早在2010年,当时还是Forrester Research首席分析师的约翰·金德维格(John Kindervag)就率先提出了针对企业安全的“零信任”方法。
如今,经历了近10年的时间,这种方法在具体实施方面仍然存在问题。企业想要有效地实施这种方法就必须清楚地了解其所带来的变化,及其将会对客户体验造成的影响。
该零信任安全模式是将单一的边界保护转移到公司内的每个端点和用户。其中心思想是企业不应自动信任内部或外部的任何人/事/物,且必须在授权前对任何试图接入企业系统的人/事/物进行验证。
简单来说,零信任的策略就是不信任任何人/事/物。除非网络明确接入者的身份,否则任谁也无法进入。这种方法建立在身份验证、设备验证、可信端点、网络隔离、访问控制以及用户和系统信息的基础之上,是保护和管理应用程序及数据免受新型和高危风险侵害的关键。
零信任是关于如何创建组织的网络安全态势的思考过程和方法,其基本上打破了旧式的“网络边界防护”思维。在旧式思维中,专注点主要集中在网络防御边界,其假定已经在边界内的任何事物都不会造成威胁,因此边界内部事物基本畅通无阻,全都拥有访问权限。而就零信任模型而言,其对边界内部或外部的网络统统采取不信任的态度,必须经过验证才能完成授权,实现访问操作。
1. 黑客和恶意威胁
事实证明,很多规模庞大的数据泄露事件都是由于黑客在绕过公司防火墙后,几乎可以畅通无阻地访问内部系统造成的。
2. 工作流的移动化和云端化
如今,可以说网络边界已经根本不存在了。单纯由内部系统组成的企业数据中心不再存在,企业应用一部分在办公楼里,一部分在云端,分布各地的员工、合作伙伴和客户都可以通过各种设备远程访问云端应用。
面对这样的新形势,我们应该如何保护自身安全成为了一个重要命题,而零信任模型也由此应运而生并流行开来。
然而,实施零信任模型并不是一件容易的事情,它更像是一场重视过程的修行,而不是为了实现而实现的目的地。但是很显然,并不是所有人都能明白这一道理。如今,供应商们都在争先恐后、全力以赴地实施零信任模型,将其作为下一阶段最重要的一件大事,以便能够将“零信任”作为最新宣传噱头来推广自身的安全产品和平台。
事实上,实现零信任模型所涉及的许多内容都是无聊且繁琐的工作,比如创建并维护有关数据访问的策略,以及授权访问读取和写入数据的应用程序等等。在实现零信任模型的过程中不存在一劳永逸的方法,也没有什么“万能灵丹”,繁琐枯燥的工作只能依靠熟知企业业务启动因素和核心资产的内部团队。
以下是安全专家总结的有关企业在实现零信任的道路上必须采取的一些关键步骤:
1.定义零信任
安全专家表示,启动零信任模型的第一步,就是将您的团队聚在一起,就零信任的定义达成共识。然而,根据达成的具体共识来制定实施目标,以及实现这些目标的路线图。需要注意的是,这并不意味着要抛弃目前所部署的保护边界的技术。但是,在保护您的核心资产方面,企业必须愿意采取不同的思维方式并进行组织变革。
如今,部分企业的IT部门已经实现了零信任的很多方面。他们通常已经部署了多因素身份验证、IAM以及权限管理等技术。然而,建立零信任环境不仅仅是实现这些单个技术,而是应用这些技术来实现“无法证明可被信任即无法获取权限”的理念。企业必须清楚地了解零信任在您的环境中意味着什么,再去考虑如何实现零信任以及确定哪些技术有助于实现这一理念。
与其病急乱投医地花冤枉钱,不如先了解清楚问题再出去购买适合自己的零信任产品,如此才能真正地发挥其效用,当然,这也是实现零信任模型并不容易的体现之一。除此之外,在实施零信任的过程中,获取高层领导的明确承诺和理解也是关键所在。
2.了解用户体验
在规划零信任方法时,还需要考虑该模型将对用户体验造成的影响。遵循“永不信任且始终验证”原则的零信任方法会改变用户与您的系统和数据交互的方式。因为,在零信任模式下,您需要知道您的用户是谁,他们正在访问哪些应用程序,他们是如何连接到您的应用程序的,以及您为保护访问权限所需采取的控制措施等。
在启动零信任模型进行组织变革之前,请确保您已经了解了未来的用户体验。考虑清楚您将采取何种计划在所有应用程序和所有用户之间实现零信任,以及您希望采取何种机制来以细粒度和一致性的方式控制访问?
除此之外,还要问问自己是否需要分布式控制,例如,让应用程序所有者定义自己的安全策略。或者,通过集中式IT或安全小组门户策略是否会产生更好的效果?您还需要考虑如何确保并保持对安全数据访问要求的遵从性等内容。
一旦组织确定了他们希望用户与其系统进行交互的方式,他们就必须接受这种转变不可能在一夕之间实现的现实。首先,他们需要进行小范围“踩点试验”,针对最危险的用例实现零信任模型,并花时间不断完善并正确实施该模型。随着时间的推移,小范围的“踩点”胜利将最终融合成一个完整的转型。记住,这一过程是每一次胜利累积的质变结果,并非一蹴而就之功。
3.选择正确的架构
不存在任何一种单一的方法和技术能够实现零信任模型。在最基本的层面上,零信任是通过确保只有经过安全验证的用户和设备才能够访问您的系统,以此来保护您的应用程序和数据安全。您在网络上的位置(边界内部还是外部)无关乎身份验证和设备验证的结果。
事实上,在各种各样的现有技术和监管过程支撑之下,零信任方法才得以完成保护企业IT环境的使命。据安全专家介绍,目前,市场上主要存在3种最具竞争力的方法可用于实现零信任模型——微分段(microsegmentation)、软件定义边界(SDP)以及零信任代理。
在基本网络用语中,“分段”是指将以太网划分为子网络(也就是子网),以管理并控制网络流量,而不是将所有数据包发送给所有节点。网络分段提供了基础工具,提升了网络性能,并在传统静态网络中引入了安全性。
微分段基于这一基本理念,抽象出新的虚拟化及控制层。使用微分段,数据中心被划分为逻辑单元,这些逻辑单元往往是工作负载或应用。这样IT能够针对每个逻辑单元制定独特的安全策略与规则。一旦周边被渗透,微分段能够显著减少恶意行为的攻击面,并限制攻击的横向(东西)移动。因为,传统防火墙能够实现常见的南北向防护,但微分段明显地限制了企业内工作负载之间不必要的东西向通信。
这种零信任方式显著改变了网络攻击模式:攻击者进行边界渗透并监视网络活动等待时机到来,注入恶意软件并控制核心系统,最终剽窃有价值的数据或者破坏业务活动。
虽然具备种种优点,但是在软件定义技术出现之前,采用微分段需要依赖传统的物理防火墙以及VLAN。手工配置时需要针对横向(东西)流量控制配置内部防火墙——并随着时间的变化对配置进行维护——这一过程除了非常难实现之外,代价也十分大。
安全技术在发展初期,对于边界的安全防范主要是在网络出口布置硬件防火墙,随着IT架构的变化,边界越来越模糊,云的租户不满足共用防火墙,希望得到更个性化的服务。软件定义边界(SDP)方案应运而生。
通过SDP,组织可以基于可信签名构建每个终端的“VPN隧道”,形成零信任网络,拒绝一切外部攻击威胁。不同于传统的VPN隧道,SDP的隧道是按照业务需求来生成的,也就是说这是一种单包和单业务的访问控制,SDP控制器建立的访问规则只对被授权的用户和服务开放,密钥和策略也是动态和仅供单次使用的。通过这种类似“白名单”的访问控制形式,网络中未被授权的陌生访问在TCP链接建立阶段就是完全被屏蔽和拒绝的。
但是,正如微分段技术一样,SDP也存在其弊端——即一旦隧道建立,SDP几乎无法再确保交易的安全性和完整性。
第三种方法——也是Akamai公司已经采取的一种方式,就是使用零信任代理来建立经过身份验证的用户和应用程序之间的按需边界(on-demand perimeter),以及内联行为(in-line behavioral)和有效负载分析。总体而言,零信任代理能够有效地将前两种技术的最佳功能和有效负载分析,结合到一个可以逐步部署的可管理系统之中。
4.实施强大的措施来验证用户和设备
零信任模型需要组织重新思考如何保护每个应用程序、端点、基础设施及用户。零信任最大的改变在于将执行机制从单一的网络边界转移到每个目标系统和应用程序。其重点是验证用户的身份以及他们所使用的设备,而不是基于某人是否从受信或不受信的网络中访问企业资源的安全策略。
用户方面需要使用多因素身份验证(MFA)来增强密码强度,并使用其他验证步骤来确定授权的访问级别。无论用户类型(终端用户、特权用户、外包IT、合作伙伴或客户)或访问的资源如何,都需要应用零信任原则。除此之外,您的访问决策还需要具有适应性和动态性(即随变化而变)。
通过了零信任模型也就意味着系统能够信任试图访问您资产的设备,因为毕竟只有经过验证的设备/人才能授权访问您的系统。这也就是说,我们必须采取措施来确保已通过验证的用户注册其设备,以便在未来的验证过程中能够有效地识别它们。如果用户通过他们每天都会使用的注册设备来获取访问权限,他们就会拥有一定程度的信任。而一旦他们试图从网吧的工作站访问服务,或是使用之前从未使用过的设备获取权限,这种信任窗口就会自动关闭。
设备验证还涉及为条目设置最低限度的安全要求,并确保只有满足该阀值的设备才能够访问网络。设备是否进行过“越狱”操作?设备设置是否符合公司政策,如硬盘加密、病毒防护以及最新补丁?这些都是必须考虑在内的问题。
5.为迎接挑战做好准备
不要低估实施零信任框架所涉及的工作量,尤其是在大型组织中实施零信任模型。无论您处于网络上的哪个位置(边界内/外),想要从的单一的边界保护转移到允许对每个应用程序和设备进行身份验证和授权访问的模型都不是易事。对于许多组织来说,定义并开发一个在整个企业范围内一致的数据访问策略需要花费大量时间,且极具挑战性。除此之外,实现和管理统一授权和访问控制系统,并识别所有提供关键数据访问的应用程序也是一项重大且艰巨的任务。
寻找到限制用户访问和特权的方法是另一项重大挑战。组织需要做出的最大改变是为用户提供他们完成工作所需的足够权限,并在不会对用户体验造成不必要影响的情况下,提示其使用多因素身份验证(MFA)机制。他们需要确保授予使用的任何权限都是临时的、有时间限制且会自动撤销的。
举例来说,对于Akamai公司而言,其零信任过程中最大的实施障碍在于其非Web应用程序,因为其中许多非Web应用程序都无法支持MFA等功能。该公司花费了大量时间来构建处理此类应用程序的功能,并最终构建了一个轻量级代理,允许非Web应用程序更好地使用零信任代理。该公司目前正在部署这种轻量级的客户端应用程序隧道,为现今企业中分布的非Web应用程序提供认证访问服务。
究其本质,零信任意味着确保用户身份安全,以及保护应用程序。这一过程可以通过提供“由内向外连接(inside-out connectivity),精确访问,零信任加密等方式来实现。这也就是说,如果我们能够确保用户的身份安全,了解他们所使用的应用程序,并确保这些应用程序安全,那么端点设备和网络就会变得无关紧要,无论设备或位置如何,用户都会是安全的。这是一个巨大的转变。