零信任和安全架構(gòu)傳道者,。專注于解析國外先進(jìn)網(wǎng)絡(luò)安全體系,,為國內(nèi)軍政企首席安全官提供參考。帳號主體為柯善學(xué)博士,,現(xiàn)任職360研發(fā)中心。自2020年7月起,,本訂閱號只做原創(chuàng),,其中文章觀點(diǎn),不代表所在公司立場,。謝謝關(guān)注,!
零信任硬幣的一面是訪問控制和身份管理,,硬幣的另一面是主機(jī)微分段。前者本質(zhì)上仍是由外到內(nèi)的方法,,而后者則是由內(nèi)到外的方法,。兩者雖然都要解決訪問問題,但前者是從用戶角度來看,,而后者則是從應(yīng)用程序和工作負(fù)載的角度來看,。
實(shí)現(xiàn)國防部零信任網(wǎng)絡(luò)安全框架的目標(biāo),是一個(gè)多階段的過程,。在實(shí)現(xiàn)了訪問控制和身份管理等基本階段后,,國防部可能開始向零信任的中高級階段邁進(jìn),即更加以數(shù)據(jù)為中心的安全方法,。
訪問控制永遠(yuǎn)是至關(guān)重要的,,但它只是零信任旅程中重要的第一步。SolarWinds復(fù)雜網(wǎng)絡(luò)攻擊事件為美國國防部加速向零信任的中高級階段邁進(jìn),,提供了更具說服力的理由,。
本文是《Illumio六部曲》系列的第5篇,重點(diǎn)揭示了美國國防部零信任與主機(jī)微分段技術(shù)的關(guān)系,。
從本文的邏輯看,,在統(tǒng)領(lǐng)零信任框架方面,Gartner的零信任網(wǎng)絡(luò)訪問(ZTNA)的確是不完整的,,而Forrester的零信任生態(tài)擴(kuò)展(ZTX)框架顯然更勝一籌,。
目 錄
1. 零信任硬幣的兩面
1)零信任的兩種視角
2)硬幣的一面是訪問控制和身份管理
3)硬幣的另一面是主機(jī)微分段
2. 為何要重視主機(jī)微分段
1)實(shí)現(xiàn)微分段的三種途徑辨析
2)兩種零信任視角的對比
3. 國防部零信任的兩個(gè)階段
1)國防部零信任的基本階段
2)國防部零信任的中高級階段
3)現(xiàn)實(shí)示例:用事實(shí)說話
4)讓兩種方法并駕齊驅(qū)
一、零信任硬幣的兩面
01 零信任的兩種視角
NIST SP 800-207(零信任架構(gòu)指南)指出,,“零信任是一套不斷發(fā)展的網(wǎng)絡(luò)安全模式的術(shù)語,,它將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界,,轉(zhuǎn)移到關(guān)注用戶,、資產(chǎn)和資源上?!?nbsp; 筆者認(rèn)為,,這里的“用戶、資產(chǎn)和資源”應(yīng)該被分解為兩部分:一是用戶(訪問),;二是資產(chǎn)和資源,。因?yàn)閮烧邔?yīng)于不同的視角。
我們知道,,最小權(quán)限訪問是零信任的核心,。這表明,國防部需改變傳統(tǒng)的“允許所有訪問,、拒絕指定訪問”的理念,,轉(zhuǎn)向“拒絕所有訪問,、允許指定訪問”的原則。
問題的關(guān)鍵在于,,對于所有這些訪問:一方面是從用戶角度來看,;另一方面是從應(yīng)用程序和工作負(fù)載的角度來看。
顯然,,美國聯(lián)邦政府和國防部已經(jīng)在致力于改善零信任的用戶訪問,;然而,在一個(gè)零信任環(huán)境中,,關(guān)注點(diǎn)正在逐漸轉(zhuǎn)移到保護(hù)其資產(chǎn)和資源上,。
02 硬幣的一面是訪問控制和身份管理
美國聯(lián)邦政府和國防部已經(jīng)開始認(rèn)真考慮零信任。而且零信任的一個(gè)重要方面,,即關(guān)于零信任網(wǎng)絡(luò)訪問(ZTNA,Zero Trust Network Access)的初步工作已經(jīng)完成,。
然而,,這主要還是一種由外到內(nèi)(outside-in)實(shí)現(xiàn)零信任的方法。
03 硬幣的另一面是主機(jī)微分段
零信任更加重要的一個(gè)方面,,與應(yīng)用程序和工作負(fù)載的連接有關(guān),。而這正是攻擊者的目標(biāo)所在,但目前聯(lián)邦政府和國防部在這一方面還沒有得到足夠保護(hù),。
零信任的“另一面”,,即基于主機(jī)的微分段方法,將帶來由內(nèi)到外(inside-out)的更高安全性,,并將阻止惡意軟件的橫向移動,。
NIST SP 800-207專門將微分段定義為在一個(gè)或多個(gè)端點(diǎn)資產(chǎn)上使用軟件代理或防火墻。這些網(wǎng)關(guān)設(shè)備動態(tài)地向來自客戶端,、資產(chǎn)或服務(wù)的單個(gè)請求授予訪問權(quán)限,。而這也是在《2020財(cái)年FISMA首席信息官指標(biāo)》報(bào)告中專門提出的保護(hù)高價(jià)值資產(chǎn)(HVA)的最佳方式。
二,、為何要重視主機(jī)微分段
01 實(shí)現(xiàn)微分段的三種途徑辨析
因?yàn)榱阈湃蔚暮诵氖亲钚?quán)限的概念,,所以如果發(fā)生失陷,則失陷理應(yīng)被鎖定在一臺服務(wù)器,、工作負(fù)載或筆記本電腦上,。這是實(shí)現(xiàn)零信任的由內(nèi)到外的方法。
從系統(tǒng)架構(gòu)的角度來看,,這種零信任的方法可以通過三種方式實(shí)現(xiàn):軟件定義網(wǎng)絡(luò)(SDN),、網(wǎng)絡(luò)防火墻、基于主機(jī)的微分段,。
1)SDN或網(wǎng)絡(luò)虛擬化方法:是實(shí)施強(qiáng)制執(zhí)行的一個(gè)弱安全選項(xiàng),,因?yàn)樗P(guān)注網(wǎng)絡(luò)安全并使用自由形式的標(biāo)記和標(biāo)簽結(jié)構(gòu),。由于在管理用于標(biāo)識工作負(fù)載的元數(shù)據(jù)方面缺乏治理,使得管理和提供策略變得困難,。跟蹤IP地址會增加復(fù)雜性并阻止規(guī)模的擴(kuò)展,。它還需要一個(gè)完整的網(wǎng)絡(luò)升級,并且是昂貴的,。記?。篠DN中的“N”代表網(wǎng)絡(luò)。因此,,任何SDN控制器部署的任何分段,,都是一種以網(wǎng)絡(luò)為中心的方法,都被實(shí)現(xiàn)為聚焦網(wǎng)絡(luò)挑戰(zhàn),,而非主機(jī)挑戰(zhàn),。
2)網(wǎng)絡(luò)防火墻方法:為了控制東西向流量的移動,需要部署額外的防火墻,。然而,,硬件防火墻太“硬”了,缺乏靈活性,。而對于內(nèi)部/數(shù)據(jù)中心防火墻,,當(dāng)環(huán)境被虛擬化和高度自動化時(shí),要想跟蹤區(qū)域,、子網(wǎng),、IP地址、規(guī)則順序,,也變得相當(dāng)笨拙和困難,。隨著環(huán)境變得更加復(fù)雜,在防火墻規(guī)則變更期間中斷應(yīng)用程序的可能性也會增加,。與SDN方法類似,,應(yīng)用程序到應(yīng)用程序的流量缺乏可見性,大型部署可能很昂貴,,并且這仍然是一種以網(wǎng)絡(luò)為中心的方法,。
3)基于主機(jī)的微分段方法:是對駐留在每個(gè)主機(jī)中的本機(jī)狀態(tài)防火墻進(jìn)行編程。從本質(zhì)上講,,關(guān)注應(yīng)用程序,,可以將分段與網(wǎng)絡(luò)架構(gòu)解耦。它部署簡單,,易于擴(kuò)展,,成本較低,可以在任何架構(gòu)中推出,,包括云,、容器,、混合和裸機(jī)。它可以與防火墻,、負(fù)載均衡器,、網(wǎng)絡(luò)交換機(jī)等異構(gòu)硬件資產(chǎn)協(xié)同工作,并提供實(shí)時(shí)應(yīng)用程序和工作負(fù)載依賴關(guān)系圖,。首席信息官和首席信息安全官終于頭一回可以看到,,他們的應(yīng)用程序和工作負(fù)載在做什么。
02 兩種零信任視角的對比
用戶采取何種角度/路線來實(shí)現(xiàn)零信任架構(gòu),,將決定其實(shí)現(xiàn)的難易程度,。
如果用戶可以實(shí)時(shí)創(chuàng)建應(yīng)用程序和工作負(fù)載地圖時(shí),則他們可以顯著降低零信任的實(shí)施復(fù)雜性,。因?yàn)?,正確地創(chuàng)建一個(gè)基準(zhǔn)應(yīng)用程序和工作負(fù)載依賴關(guān)系圖,對于在整個(gè)機(jī)構(gòu)的計(jì)算體系架構(gòu)中嵌入安全性非常重要,。用戶得以查看應(yīng)用到應(yīng)用和工作負(fù)載的流量,,以便正確分段。
雖然,,零信任需要強(qiáng)大的身份管理工具;但用戶還需要對工作負(fù)載和應(yīng)用程序進(jìn)行分段,,以防止可能嚴(yán)重影響機(jī)構(gòu)或任務(wù)的非法橫向移動,。
兩種不同的方法:用戶到應(yīng)用和設(shè)備到應(yīng)用的流量監(jiān)控,需要對憑證托管,、強(qiáng)身份驗(yàn)證,、身份管理的顯著依賴關(guān)系;而機(jī)器到機(jī)器或工作負(fù)載到工作負(fù)載的連接,,通常是基于API的,,需要不同的方法。
兩面可以同時(shí)進(jìn)行,。憑證依賴于網(wǎng)絡(luò)安全,;強(qiáng)制執(zhí)行策略則側(cè)重于應(yīng)用程序安全,而應(yīng)用程序安全并不需要網(wǎng)絡(luò),。所以,,事實(shí)上,零信任硬幣的兩面都可以同時(shí)進(jìn)行,。
零信任的前進(jìn)之路意味著,,過去對網(wǎng)絡(luò)邊界的強(qiáng)調(diào),必須由對用戶,、數(shù)據(jù),、應(yīng)用程序的更加重視所取代,。
更進(jìn)一步講,采用由內(nèi)到外(inside-out)的方式保障高價(jià)值資產(chǎn),,是啟動零信任試點(diǎn)項(xiàng)目的最審慎的方式,。這個(gè)建議,與2019年11月國土安全部發(fā)布微分段作為CDM(持續(xù)診斷和緩解)計(jì)劃的推薦能力,,是一致的,。
三、美國國防部零信任的兩個(gè)階段
01 國防部零信任的基本階段
實(shí)現(xiàn)零信任愿景,,是一個(gè)多階段的努力,。美國國防信息系統(tǒng)局(DISA)和國家安全局(NSA)正在合作開發(fā)零信任參考架構(gòu),也在建立新的零信任實(shí)驗(yàn)室,。
如果詢問美國聯(lián)邦和國防部IT部門的人“零信任意味著什么”,,你可能會聽說它是關(guān)于訪問控制的:即在沒有首先驗(yàn)證用戶或設(shè)備的情況下,決不允許訪問任何系統(tǒng),、應(yīng)用程序,、網(wǎng)絡(luò),即便用戶是內(nèi)部人士,。
在國防信息系統(tǒng)局(DISA)對零信任的解釋清單上,,排名第一的術(shù)語是“從不信任、始終驗(yàn)證”,,緊隨其后的是“始終假設(shè)網(wǎng)絡(luò)環(huán)境中已經(jīng)存在對手”和“顯式驗(yàn)證”,。這些都對應(yīng)于國防部零信任成熟度模型的基本階段。
基本階段,,即訪問控制和身份管理,,確實(shí)是零信任的第一個(gè)重要組成部分,國防部正在積極開展這項(xiàng)工作,。目前,,美國陸軍、空軍,、海軍,、DISA都有一些試點(diǎn)項(xiàng)目在進(jìn)行中,這些項(xiàng)目側(cè)重于從外到內(nèi)(outside-in)的零信任,,其重點(diǎn)是使用零信任網(wǎng)絡(luò)訪問(ZTNA)方法,,來升級身份管理和用戶憑證。然而,,ZTNA并不顯示工作負(fù)載到工作負(fù)載的連接和數(shù)據(jù)流,。這些工作只能說明問題的一半。
在之前的《美國國防部零信任的支柱》和《美軍網(wǎng)絡(luò)安全 | 用零信任替代中間層安全?》中,,介紹過國防部的零信任建設(shè)思路,,的確主要是以身份管理和SDP為主的。
02 國防部零信任的中高級階段
國防部零信任之旅并沒有就此結(jié)束,。國防部(DoD)和國土安全部(DHS)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)的官員在2月說,,要針對SolarWinds攻擊中使用的復(fù)雜網(wǎng)絡(luò)攻擊建立真正有效的防御措施,需要進(jìn)一步采用零信任安全,。該事件也為美國國防部加速向零信任的中高級階段邁進(jìn),,提供了一個(gè)更具說服力的理由。
再者,,美國國防部一直尋求,,在無需購買新設(shè)備的條件下,利用零信任來改善網(wǎng)絡(luò)安全,,而基于主機(jī)的微分段,,通過允許代理來編程本地防火墻,使得國防部的安全思路成為可能,。
另外,,國防部的數(shù)字現(xiàn)代化戰(zhàn)略(DMS,Digital Modernization Strategy)已將“將數(shù)據(jù)視為戰(zhàn)略資產(chǎn)”作為其主要目標(biāo)之一,,國防部最近發(fā)布了一份單獨(dú)的《國防部數(shù)據(jù)戰(zhàn)略》,,將“數(shù)據(jù)治理”列為實(shí)施該戰(zhàn)略的第一步。應(yīng)用層即第七層,,是零信任的核心,,它涉及應(yīng)用程序和以數(shù)據(jù)為中心的安全性。
把零信任的基本階段(身份/訪問控制)想象成一個(gè)類似于保護(hù)一個(gè)房子的前門,,甚至可能是從一個(gè)房間通向另一個(gè)房間的內(nèi)門。你要確保每個(gè)進(jìn)入者都經(jīng)過驗(yàn)證和認(rèn)證,,即使他們想從家里進(jìn)入另一個(gè)房間,。
但是前門并不是唯一的入口。還有側(cè)門,、后門,、地下室的門、各種窗戶,,也需要保護(hù),。對于這些門窗,主要關(guān)注的應(yīng)該是數(shù)據(jù),。國防部IT人員需要確保他們能夠通過多云/多應(yīng)用程序可見性以及對進(jìn)出側(cè)門和后門的任何數(shù)據(jù)進(jìn)行命令和控制,,以了解所有門窗的活動。如果沒有這些控制,數(shù)據(jù)可能會泄漏,,從而暴露敏感信息,。
上一任DISA局長、美國海軍中將Nancy Norton曾說,,“零信任將影響我們網(wǎng)絡(luò)領(lǐng)域的每一個(gè)領(lǐng)域,,允許我們通過關(guān)閉船上的每個(gè)隔間來更好地保護(hù)我們的數(shù)據(jù)?!?要做到這些,,顯然需要超越訪問控制或只保護(hù)前門。
隨著國防部向零信任成熟度模型的中級和高級階段邁進(jìn),,確保其成功的關(guān)鍵能力包括:對多云環(huán)境的完全可見性,;用于評估用戶行為的安全分析;針對已批準(zhǔn)應(yīng)用程序,、未經(jīng)批準(zhǔn)應(yīng)用程序,、和更重要的國防部編寫的任務(wù)應(yīng)用程序的高級數(shù)據(jù)保護(hù)的動態(tài)策略執(zhí)行;在混合云環(huán)境中自動化和編排的威脅檢測,。
03 現(xiàn)實(shí)示例:用事實(shí)說話
上面說了一堆大道理和邏輯,,現(xiàn)在讓我們舉幾個(gè)現(xiàn)實(shí)中的例子。
眾所周知,,在疫情大流行期間,,云的使用率和威脅情況都急劇上升。國防部在短短幾個(gè)月內(nèi)就向一百多萬用戶部署了商用虛擬遠(yuǎn)程(CVR)云生產(chǎn)力工具,,并在2020年迅速擴(kuò)大了他們的云使用量,。最近的一份報(bào)告發(fā)現(xiàn),2020年前4個(gè)月里,,來自非托管設(shè)備的云使用量翻了一番,,而針對云帳戶的外部攻擊則增加了6倍以上。因此,,通過保護(hù)前門以外的安全來保護(hù)數(shù)據(jù)尤其重要,,因?yàn)閲啦康脑S多人都在遠(yuǎn)程環(huán)境中工作,從多個(gè)云環(huán)境和混合云環(huán)境訪問數(shù)據(jù)和應(yīng)用程序,。
假設(shè)某個(gè)軍種成員正在個(gè)人計(jì)算設(shè)備上工作,,而不是通過該部門的VPN,并且希望通過云服務(wù)Microsoft Teams訪問一個(gè)應(yīng)用程序,。雖然該部門有與Microsoft Teams的安全連接,,但應(yīng)用程序插件可能由另一個(gè)云提供商托管,它可能是安全的,,但也可能不安全,。這種云到云的連接,打開了一個(gè)洞、一扇側(cè)門,,需要被鎖上以防止敏感數(shù)據(jù)暴露,。訪問控制無助于這種情況;這是統(tǒng)一云策略數(shù)據(jù)保護(hù)的角色,。
讓我們舉一個(gè)更具技術(shù)性的后門例子,。Open S3(簡單存儲服務(wù))數(shù)據(jù)桶是最近數(shù)據(jù)泄露的罪魁禍?zhǔn)祝驗(yàn)楫?dāng)配置錯(cuò)誤時(shí),,可能導(dǎo)致數(shù)據(jù)泄漏,。一個(gè)開放的數(shù)據(jù)桶,就像是一個(gè)沒有安全保護(hù)的后門,。S3桶可以設(shè)置為公開或者私有,,可能出現(xiàn)錯(cuò)誤的設(shè)置,尤其是當(dāng)技術(shù)人員過度工作和跨企業(yè)管理多個(gè)桶時(shí),。選擇錯(cuò)誤的設(shè)置,,將會意外地向公眾打開這扇后門。同樣,,訪問控制和身份管理不能解決這個(gè)問題,,但是中間階段的多云數(shù)據(jù)保護(hù)解決方案可以解決這個(gè)問題。
04 讓兩種方法并駕齊驅(qū)
實(shí)現(xiàn)國防部零信任網(wǎng)絡(luò)安全框架的目標(biāo),,是一個(gè)多階段的過程,。計(jì)劃推出的DISA/NSA零信任參考架構(gòu)將有助于國防部更好地前進(jìn)。在實(shí)現(xiàn)了訪問控制,、身份管理、從端點(diǎn)到云端的數(shù)據(jù)流加密等基本階段后,,國防部可能開始向零信任的中高級階段邁進(jìn)。
初期行動正在從身份管理或ZTNA的角度展開,;然而,,下一步需要更多地關(guān)注由內(nèi)到外的方法,,即一種基于主機(jī)的微分段方法,,來實(shí)現(xiàn)零信任,。這樣做將有助于防止橫向移動的蔓延,,利用現(xiàn)有設(shè)備改善國防部機(jī)構(gòu)或司令部的網(wǎng)絡(luò)安全態(tài)勢,,并提供前所未有的實(shí)時(shí)可見性地圖,。
總之,要以零信任方式關(guān)閉國防部的所有網(wǎng)絡(luò)門窗,。零信任硬幣的兩面可以同時(shí)進(jìn)行,也應(yīng)該并駕齊驅(qū),。