零信任的概念在10年前往往无人重视,2020年的疫情爆发将它推到企业安全重点关注的首要位置。COVID-19大流行推动了大规模的远程工作,在复杂多样的使用环境下,几乎是一夜之间将组织传统的基于系统的安全模型打破。在这种远程工作的新常态中,组织的网络不再是一个单一的位置和事物,它无时无刻地存在于某个地方。即使我们查看到的在一个地方使用单一数据中心的组织,该数据中心也可以由多个设备上的多个用户访问。
当今的网络环境复杂且多变,如果不采用零信任方法,恶意软件(尤其是勒索软件)将不受网络干扰,导致网络某一部分遭到破坏时可能会导致组织瘫痪。近年,我们看到了多个勒索软件攻击的例子:从医院、地方政府到大型公司的各个部门的组织都遭受了大规模停机。简而言之,纯粹基于系统的安全模型已经变得不再有意义。
那么,组织应该如何应用“零信任”蓝图来解决其新的复杂网络问题?通过以下五个步骤寻找出有价值的数据、数据去向以及如何使用数据成为了实现零信任网络的最合乎逻辑的方法。成功做到这一点的唯一方法是自动化和编排。
1.识别和分段数据
这是实施“零信任”的最复杂领域之一,因为它要求组织确定哪些数据是敏感的。
在严格监管环境中运营的企业可能已经知道该数据是什么,因为监管机构一直要求对此类数据进行监管。另一种方法是将人类可以访问的系统与环境中的其他系统分开,如可以通过智能手机、便携式计算机及台式机连接的网络部分。不幸的是,人类通常是最薄弱的环节,也是漏洞的第一来源 。因此将这些类型的网段与数据中心服务器分离是有意义的。自然地,所有进入组织的家庭用户连接都需要在隔离的网段中终止。
2.映射敏感数据的流量并将其与业务应用程序关联
一旦确定了敏感数据,下一步就是知道数据的去向、用途以及应用。当数据跨网络流动,系统和用户可以通过许多业务应用程序始终访问跨网络流动的数据。如果您不了解有关您的数据的信息,则无法有效地保护它。
自动化发现工具可以帮助您了解数据的意图,为什么在那里流动?什么目的?正在传输什么数据?特定流服务于什么应用程序?使用正确的工具让您可以了解需要允许哪些流程,这样就可以进入“零信任”规则,判定“其他所有内容都将不被允许”。
3.构建网络
一旦知道应该允许哪些流量(然后其他所有内容都应被阻止),就可以着手设计网络体系结构以及执行网络微边界的过滤策略,简而言之就是设计控件以确保仅允许合法流。
当前的虚拟化技术使您比过去更轻松地构建此类网络。数据中心和公共云提供商中的软件定义网络(SDN)平台均允许您在网络结构中部署过滤器。因此从技术上讲,可以将过滤策略放置在网络中的任何位置。但是,实际上定义这些过滤策略的内容是,控制允许流量的规则,这正是自动发现真正有效的地方。
在完成发现过程之后,您将能够了解流的意图,并可以在不同区域和段之间放置边界。这是您要实现的控制量与安全性之间的平衡。由于存在许多连接或微细分的孤岛,因此您必须要考虑需要花费多少时间来设置和管理它们。发现意图是使这一过程变得简单的方法,因为它帮助您决定在逻辑上应该把这些片段放在哪里。
4.监控
一旦部署了微段和策略,就必须监视所有内容,这是可见性发挥作用的地方。知道是否存在问题的唯一方法是始终监视整个基础架构上的流量。
监控有两个重要方面:首先需要持续合规,您肯定不希望只在审核员出现时才检查自己是否合规。这意味着您需要一直监视配置和流量,并且当审核员出现时,您可以向他们展示最新报告。
其次,组织必须对监控中的学习阶段和执行阶段进行区分。在学习阶段,您正在监视网络以了解其中的所有流情况,并根据它们的意图对其进行分析,这允许您在编写策略规则之前查看哪些流是必要的。然而,到了一定的时候,你必须停止学习,并确定任何你没有看到的流为异常现象,并将默认策略设为阻止。在这里,你可以从默认的“允许”策略到默认的“拒绝”策略或组织的“D-DAY”政策进行大的转换。
在此阶段,您可以出于强制目的而切换到监视。此后任何开发人员想要允许另一个数据流通过数据中心的请求都必须提交更改申请并获得许可后才能通过。
5.自动化和协调
最后,进入“D-DAY”的唯一途径是借助策略引擎,这是整个网络策略背后的中心 “大脑”。否则,您每次需要进行更改时都必须在整个基础架构中采用手动方式执行所有操作。
由自动化流程启用的策略引擎能够将任何更改请求与您定义为合法业务连接要求的内容进行比较。如果其他连接请求符合可接受的用途定义时,则它应该以全自动方式继续零接触,这需要花费几分钟来实现更新部署的筛选过滤。只有超出可接受使用准则要求时才需要由专人进行审核和批准。
一旦获得批准(自动或经过审核),就需要进行部署更改。如果您必须使用各种不同的技术(有各自的复杂性和配置要求)将更改部署到潜在的数百个不同的执行点中,没有智能自动化系统,几乎不可能完成此更改请求过程。
关注业务成果而不是安全成果
由于流程变得更快、更灵活同时又不影响安全性或合规性,因此消除安全部署中的复杂性可以带来真正的业务成果。目前, 在许多组织中,即使已经进行了有限的细分,但在“D-DAY”进行变更后的进度仍然非常缓慢,常常需要花费数周的时间才能完成安全批准阶段,甚至还需要花费更多的人力、物力。而微细分可能使这一过程变得更加复杂。
但是,使用我在此处概述的步骤来实现“零信任”自动化实践方式,意味着从提出更改请求到部署和实施的端到端时间可以减少到一天甚至几小时,且不会带来风险。简而言之,自动化意味着组织花费更少的时间和预算来管理其安全基础架构,而将更多的精力用于业务实现,这是一个真正的双赢局面。
编译:御盾
关于作者
Avishai Wool是AlgoSec的联合创始人兼CTO。他曾为计算机和网络安全方面领先的美国电气和电子工程师协会(IEEE)及国际计算机协会(ACM)委员会成员。已经发表了110多篇研究论文,并拥有13项美国专利。他还是特拉维夫大学电气工程学院的教授,也是TAU跨学科网络研究中心的副主任。他是“解锁信息安全”的成功创建者,最近主要关注车载通信网络、工业控制系统、侧通道密码分析等领域技术。