“小红书基于零信任的数据安全落地实践”演讲实录

11月，为期两天的FCIS 2023网络安全创新大会（以下简称：“FCIS 2023大会”）在上海张江科学会堂圆满落幕。来自全球的数十位网络安全人物、企业安全负责人、技术大拿、研究学者等发表主题演讲，累计线下参会观众突破6000人次。

在主论坛E-Tech企业安全实践分享中，亿格云行业标杆客户「小红书安全技术负责人、首席数据官」周达发表了“基于零信任的数据安全建设实践”的主题演讲。分别从办公场景下的数据安全挑战、小红书全链路零信任体系和安全思考与展望三方面详细阐述。

小红书安全技术负责人、首席数据官 周达 发表主题演讲

欢迎关注小红书bilibili官方账号「小红书技术REDtech」收看完整版《FCIS 2023 | 小红书基于零信任的数据安全落地实践》演讲视频。

近年来，数据安全的重要性持续攀升，成为备受关注的焦点。提到数据安全的需求方，不仅包括各级监管机构对法律法规的要求，也涵盖了企业自身发展的利益追求、业务竞争力的提升，以及对用户和社会安全的责任担当。数据安全领域涵盖了整个数据生命周期，包括采集、传输、处理、存储、加工等各个环节。因此，确保数据的可用性、合规性和安全性显得至关重要！

自2013年成立以来，小红书历经十年的迅猛发展，其业务规模呈现出持续扩大的态势。截至2022年底，小红书已经汇聚了超过6900万位分享者、超2.6亿月活跃用户。那么，小红书是如何构建办公场景下的数据安全防护体系的？对此，周达展开了详细阐述：

小红书在办公场景下的数据安全防护建设经历了四个关键阶段。早在2019年，小红书便开始着手构建内部网络基础设施，以确保基础的安全防护；2021年，小红书引入了VPN（虚拟专用网络）+沙箱DLP（数据泄露防护）技术，这标志着其数据安全防护进入了一个新的阶段；2023年，小红书采用了零信任与DSOC（数据中心运营中心）模式，对原有的安全防护体系进行了升级；最近，小红书更进一步升级至下一代数据安全框架，这意味着公司已经准备好迎接未来的安全挑战，并始终致力于保护用户和企业的数据安全。其中，疫情反复时期可以视为小红书办公场景数据安全防护体系发生显著变化的关键时间节点。疫情对整个小红书的工作习惯产生了很大的影响，随着远程办公的需求大规模增加，传统VPN技术在承载大量并发连接时出现了严重的扩容压力，无法满足公司日常工作的需求，经历这场变革后，小红书内部的远程办公已从特殊状态转变为常态，成为公司工作方式的一个基本组成部分。无论是会议、面试还是开发活动，远程办公已成为标准操作程序。员工们普遍接受了这一变化，并将其视为日常工作的一部分。总的来说，疫情加速了小红书向远程办公模式的转变，并促使公司在数据安全防护上进行了相应的升级与优化。

小红书在办公场景下面临的数据安全挑战主要涉及四个方面：合规性、稳定性、成本控制和效率维护。合规性是安全的底线，要符合数安法、网安法、个保法等法律法规对数据安全的规定。其次，由于非标准和多样化的终端设备类型，稳定性成为一个不可或缺的关注点。再者，协同作业的成本逐渐显现，数据安全已经不再仅仅是技术部门的事务，还涉及公司IT、风控、法务等多个部门的合作。最后，需要在业务效率和安全防护之间找到平衡，确保不会对日常业务办公的体验产生过多干扰。

面对上述挑战，周达总结了小红书的现状：小红书自诞生以来“长在云原生架构上”；分布在异地多区域，办公场景灵活且遍布上海、北京等地；其网络结构环境相对复杂，融合了自主研发的内部系统与外部采购产品。随着业务蓬勃发展，数据泄漏的风险也在迅速上升。为此，小红书定义一个明确目标：“红线数据不泄露，全量数据可追溯”。制定这一目标的目的有三点：定义红线数据与问题、基于红线的边界划分、最终希望达成的明确效果！为满足实现灵活办公场景、适用多云复杂的网络与IT环境，小红书开始了对零信任方案的调研。

早期，小红书对零信任方案进行了调研，以Google的BeyondCorp为代表。这一方案在技术上解决了许多标准化和复杂性的问题，比如内网隔离等。尽管其无端的访问方式提供了出色的用户体验，但同时也带来了一些缺陷，比如缺乏终端安全管控手段。小红书还关注到，SASE架构作为一个新趋势，其分布式的PoP点确保了系统的天然高可用性，补充了安全管控的能力，并通过PoP结合网络身份认证核验。与内网反向隧道建连以确保安全访问，SASE架构具有强大的兼容性以致给人一种"轻盈的美感"。

考虑到小红书的业务场景，团队认真思考后认为，在过去的零信任概念中，更多的关注点放在身份、设备和网络上。然而，在实际建设中，却很容易将零信任使用体验变成一个“大号VPN”，虽然它可以对内网系统和网关进行URL级别的管控，但仅限于此。为解决这一问题，团队认为真正全链路的零信任方案需要同时具备五个要素，即身份、设备、网络、服务和数据。在这些要素中，团队特别强调了数据的重要性，因为只有了解用户是以什么身份，通过什么设备连接到什么网络，访问了哪个服务，以及具体访问了哪条数据的全链路行为，才能做出准确的强风控判断。因此，小红书创新性地将这五个要素结合零信任的理念，落地到自研的安全办公内部平台——REDpass。REDpass基于身份、终端、网络进行验证，再结合内部数据分类分级，通过安全网关访问内部系统，实现对数据防泄漏的细粒度管控。

  基于双重网关的零信任建设之路  

小红书基于零信任的数据安全体系建设分为5个部分。首先，解决了“远程办公零信任网络场景”，联动REDpass安全终端与PoP公网零信任网关。通过SASE网络架构，将4/7层日志和客户端日志接入风控系统，识别是否具备连入内网的条件。在多层分流解析后，不对外暴露系统和数据资产。在PoP点进行安全风控请求级别的检查，通过TLS反向建链连接到内网，实现精细化访问控制。

除此之外，小红书认为，安全项目的成功很大程度上取决于用户接受满意度，而非仅仅是技术层面。对于终端用户而言，难以接受过多的终端部署，如EDR、DLP、VPN等安全软件。因此，我们在终端上采用了All in one的REDpass客户端。通过全球+私有PoP接入点，智能收口网络流量，确保用户在使用时享有极致的体验。

在完成网关层面URL级别控制的部署后，我们认为安全管控的力度尚显不足，因此，我们进一步进行了REDpass+内网零信任网关的步骤，以实现特权网络内的零信任访问。在实际办公中，存在大量客观上不可忽视的特权网络。为了真正解决零信任的问题，我们创新地将网关风控与客户端联动。网关风控能够实时识别请求中是否包含客户端信息并检测客户端状态，确保终端的可信性。对于未安装客户端的访问请求，网关风控将用户跳转到客户端下载页面，以实现更精准和完善的访问与分析。

在设备、身份、网络的安全部署完成后，我们仍需持续推动上述提及的五大要素的实际落地。因此，在第三步中，我们充分借助小红书的安全风控系统，通过掌握全流量日志以便进行审计，获取包含用户身份、设备信息和网络信息的系统访问与返回数据日志。通过实时风控，我们实现了所有行为的追溯，进一步完善了行为风险分析和用户画像。通过配置动态安全管控，真正实现了办公数据访问的可溯源和可审计。

五大要素中还关注数据与服务这两大板块，而这块是非常相对考验企业安全建设的基本功，包括内部数据的分类分级、数据正向与负向治理，正向治理是从创造数据库表、字段，主机、宿主机、应用等链路。负向治理即基于安全能力做反向检测去补齐更多安全能力。同时，数据分类分级是企业数据安全建设中是相对基础的部分，因此我们从服务和数据分类分级出发，识别静态和动态红线数据，以 “红线数据不落地”为目标， 确保红线数据不泄露，清晰把控每个API背后的数据库与敏感数据分布等完整信息，便于实施对应应用级别数据的全生命周期防护措施。

但数据分类分级的治理是一个庞大的工作，必定会有遗漏，所以当有发现未知或全新的数据，就会反向触发D-SOC，优化数据的分类分级方案。我们会基于D- SOC实现从REDpass、PA-GATE、IA-GATE、服务和数据、威胁情报的全链路识别、防御、检测、响应、运营，整体围绕数据的安全风险，以持续运营保持对抗，形成了一个良性闭环。

在分享的结尾，我们汇聚了在项目建设过程中所获得的宝贵经验和深刻思考。周达强调了产品功能与日常安全治理的重要性，认为每一位同仁都应该高度重视。然而，他更加想强调的是安全体验，其指出许多安全项目在推进的后期常常会面临业务部门不愿合作的困难。然而，安全体验实质上是业务方或用户对安全的真实感受。安全最终是为人服务的，因此我们不能忽视对安全体验的关注。在稳定性方面，安全应该设定比研发更高的标准，在连续性方面，任何安全机制都不应成为业务开展的“断头路”，不能强制影响业务的正常进行。在透明性方面，安全不应该孤芳自赏，而是应该与业务方进行深入的讲解和引导，以达成共识。最后，周达强调，安全风险具有决定性的意义。安全建设的好坏最终取决于是否解决了安全风险，建设安全项目到底解决了哪些问题，只有落到具体可量化的问题上才可以成为判断的最重要准则！未来，小红书在努力提升安全标准的同时，也将致力于建设更安全、更高效的数字化安全办公解决方案，共同推动安全行业的向上发展。