“零信任”自從2010年被Forrester分析師約翰·金德維格正式提出到現(xiàn)在已有十年的歷史,,在這十年中“零信任”一直都是安全圈內(nèi)眾人不斷爭議和討論的對象,,有人說它將是網(wǎng)絡(luò)安全發(fā)展的必然產(chǎn)物,,也有人說這種理念難以實現(xiàn),。無論“零信任”如何飽受爭議,,但事實證明隨著相關(guān)技術(shù)的發(fā)展它都已然成為當下企業(yè)最好的選擇,。
研究人員說: “我們估計,,這份報告中披露的戰(zhàn)役是伊朗迄今所揭示的最連續(xù),,最全面的戰(zhàn)役之一,。”,,“揭露的戰(zhàn)役被用作偵察基礎(chǔ)設(shè)施,;但是,研究人員將攻擊活動與威脅小組APT33,,APT34和APT39捆綁在一起,,使用開放源代碼和自行開發(fā)的工具進行了混合,從而促進了小組竊取敏感信息并利用供應(yīng)鏈攻擊來針對其他組織,,說過,。
2019年,在工信部公開征求對《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》的意見中,,”零信任安全“首次被列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù),。同年,,國家首次將零信任安全技術(shù)和5G、云安全等并列列為我國網(wǎng)絡(luò)安全重點細分領(lǐng)域技術(shù),。由此可見,,零信任安全同樣引起了國家相關(guān)部門和業(yè)界的高度重視。
陳本峰認為:”想要實現(xiàn)零信任,,就需要重新思考我們應(yīng)該如何利用現(xiàn)有的基礎(chǔ)設(shè)施,,以更簡單、更高效的方式設(shè)計具體實施方案,,同時保證整個過程中不受任何阻礙?!搬槍α阈湃渭軜?gòu)的3種具體實現(xiàn)方案,,陳本峰為我們帶來了詳細的解讀。
零信任架構(gòu)
零信任架構(gòu)就是在不可信的網(wǎng)絡(luò)環(huán)境下重建信任,,利用零信任概念和包含組件關(guān)系,,制定工作流程規(guī)劃和訪問策略。零信任架構(gòu)是基于零信任的企業(yè)網(wǎng)絡(luò)安全策略原則,,其目的是防止數(shù)據(jù)泄漏并限制內(nèi)部橫向移動,。零信任架構(gòu)的技術(shù)的本質(zhì)是構(gòu)建以身份為基石的業(yè)務(wù)動態(tài)可信訪問控制機制。企業(yè)決定采用零信任作為網(wǎng)絡(luò)安全基礎(chǔ),,并基于零信任原則制定開發(fā)計劃,,然后部署此計劃形成一個零信任環(huán)境供企業(yè)使用。
企業(yè)可以通過多種方式為工作流程制定ZTA,。這些方法在使用組件和組織的策略規(guī)則的主要來源方面有所不同,。每個方法都實現(xiàn)了零信任的7大原則(零信任安全十周年峰會|陳本峰受邀出席并解讀《NIST零信任架構(gòu)》),但可以使用一個或兩個作為策略的主要驅(qū)動力,。這些方法包括通過下一代防火墻增強身份治理驅(qū)動的邏輯微分段,,以及基于網(wǎng)絡(luò)的細分。
針對不同的用例可以選擇不同的方法,,很多組織為企業(yè)開發(fā)零信任產(chǎn)品時可能會發(fā)現(xiàn)其選擇的用例和現(xiàn)有策略指向,,某種方法會優(yōu)勝于其他方法。這并不意味著其他方法無效,,而是在具體的過程中其他方法難以實施,,可能需要更基本的方法來更改企業(yè)當前業(yè)務(wù)流程的方式。
零信任架構(gòu)(ZTA)的三大技術(shù):”SIM“
2019年,,美國國家標準委員會NIST對外正式發(fā)布了《零信任架構(gòu)ZTA》白皮書,,強調(diào)了零信任的安全理念,并介紹了實現(xiàn)零信任架構(gòu)的三大技術(shù)”SIM“:
1)SDP,,軟件定義邊界,;
2)IAM,身份權(quán)限管理;
3)MSG,,微隔離,。
零信任架構(gòu)的三大技術(shù)
圖: 零信任架構(gòu)的三大技術(shù)
SDP 軟件定義邊界:
SDP即”軟件定義邊界“,是國際云安全聯(lián)盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代網(wǎng)絡(luò)安全模型,。SDP 旨在使應(yīng)用程序所有者能夠在需要時部署安全邊界,,以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開來。SDP 將物理設(shè)備替換為在應(yīng)用程序所有者控制下運行的邏輯組件,。SDP 僅在設(shè)備驗證和身份驗證后才允許訪問企業(yè)應(yīng)用基礎(chǔ)架構(gòu),。
SDP 的體系結(jié)構(gòu)由兩部分組成:SDP 主機和 SDP 控制器。SDP 主機可以發(fā)起連接或接受連接,。這些操作通過安全控制通道與 SDP 控制器交互來管理(請參見下圖),。因此,在 SDP 中,,控制平面與數(shù)據(jù)平面分離以實現(xiàn)完全可擴展的系統(tǒng),。此外,為便于擴展與保證正常使用,,所有組件都可以是多個實例的,。
圖:SDP架構(gòu)及特性
在使用中,每個服務(wù)器都隱藏在遠程訪問網(wǎng)關(guān)設(shè)備后面,,在授權(quán)服務(wù)可見且允許訪問之前用戶必須對其進行身份驗證,。 SDP 采用分類網(wǎng)絡(luò)中使用的邏輯模型,并將該模型整合到標準工作流程中,。
SDP的安全優(yōu)勢:
1,、SDP最小化攻擊面降低安全風(fēng)險;
2,、SDP通過分離訪問控制和數(shù)據(jù)信道,,保護關(guān)鍵資產(chǎn)和基礎(chǔ)架構(gòu),從而阻止?jié)撛诘幕诰W(wǎng)絡(luò)的攻擊,;
3,、SDP提供了整個集成的安全體系結(jié)構(gòu),這一體系結(jié)構(gòu)是現(xiàn)有的安全設(shè)備難以實現(xiàn)的,;
4,、SDP提供了基于連接的安全架構(gòu),而不是基于IP的替代方案,。因為整個IT環(huán)境爆炸式的增長,,云環(huán)境中的邊界缺失使得基于IP的安全性變得脆弱。
5,、SDP允許預(yù)先審查控制所有連接,,從哪些設(shè)備,、哪些服務(wù)、哪些設(shè)施可以進行連接,,所以它整個的安全性方面是比傳統(tǒng)的架構(gòu)是更有優(yōu)勢的,。
IAM(增強的身份管理)
身份管理是大多數(shù)組織實現(xiàn)安全和IT運營策略的核心。它使企業(yè)可以自動訪問越來越多的技術(shù)資產(chǎn),,同時管理潛在的安全和合規(guī)風(fēng)險,。身份管理為所有用戶,應(yīng)用程序和數(shù)據(jù)啟用并保護數(shù)字身份,。
開發(fā)ZTA的增強的身份管理方法將參與者的身份用作策略創(chuàng)建的關(guān)鍵組成部分,。企業(yè)資源訪問的主要要求基于授予給定主體的訪問特權(quán)。通常使用開放式網(wǎng)絡(luò)模型或具有訪問者訪問權(quán)限或網(wǎng)絡(luò)上頻繁使用非企業(yè)設(shè)備的企業(yè)網(wǎng)絡(luò)找到針對企業(yè)的基于身份治理的增強方法,。最初,,所有具有資源訪問權(quán)限的資產(chǎn)都將獲得網(wǎng)絡(luò)訪問權(quán)限,這些權(quán)限僅限于具有適當訪問權(quán)限的身份,。自發(fā)布NIST SP 800-207(第二草稿)零信任架構(gòu)以來,,身份驅(qū)動的方法與資源門戶網(wǎng)站模型配合的很好,。身份和狀態(tài)提供輔助支持數(shù)據(jù)以訪問決策,。其他模型也可以使用,具體取決于現(xiàn)有的策略,。
身份管理可以幫助組織有效地解決復(fù)雜業(yè)務(wù)帶來的挑戰(zhàn),,并平衡四個關(guān)鍵目標:
加強安全性并降低風(fēng)險。
改善合規(guī)性和審計績效,。
提供快速,,有效的業(yè)務(wù)訪問。
降低運營成本,。
圖: 零信任身份與訪問管理
MSG(微隔離)
微隔離是一種網(wǎng)絡(luò)安全技術(shù),,它可以將數(shù)據(jù)中心在邏輯上劃分為各個工作負載級別的不同安全段,然后定義安全控制并為每個唯一段提供服務(wù),。微隔離使IT人員可以使用網(wǎng)絡(luò)虛擬化技術(shù)在數(shù)據(jù)中心內(nèi)部部署靈活的安全策略,,而不必安裝多個物理防火墻。此外,,微隔離可用于保護每個虛擬機(VM)在具有策略驅(qū)動的應(yīng)用程序級安全控制的企業(yè)網(wǎng)絡(luò)中,。微隔離技術(shù)可以大大增強企業(yè)的抵御能力。
圖: 微隔離
微隔離是一種在數(shù)據(jù)中心和云部署中創(chuàng)建安全區(qū)域的方法,,該方法使企業(yè)組織可以分離工作負載并分別保護它們,,使網(wǎng)絡(luò)安全性更加精細,從而更加有效,。如下為微隔離的幾個好處:
1,,減少攻擊面
2.改善橫向運動的安全性
3.安全關(guān)鍵應(yīng)用
4.改善法規(guī)遵從性狀況
寫在最后:
網(wǎng)絡(luò)安全多年來已經(jīng)成為人們口中經(jīng)久不衰的話題,,從單一防護到零信任的發(fā)展,安全防御方式正在進一步提升,。隨著技術(shù)的不斷發(fā)展,,零信任理念也正在逐步將公共和私人網(wǎng)絡(luò)的邊界消除。不過,,并非每個企業(yè)都擁有實施零信任網(wǎng)絡(luò)的IT基礎(chǔ)架構(gòu)的知識,、資源和時間。企業(yè)必須擁有大量的預(yù)算和人力來開發(fā),,構(gòu)建和維護因地適宜的零信任架構(gòu),。對于資源不足的小型企業(yè)來說,這也將成為一項重大的挑戰(zhàn),。