En 400-6655-581
5
返回列表
> 資源中心 > 「零信任」實(shí)施路徑探討

「零信任」實(shí)施路徑探討

2021-03-22瀏覽次數(shù):2315

零信任的概念由市場(chǎng)研究機(jī)構(gòu)Forrester在2010年最先提出,后來(lái)Gartner和Forrester對(duì)零信任的概念、應(yīng)用場(chǎng)景和遷移方式又進(jìn)行了完善和補(bǔ)充。去年開(kāi)始,疫情帶動(dòng)的大量遠(yuǎn)程辦公和遠(yuǎn)程教育,給我們傳統(tǒng)的安全體系帶來(lái)了很多新的挑戰(zhàn),零信任安全的理念也被大家所重視起來(lái)。

 

    零信任和我們傳統(tǒng)的安全體系有什么不同?

 

傳統(tǒng)的安全體系是基于網(wǎng)絡(luò)邊界劃分的,有嚴(yán)格的內(nèi)外網(wǎng)之分,內(nèi)部的系統(tǒng)、應(yīng)用,只能在內(nèi)網(wǎng)訪問(wèn),對(duì)外部用戶(hù)來(lái)說(shuō),訪問(wèn)內(nèi)網(wǎng)需要連接VPN。但是用戶(hù)一旦進(jìn)入內(nèi)網(wǎng),就會(huì)得到完全的信任和訪問(wèn)權(quán)限,這種安全保護(hù)體系無(wú)法滿(mǎn)足當(dāng)前的企業(yè)需求。而基于零信任的安全體系,它的原則是首先認(rèn)為用戶(hù)是不可信的,無(wú)論在內(nèi)網(wǎng)還是外網(wǎng),需要通過(guò)嚴(yán)格的身份鑒別和訪問(wèn)控制后,才能授予相應(yīng)的訪問(wèn)權(quán)限。

 

零信任架構(gòu)簡(jiǎn)介

 

Forrester對(duì)零信任做了擴(kuò)展,稱(chēng)為ZTX。ZTX模型主要關(guān)注以下幾個(gè)方面:

 

零信任數(shù)據(jù):對(duì)數(shù)據(jù)的分類(lèi)、分級(jí)、加密和管理;

零信任網(wǎng)絡(luò):網(wǎng)絡(luò)的分段、隔離和控制;

零信任身份:用戶(hù)訪問(wèn)認(rèn)證和對(duì)訪問(wèn)以及權(quán)限的持續(xù)管控;

零信任工作負(fù)載:對(duì)于應(yīng)用程序和運(yùn)行應(yīng)用程序的資源,例如容器或者虛擬化平臺(tái)的安全管控;

零信任設(shè)備:移動(dòng)設(shè)備、IoT設(shè)備、BYOD等都會(huì)帶來(lái)額外的安全風(fēng)險(xiǎn),需要保障這些設(shè)備的安全;

可見(jiàn)性和分析:通過(guò)SIEM、UEBA等工具來(lái)觀察、分析和防范安全風(fēng)險(xiǎn);

自動(dòng)化和編排:零信任架構(gòu)中大量不同組件的自動(dòng)化編排和執(zhí)行。

 

 

 

 

 

 

在數(shù)據(jù)平面上,所有的訪問(wèn)主體,包括人員、應(yīng)用、設(shè)備等,首先被默認(rèn)為不可信,需要在可信網(wǎng)關(guān)進(jìn)行身份的鑒別和授權(quán),同時(shí)也是控制平面生成的安全策略的執(zhí)行點(diǎn)PEP,只有通過(guò)認(rèn)證和授權(quán)的訪問(wèn)主體才能訪問(wèn)到客體的應(yīng)用或者數(shù)據(jù)資源。

 

在控制平面上核心是策略引擎,這里會(huì)結(jié)合身份管理系統(tǒng)和權(quán)限管理系統(tǒng)來(lái)進(jìn)行認(rèn)證和授權(quán),同時(shí)會(huì)有持續(xù)的信任評(píng)估引擎、細(xì)粒度授權(quán)引擎、動(dòng)態(tài)的訪問(wèn)控制引擎、基于AI的智能分析引擎等。策略引擎會(huì)持續(xù)地對(duì)訪問(wèn)主體進(jìn)行風(fēng)險(xiǎn)評(píng)估和動(dòng)態(tài)的權(quán)限控制,從而最大程度地降低安全風(fēng)險(xiǎn)。

 

零信任的主要技術(shù)領(lǐng)域

 

零信任架構(gòu)中包含三個(gè)主要技術(shù)部分:身份管理(IAM)、軟件定義邊界(SDP)和微分段(Micro Segment),有時(shí)也合稱(chēng)SIM。

 

身份管理(IAM)

 

零信任的核心理念就是持續(xù)的身份鑒別和訪問(wèn)控制,因此身份管理從源頭上就是零信任架構(gòu)的核心部分。和傳統(tǒng)的IAM技術(shù)相比,零信任架構(gòu)對(duì)身份管理也提出了更高的要求。除了對(duì)用戶(hù)身份的統(tǒng)一管理、認(rèn)證和授權(quán)之外,還需要實(shí)現(xiàn)基于風(fēng)險(xiǎn)的動(dòng)態(tài)感知和智能分析平臺(tái),基于大數(shù)據(jù)和AI技術(shù),對(duì)于用戶(hù)訪問(wèn)的行為數(shù)據(jù)、用戶(hù)的特征和權(quán)限數(shù)據(jù),以及環(huán)境上下文數(shù)據(jù)進(jìn)行分析,通過(guò)風(fēng)險(xiǎn)模型自動(dòng)生成認(rèn)證和授權(quán)策略。我們也稱(chēng)為增強(qiáng)型IAM。

 

軟件定義邊界(SDP)

 

軟件定義邊界 (Software Defined Perimeter,即SDP) 是一種安全框架,根據(jù)身份控制對(duì)資源的訪問(wèn),通過(guò)隱藏核心網(wǎng)絡(luò)資源,使之不直接暴露在互聯(lián)網(wǎng)下,保護(hù)網(wǎng)絡(luò)資源不受外來(lái)的安全威脅。

 

SDP的主要組成部分包括SDP Controller,Initiating Host (即訪問(wèn)的Client) 和Accepting Host (即被訪問(wèn)的資源)。所有的Client在訪問(wèn)資源之前,都要通過(guò)Controller服務(wù)對(duì)SPA單包驗(yàn)證和訪問(wèn)控制,從而實(shí)現(xiàn)先認(rèn)證,后連接,對(duì)后端服務(wù)的隱藏,起到減小攻擊面,保護(hù)關(guān)鍵資源不被攻擊的作用。

 

微分段(MicroSegment)

 

微分段是在數(shù)據(jù)中心和云部署環(huán)境中創(chuàng)建安全區(qū)域,將工作負(fù)載彼此隔離并單獨(dú)加以保護(hù),從而實(shí)現(xiàn)東西方向的攻擊防護(hù)和更細(xì)粒度的安全控制。

 

微分段的常用實(shí)現(xiàn)方式有三種,分為基于網(wǎng)絡(luò)SDN來(lái)實(shí)現(xiàn)微分段、  基于虛擬化Hypervisor來(lái)實(shí)現(xiàn)微分段和基于主機(jī)的微分段。

 

零信任的實(shí)施路徑探討

 

在落地零信任架構(gòu)之前需要考慮的幾個(gè)重要方面:

 

獲得業(yè)務(wù)部門(mén)的支持和投入:零信任架構(gòu)不僅僅是IT部門(mén)內(nèi)部的事務(wù),也需要業(yè)務(wù)領(lǐng)導(dǎo)的支持和投入;

 

其他IT和安全項(xiàng)目的關(guān)聯(lián)性:零信任常常會(huì)與現(xiàn)有的IT項(xiàng)目、業(yè)務(wù)項(xiàng)目和安全項(xiàng)目有關(guān)聯(lián)或者依賴(lài)性,需要提前加以分析,避免對(duì)項(xiàng)目的負(fù)面影響。例如,過(guò)于復(fù)雜的微分段可能會(huì)成為網(wǎng)絡(luò)管理員的噩夢(mèng);

 

盤(pán)點(diǎn)現(xiàn)有的零信任相關(guān)的技術(shù)能力:零信任架構(gòu)涉及廣泛的技術(shù)領(lǐng)域,企業(yè)需要盤(pán)點(diǎn)已有的技術(shù)能力,例如是否已經(jīng)實(shí)施了比較完整的身份管理系統(tǒng)。

 

零信任架構(gòu)的落地不是一蹴而就的,需要選擇合適的實(shí)施路徑。對(duì)于零信任架構(gòu)的三個(gè)核心技術(shù),我們建議的實(shí)施路徑是從IAM和MFA入手,以實(shí)現(xiàn)對(duì)用戶(hù)身份的安全治理和管控。

 

 

部署完整的身份管理:解決最核心的身份認(rèn)證和審計(jì)問(wèn)題,滿(mǎn)足安全和合規(guī)的要求;

 

實(shí)現(xiàn)最小權(quán)限:只賦予用戶(hù)實(shí)現(xiàn)訪問(wèn)需求的最小權(quán)限是零信任的核心原則之一,通過(guò)持續(xù)動(dòng)態(tài)的權(quán)限控制來(lái)實(shí)現(xiàn)最小權(quán)限的原則;

 

無(wú)密碼化:從安全的角度,密碼是脆弱和易受到攻擊的,通過(guò)實(shí)施MFA可以用令牌、密鑰、指紋、人臉等身份驗(yàn)證手段來(lái)取代密碼,降低安全風(fēng)險(xiǎn)。

 

在實(shí)現(xiàn)IAM之后,下一步建議考慮對(duì)設(shè)備和應(yīng)用的安全防護(hù),主要包括以下幾個(gè)方面:

 

設(shè)備安全加固:通過(guò)安全沙箱來(lái)隔離外部環(huán)境,保持終端設(shè)備運(yùn)行環(huán)境的安全;

 

應(yīng)用保護(hù):通過(guò)可信安全網(wǎng)關(guān)來(lái)保護(hù)企業(yè)資源和應(yīng)用,將先訪問(wèn)-后認(rèn)證的方式改變?yōu)橄日J(rèn)證-后訪問(wèn)的方式,從而使得資源和應(yīng)用對(duì)于非法訪問(wèn)者不可見(jiàn);

 

通過(guò)應(yīng)用白名單等方式加強(qiáng)對(duì)于BYOD設(shè)備的安全管控;

 

云端應(yīng)用和資源的安全治理。

 

最后可以進(jìn)一步實(shí)施對(duì)網(wǎng)絡(luò)和數(shù)據(jù)的防護(hù),例如:

 

通過(guò)微分段來(lái)重新劃分網(wǎng)絡(luò)邊界,保護(hù)應(yīng)用和資源。就像是應(yīng)用可以訪問(wèn)中間件,中間件可以訪問(wèn)數(shù)據(jù)庫(kù),但是微分段策略限制應(yīng)用不能直接訪問(wèn)數(shù)據(jù)庫(kù);

 

利用網(wǎng)關(guān)對(duì)南北向的流量進(jìn)行風(fēng)險(xiǎn)檢測(cè),阻斷病毒、攻擊和惡意軟件;

 

對(duì)企業(yè)數(shù)據(jù)進(jìn)行梳理,分類(lèi)和分級(jí),并通過(guò)訪問(wèn)控制、使用審計(jì)、加密等方式來(lái)對(duì)數(shù)據(jù)加以保護(hù)。

 

零信任架構(gòu)的落地并沒(méi)有一個(gè)標(biāo)準(zhǔn)的路徑,業(yè)界的最佳實(shí)踐認(rèn)為實(shí)施完整統(tǒng)一的身份管理是零信任架構(gòu)落地的第一步,在此基礎(chǔ)上進(jìn)一步引入SDP和微分段技術(shù),實(shí)現(xiàn)對(duì)用戶(hù)身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)的全面安全管控,從而全方位提升企業(yè)的信息安全保障,支持企業(yè)業(yè)務(wù)的發(fā)展。