诸子云 | 走进华住：大型企业安全架构和数据安全

　　诸子云 企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织，是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。

　　众所周知，网络层面的隔离受限于设备成本、性能影响及运维、维护成本，安全域无法进行非常细的划分，也无法实行精细控制。随着应用微服务化后，容器间的连接随之增多，而传统基于 IP 策略的模型已经不再适应以微服务为模型的架构。

　　随着互联网技术不断发展，企业（尤其是大型集团企业）的网络和安全需求不断增长，接入的各类网络和设备类型繁多，无法进行统一、集中管理。而采用传统IPSec VPN设备，不仅需要专业的技术人员支持，还使得安全能力与VPN组网能力分离，增加了网络的复杂度及运维难度。

　　在数字化时代，数据作为企业核心发展资源，数据安全依旧是企业安全中极为重要的一环，频繁的数据泄露事件充分说明了这一点。12月1日，等保2.0正式实施，对于企业数据安全合规也提出了新的要求。

　　为进一步探究企业基础设施安全架构、集团企业网络安全防护建设以及数据合规等方面的问题，2019年11月29日，安在新媒体联合华住集团共同举办“诸子云——走进华住”系列沙龙活动。

　　本次活动，安在有幸邀请伊士曼化工公司、金拱门（中国）有限公司、东方钢铁电子商务有限公司、上海东方传媒集团有限公司、ASSA ABLOY、Philips、上海建工电子商务有限公司、oyo酒店、51job等安全专家、安全部门负责人和技术骨干的参与。

　　本次活动由诸子云上海分会会长赵锐主持，简短的开场白后，嘉宾们进行简短的自我介绍。这也是诸子云活动老传统，目的就是要让安全圈的人才相互认识，相互交流。

　　随后，华住集团张维垚以“华住混合基础设施安全架构”；奇安信智能安全网络事业部张永福以“安全SD-WAN智能组网一体化解决方案”；贝塔斯曼欧唯特倪贇以“数据合规及应用实务”为主题，分别进行分享。

　　议题分享

　　华住集团首席安全架构师张维垚

　　华住混合基础设施安全架构

　　传统的网络安全认为边界之外是不可信的，并且注重在内部划分各个安全域，但是当安全域被入侵，那么攻击者往往可以自如的进行横向运动。随着应用微服务化后，容器间的连接更多了，使用传统的基于 IP 策略的模型已经不再适应微服务为模型的架构。

　　这也是大多数企业面临着的困境，而在本次诸子云活动中，华住集团张维垚就“华住混合基础设施安全架构”进行分享，并和参会嘉宾一起探讨。

　　在介绍了现状，普遍面临的挑战以及Ingress、Pod、k8s、Istio等基础名词后，张维垚向嘉宾们介绍了Istio 安全架构：Istio可将出站流量从客户端重新路由到客户端的本地 sidecar Envoy 容器。当客户端 Envoy 和服务器端 Envoy 建立了一个双向的 TLS 连接后，Istio 将流量从客户端 Envoy 转发到服务器端 Envoy。在授权后，服务器端 Envoy 通过本地 TCP 连接将流量转发到服务器服务。由 Pilot 控制 Envoy 代理，负责服务发现、负载均衡和路由分发，由Citadel 负责密钥和证书管理，由Mixer加强服务网格里的访问控制和使用策略，并收集来自 envoy 和其他服务的遥测数据。

　　在华住混合基础设施安全架构中，IDC 环境零信任原则也是一个关键的点，它要求所有的网络链接都应当受控；应用的身份应当由证书来证明，而不只是基础的 ip +端口；所有网络请求应当有明确的白名单，任何没有对应白名单的请求应当被拒绝；被入侵的机器不能修改到策略；所有请求都应当被加密等。

　　随后，张维垚还向嘉宾们具体分享了如何在 K8S 环境构建零信任网络，基于数据流向建立 Calico 策略，基于应用的动态策略建立VMware 分布式 SDN 防火墙，以及容器安全，并分别介绍了相应的实践和给企业带来的好处。

　　最后，张维垚分享了华住的权限安全模型。对于普通查看权限，能执行的命令是限制死的，统计命令执行情况进行命令固化；对于应用管理员，除了 sudo chroot 涉及密钥、账号添加修改、修改密码等都可以执行；对于系统管理员，可禁止远程登录，可在应用管理员账号下切换到 root等。

　　奇安信智能安全网络事业部张永福

　　安全SD-WAN智能组网一体化解决方案

　　随着IT架构升级，企业IT上云成为必然，终端、用户、应用之间连接也越来越复杂，网络管理和合规审查难度越来越大，安全服务的边界也从端、局域网络延伸到广域网络、延伸到云平台。随之而来的是，企业接入的各类网络和设备类型繁多，无法进行统一、集中管理，也给企业安全留下隐患。

　　对此，奇安信提出安全SD-WAN智能组网一体化解决方案。安全SD-WAN指将软件定义网络（SDN）技术应用于企业广域网络的整体解决方案，满足企业IT基础设施所需的组网、安全等核心功能需求，并通过虚拟化安全能力随需部署的方式，提升资源的有效利用率和业务快速提供的灵活性。

　　安全SD-WAN是由SDP、SD-SEC、SD-WAN三者组成。其中SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式“云化”，支持应用可感知的网络能力开放。

　　SD-SEC针对其计算环境中的信息安全和网络安全的控制及管理，由软件而非硬件实现。软件定义安全的五大优势包括简单、灵活可扩展、自动化、成本高效以及可持续改进。

　　SDP则有利于企业为其用户提供安全地访问IaaS资源的权限，特别是是在云下和云上保持端到端的网络安全策略。软件定义边界需要部署集中的、策略驱动的网络安全控制平台，覆盖整个的云下云上IaaS和所有的用户。

　　值得一提的是，奇安信安全SD-WAN还可根据企业需求进行定制。例如物联网定制解决方案，为物联网、工业互联网设计，可适应不同的场景接入硬件，可为企业提供多维度防护，而且简单易用，可实现设备零配置上线、自动化运营等。

　　如果说用八个字概括奇安信安全SD-WAN方案给企业带的价值，那就是降低成本，提升效率，当然这是在保证安全的前提下。

　　贝塔斯曼欧唯特倪贇

　　数据合规及应用实务

　　我们常常把2013年定义为移动互联网的元年，那么2019年隐私保护无疑在众人瞩目中翻开了新的篇章。从GDPR屡创新高的处罚数额，到美国以FTC为代表处罚处理一系列案件，域外的隐私保护如火如荼进行中。而国内无论是民法典分编、两高司法解释还是各领域各行业细分要求的出台，全球正在掀起一阵隐私保护合规的旋风 – 不可阻挡！

　　Sky通过三个章节分析个人信息的内含、外延的意义，通过快速扫面全球的隐私立法状态给大家简略整理一年内发生的重大变化。随后，提出了一个略带“离经叛道”意味的个人观点：

　　个人信息权与隐私权的分界尚未有定论，关于数据所有权、数据财产权益学术上也存在争议。从业务发展角度看，企业内部从业人员应着力关注由“Right to Privacy Protection”向

　　“Right to Protection of Personal Data”观念的转型，以提升数据主体对特定信息的控制能力为抓手，完成业务信息系统隐私工程化的改造；赢得消费者在数据保护能力方面的信任。不应将大量精力掷于某类型数据是否为个人信息的判定，或长时间纠结于敏感、一般个人信息的甄别。

　　通过境内外立法现状的快速扫描，我们可以直观感受到变化。以我国为例，在个人数据保护方面，已经形成了以法律为首，行政法规居中，行业规则和规范性文件为底的系统化数据保护金字塔体系。

　　我们发现三大经济体在隐私保护数据合规上有不少差异化的要求；但是在某些特定领域有着高度的一致性。我们可以发现政务、基础设施、金融行业、医疗健康、教育、青少年儿童、通讯电信、云服务、特定工业都属于各国强监管范畴，这意味着上述行业在数据合规、隐私保护需要投入更多精力和资源；同时也有着强大的合规驱动力。

　　最后章节给大家带来了境内司法体系下四种通知同意的实务案例；分别是一般通知（一揽子）、明示同意、逐次同意、特定群体的同意（同意的撤销）。Sky将自己数据合规内控过程中四种类型情况发生的合规风险点一一进行展示，给与会嘉宾更为直观的数据合规内控要点的理解。

　　随着三位演讲者的分享结束，本次活动也即将进入尾声，参会嘉宾进入相互交流环节，嘉宾们各自就自己感兴趣的点和演讲者探讨，或相互交流彼此的心得，活动氛围十分高涨。最后，参会嘉宾共同参加晚宴，继续之前尚未结束的讨论。