零信任的概念由市場研究機構Forrester在2010年最先提出,后來Gartner和Forrester對零信任的概念、應用場景和遷移方式又進行了完善和補充。去年開始,疫情帶動的大量遠程辦公和遠程教育,給我們傳統(tǒng)的安全體系帶來了很多新的挑戰(zhàn),零信任安全的理念也被大家所重視起來。
零信任和我們傳統(tǒng)的安全體系有什么不同?
傳統(tǒng)的安全體系是基于網(wǎng)絡邊界劃分的,有嚴格的內外網(wǎng)之分,內部的系統(tǒng)、應用,只能在內網(wǎng)訪問,對外部用戶來說,訪問內網(wǎng)需要連接VPN。但是用戶一旦進入內網(wǎng),就會得到完全的信任和訪問權限,這種安全保護體系無法滿足當前的企業(yè)需求。而基于零信任的安全體系,它的原則是首先認為用戶是不可信的,無論在內網(wǎng)還是外網(wǎng),需要通過嚴格的身份鑒別和訪問控制后,才能授予相應的訪問權限。
零信任架構簡介
Forrester對零信任做了擴展,稱為ZTX。ZTX模型主要關注以下幾個方面:
零信任數(shù)據(jù):對數(shù)據(jù)的分類、分級、加密和管理;
零信任網(wǎng)絡:網(wǎng)絡的分段、隔離和控制;
零信任身份:用戶訪問認證和對訪問以及權限的持續(xù)管控;
零信任工作負載:對于應用程序和運行應用程序的資源,例如容器或者虛擬化平臺的安全管控;
零信任設備:移動設備、IoT設備、BYOD等都會帶來額外的安全風險,需要保障這些設備的安全;
可見性和分析:通過SIEM、UEBA等工具來觀察、分析和防范安全風險;
自動化和編排:零信任架構中大量不同組件的自動化編排和執(zhí)行。
在數(shù)據(jù)平面上,所有的訪問主體,包括人員、應用、設備等,首先被默認為不可信,需要在可信網(wǎng)關進行身份的鑒別和授權,同時也是控制平面生成的安全策略的執(zhí)行點PEP,只有通過認證和授權的訪問主體才能訪問到客體的應用或者數(shù)據(jù)資源。
在控制平面上核心是策略引擎,這里會結合身份管理系統(tǒng)和權限管理系統(tǒng)來進行認證和授權,同時會有持續(xù)的信任評估引擎、細粒度授權引擎、動態(tài)的訪問控制引擎、基于AI的智能分析引擎等。策略引擎會持續(xù)地對訪問主體進行風險評估和動態(tài)的權限控制,從而最大程度地降低安全風險。
零信任的主要技術領域
零信任架構中包含三個主要技術部分:身份管理(IAM)、軟件定義邊界(SDP)和微分段(Micro Segment),有時也合稱SIM。
身份管理(IAM)
零信任的核心理念就是持續(xù)的身份鑒別和訪問控制,因此身份管理從源頭上就是零信任架構的核心部分。和傳統(tǒng)的IAM技術相比,零信任架構對身份管理也提出了更高的要求。除了對用戶身份的統(tǒng)一管理、認證和授權之外,還需要實現(xiàn)基于風險的動態(tài)感知和智能分析平臺,基于大數(shù)據(jù)和AI技術,對于用戶訪問的行為數(shù)據(jù)、用戶的特征和權限數(shù)據(jù),以及環(huán)境上下文數(shù)據(jù)進行分析,通過風險模型自動生成認證和授權策略。我們也稱為增強型IAM。
軟件定義邊界(SDP)
軟件定義邊界 (Software Defined Perimeter,即SDP) 是一種安全框架,根據(jù)身份控制對資源的訪問,通過隱藏核心網(wǎng)絡資源,使之不直接暴露在互聯(lián)網(wǎng)下,保護網(wǎng)絡資源不受外來的安全威脅。
SDP的主要組成部分包括SDP Controller,Initiating Host (即訪問的Client) 和Accepting Host (即被訪問的資源)。所有的Client在訪問資源之前,都要通過Controller服務對SPA單包驗證和訪問控制,從而實現(xiàn)先認證,后連接,對后端服務的隱藏,起到減小攻擊面,保護關鍵資源不被攻擊的作用。
微分段(MicroSegment)
微分段是在數(shù)據(jù)中心和云部署環(huán)境中創(chuàng)建安全區(qū)域,將工作負載彼此隔離并單獨加以保護,從而實現(xiàn)東西方向的攻擊防護和更細粒度的安全控制。
微分段的常用實現(xiàn)方式有三種,分為基于網(wǎng)絡SDN來實現(xiàn)微分段、 基于虛擬化Hypervisor來實現(xiàn)微分段和基于主機的微分段。
零信任的實施路徑探討
在落地零信任架構之前需要考慮的幾個重要方面:
獲得業(yè)務部門的支持和投入:零信任架構不僅僅是IT部門內部的事務,也需要業(yè)務領導的支持和投入;
其他IT和安全項目的關聯(lián)性:零信任常常會與現(xiàn)有的IT項目、業(yè)務項目和安全項目有關聯(lián)或者依賴性,需要提前加以分析,避免對項目的負面影響。例如,過于復雜的微分段可能會成為網(wǎng)絡管理員的噩夢;
盤點現(xiàn)有的零信任相關的技術能力:零信任架構涉及廣泛的技術領域,企業(yè)需要盤點已有的技術能力,例如是否已經(jīng)實施了比較完整的身份管理系統(tǒng)。
零信任架構的落地不是一蹴而就的,需要選擇合適的實施路徑。對于零信任架構的三個核心技術,我們建議的實施路徑是從IAM和MFA入手,以實現(xiàn)對用戶身份的安全治理和管控。
部署完整的身份管理:解決最核心的身份認證和審計問題,滿足安全和合規(guī)的要求;
實現(xiàn)最小權限:只賦予用戶實現(xiàn)訪問需求的最小權限是零信任的核心原則之一,通過持續(xù)動態(tài)的權限控制來實現(xiàn)最小權限的原則;
無密碼化:從安全的角度,密碼是脆弱和易受到攻擊的,通過實施MFA可以用令牌、密鑰、指紋、人臉等身份驗證手段來取代密碼,降低安全風險。
在實現(xiàn)IAM之后,下一步建議考慮對設備和應用的安全防護,主要包括以下幾個方面:
設備安全加固:通過安全沙箱來隔離外部環(huán)境,保持終端設備運行環(huán)境的安全;
應用保護:通過可信安全網(wǎng)關來保護企業(yè)資源和應用,將先訪問-后認證的方式改變?yōu)橄日J證-后訪問的方式,從而使得資源和應用對于非法訪問者不可見;
通過應用白名單等方式加強對于BYOD設備的安全管控;
云端應用和資源的安全治理。
最后可以進一步實施對網(wǎng)絡和數(shù)據(jù)的防護,例如:
通過微分段來重新劃分網(wǎng)絡邊界,保護應用和資源。就像是應用可以訪問中間件,中間件可以訪問數(shù)據(jù)庫,但是微分段策略限制應用不能直接訪問數(shù)據(jù)庫;
利用網(wǎng)關對南北向的流量進行風險檢測,阻斷病毒、攻擊和惡意軟件;
對企業(yè)數(shù)據(jù)進行梳理,分類和分級,并通過訪問控制、使用審計、加密等方式來對數(shù)據(jù)加以保護。
零信任架構的落地并沒有一個標準的路徑,業(yè)界的最佳實踐認為實施完整統(tǒng)一的身份管理是零信任架構落地的第一步,在此基礎上進一步引入SDP和微分段技術,實現(xiàn)對用戶身份、設備、網(wǎng)絡、應用、數(shù)據(jù)的全面安全管控,從而全方位提升企業(yè)的信息安全保障,支持企業(yè)業(yè)務的發(fā)展。