1. 理念
· 网络无时无刻不处于危险的环境中。
· 网络中自始至终存在外部或内部威胁。
· 网络的位置不足以决定网络的可信程度。
· 所有的设备、用户和网络流量都应当经过认证和授权。
· 安全策略必须是动态的,并基于尽可能多的数据源计算而来。
加强账户验证、证书、令牌验证,校验访问源,这也是零信任的基础思想
默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,其本质是以身份为基石的动态可信访问控制。
零信任架构应该结合终端、EDR、业务行为、网络态势等因素,建立持续信任评估机制和模型,支撑动态自适应访问控制权限管理,保护业务和数据的安全性,支撑远程办公、大数据中心、云安全平台等多种场景的安全防护。
现在公认的零信任技术有软件定义边界(SDP),微隔离和身份和访问管理(IAM)这三个。这三个技术分别发展了过去的VPN技术,防火墙技术和4A技术。
建设思路:
- 梳理企业资产,确定哪些资产需要重点保护,合理分配已有资源.
以身份为中心,采取动态验证的方式确定访问者一定是其本人.以身份为核心就是零信任框架理念的基石.- 权限最小化,仅赋予用户能完成工作的最小权限.
- 动态权限控制,实时监控流量与行为,即使是经过认证的用户,操作过程中出现恶意操作,也会直接降低用户的信任级别,动态调整用户权限.
- 网络隐身,所有业务全在安全网关后,只有授权的客户端可见,杜绝大部分网络扫描攻击.
在零信任框架下,部署在本地和云上的应用能够共享统一的安全访问策略。并且由于应用均隐藏在安全网关之后,云上应用甚至无需另行建设对暴露端口的防护体系,也大大化解了混合架构下安防体系维护的复杂性。相对于见招拆招应对来犯的网络攻击的被动防御方式,零信任安全为企业应用最小化攻击面,并解决用户权限过大的问题,可以说是一种主动防御。零信任与纵深防御体系配合,可形成“双保险”。
2. 应用场景
2.1 云上业务
迁移至云上的业务不位于企业本地内网的防护体系内,原先基于边界的安全架构失效,因此业务上云必须要通过建设零信任架构对业务进行保护,构建更高壁垒的网络安全架构成为企业上云的刚需。
2.2 企业内网
在传统的边界信任模型下,一旦VPN网关被攻破,不法分子进入内网,就默认被信任。即便IT管理员根据人员角色设置访问权限,但进入内网的不法分子依然能够与非授权的业务系统建立网络连接,发动攻击。
针对传统防护思路的缺陷,零信任的设计理念恰恰就是“无边界安全”,不再以网络位置作为网络安全访问授权的依据,无论应用服务器在哪里,无论用户在什么时间、什么地点、使用什么设备,都必须通过动态的身份和访问管理过程,方能访问其权限内的数据。
2.3 具体落地示范
下面以一个典型应用场景为例,描述零信任安全解决方案的逻辑原理。此应用场景数据子网需要保护的资源包括业务应用和API服务,用户/外部平台子网的用户终端需要访问业务应用,外部应用需要通过接口调用API服务,方案逻辑图如图5所示,本图只是逻辑原理图,实际物理部署需要根据具体的网络拓扑、安全分区情况确定。
在此方案中,通过在用户子网和数据子网之间部署逻辑的零信任访问控制区构建端到端的零信任解决方案。通过可信应用代理接管所有的用户终端业务访问请求,通过可信API代理接管所有的外部应用API调用请求,所有的访问请求通过可信访问控制台进行身份验证及动态授权。
可信终端感知系统持续对终端进行感知和评估,可信网络感知系统持续对网络流量进行感知和评估,并生成安全事件上报至智能身份分析平台,智能身份分析平台综合访问日志信息、安全事件信息、身份与权限信息进行信息关键和信任评估,为可信访问控制台输出信任等级作为权限判定或撤销的依据。
3. 使用零信任架构后的优势
3.1 管控风险
企业面临诸多风险,如政治、法律、品牌、财务、运营等,零信任战略与实施可以帮助企业降低运营风险。运营风险来源于企业所拥有的数字资产的潜在损失,零信任模式恰恰强化数字资产的发现,要求对企业的任何应用与服务等数字资产都进行识别并给予身份。零信任战略规划与架构设计会对敏感信息的攻击途径进行分析,输出数据流图使得网络的透明度大大增加,从而使得运营风险能够得到识别,企业可以采取风险管理手段进行有效的管控。零信任的永不信任始终验证思路和机制大大增加了攻击者的难度,不论是较难防的APT高级持续威胁还是内鬼管理员,因此有效地降低了总体安全风险。
3.2 降低成本
零信任模式将保护资源的目标聚焦到负载与数据,通过策略与控制排除不需要访问资源的用户、设备与应用,使得恶意行为受到限制,缩小被攻击面,大大降低了安全事件的数量,使得企业能够节约时间与人力资源来迅速恢复少数的安全事件。另外零信任使得目标对攻击者不可见或很难被发现,这样目标所在的系统或应用存在一些漏洞也不会被利用,企业消耗在漏洞与补丁管理的成本也大大降低。总体来讲,实施零信任的企业所降低的成本可能会足以弥补其对零信任的投入。
3.3 业务敏捷
零信任摈弃了静态边界防御的慢速与不方便的检查,安全不再是业务的绊脚石,业务能更快上线或更快地让用户使用到,给用户带来更好的安全体验。在以往实施了零信任解决方案的企业中,员工与合作伙伴可以在互联网上随时随地、无缝直连各种企业应用,不需要通过企业网络关卡(如VPN)的静态检测,提升了用户处理业务的速度与敏捷性。不少部署了零信任解决方案的先行企业首先是为了让员工们有更方便的在线工作方式,安全却成了附属奖励品。
3.4 安全合规
零信任的动态防御思路与新出台的重要安全法律、法规、标准的动态防御思路不谋而合,例如等保2.0、数据安全与个人信息保护法、GDPR、FedRAMP等。零信任IAM与SDP解决方案与这些条款高度吻合,架构本身已经具有多项安全控制措施满足合规条款,能够充分减少审计师的违规发现(Findings),同时,零信任网络架构使安全审计师们更容易看清网络,让合规审计工作更加容易进行,可以说零信任是满足安全合规的有效措施与手段。
3.5 有效控制
在实施零信任的企业中,IT部门可以获得对企业资源更有效的控制,不论资源是分布在企业内部各部门,还是在公有云、混合云,多云环境中。零信任架构本身支持企业网、云计算、物联网等多种应用场景,把网络通信限制在有身份被验证的负载中,不论零信任IAM体系是私有部署还是云中部署,它都在企业IT的掌控之下,并可以与MSG微隔离一起用来防御包括云服务商管理员在内的恶意行为。
3.6 改善管理
对于那些在数字化转型过程中依赖软件与应用的组织机构,零信任不仅通过可视可控使各部门的负载与应用便于被管理,而且还由于零信任能很好地支持DevOps模式,使应用部署能更好地适配业务的优先级,并减少各组织部门之间的工作摩擦。可以说,零信任是安全保障企业数字化转型、打造可持续数字化竞争力的一次最关键范式迁移,也是“安全优先”倒逼IT改革和业务创新的根本性行动。
零信任,不是没有信任,而是基于数字身份更安全地访问需要被防护的数字资源。实施零信任的目标也从来不是把企业的安全事件降为零,而是为了让企业能更好地平衡安全与业务,在数字化转型中,安全与发展双轮驱动不致掉队。
4. 深入理解零信任
零信任技术绝不是又一种攻防对抗技术,相反它不再热衷于发现坏人是谁,也不再把时间花在永无休止的挖漏洞上,它是直接否定了所有人,系统和业务流量。
零信任,简单,粗暴,有效。攻击者总是在想尽办法的躲避防御者,他们本质上就是目标矛盾的双方,他们掌握的技术就是为了与对方对抗而生的,他们不可能形成一个稳定的和谐关系。而防御者与业务访问者却是天生的同盟军,他们完全可以紧密配合,充分协作,在理论上,他们虽然也要经历一些苦难,但最后一定有机会可以永远幸福地生活在一起。
在零信任的体系里,取代攻防对抗技术的是身份识别技术与访问控制技术,而在多因子识别技术的帮助下,在密码技术的加持下,理论上,身份是可以唯一确认的,也就是说,只要建立起完整准确细致的身份管理与访问授权体系,只要我们充分地理解我们自身业务的构成,我们在理论上就将拥有一个绝对安全的网络。
虽然这同样是非常复杂艰巨的系统工程,但至少从理论上讲,我们已经将主动权重新拿回到自己的手上,防御者不再被攻击者前者鼻子走,他可以通过对业务系统最细粒度最精细的白名单访问控制体系,做到我的地盘我做主,从而第一次将网络安全的主动权握在了自己手上。
5. 常见困难
- 老旧体制改善难度大
- 用户使用习惯难改变
- 成本问题
- 需要对现有的管理要求、管理制度、管理组织进行调整,驱动零信任体系建设、维护工作。
- 与现有产品、体系融合难度大
- 权限管理难度大,因为目前缺乏统一的信任评估机制标准体系指标,动态授权落地难,而动态授权和持续信任又是零信任的核心之一
6. 参考文章
什么是IAM技术
零信任落地实现的困境
浅析零信任技术在国内外的不同发展路线
京公网安备 11010802041100号