2.5 零信任网络
2.5.1 为什么提出零信任
传统的网络体系结构是由外到内的分层网络,默认内部是安全的,认为网络安全就是边界安全。一旦认为用户是可信任的,则进入内网后,其访问就会畅通无阻。在虚拟化的云计算时代,大量边界部署的安全产品失去了保护作用。
传统网络工程师更关注基础设施而不是数据,很少考虑权限、数据位置等因素带来的安全隐患。在典型的网络架构中,聚合网络流量是核心,分发层提供更强的分发能力,接入层连接用户,而安全能力只能嵌套或叠加在网络各层,这样做带来的问题是,企业内部员工将获得过多的信任。
零信任的首创者安全分析师约翰·金德维格认为,企业不应天然对内部或外部产生信任,而应在授权前对一切进行验证。随着越来越多的企业上云,大量高价值的数据资源造成了目标和风险的集中,企业内部用户的越权访问等问题越来越严重,身份与权限成为安全隐患,迫使我们改变构建和运营网络的方式,因此,身份零信任安全架构也逐渐被越来越多的人所接受。零信任的基本概念并不是重建整个IT系统,而是一个结合已有的安全能力,基于场景和上下文,关注身份授权信任、业务安全访问并进行动态调整和持续评估的高效、安全、合规的网络安全构想。
2.5.2 零信任的理念
零信任体系是一种广泛使用的体系,它不依赖于特定的技术,可以极其灵活地满足各类场景或架构的安全需求。简单来说,零信任模型就是消除信任网络和不信任网络的架构,所有网络流量都不可信,所有保护对象都拥有微边界,不再定义内外网或信任区域,所有访问必须先认证再授权。因此,零信任架构并不是一种技术创新,而是一种概念创新,它需要遵循最小特权原则来进行纵深的防御。
首先,零信任体系需要保证网络资源能被安全访问,这就要求在没有检查是否授权前,所有访问的流量都假定是可疑的。通常的做法是,对所有的内部流量进行加密,用与保护公网数据相同的方式来保护内部数据免遭内部恶意滥用。其次,采用最小权限执行访问控制消除受限资源被不必要访问的隐患。在云中,基于角色的访问控制和基于资源的访问会作为访问控制的重要措施被严格实施。最后,零信任要求企业监控并记录所有流量,用户只能在验证后使用执行工作所需的资源。通过无间断的实时监控和日志留存的手段,分析流量和行为等信息,来确保网络流量的可见性,以方便事后的取证与调查。
2.5.3 零信任的价值体现
随着IT资源越来越多地以“云”的方式交付给客户,企业的边界被打破,网络资产和数据将面临更大的风险,而不断堆叠安全设备不但不经济,还会增加复杂性而难以管理,更无法整体对虚拟化资源进行有效管理。而零信任作为一个网络概念,通过有效编排使所有安全组件协调起来成为一个安全体系,企业通过拒绝授权可以最大限度地减少暴露面,避免不必要的恶意访问、数据泄露事件,并拒绝未授权的访问,以保障企业敏感数据和网络资产方的安全。
在零信任网络中,安全设备不再存在任何信任和不受信任的接口,不再有受信任和不受信任的网络,不再有受信任和不受信任的用户。零信任要求安全人员不再信任任何网络流量的安全性。在零信任网络中,任何数据包、流量、数据都不再获得天然的信任,已防止内部的权限滥用或恶意行为。与传统思路不同,零信任需要由内到外构建网络。
零信任将解决传统网络存在的三个问题,从而为安全的网络提供支持,实现安全性。首先,零信任架构有助于网络域的划分和管理,以确保安全性和合规性。而传统分层的网络很难分段,这是因为专注于网络高速交换的分层结构并没有提供有效分段的方法,即便使用虚拟 LAN(VLAN)进行分段,技术上也不能阻止恶意行为越权访问。其次,零信任架构可内置多个并行处理的交换核心。传统网络统一的交换结构无法进行并行的数据处理,这会降低云环境下数据传递的效率。再次,零信任可以构建内生安全的高效网络架构。同时,零信任可以实现从单个控制台演进到集中管理,避免出现传统网络中为了集中管理而造成的流量聚集和拥塞。零信任弥补了传统安全管理中心仅仅对事件管理而不能深入业务和应用的不足,而能通过统一的身份管理中心和访问控制中心进行集中认证、授权与访问控制管理,使安全与业务深度结合,并提供统一的细粒度的动态访问控制,帮助企业的安全管理者更全面、更清晰地掌握自身的网络风险。
零信任的流行,为重塑网络并创建安全网络提供了机遇。零信任体系与平台无关,可以支持任何类型的资源。零信任体系将降低企业为了满足合规性或者其他安全评估产生的大量成本,比如满足金融行业PCI合规要求的最有效的方法之一是通过网络分段来限制PCI的范围。零信任可以帮助企业在网络中限制数据所在的位置范围,简化合规性并降低评估成本。零信任支持安全能力的虚拟化,这使得在虚拟化环境中做网络分域的问题不复存在,也可以通过微边界分割无线网络与有线网络,保证非法访问点无法直接连接到核心交换组件,以保证其合规性。由于零信任架构要求所有组件模块化,因此它可以灵活扩展和调整。另外,零信任网络架构的模块化特点允许用户创建网络的子集合,并将较小的零信任网络连接到现有网络,以方便创建分段的合规子网,这样可以轻松地平衡工作负载,实现设备的互操作性并降低运营成本。我们可以看到,零信任架构中这些理想的特点都可以在云环境下得到很好地发挥。
值得注意的是,对于一些对数据不敏感的企业和组织,零信任反而是一种过度投资。在合规的前提下,针对某些以提供基础设施服务或运营服务的客户,数据安全并非其核心,细粒度的访问控制也可能会造成过度的投资,这点需要企业仔细考虑。
2.5.4 零信任的安全体系
在零信任体系中,安全性不再仅仅是覆盖在网络组件上的附加层,而是存在于网络中的一种内生能力。在理想的零信任架构中,使用集成的微网关作为网络的核心,创建可并行处理的安全网络域并进行集中管理,同时对各种数据进行采集以获得完整的网络可见性,是架构的灵魂与核心。
1)数据零信任:要求企业通过分类、隔离、加密、控制等技术和管理手段,构建自身的数据分类方案,以实现对所有存储、传输和使用中的数据加密。企业从数据安全的角度建立零信任体系相对更容易落地,无论数据处于终端、服务器、数据库、应用中的哪个位置,都应该存在自己的微边界,以便执行更细粒度的规则。因此,识别敏感数据,了解用户、应用、数据之间的关系,了解敏感数据如何在网络内外流动,创建自动化的数据安全策略并持续监控和响应,是数据零信任的关键。
2)网络零信任:企业需要通过分段、隔离和控制等手段来保护网络安全。这么做的主要目的是实现支持微分段和微边界,使连接到网络分段网关所在的交换区里的安全级别相同,这些并行工作的网络分段可以单独扩展,使其安全能力得以提升。
3)人员身份零信任:严格执行访问验证且进行持续监控以保证基于身份的合理访问授权,减少非法用户的恶意行为是确保新“身份边界”安全可靠的重要能力。攻击者常用的手段是通过盗用身份凭证进入企业网络环境,并通过提权、横向移动等方式进行下一步的威胁渗透,因此企业需要从组织控制、资源使用、角色权限、会话场景等角度进行动态的身份访问管理。
4)工作负载零信任:企业所有前后端的应用系统,包括应用栈、虚拟机、容器等都可能成为被威胁的因素,故都需要进行安全控制。而企业要想实现这一点,就需要通过收集用户、应用、设备、网络等上下文的信息并增加附加的验证机制,来排除可能存在的风险。
5)设备零信任:智能设备的出现使得设备类型不再局限于电脑或手机,物联网带来的风险要求企业将所有连接到网络中的设备都视为不受信任的资产,需要根据最初收集的设备信息始终进行安全验证,对于不合规的设备要启动修复通知,而且在连接过程中要持续地监控设备,始终执行访问策略,排除一次信任永久授权的旧模式。
6)可视化分析:企业需要充分识别和了解威胁,并通过各类工具、平台和系统来获取和分析与安全相关的数据;需要在不同的场景下基于业务、技术等多维度综合认知,建立自身的威胁可视化能力,这就对企业网络提出了一定的要求。而在云环境下,由于网络管理、身份管理、应用之间的依赖关系相对清晰,因此可以更有效地支撑零信任体系的构建。
7)自动化编排:在零信任原则下,安全事件促使企业针对威胁具备根据目标的优先级排序和自动化响应的能力。事件的执行需要通过预先定义的策略来处理,这样就可以经济、高效、准确地对事件进行响应和处理了,这不仅需要平台具备支持微边界下的内置处理能力,还需要具备自动与生态中的产品进行对接和集成的更完善的响应与处置能力。
2.5.5 零信任的核心内容
根据自己的最佳实践,不同的厂商会提供对于构建零信任体系的不同方案,这里我们对NIST在2019年提出的零信任架构比较重要的一些逻辑组件进行介绍。
策略引擎组件:该组件负责是否为给定主体授权,可以将企业已有的策略和规则,或引入的外部规则作为信任模型的考虑因素。
策略管理组件:该组件用来建立客户端与资源的连接,并提供访问凭证。它可以与策略引擎合成一个组件,也可以是单独的两个。
策略执行组件:该组件负责启用、监控和中断客户端与服务资源之间的连接,分为客户端策略执行组件(代理)和服务端策略执行组件(网关)两部分。
持续诊断组件:该组件收集企业当前系统的状态信息,并更新和配置软件的组件。简单来说,它可以判断访问源的设备是否运行了存在已知漏洞的系统、应用等。
行业合规组件:该组件包含所有垂直行业规范要求的策略规则,以确保企业的合规性。
威胁情报组件:该组件提供来自多源的安全威胁情报,包括恶意IP地址、DNS黑名单、恶意软件、远控漏洞等,其中策略引擎可以利用情报进行威胁的判断与阻止。
数据访问策略组件:该组件包含企业自定义的一系列基于数据属性的规则和策略,通过访问者的角色、任务来提供基于数据和资源的权限。
公钥基础设施组件:该组件向资源、访问者和应用颁发数字证书,也可以与第三方证书机构或政府的公钥基础设施进行集成。
身份管理组件:该组件负责创建、存储和管理企业的用户账户和身份记录,包含用户相关信息、角色、访问属性和分配的系统等信息。
安全事件管理组件:该组件可以汇集各类日志、流量、资源特权,对企业威胁进行告警,并提供企业安全状况等信息。
2.5.6 零信任在云平台上的应用
零信任不是一套单一的框架体系,而是网络设计的一种指导原则,各机构也都根据自己的理解发布了零信任架构的框架指南。
在约翰·金德维格正式提出零信任后,Google从2011年开始探索零信任体系,并在2014年发表了 BeyondCorp 系列论文,并分享了其作为用户使用零信任的实践。咨询公司 Gartner在2017年发布了自适应安全框架的3.0版本,提出了ZTNA-零信任网络架构和CARTA-持续自适应的风险与信任评估,它的理念与零信任一脉相承,这进一步推动了零信任的发展。2018年,金德维格又开始发布新的零信任扩展生态ZTX研究报告,探索零信任架构在企业中的应用,以及对零信任厂商进行评估。
从2019年开始,NIST也发表了Special Publication 800-207零信任架构的1.0和2.0草案,研究零信任的组件与结构。近年来,国内也有一些安全公司开始发表管理零信任的文章,这推动了国内零信任体系结合实际场景的落地实践和理论延伸。
云计算是实现零信任比较方便的服务交付方式,但其也需要企业对现有的组织架构、业务流程等进行全面的调整和改善,这个过程需要制定分阶段的目标并做好以下几项工作。
1)充分沟通,获得组织内部认同:由于它涉及由旧体系到新体系的转移和众多相关利益方,因此得到高层的许可和相关利益方的充分理解,有利于项目的顺利执行。
2)组建合适的团队:必须争取到关键部门的配合,包括IT、安全、基础平台、第三方合作伙伴等。锁定他们的时间,才能协调落地执行。
3)确定迁移策略:从简单到复杂,通过逐渐限制特权网络或服务逐步向零信任网络迁移,避免激进和过度。
4)认真梳理业务和收集数据:在构建零信任网络时,只有识别各类业务的需求才能明确如何使用访问控制、如何迁移等具体工作。另外,识别业务和收集数据除了可以精准完成迁移策略,还可以增加用户体验,保证不会影响日常工作。
5)特殊场景处理:针对一些强制的用户验证等特殊场景,需要进行特殊处理。另外,需要对某些应用做必要的改造,如某些非HTTP协议可以通过SSH和VDI进行访问。
由于零信任的一个保护重点是企业数据资源,因此在落地过程中,标识敏感数据及数据流向至关重要。同时,如何设计访问的信任微边界,如何做好持续的监控与分析,如何根据优先级的自动化编排进行集中管理,都是决定体系落地是否成功的关键。
由于零信任是一个建立在现有安全框架和概念的基础上,不断发展和演进的框架,依赖于对组织服务、数据、用户和中断的基本理解,因此零信任落地的关键在于要足够成熟且要成为当今政府或大型企业的迫切选择。但是,目前市场上还没有哪个厂商可以提供完整而全面的零信任解决方案。零信任体系相对容易构建,但在混合环境中企业需要花更多的精力去思考如何发挥零信任理念的价值,包括网络分段、数据分类、负载与应用安全性、非受信验证的自动化编排、数据的可视化和集中管理,以保证通过基础架构的设计改善网络资产和敏感数据的安全态势,这方面还有很多工作需要持续进行。