“零信任”自从2010年被Forrester分析师约翰·金德维格正式提出到现在已有十年的历史,在这十年中“零信任”一直都是安全圈内众人不断争议和讨论的对象,有人说它将是网络安全发展的必然产物,也有人说这种理念难以实现。无论“零信任”如何饱受争议,但事实证明随着相关技术的发展它都已然成为当下企业最好的选择。
2019年,在工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见中,“零信任安全”首次被列入网络安全需要突破的关键技术。同年,国家首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。由此可见,零信任安全同样引起了国家相关部门和业界的高度重视。
陈本峰认为:“想要实现零信任,就需要重新思考我们应该如何利用现有的基础设施,以更简单、更高效的方式设计具体实施方案,同时保证整个过程中不受任何阻碍。”针对零信任架构的3种具体实现方案,陈本峰为我们带来了详细的解读。
零信任架构
零信任架构就是在不可信的网络环境下重建信任,利用零信任概念和包含组件关系,制定工作流程规划和访问策略。零信任架构是基于零信任的企业网络安全策略原则,其目的是防止数据泄漏并限制内部横向移动。零信任架构的技术的本质是构建以身份为基石的业务动态可信访问控制机制。企业决定采用零信任作为网络安全基础,并基于零信任原则制定开发计划,然后部署此计划形成一个零信任环境供企业使用。
企业可以通过多种方式为工作流程制定ZTA。这些方法在使用组件和组织的策略规则的主要来源方面有所不同。每个方法都实现了零信任的7大原则(零信任安全十周年峰会|陈本峰受邀出席并解读《NIST零信任架构》),但可以使用一个或两个作为策略的主要驱动力。这些方法包括通过下一代防火墙增强身份治理驱动的逻辑微分段,以及基于网络的细分。
针对不同的用例可以选择不同的方法,很多组织为企业开发零信任产品时可能会发现其选择的用例和现有策略指向,某种方法会优胜于其他方法。这并不意味着其他方法无效,而是在具体的过程中其他方法难以实施,可能需要更基本的方法来更改企业当前业务流程的方式。
零信任架构(ZTA)的三大技术:“SIM”
2019年,美国国家标准委员会NIST对外正式发布了《零信任架构ZTA》白皮书,强调了零信任的安全理念,并介绍了实现零信任架构的三大技术“SIM”:
1)SDP,软件定义边界;
2)IAM,身份权限管理;
3)MSG,微隔离。
图: 零信任架构的三大技术
SDP 软件定义边界:
SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP 旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构。
SDP 的体系结构由两部分组成:SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理(请参见下图)。因此,在 SDP 中,控制平面与数据平面分离以实现完全可扩展的系统。此外,为便于扩展与保证正常使用,所有组件都可以是多个实例的。
图:SDP架构及特性
在使用中,每个服务器都隐藏在远程访问网关设备后面,在授权服务可见且允许访问之前用户必须对其进行身份验证。 SDP 采用分类网络中使用的逻辑模型,并将该模型整合到标准工作流程中。
SDP的安全优势:
1、SDP最小化攻击面降低安全风险;
2、SDP通过分离访问控制和数据信道,保护关键资产和基础架构,从而阻止潜在的基于网络的攻击;
3、SDP提供了整个集成的安全体系结构,这一体系结构是现有的安全设备难以实现的;
4、SDP提供了基于连接的安全架构,而不是基于IP的替代方案。因为整个IT环境爆炸式的增长,云环境中的边界缺失使得基于IP的安全性变得脆弱。
5、SDP允许预先审查控制所有连接,从哪些设备、哪些服务、哪些设施可以进行连接,所以它整个的安全性方面是比传统的架构是更有优势的。
IAM(增强的身份管理)
身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。身份管理为所有用户,应用程序和数据启用并保护数字身份。
开发ZTA的增强的身份管理方法将参与者的身份用作策略创建的关键组成部分。企业资源访问的主要要求基于授予给定主体的访问特权。通常使用开放式网络模型或具有访问者访问权限或网络上频繁使用非企业设备的企业网络找到针对企业的基于身份治理的增强方法。最初,所有具有资源访问权限的资产都将获得网络访问权限,这些权限仅限于具有适当访问权限的身份。自发布NIST SP 800-207(第二草稿)零信任架构以来,身份驱动的方法与资源门户网站模型配合的很好。身份和状态提供辅助支持数据以访问决策。其他模型也可以使用,具体取决于现有的策略。
身份管理可以帮助组织有效地解决复杂业务带来的挑战,并平衡四个关键目标:
1. 加强安全性并降低风险。
2. 改善合规性和审计绩效。
3. 提供快速,有效的业务访问。
4. 降低运营成本。
图: 零信任身份与访问管理
MSG(微隔离)
微隔离是一种网络安全技术,它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。此外,微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。
图: 微隔离
微隔离是一种在数据中心和云部署中创建安全区域的方法,该方法使企业组织可以分离工作负载并分别保护它们,使网络安全性更加精细,从而更加有效。如下为微隔离的几个好处:
1,减少攻击面
2.改善横向运动的安全性
3.安全关键应用
4.改善法规遵从性状况
写在最后:
网络安全多年来已经成为人们口中经久不衰的话题,从单一防护到零信任的发展,安全防御方式正在进一步提升。随着技术的不断发展,零信任理念也正在逐步将公共和私人网络的边界消除。不过,并非每个企业都拥有实施零信任网络的IT基础架构的知识、资源和时间。企业必须拥有大量的预算和人力来开发,构建和维护因地适宜的零信任架构。对于资源不足的小型企业来说,这也将成为一项重大的挑战。