Canva借助1Password保障高速增长期的身份安全

2019年5月，图形设计平台Canva遭遇重大网络安全事件，黑客Gnosticplayers入侵其数据库，窃取了超过1亿用户的个人数据，包括用户名、电子邮件地址和经过bcrypt加密的密码。

在这次事件之后，这家总部位于澳大利亚悉尼的公司对网络安全措施进行了大量投资，并开始与凭证管理服务商1Password展开合作。

当Kane Narraway于2023年底加入Canva担任企业安全主管时，公司已经走出困境并进入快速增长阶段，月活跃用户超过2.6亿，年化收入超过35亿美元（约25亿英镑）。与此同时，自2020年以来员工人数增长了五倍，全球业务版图不断扩大。

Narraway曾在Shopify和Atlassian担任安全职务，还曾为英国政府从事数字取证工作，现居新西兰。他表示，管理这一增长阶段是一项有趣的挑战。

在Canva工作期间，维护和改善安全态势的压力一直很大。过去三年里，他需要兼顾保护不断增长的企业客户群安全、安全管理入职和访问权限、降低共享账户相关风险，以及平衡安全与内部开发人员效率。

"当你快速扩张时，人们会做更多事情，会有更多独特的工作流程，这使得锁定安全变得越来越困难，"Narraway说。"你会看到人们购买更多需要保护的SaaS工具，使用更多用于编码的集成开发环境等。有很多不同的场景。"

"如果你持续投入，快速增长本身没有什么特别之处，但我确实认为你需要让安全团队与工程师和非工程团队同步扩张，否则你会落后并无法追赶。"

新员工：安全盲点

对许多组织来说，最大的两个网络安全盲点是新员工入职和老员工离职。前员工（尤其是心怀不满者）带走最有价值数据的风险已经众所周知。然而，新员工入职时带来的风险讨论较少。新员工会带来自己对安全的先入之见和误解，需要快速了解新岗位的工作方式，以免意外造成失误。

Canva与1Password合作的核心是使用其企业密码管理器产品，用于降低这些风险，快速安全地为"Canvanauts"（Canva员工昵称）办理入职，确保从新员工第一次坐在工作站前就实现一致的凭证管理，同时支持SOC2合规要求。

"如果你设置好密码管理器，员工第一天入职时就会接受如何使用它的初始培训，"Narraway说。"所有其他团队的凭证都已经在里面，所以他们被迫使用它。人们使用它是因为这是最简单的选择。"

同时，他使用1Password的SCIM Bridge（跨域身份管理系统）来自动化整个企业新应用的配置，使新用户能够无缝集成，并提供从旧工具迁移凭证的清晰文档。对于高风险应用，该服务可以重置凭证以减少继承漏洞潜入的机会。

"1Password将安全转变为增长推动力，"他说。"我们可以快速整合新团队和系统，同时保持最高安全标准，为客户提供卓越的创意体验。"

Narraway将1Password的作用描述为让安全之路尽可能顺畅。"我们在安全领域有一个'铺设道路'的概念，"他说。"其思想是人们会使用你铺设的道路，因为这是最简单的。而如果铺设的道路不够平坦，像砾石路一样，人们就会使用其他最简单的东西。"

处理身份体验不当可能是在这条路上引入坑洼的最简单方式，因为这样做会迫使人们走替代路线，比如在个人手机上使用密码管理器，或使用谷歌的内置管理服务。

"虽然这些都很好，但你没有任何企业设置，也不知道这些账户的安全性，"他说。"你要尽可能防止任何个人密码同步。"

Canva还受益于1Password集中存储和访问登录信息和机密的方法。例如，对于共享账户（如传播和营销团队使用的社交媒体登录），1Password使Canva能够应用更强的身份验证措施，如为不与任何个人绑定的账户提供基于一次性密码的登录，这意味着需要的团队可以访问它们，但仍受到多因素认证（MFA）的保护。

"当你审视安全事件时，相当数量的漏洞是由于机密扩散造成的，"Narraway说。"1Password通过提供细粒度访问控制来解决这个问题，因此团队只能共享必要的内容，保护凭证，同时仍能访问所需工具。"

保护开发人员工作流程

Canva以快速演进其可视化通信平台和快速迭代而自豪，因此在拥有高度活跃的开发人员群体的情况下，1Password也被大量用于支持这些团队所需的工具和工作流程，超越了单纯的密码管理。

Canva的开发人员现在使用1Password来保护服务账户凭证、SSH密钥和其他基础设施机密，而1Password命令行界面（CLI）有助于简化工作流程中的访问。

Canva的开发人员使用这个CLI进行身份验证、检索凭证并直接从命令行继续工作，无需浏览器或用户界面提示。

"在典型的工作流程中，比如你登录LinkedIn，你会打开浏览器，登录，使用1Password扩展，"Narraway说。"这一切都会为你内置。"

"CLI的问题在于你不会获得任何这些——它只会出现命令提示终端，并说'输入你的密码'，这意味着你又回到了10年前那些笨拙的日子，你必须去密码管理器，复制密码，然后粘贴它。"

"我想让用户体验尽可能好，所以我们将1Password命令行与我们的内部开发工具集成。它会询问你是否要自动存储凭证，是否要检索某个凭证。它为你节省了大量手动选择的工作，加快了工作流程。"

"我们每次只谈论两三秒——不是大数字，"Narraway说。"但当你在5000名工程师中推广时，每年仅做基本工作就能节省数周的工作量。"

安全从家开始

但合作并不止于办公室。除了成为Canva员工安全架构的基石外，全球团队还可以免费使用1Password Families消费者产品来保护工作之外的个人账户和数据。Narraway是使用者之一。

正如任何安全专家都深知的那样，该行业面临的最大挑战之一是让人们听从安全建议，做正确的事，不在便签上写下凭证，或不是每隔几个月在末尾加个新数字来更新凭证。

Narraway说，将1Password等工具应用到Canva员工的个人生活中，不仅通过让他们在家更容易做正确的事来帮助应对这些挑战，还有可能改善Canva的网络安全态势——特别是如果远程工作员工的孩子访问他们的电脑的话。

他补充说，密码管理技术近年来已经大幅改进。

"如果你10年前使用过密码管理器，它们并不好用，"Narraway说。"它们笨拙且不方便。你必须在手机上复制粘贴密码，使用的人不多。"

"如今情况好多了——谷歌和苹果显然已经将这项技术集成到他们的生态系统中……但责任仍在个人身上，所以你仍然需要经历那些预防性的安全习惯。"

"很多人在被黑客攻击或他们的电子邮件出现在某个数据泄露中之前不会考虑这些，"他总结道。

Q&A

Q1：Canva在2019年遭遇的网络安全事件是怎样的？

A：2019年5月，图形设计平台Canva遭到黑客Gnosticplayers的攻击，数据库被入侵，超过1亿用户的个人数据被窃取，包括用户名、电子邮件地址和经过bcrypt加密的密码。这次事件后，Canva对网络安全措施进行了大量投资，并开始与凭证管理服务商1Password展开合作。

Q2：1Password如何帮助Canva管理新员工入职的安全风险？

A：1Password通过企业密码管理器产品帮助Canva快速安全地为新员工办理入职。员工第一天就会接受使用培训，所有团队凭证都已经预置在系统中，确保从第一天就实现一致的凭证管理。此外，1Password的SCIM Bridge可以自动化配置新应用，使新用户能够无缝集成，同时支持SOC2合规要求。

Q3：Canva的开发人员如何使用1Password提高工作效率？

A：Canva的开发人员使用1Password来保护服务账户凭证、SSH密钥和基础设施机密。通过1Password命令行界面（CLI），开发人员可以直接从命令行进行身份验证和检索凭证，无需浏览器提示。这个CLI与内部开发工具集成后，可以自动存储和检索凭证，虽然每次只节省两三秒，但在5000名工程师中每年能节省数周的工作量。