1,、零信任(Zero Trust,縮寫ZT)代表著業(yè)界正在演進的網(wǎng)絡(luò)安全最佳實踐,,它將網(wǎng)絡(luò)防御的重心從靜態(tài)的網(wǎng)絡(luò)邊界轉(zhuǎn)移到了用戶,、設(shè)備和資源上。
2,、零信任安全模型假設(shè)網(wǎng)絡(luò)上已經(jīng)存在攻擊者,,并且企業(yè)自有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施(內(nèi)網(wǎng))與其他網(wǎng)絡(luò)(比如公網(wǎng))沒有任何不同,不再默認(rèn)內(nèi)網(wǎng)是可信的,。
3,、零信任架構(gòu)(ZTA)的宗旨是減少對攻擊者的資源暴露,,并在主機系統(tǒng)被攻陷時,,最小化(或防止)攻擊在企業(yè)內(nèi)部的橫向擴展。
4、零信任的重心在于保護資源,,而不是網(wǎng)段,,因為網(wǎng)絡(luò)位置不再被視為資源安全與否的主要依據(jù)。
5,、根據(jù)該零信任原則,,ZTA 環(huán)境不再包含對系統(tǒng)和用戶隱含的信任,該信任與物理或網(wǎng)絡(luò)位置(例如:局域網(wǎng)或互聯(lián)網(wǎng))無關(guān),。因此在用戶和設(shè)備通過可靠的身份驗證和授權(quán)進行徹底地驗證之前,,ZTA 不會授予其對資源的訪問權(quán)限。
6,、NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)認(rèn)為——向零信任架構(gòu)的轉(zhuǎn)型是漫長的旅程,,而不是簡單的置換企業(yè)現(xiàn)有基礎(chǔ)設(shè)施,預(yù)計大部分企業(yè)將以混合模式(即零信任模式與傳統(tǒng)模式)運作很長時間,。
7,、零信任模式并不是一個單一的網(wǎng)絡(luò)架構(gòu)或技術(shù)產(chǎn)品,它是一套理念,、戰(zhàn)略,、架構(gòu)。與一個組織如何評估其目標(biāo)的風(fēng)險相關(guān),。許多組織已經(jīng)在企業(yè)基礎(chǔ)架構(gòu)中擁有部分零信任元素,。
8、基于邊界防御的網(wǎng)絡(luò)安全控制已顯示出明顯的不足,,一旦攻擊者突破了邊界,,進一步的橫向攻擊將不受阻礙。
9,、零信任側(cè)重數(shù)據(jù)的保護,。在零信任狀態(tài)下,這些保護通常涉及對資源(例如數(shù)據(jù),、計算資源和應(yīng)用程序)的最小化授權(quán)訪問,,僅提供給那些被識別為需要訪問的用戶和資產(chǎn),并且對于每個訪問請求持續(xù)進行身份和權(quán)限的驗證,。
10,、零信任的概念早在“零信任”一詞出現(xiàn)以前就一直存在于網(wǎng)絡(luò)安全領(lǐng)域之中。國防信息系統(tǒng)局(DISA)和國防部(DoD)最早發(fā)布了他們的更安全的企業(yè)戰(zhàn)略研究工作,,稱為“黑核”(BCORE),。
11、“零信任”概念最早是由約翰·金德瓦格(John Kindervag)在 Forrester 報告中提出的,。
12,、零信任的前提是信任從來不應(yīng)該被隱式授予,而是必須進行持續(xù)地評估。
13,、零信任是一種端到端的網(wǎng)絡(luò)安全架構(gòu),,包括身份、證書,、訪問管理,、操作、終端,、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施等因素,。
14、零信任允許授權(quán)主體(用戶,、應(yīng)用,、和設(shè)備的組合)的訪問,同時消除其他所有主體(例如,,攻擊者)對數(shù)據(jù)和服務(wù)的非授權(quán)訪問,。
15、所有數(shù)據(jù)源和計算服務(wù)均被視為資源,。
16,、無論網(wǎng)絡(luò)位置如何,所有通信應(yīng)以最安全的方式進行,,保證機密性和完整性,,并提供源身份認(rèn)證。
17,、對企業(yè)資源的訪問授權(quán)是基于每個連接的,。每個連接都對請求者的信任進行評估。
18,、對資源的訪問權(quán)限由動態(tài)策略決定,,包括客戶身份、應(yīng)用,、用戶行為屬性,、設(shè)備特征(如:已安裝的軟件版本、網(wǎng)絡(luò)位置,、請求時間和日期,、以前觀測到的行為、已安裝的憑證等),。
19,、行為屬性包括自動化的用戶分析、設(shè)備分析,、度量到的與已觀測到的使用模式的偏差,。
20,、零信任策略是一系列基于組織機構(gòu)分配給用戶、數(shù)據(jù)資產(chǎn)或應(yīng)用的屬性的訪問規(guī)則集,。
21、資源訪問和操作權(quán)限策略可以根據(jù)資源/數(shù)據(jù)的敏感性而變化,。
22,、沒有設(shè)備是天生可信的。企業(yè)需要確保所有設(shè)備處于盡可能最安全的狀態(tài),,并監(jiān)視設(shè)備資產(chǎn)以確保它們保持盡可能最安全的狀態(tài),。具有已知漏洞或不受管控的設(shè)備需要區(qū)別對待。
23,、在訪問被允許之前,,所有資源訪問的身份驗證和授權(quán)是動態(tài)持續(xù)評估的循環(huán)過程(如基于時間的、新的資源請求,、檢測到異常用戶活動),。
24、整個用戶交互過程應(yīng)該持續(xù)地監(jiān)視,,根據(jù)策略的定義和執(zhí)行,,可能進行重新的身份認(rèn)證和重新授權(quán)。
25,、企業(yè)應(yīng)該收集盡量多關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信當(dāng)前狀態(tài)的信息,,并將其應(yīng)用于提高網(wǎng)絡(luò)安全狀況。
26,、零信任核心組件
a. 策略引擎(PE):負(fù)責(zé)用戶授權(quán),。使用企業(yè)安全策略以及來自外部信息源(例如 IP 黑名單、威脅情報服務(wù))作為“信任算法”(TA)的輸入,。
b. 策略管理器(PA):生成客戶端用于訪問企業(yè)資源的任何身份驗證令牌或憑證,。策略引擎(PE)與策略管理器(PA)組件配對使用。策略引擎做出并記錄決策,,策略管理器執(zhí)行決策(批準(zhǔn)或拒絕),。
c. 策略執(zhí)行點(PEP):負(fù)責(zé)啟用、監(jiān)視并最終終止訪問主體和企業(yè)資源之間的連接,。分為兩個不同的組件:客戶端(例如,,用戶筆記本電腦上的 Agent 代理程序)和資源端(例如,在資源之前部署的訪問控制網(wǎng)關(guān)),。
27,、零信任常見方案之一:基于軟件定義邊界(SDP)的ZTA客戶端安裝agent,用戶希望通過筆記本電腦連接到一個特定企業(yè)資源(例如,,人力資源應(yīng)用程序/數(shù)據(jù)庫),。該訪問請求由本地代理 Agent接收,,然后將請求發(fā)送給策略管理器(PA)。策略管理器 PA 將請求轉(zhuǎn)發(fā)到策略引擎PE 進行評估,。如果請求被授權(quán),,則設(shè)備上Agent代理程序與對應(yīng)的資源網(wǎng)關(guān)Gateway之間配置一個連接通道。加密的應(yīng)用程序數(shù)據(jù)流開始工作,。
28,、零信任常見方案之二:基于安全區(qū)的部署
網(wǎng)關(guān)組件不駐留在某個資源的前面,而是駐留在資源安全區(qū)(例如,,本地數(shù)據(jù)中心)的邊界上,。該模型適用于比較陳舊的應(yīng)用程序或者在無法獨立部署網(wǎng)關(guān)的本地數(shù)據(jù)中心。缺點是網(wǎng)關(guān)只能保護一組資源而非每個獨立的資源,,這將導(dǎo)致訪問主體可能會看到一些他們不該看到的資源,。
29、零信任常見方案之三:基于資源門戶的ZTA無需在所有客戶端設(shè)備上安裝軟件組件,。但是,,來自訪問請求的設(shè)備的信息也會非常有限。此模型只能在資產(chǎn)和設(shè)備它們連接到 PEP 門戶時進行一次性的掃描和分析,,但無法持續(xù)地進行惡意軟件和正確配置的監(jiān)控,。
30、零信任常見方案之四:設(shè)備應(yīng)用沙箱
用戶在設(shè)備上的沙箱中運行已批準(zhǔn)和審查過的應(yīng)用程序,。該應(yīng)用程序可以與 PEP 通信以請求訪問資源,,但 PEP 將拒絕來自該設(shè)備資產(chǎn)上的其他應(yīng)用程序。獨立運行在沙盒的程序也能免受主機上潛在的惡意軟件感染,。但這種模型有一個缺點,,就是企業(yè)必須為所有設(shè)備資產(chǎn)維護這些沙盒中應(yīng)用程序。
31,、信任算法:對于已經(jīng)部署零信任架構(gòu) ZTA 的企業(yè),,策略引擎 PE 可以看作是大腦,而PE 的信任算法(TA)則是其主要的思維過程,。PE根據(jù)信任算法的得分來最終授予或拒絕對資源的訪問,。
32、信任算法的輸入包括:
a. 用戶操作系統(tǒng)版本,、使用的應(yīng)用程序和補丁級別等設(shè)備資產(chǎn)安全狀況,。
b. 用戶的賬號角色及身份屬性包括時間和地理位置、過去觀測到的用戶行為的數(shù)據(jù)等,。
c. MFA 網(wǎng)絡(luò)位置(例如,,拒絕來自海外 IP 地址的訪問)、數(shù)據(jù)敏感度(有時稱為“數(shù)據(jù)毒性”)和資產(chǎn)配置,。
d. 威脅情報,,包括攻擊特征和緩解措施等,。
33、信任算法的實現(xiàn):
a. 基于分?jǐn)?shù):如果得分大于資源的配置閾值,,則授予訪問權(quán)限或執(zhí)行操作,。否則,請求被拒絕,。
b. 基于上下文:評估訪問請求時考慮用戶或網(wǎng)絡(luò)代理的最近歷史記錄,。當(dāng)攻擊者行為與平常不同時,攻擊能被檢測到,,觸發(fā)額外的身份驗證或者資源請求拒絕。例如,,如果一個機構(gòu)的人力資源部門的員工通常在一個典型的工作日訪問 20 到 30 個員工記錄,,如果訪問請求在一天中突然超過 100 個記錄,基于上下文的 TA 可能會發(fā)送警報,。
34,、零信任的使用場景之一:分支機構(gòu)訪問總部
員工希望從任何工作地點可以方便安全地訪問公司資源。外部地區(qū)的員工可能沒有完全企業(yè)擁有的本地網(wǎng)絡(luò),,但為了執(zhí)行工作任務(wù)仍然需要訪問企業(yè)資源,。企業(yè)可能希望授予員工日歷、電子郵件等某些資源的訪問權(quán)限,,但拒絕其訪問或限制操作更敏感的資源(例如,,人力資源數(shù)據(jù)庫)。
35,、零信任的使用場景之二:企業(yè)使用了多個云提供商
應(yīng)用程序托管在與數(shù)據(jù)源分離的云服務(wù)上,。考慮性能和便于管理,,云提供商 A 中托管的應(yīng)用程序應(yīng)該能夠直接連接到托管在云提供商 B中的數(shù)據(jù)源,,而不應(yīng)強制應(yīng)用程序通過企業(yè)網(wǎng)絡(luò)連接。
36,、零信任的使用場景之三:第三方訪客或外包服務(wù)人員的訪問
企業(yè)有自己的內(nèi)部應(yīng)用程序,、數(shù)據(jù)庫和資產(chǎn),其中包括外包給供應(yīng)商偶爾需要在現(xiàn)場提供維修的服務(wù)(例如,,由外部供應(yīng)商擁有和管理的智能供暖和照明系統(tǒng),,即 HVAC)。這些訪客和服務(wù)提供商需要網(wǎng)絡(luò)連接以執(zhí)行任務(wù),。實施零信任原則有助于企業(yè)在允許這些設(shè)備和來訪的技術(shù)人員訪問互聯(lián)網(wǎng)的同時隱藏企業(yè)資源,。
37、零信任的使用場景之四:跨企業(yè)協(xié)作
一個項目涉及企業(yè) A 和企業(yè) B 的員工,。企業(yè) A 運維項目需要使用數(shù)據(jù)庫,,但必須允許企業(yè) B 中的某些成員訪問數(shù)據(jù)庫中的數(shù)據(jù),。
38、在從零新建的系統(tǒng)可以實施建立一個零信任架構(gòu),。但任何一個具備規(guī)模的企業(yè)不太可能在單一的技術(shù)更迭周期內(nèi)全部遷移到零信任,。零信任架構(gòu)工作流程在傳統(tǒng)企業(yè)中可能會有一段不確定的共存期。
39,、在將零信任架構(gòu)引入企業(yè)之前,,應(yīng)該對資產(chǎn)、用戶,、數(shù)據(jù)流和工作流進行調(diào)查,。這是零信任架構(gòu)部署之前必須達到的基礎(chǔ)狀態(tài)。
40,、對于一個零信任企業(yè)來說,,PE 必須對企業(yè)主體有一定的了解。主體可以包括人和非人類實體(NPE),,如與資源交互的服務(wù)賬戶等,。擁有特殊權(quán)限的用戶,如開發(fā)人員或系統(tǒng)管理員,,在被分配屬性或角色時,,需要進行額外的審查。
41,、零信任架構(gòu)的關(guān)鍵要求之一是識別和管理設(shè)備的能力,。這包括硬件組件(如筆記本電腦、電話,、IoT 設(shè)備)和數(shù)字制品(如用戶賬戶,、應(yīng)用程序、數(shù)字證書),。企業(yè)必須能夠配置,、調(diào)查和更新企業(yè)資產(chǎn),例如虛擬資產(chǎn)和容器等企業(yè)資產(chǎn),。還包括其物理位置(作為盡量預(yù)估)和網(wǎng)絡(luò)位置,。在做出資源訪問決策時,這些信息應(yīng)該為策略引擎 PE 提供參考,。
42,、利用基于云的資源或由遠(yuǎn)程員工使用的業(yè)務(wù)流程通常是零信任架構(gòu)的良好候選對象。
43,、企業(yè)應(yīng)該從低風(fēng)險的業(yè)務(wù)流程開始向零信任架構(gòu)過渡,,因為業(yè)務(wù)中斷可能不會對整個組織產(chǎn)生負(fù)面影響。一旦獲得足夠的經(jīng)驗,,更關(guān)鍵的業(yè)務(wù)流程就可以成為候選對象,。
44,、在確定資產(chǎn)或工作流后,確定所有使用或受工作流影響的上游資源(如身份管理系統(tǒng),、數(shù)據(jù)庫,、微服務(wù))、下游資源(如日志,、安全監(jiān)控)和實體(如用戶,、服務(wù)賬戶)。這可能會影響作為第一次遷移到零信任架構(gòu)的待選對象選擇,。
45,、如何選擇零信任方案?因素一:該解決方案是否要求在終端資產(chǎn)上安裝組件,?這可能會不利于使用非企業(yè)自有資產(chǎn)訪問的業(yè)務(wù)流程,,如 BYOD 或跨機構(gòu)協(xié)作等。
46,、如何選擇零信任方案,?因素二:在業(yè)務(wù)流程資源完全存在于企業(yè)本地的情況下,,該解決方案是否可以工作,?有些解決方案假設(shè)所請求的資源部署在云端(所謂的南北流量),而不是在企業(yè)邊界內(nèi)(東西流量),。
47,、如何選擇零信任方案?因素三:該解決方案是否提供可以進行分析的交互記錄,?零信任的一個關(guān)鍵組成部分是收集和使用與流程流相關(guān)的數(shù)據(jù),,在做出訪問決策時,這些數(shù)據(jù)會反饋到 PE 中,。
48,、新的零信任業(yè)務(wù)工作流可以在一段時間內(nèi)以“報告模式”運行,以確保策略是有效和可行的,。報告模式意味著應(yīng)該對大多數(shù)請求授予訪問權(quán)限,。
49、有一種誤解認(rèn)為零信任架構(gòu) ZTA 是一個帶有解決方案集合的單一框架,,且與現(xiàn)有的網(wǎng)絡(luò)安全觀并不兼容,。而實際上,零信任應(yīng)該被視為當(dāng)前網(wǎng)絡(luò)安全戰(zhàn)略的演變,,因為許多概念和想法已經(jīng)存在發(fā)展了很長時間,。
50、采取單一廠商解決方案完成零信任架構(gòu)是不可能的,,而且這樣還會導(dǎo)致供應(yīng)商鎖定,。許多產(chǎn)品專注于 ZTE內(nèi)部的單個市場定位,,并依賴于其他產(chǎn)品來向另一個組件提供數(shù)據(jù)或某些服務(wù)。(例如,,為資源訪問而集成多因素認(rèn)證(MFA)),。
51、云安全聯(lián)盟(CSA)已經(jīng)為軟件定義邊界(SDP)開發(fā)了一個框架,,該框架在 ZTA 中也很有用,。
52、面對 ZTA,,攻擊將如何演變,?一種可能性是旨在竊取憑證的攻擊可能會擴展為以MFA(多因素認(rèn)證)為目標(biāo)(例如網(wǎng)絡(luò)釣魚、社會工程),。另一種可能性是,,在混合型 ZTA 或邊界防御為主的企業(yè)中,攻擊者將重點關(guān)注尚未應(yīng)用 ZTA 原則的業(yè)務(wù)流程(即執(zhí)行傳統(tǒng)的基于網(wǎng)絡(luò)邊界的安全策略的那些),。