“超级高铁” Hyperloop One 如何防止数据泄露?
作者:星期一, 一月 20, 20200

超级高铁创业公司 VHO 蜚声全球,其知识产权自然成为了竞争对手、国家黑客和网络犯罪集团眼中的香饽饽。保护这些宝贵数据的关键就在于严格的访问控制。

自1799年英国发明家乔治·梅德赫斯特(George Medhurst)为他的“风泵”申请专利以来,低压管材中的高速火车的概念就已经存在了。但直到最近十年埃隆·马斯克(Elon Musk)对此大力投入之时,超级高铁的愿景才貌似可能成为现实。

马斯克于2013年发布了他的Hyperloop Alpha 白皮书,公布了这位特斯拉和SpaceX创始人设想的一种新形式的近真空管道高速磁悬浮(maglev)轨道系统,预期速度可达到1225公里/小时(达到或超过音速)。马斯克没有亲自实现想法,而是向世界发布了概念,并鼓励更多人参与进来。

然后就出现了Hyperloop行业。在马斯克的白皮书在互联网上发表后不久,一些公司就涌现出来,将工程师和风险投资人聚集在一起,以解决实际问题。从一开始,总部位于洛杉矶的Virgin Hyperloop One(VHO) 就是这个领域最具竞争力的竞争者。

VHO成立于2014年,当时名为Hyperloop Technologies,在理查德·布兰森(Richard Branson)及其英国企业集团的投资下,该公司于2017年以维尔京(Virgin)名称命名。如今,VHO已经筹集了超过4亿美元的资金,数百名员工,以及内华达州沙漠的测试轨道。2017年12月,该公司在内华达州的沙漠中进行了一次时速240英里的测试。

目前,VHO已在美国、阿联酋和印度设有测试设施,并希望在2022年为人类乘客做好准备,并于几年后开放商业线路。

VHO视安全为关键任务

VHO采用了一种去中心化的工作方式。几乎所有的工程师都在其他公司(像波音、NASA和SpaceX这样的地方)工作。在他们有空闲的时候,就一起工作,来解决人类和Hyperloop之间的工程问题。该公司计划在中欧、韩国和印度建立网络。类似的,还有rLoop,一个基于reddit的社区,他们研究”高科技去中心化”任务中的各种工程问题。

VHO是一个标志性的,高科技行业最时髦的去中心化敏捷组织,它面临的全新安全挑战可以看作是很多企业数字化转型的未来范本。

除了去中心化扩大的安全攻击面,VHO还面临数据安全管理方面的巨大挑战。VHO IT 总监 Dawn Armstrong 称:“经过迭代,我们已远超白皮书中的原始概念。而且,我们仍在迭代,还有很多需要学习的。我们做大量的模拟,其中有些持续数天,产生海量数据。这些数据都需要保护。”

Armstrong 手下的 IT 员工大约 12 人。团队“经验丰富”,工作中注重安全。考虑到“超级高铁”的高价值知识产权和人身安全方面的问题,安全一直是VHO的首要任务。Armstrong 表示:“我们业务的性质要求我们将安全作为业务关键的重中之重。此前我从未真正为需要考虑外国黑客问题的公司工作过。但在这家公司,这个问题甚至让我彻夜未眠。”

与“超级高铁”相关的任何报道都能引来不必要的关注,尤其是对设施邻近全球最大黑客会议之一的公司而言。Armstrong 称:“我们的试验轨道上确实出过此类事件。去年黑帽大会期间,一辆厢型车在我们测试设施前面的路上来回驶过。安全团队示警,就是黑帽大会的黑客举着增益天线伸出车窗,试图拾取我们的 Wi-Fi 信号。”

此类事件虽不常见,却凸显出树大招风的不利一面。Armstrong 称:“我注意到有太多目光投注到我们身上。这其实给希望打断你进展的人提升了门槛,无论是竞争对手、民族国家、不想看到超级高铁出现的人,还是希望借此扬名立万的人。”

安全成为业务推动者而不是阻碍者

尽管 VHO 采用多家软件即服务 (SaaS) 供应商,但该公司与很多初创公司不同,是将自己的数据现场存储,以便 IT 部门能够拥有比使用 Azure 或 AWS 开发者实例更广的控制权。但凡涉及安全与身份验证问题,VHO 的云供应商必须遵从该公司的做法,而且无论内部应用还是 SaaS,公司内所有应用都有严格的访问控制。

Armstrong 称:“不提供单点登录 (SSO) 的 SaaS 供应商,我们是不采纳的。他们都必须提供单点登录和多因素身份验证 (MFA)。”

有鉴于 VHO 业务的性质,Armstrong 注意到:

安全必须成为业务的推动者而非阻碍者,不能拦在创新道路上。

“我总是说,IT 部门应该以超级高铁的速度行动。安全是个平衡问题。如果你锁定太多,基本上就相当于扼杀生产力。我们的文化是非常开放协作的。”Armstrong说道。

作为协作文化的一部分,VHO的IT 团队常常帮助现场工程师,确保他们遵从安全最佳实践。“我喜欢在这儿工作的主要原因之一,就是 IT 部门与工程部门关系特别密切。我很喜欢跟工程师一起工作,商讨解决车舱无线之类的问题。我们以测试设施帮助工程师解决问题,并向工程团队提供技术咨询。”

这么做反过来也使安全团队具备了看到工程部门工作的能力和透明度,可以确保我们遵从最佳实践。过程中每一步我们都要内部沟通,确保我们所做的每一个决策都是正确的,保障全面安全。

用IAM简化身份验证

为确保公司敏捷性,VHO 在其所有应用和整个 IT 资产上采用了 OneLogin 的身份及访问管理 (IAM) 平台,加速应用安全控制提供,增加监控力度。Armstrong 表示:“我刚加入公司的时候,公司规模比现在小得多,我们用的是老旧的平台。这个平台不可扩展,也没有冗余备份,而且不能与 SaaS 应用融合。我试图强化 ADFS [活动目录联合服务]基础设施,但这样太过复杂,而且太过时间密集,要维护的服务器也太多了。”

引入 OneLogin 这样的 IAM 供应商让 VHO 得以快速部署 SSO 应用。“我们原样使用 ADFS 时,让一个应用能用上 SSO 就要花费两周时间,但现在,1 个小时就够了。”

VHO 还采用 OneLogin Adaptive Authentication 辅助监视出差在外的高管和高级工程师,帮助阻止通过非预期行为的未授权访问。Armstrong 称:“公司规模还小的时候,我能更好地掌握谁在哪里。但现在,我是真不知道。引入 IAM 后,生活美好了很多。它能分析登录 IP 来自哪里,然后通告我们,并在发现用户行为异常的时候——比如你从洛杉矶登录两小时后又在俄罗斯登录,采取针对性的措施。”

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章