所有的服务器。在短短几分钟之内,你就有可能攻陷绝大部分的企业IT基础设施。这听起来似乎很愚蠢,哪个企业会这么做呢?但在1988年就发生过类似的攻击事件。而很多企业中都存在着这样的风险,这是不容忽视的。
ZDNet:当遇到这种问题,企业是处于主动的还是被动的呢?那么在危急发生之前,他们就没发现并处理掉这些事情?
Tatu Ylonen:IT管理员只能看到基础设施的一个小角落。他们只看到了问题的一部分,也不清楚问题的严重程度,也不知道他们到底有多少个密钥。他们非常忙碌,尤其是在过去几年的裁员中。他们只是没有足够的带宽。甚至审计师也没有意识到。
有很多管理员参与创建了这些密钥。他们可以读取和复制私有密钥存储在该账户上。有些密钥很短,你甚至可以把它们写在你的手背上。
我们可以来计算一下用于创建密钥的成本。在一个企业中,200名管理员花费他们10%的时间来做这个。另一家企业设立了一个15人的专业团队来进行安全管理。若你来估算一下做那种类似工作,每年的成本是多少,结果是在这些企业中大概相当于2万美元到3万美元不等。这非常简单,通过软件就可以支付费用了。这可以让某些人自圆其说了。
每个“财富”500强的企业中都存在着这样一个问题。他们每个企业都有Linux和Unix服务器。这也是大型主机。使用SSH下的路由器进行管理。这也适用于最大的云服务提供商。世界上超过一半的网站都运行在Apache上,Apache运行在Linux或BSD上,通常,这些机器都使用SSH管理。
ZDNet:那他们会听取意见吗?
Tatu Ylonen:如果我们跟合适的人讨论,他们几乎都能认识到他们可能有问题。他们几乎从没有意识到问题的严重性。其实有很多的培训是必不可少的。
我相信大部分的美国上市公司都会遵守“萨班斯-奥克斯利法案”【美国法律,针对企业财务状况收紧监管的准确性——编者注】因为他们没有正确地控制谁访问什么,而且也没有对离职员工进行终止访问的管理,还没有对这些密钥进行正确地审核。
我们这儿有个具备20台服务器的客户案例。在这个项目中存在着大量的服务组件,我们需要雇佣其他资讯公司并且要对内部的IT部门进行培训,从而让他们掌握这些知识。审计准则的实施也存在着很大的问题,审计师不知道SSH密钥的存在。
这个问题具有相当大的挑战性。对于我们来说,在商业上,它可以帮助我们拥有众多使用SSH的大客户——超过半数的美国十家最大的企业都在使用SSH。银行和十个全球公司中的七个都在使用我们的商业SSH客户端和服务器。我们可以跟他们谈论什么是真正的问题。
ZDNet:在我最新的一些访问中,发现对于网络安全的态度已经有了转向,不再是只关注如果你被攻击的问题,而是更关注于你何时被攻击。你是否发现,企业高管们考虑安全问题的角度已经有所不同?
Tatu Ylonen:如今,企业的边界变得非常复杂。现在的工作环境是多点运行。人们在家里会用移动设备进行工作,也会把自己的笔记本电脑带到办公室。
你不再能够控制一切。你必须具有多道防线。若是有一台服务器被闯入,那你就需要及时控制事态,不能再让他闯入到另一个服务器中。IT基础设施已经成为了一个将各种合作伙伴捆绑在一起的变形虫。相关的协议也变得非常复杂,Javascript、Flash甚至是PDF等也变得极为复杂。即使在内部,协议也是非常复杂的语义。因为更多的复杂性,所以你具有更大的潜在的暴露性。更多的代码,更大的服务器,更多的漏洞。
我们已经找到了发掘客户环境中密钥的方法——想要正确操作其本身也是相当棘手的——并且要跟踪环境,也就是找出哪些密钥是可以使用的。这样我们就会知道哪些密钥是永远不必删除的了。当我们要删除根目录的密钥时,普通用户对其它用户不能创建密钥,这特别适用于自动化流程——我们的自动化密钥管理,让他们每年减少了15-20人的岗位需求,从而节约了一部分相当可观的成本。然后我们开始旋转该密钥,使其每一个月或每三个月改变一次。
你可以节约成本,减少管理员数量,从而提高运营效率。而我们的目标就是将风险降到最低。
