「零信任」實施路徑探討

零信任的概念由市場研究機構(gòu)Forrester在2010年最先提出，后來Gartner和Forrester對零信任的概念、應(yīng)用場景和遷移方式又進(jìn)行了完善和補充。去年開始，疫情帶動的大量遠(yuǎn)程辦公和遠(yuǎn)程教育，給我們傳統(tǒng)的安全體系帶來了很多新的挑戰(zhàn)，零信任安全的理念也被大家所重視起來。

    零信任和我們傳統(tǒng)的安全體系有什么不同？

傳統(tǒng)的安全體系是基于網(wǎng)絡(luò)邊界劃分的，有嚴(yán)格的內(nèi)外網(wǎng)之分，內(nèi)部的系統(tǒng)、應(yīng)用，只能在內(nèi)網(wǎng)訪問，對外部用戶來說，訪問內(nèi)網(wǎng)需要連接VPN。但是用戶一旦進(jìn)入內(nèi)網(wǎng)，就會得到完全的信任和訪問權(quán)限，這種安全保護(hù)體系無法滿足當(dāng)前的企業(yè)需求。而基于零信任的安全體系，它的原則是首先認(rèn)為用戶是不可信的，無論在內(nèi)網(wǎng)還是外網(wǎng)，需要通過嚴(yán)格的身份鑒別和訪問控制后，才能授予相應(yīng)的訪問權(quán)限。

零信任架構(gòu)簡介

Forrester對零信任做了擴展，稱為ZTX。ZTX模型主要關(guān)注以下幾個方面：

零信任數(shù)據(jù)：對數(shù)據(jù)的分類、分級、加密和管理；

零信任網(wǎng)絡(luò)：網(wǎng)絡(luò)的分段、隔離和控制；

零信任身份：用戶訪問認(rèn)證和對訪問以及權(quán)限的持續(xù)管控；

零信任工作負(fù)載：對于應(yīng)用程序和運行應(yīng)用程序的資源，例如容器或者虛擬化平臺的安全管控；

零信任設(shè)備：移動設(shè)備、IoT設(shè)備、BYOD等都會帶來額外的安全風(fēng)險，需要保障這些設(shè)備的安全；

可見性和分析：通過SIEM、UEBA等工具來觀察、分析和防范安全風(fēng)險；

在控制平面上核心是策略引擎，這里會結(jié)合身份管理系統(tǒng)和權(quán)限管理系統(tǒng)來進(jìn)行認(rèn)證和授權(quán)，同時會有持續(xù)的信任評估引擎、細(xì)粒度授權(quán)引擎、動態(tài)的訪問控制引擎、基于AI的智能分析引擎等。策略引擎會持續(xù)地對訪問主體進(jìn)行風(fēng)險評估和動態(tài)的權(quán)限控制，從而最大程度地降低安全風(fēng)險。

零信任架構(gòu)中包含三個主要技術(shù)部分：身份管理(IAM)、軟件定義邊界(SDP)和微分段(Micro Segment)，有時也合稱SIM。

身份管理（IAM）

零信任的核心理念就是持續(xù)的身份鑒別和訪問控制，因此身份管理從源頭上就是零信任架構(gòu)的核心部分。和傳統(tǒng)的IAM技術(shù)相比，零信任架構(gòu)對身份管理也提出了更高的要求。除了對用戶身份的統(tǒng)一管理、認(rèn)證和授權(quán)之外，還需要實現(xiàn)基于風(fēng)險的動態(tài)感知和智能分析平臺，基于大數(shù)據(jù)和AI技術(shù)，對于用戶訪問的行為數(shù)據(jù)、用戶的特征和權(quán)限數(shù)據(jù)，以及環(huán)境上下文數(shù)據(jù)進(jìn)行分析，通過風(fēng)險模型自動生成認(rèn)證和授權(quán)策略。我們也稱為增強型IAM。

軟件定義邊界（SDP）

軟件定義邊界 (Software Defined Perimeter，即SDP) 是一種安全框架，根據(jù)身份控制對資源的訪問，通過隱藏核心網(wǎng)絡(luò)資源，使之不直接暴露在互聯(lián)網(wǎng)下，保護(hù)網(wǎng)絡(luò)資源不受外來的安全威脅。

SDP的主要組成部分包括SDP Controller，Initiating Host (即訪問的Client) 和Accepting Host (即被訪問的資源)。所有的Client在訪問資源之前，都要通過Controller服務(wù)對SPA單包驗證和訪問控制，從而實現(xiàn)先認(rèn)證，后連接，對后端服務(wù)的隱藏，起到減小攻擊面，保護(hù)關(guān)鍵資源不被攻擊的作用。

微分段（MicroSegment）

微分段是在數(shù)據(jù)中心和云部署環(huán)境中創(chuàng)建安全區(qū)域，將工作負(fù)載彼此隔離并單獨加以保護(hù)，從而實現(xiàn)東西方向的攻擊防護(hù)和更細(xì)粒度的安全控制。

微分段的常用實現(xiàn)方式有三種，分為基于網(wǎng)絡(luò)SDN來實現(xiàn)微分段、  基于虛擬化Hypervisor來實現(xiàn)微分段和基于主機的微分段。

零信任的實施路徑探討

在落地零信任架構(gòu)之前需要考慮的幾個重要方面：

獲得業(yè)務(wù)部門的支持和投入：零信任架構(gòu)不僅僅是IT部門內(nèi)部的事務(wù)，也需要業(yè)務(wù)領(lǐng)導(dǎo)的支持和投入；

其他IT和安全項目的關(guān)聯(lián)性：零信任常常會與現(xiàn)有的IT項目、業(yè)務(wù)項目和安全項目有關(guān)聯(lián)或者依賴性，需要提前加以分析，避免對項目的負(fù)面影響。例如，過于復(fù)雜的微分段可能會成為網(wǎng)絡(luò)管理員的噩夢；

盤點現(xiàn)有的零信任相關(guān)的技術(shù)能力：零信任架構(gòu)涉及廣泛的技術(shù)領(lǐng)域，企業(yè)需要盤點已有的技術(shù)能力，例如是否已經(jīng)實施了比較完整的身份管理系統(tǒng)。

零信任架構(gòu)的落地不是一蹴而就的，需要選擇合適的實施路徑。對于零信任架構(gòu)的三個核心技術(shù)，我們建議的實施路徑是從IAM和MFA入手，以實現(xiàn)對用戶身份的安全治理和管控。

部署完整的身份管理：解決最核心的身份認(rèn)證和審計問題，滿足安全和合規(guī)的要求；

實現(xiàn)最小權(quán)限：只賦予用戶實現(xiàn)訪問需求的最小權(quán)限是零信任的核心原則之一，通過持續(xù)動態(tài)的權(quán)限控制來實現(xiàn)最小權(quán)限的原則；

無密碼化：從安全的角度，密碼是脆弱和易受到攻擊的，通過實施MFA可以用令牌、密鑰、指紋、人臉等身份驗證手段來取代密碼，降低安全風(fēng)險。

設(shè)備安全加固：通過安全沙箱來隔離外部環(huán)境，保持終端設(shè)備運行環(huán)境的安全；

應(yīng)用保護(hù)：通過可信安全網(wǎng)關(guān)來保護(hù)企業(yè)資源和應(yīng)用，將先訪問-后認(rèn)證的方式改變?yōu)橄日J(rèn)證-后訪問的方式，從而使得資源和應(yīng)用對于非法訪問者不可見；

通過應(yīng)用白名單等方式加強對于BYOD設(shè)備的安全管控；

云端應(yīng)用和資源的安全治理。

通過微分段來重新劃分網(wǎng)絡(luò)邊界，保護(hù)應(yīng)用和資源。就像是應(yīng)用可以訪問中間件，中間件可以訪問數(shù)據(jù)庫，但是微分段策略限制應(yīng)用不能直接訪問數(shù)據(jù)庫；

利用網(wǎng)關(guān)對南北向的流量進(jìn)行風(fēng)險檢測，阻斷病毒、攻擊和惡意軟件；

對企業(yè)數(shù)據(jù)進(jìn)行梳理，分類和分級，并通過訪問控制、使用審計、加密等方式來對數(shù)據(jù)加以保護(hù)。