數(shù)字時代下,,云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護(hù)理念逐漸失效,而零信任安全建立以身份為中心進(jìn)行動態(tài)訪問控制,必將成為數(shù)字時代下主流的網(wǎng)絡(luò)安全架構(gòu),。
1,、零信任將成為數(shù)字時代主流的網(wǎng)絡(luò)安全架構(gòu)(1)零信任是面向數(shù)字時代的新型安全防護(hù)理念零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式,。
零信任安全簡要?dú)w納和概況:1)網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中,;2)網(wǎng)絡(luò)中自始至終都存在外部或內(nèi)部威脅;3)網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)的可信程度,;4)所有的設(shè)備,、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán);5)安全策略必須是動態(tài)的,,并基于盡可能多的數(shù)據(jù)源計算而來,。
因此零信任安全的核心思想是默認(rèn)情況下企業(yè)內(nèi)部和外部的所有人、事,、物都是不可信的,,需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念,,2010 年 Forrester 正式提出了“零信任”(Zero Trust,,ZT)的術(shù)語。經(jīng)過近十年的探索,,零信任的理論及實(shí)踐不斷完善,,逐漸從概念發(fā)展成為主流的網(wǎng)絡(luò)安全技術(shù)架構(gòu),。
數(shù)字時代下,,舊式邊界安全防護(hù)逐漸失效。傳統(tǒng)的安全防護(hù)是以邊界為核心的,,基于邊界構(gòu)建的網(wǎng)絡(luò)安全解決方案相當(dāng)于為企業(yè)構(gòu)建了一條護(hù)城河,,通過防護(hù)墻、VPN,、UTM 及入侵防御檢測等安全產(chǎn)品的組合將安全攻擊阻擋在邊界之外,。這種建設(shè)方式一定程度上默認(rèn)內(nèi)網(wǎng)是安全的,而目前我國多數(shù)政企仍然是圍繞邊界來構(gòu)建安全防護(hù)體系,,對于內(nèi)網(wǎng)安全常常是缺失的,,在日益頻繁的網(wǎng)絡(luò)攻防對抗中也暴露出弊端。而云大物移智等新興技術(shù)的應(yīng)用使得 IT 基礎(chǔ)架構(gòu)發(fā)生根本性變化,,可擴(kuò)展的混合 IT 環(huán)境已成為主流的系統(tǒng)運(yùn)行環(huán)境,,平臺、業(yè)務(wù)、用戶,、終端呈現(xiàn)多樣化趨勢,,傳統(tǒng)的物理網(wǎng)絡(luò)安全邊界消失,并帶來了更多的安全風(fēng)險,,舊式的邊界安全防護(hù)效果有限,。面對日益復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢,零信任構(gòu)建的新型網(wǎng)絡(luò)安全架構(gòu)被認(rèn)為是數(shù)字時代下提升信息化系統(tǒng)和網(wǎng)絡(luò)整體安全性的有效方式,,逐漸得到關(guān)注并應(yīng)用,,呈現(xiàn)出蓬勃發(fā)展的態(tài)勢。
?。?)“SIM”為零信任架構(gòu)的三大關(guān)鍵技術(shù)
零信任的本質(zhì)是以身份為中心進(jìn)行動態(tài)訪問控制,。零信任對訪問主體與訪問客體之間的數(shù)據(jù)訪問和認(rèn)證驗證進(jìn)行處理,其將一般的訪問行為分解為作用于網(wǎng)絡(luò)通信控制的控制平面及作用于應(yīng)用程序通信的數(shù)據(jù)平面,。訪問主體通過控制平面發(fā)起訪問請求,,經(jīng)由信任評估引擎、訪問控制引擎實(shí)施身份認(rèn)證及授權(quán),,獲得許可后系統(tǒng)動態(tài)數(shù)據(jù)平面,,訪問代理接受來自主體的數(shù)據(jù),從而建立一次可信的安全訪問鏈接,。過程中,,信任評估引擎將持續(xù)進(jìn)行信任評估工作,訪問控制引擎對評估數(shù)據(jù)進(jìn)行零信任策略決策運(yùn)算,,來判斷訪問控制策略是否需要作出改變,,若需要作出改變時,將及時通過訪問代理中斷此前連接,,從而有效實(shí)現(xiàn)對資源的保護(hù),。綜上,可將零信任架構(gòu)原則歸納為以下五個:
將身份作為訪問控制的基礎(chǔ):零信任架構(gòu)對網(wǎng)絡(luò),、設(shè)備,、應(yīng)用、用戶等所有對象賦予數(shù)字身 份,,基于身份來構(gòu)建訪問控制體系,;最小權(quán)限原則:零信任架構(gòu)中強(qiáng)調(diào)資源按需分配使用,授予的是執(zhí)行任務(wù)所需的最小特權(quán),, 并限制資源的可見性,;實(shí)時計算訪問控制策略:零信任的授權(quán)決策根據(jù)訪問主體的身份、權(quán)限等信息進(jìn)行實(shí)時計算,, 形成訪問控制策略,,一旦授權(quán)決策依據(jù)發(fā)生變化,,將重新進(jìn)行計算,必要時將即時變更授權(quán) 決策,;資源受控安全訪問:零信任架構(gòu)對所有業(yè)務(wù)場景及資源的每一個訪問請求都進(jìn)行強(qiáng)制身份識 別和授權(quán)判定,,符合安全策略才予以放行,實(shí)現(xiàn)會話級別的細(xì)粒度訪問控制,,同時所有的訪 問連接均須加密,;基于多源數(shù)據(jù)進(jìn)行信任等級持續(xù)評估:零信任架構(gòu)中訪問主體的信任等級是根據(jù)實(shí)時多源數(shù) 據(jù)(如身份、權(quán)限,、訪問日志等)計算得出,,人工智能技術(shù)提高了信任評估策略的計算效率, 實(shí)現(xiàn)零信任架構(gòu)在安全性,、可靠性,、可用性及成本方面的綜合平衡。
“SIM”,,即 SDP(軟件定義邊界),、IAM(身份與訪問管理)、MSG(微隔離)是實(shí)現(xiàn)零信任 架構(gòu)的三大關(guān)鍵技術(shù),。NIST(美國國家標(biāo)準(zhǔn)委員會)在 2019 年發(fā)布的《零信任架構(gòu) ZTA》白皮書中,,總結(jié)出實(shí)現(xiàn)零信任架構(gòu)的三大核心技術(shù)“SIM”,分別是“S”,,即 SDP(軟件定義邊界),;“I”,即 IAM(身份與訪問管理),;“M”,,即 MSG(微隔離)。
1) SDP(軟件定義邊界)
SDP 技術(shù)是通過軟件的方式,,在“移動+云”的背景下構(gòu)建起虛擬 ,,利用基于身份的訪問控制及 完備的權(quán)限認(rèn)證機(jī)制提供有效的隱身保護(hù)。SDP 是由云安全聯(lián)盟(CSA)開發(fā)的一個安全框架,,其體系結(jié)構(gòu)主要包括 SDP 客戶端,、SDP 控制器及 SDP 網(wǎng)關(guān)這三個組件,,其中客戶端主要負(fù)責(zé)驗證用戶身份,,將訪問請求轉(zhuǎn)發(fā)給網(wǎng)關(guān),控制器負(fù)責(zé)身份認(rèn)證及配置策略,,管控全過程,,網(wǎng)關(guān)主要保護(hù)業(yè)務(wù)系統(tǒng),防護(hù)各類網(wǎng)絡(luò)攻擊,,只允許來自合法客戶端的流量通過,。SDP 可將所有應(yīng)用程序隱藏,訪問者不知應(yīng)用的具體位置,同時所有訪問流量均通過加密方式傳輸,,并在訪問端與被訪問端之間點(diǎn)對點(diǎn)傳輸,,其具備的持續(xù)認(rèn)證、細(xì)粒度的上下文訪問控制,、信令分離等防御理念可有效解決企業(yè)業(yè)務(wù)拓展中的安全問題,,成為了零信任理念的最佳踐行之一。
2)IAM(身份與訪問管理)
全面身份化是零信任架構(gòu)的基石,,零信任所需的 IAM 技術(shù)通過圍繞身份,、權(quán)限、環(huán)境等信息進(jìn)行有效管控與治理,,從而保證正確的身份在正確的訪問環(huán)境下,,基于正當(dāng)理由訪問正確的資源。隨著 數(shù)字化轉(zhuǎn)型的不斷深入,,業(yè)務(wù)的云化,、終端的激增均使得企業(yè) IT 環(huán)境變得更加復(fù)雜,傳統(tǒng)靜態(tài)且封閉的身份與訪問管理機(jī)制已不能適應(yīng)這種變化,,因此零信任中的 IAM 將更加敏捷,、靈活且智能, 需要適應(yīng)各種新興的業(yè)務(wù)場景,,能夠采用動態(tài)的策略實(shí)現(xiàn)自主完善,,可以不斷調(diào)整以滿足實(shí)際的安全需求。
3)MSG(微隔離)
微隔離通過細(xì)粒度的策略控制,,可以靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機(jī)與主機(jī)的隔離,,讓東西向流量可視可控,從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞,。當(dāng)前微隔離方案主要有三種技術(shù)路線,,分別是云原生微隔離、API 對接微隔離以及主機(jī)代理微隔離,,其中主機(jī)代理微隔離更加適應(yīng)新興技術(shù)不斷更迭及應(yīng)用帶來的多變的用戶業(yè)務(wù)環(huán)境,。
(3)零信任安全應(yīng)用場景豐富
今年在疫情及新基建的雙重刺激下,,遠(yuǎn)程辦公,、云計算得到快速發(fā)展,政府大數(shù)據(jù)快速推進(jìn),,對于零信任安全建設(shè)的必要性亦大大增強(qiáng),。而基于零信任的安全架構(gòu)可以很好地兼容云計算、大數(shù)據(jù),、物聯(lián)網(wǎng)等各類新興應(yīng)用場景,,支持遠(yuǎn)程辦公,、多云環(huán)境、多分支機(jī)構(gòu),、跨企業(yè)協(xié)同等復(fù)雜網(wǎng)絡(luò)架構(gòu),。如適用于遠(yuǎn)程辦公的零信任安全架構(gòu),不再區(qū)分內(nèi)外網(wǎng),,在人員,、設(shè)備及業(yè)務(wù)之間構(gòu)建虛擬的、基于身份的邏輯邊界,,實(shí)現(xiàn)一體化的動態(tài)訪問控制體系,,不僅可以減少攻擊暴露面,增強(qiáng)對企業(yè)應(yīng)用和數(shù)據(jù)的保護(hù),,還可通過現(xiàn)有工具的集成大幅降低零信任潛在建設(shè)成本,。在大數(shù)據(jù)中心的應(yīng)用場景中,東西向流量大幅增加,,傳統(tǒng)以南北向業(yè)務(wù)模型為基礎(chǔ)研發(fā)的安全產(chǎn)品已不適用,,零信任架構(gòu)可通過微隔離技術(shù)實(shí)現(xiàn)有效防護(hù)。
零信任架構(gòu)具備多種靈活的實(shí)現(xiàn)部署方式,,適應(yīng)多場景?,F(xiàn)代 IT 環(huán)境下,業(yè)務(wù)場景呈現(xiàn)多樣化趨勢,,根據(jù)訪問主客體,、流量模型以及業(yè)務(wù)架構(gòu)可將這些場景歸納為三大類:業(yè)務(wù)訪問、數(shù)據(jù)交換以及服務(wù)網(wǎng)格場景,。其中業(yè)務(wù)訪問場景是指用戶訪問業(yè)務(wù)應(yīng)用的場景,,是零信任架構(gòu)的主要應(yīng)用場景,包含移動辦公,、PC 辦公等各類子場景,,成功的零信任解決方案能夠滿足不同訪問主體(如內(nèi)部員工、臨時員工以及外部人員等),、不同設(shè)備對各種應(yīng)用協(xié)議的業(yè)務(wù)訪問需求,,在保持整體相同架構(gòu)情況下具有高度適應(yīng)性。大數(shù)據(jù)時代下數(shù)據(jù)交換場景變得更加頻繁,,相應(yīng)的零信任解決方案需要有效應(yīng)對接口多樣化,、運(yùn)行環(huán)境多樣化等挑戰(zhàn)。服務(wù)網(wǎng)格場景,,即數(shù)據(jù)中心內(nèi)部服務(wù)器間的多方交互場景,,是對業(yè)務(wù)架構(gòu)嵌入最深的場景,由于節(jié)點(diǎn)數(shù)量較多,,對零信任架構(gòu)中的動態(tài)訪問控制引擎及信任評估引擎要求更高,。
2、零信任已從概念走向落地,,迎來強(qiáng)勁風(fēng)口
?。?)中美雙雙加碼零信任安全
2019 年起美國相關(guān)組織陸續(xù)發(fā)布了多項零信任相關(guān)的報告或標(biāo)準(zhǔn)。2019 年 4 月,,ACT-IAC(美國技術(shù)委員會—行業(yè)咨詢委員會)發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢》,,對當(dāng)前零信任的技術(shù)成熟度及可用性進(jìn)行評估,隨后 DIB(國防創(chuàng)新委員會),、NIST(美國國家標(biāo)準(zhǔn)委員會)均發(fā)表了零信任相關(guān) 的報告或標(biāo)準(zhǔn),,其中《零信任架構(gòu)》標(biāo)準(zhǔn)正式版也于今年 8 月 11 日發(fā)布,此外,,F(xiàn)orrester 在《 2019 年度預(yù) 測:轉(zhuǎn)型走向務(wù)實(shí)》中明確指出零信任將在美國某些特定的領(lǐng)域成為標(biāo)準(zhǔn)的,、階段性的網(wǎng)絡(luò)安全架構(gòu)。
值得注意的是,,美國國防部已明確將零信任實(shí)施列為最高優(yōu)先事項,。無論是 DIB(國防創(chuàng)新委員會) 提出的《零信任架構(gòu)(ZTA)建議》還是 2019 年美國的《國防部數(shù)字現(xiàn)代化戰(zhàn)略》中,均將零信任實(shí)施列為最高優(yōu)先事項,,側(cè)面反映出美國政府及軍隊對于零信任架構(gòu)的深刻認(rèn)知和重視,。
我國零信任亦緊鑼密鼓地展開,標(biāo)準(zhǔn)及應(yīng)用案例逐漸落地,。2019 年 9 月,,工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》中將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。2019 年 7 月騰訊牽頭提交的《零信任安全技術(shù)—參考框架》行業(yè)標(biāo)準(zhǔn)通過評審,,成為我國首個立項的零信任安全技術(shù)行業(yè)標(biāo)準(zhǔn),。此外,奇安信發(fā)起的零信任首個國家標(biāo)準(zhǔn)《信息安全技術(shù)零信任參考體系架構(gòu)》已成功立項,。同時,,自 2019 年起國內(nèi)部分機(jī)構(gòu)也開始將零信任作為新建 IT 基礎(chǔ)設(shè)施的安全架構(gòu),能源,、銀行,、通信等行業(yè)也針對新型業(yè)務(wù)場景開展零信任技術(shù)的研究及試點(diǎn)工作。
?。?)零信任安全正在普及應(yīng)用
零信任架構(gòu)成為企業(yè) IT 安全建設(shè)的必然選擇,。2019 年底,Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布 的《2019 零信任安全市場普及行業(yè)報告》指出,,62%的受訪者表示目前最大的應(yīng)用程序安全挑戰(zhàn)是確保對分布在數(shù)據(jù)中心和云環(huán)境中的私有應(yīng)用程序的訪問安全,,對此企業(yè)所采用的安全措施主要是身份和訪問管理(72%)、數(shù)據(jù)丟失預(yù)防(51%),、BYOD/移動安全(50%)等,,這些措施均與零信任相關(guān),。報告指出,78%的 IT 安全團(tuán)隊希望在未來應(yīng)用零信任架構(gòu),,19%的受訪者正積極實(shí)施零信任,,而 15%的受訪者已經(jīng)實(shí)施了零信任,零信任安全正迅速流行起來,。
此外,,受訪者表示零信任被看重的優(yōu)點(diǎn)在于零信任安全訪問能夠提供最低權(quán)限的訪問來保護(hù)私有應(yīng)用程序(66%)、應(yīng)用程序不再暴露給未經(jīng)授權(quán)的用戶或互聯(lián)網(wǎng)(55%)以及訪問私有應(yīng)用程序不再需要網(wǎng)絡(luò)訪問(44%),。而通過落地的零信任應(yīng)用領(lǐng)域看,,主要集中在安全訪問運(yùn)行在混合和公共云環(huán)境中的私有應(yīng)用程序(37%)、使用現(xiàn)代遠(yuǎn)程訪問服務(wù)取代 VPN(33%),,以及控制對私有應(yīng)用程序的第三方訪問(18%),。
零信任作為全新的安全理念,需要基于業(yè)務(wù)需求,、安全運(yùn)營現(xiàn)狀,、技術(shù)發(fā)展趨勢等對零信任能力進(jìn)行持續(xù)完善和演進(jìn)。零信任的遷移并不是一蹴而就,,需要結(jié)合企業(yè)現(xiàn)狀,、同一目標(biāo)和愿景進(jìn)行妥善規(guī)劃和分布建設(shè)。Gartner 的《零信任訪問指南》認(rèn)為到 2022 年,,在向生態(tài)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用程序中,,80%將通過零信任進(jìn)行網(wǎng)絡(luò)訪問,到 2023 年,,60%的企業(yè)將采用零信任替代大部分遠(yuǎn)程訪問虛擬專用網(wǎng)(VPN),。
(3)海外零信任產(chǎn)業(yè)已初具規(guī)模,,國內(nèi)即將步入建設(shè)高峰海外零信任起步較早,,目前已初具規(guī)模。Google,、Microsoft 等巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出了完整的解決方案,;OKTA、Centrify,、Ping Identity 等為代表的身份安全廠商推出“以身份為中心”的零信任方案,;Cisco、Symantec,、VMware,、F5 等公司推出了偏重于網(wǎng)絡(luò)實(shí)施方式的零信 任方案;此外 Vidder、Cryptzone,、Zscaler,、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn)。根據(jù) Forrester 在 2020 年二季度對于零信任產(chǎn)業(yè)的統(tǒng)計數(shù)據(jù),,按照零信任解決方案收入規(guī)模,,市場的供應(yīng)商可分為三類,,其中零信任相關(guān)營收超過 1.9 億美元的廠商已超過 10 家,,海外零信任已經(jīng)進(jìn)入規(guī)模化產(chǎn)業(yè)發(fā)展階段,。
國內(nèi)安全廠商積極布局零信任,。盡管 Forrester Wave 的零信任擴(kuò)展的生態(tài)系統(tǒng)平臺提供商矩陣中未見國內(nèi)安全廠商身影,但奇安信,、深信服,、啟明星辰、綠盟科技等廠商始終關(guān)注國際網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢,,均推出了相應(yīng)的零信任整體解決方案,。此外,山石網(wǎng)科,、云深互聯(lián)等廠商亦積極推動 SDP,、微隔離等零信任技術(shù)方案的落地應(yīng)用。在零信任快速普及的背景均有望迎來良好的發(fā)展機(jī)遇,。
數(shù)字時代下,,云大物移等新興技術(shù)的融合與發(fā)展使得傳統(tǒng)邊界安全防護(hù)理念逐漸失效,而零信任安全建立以身份為中心進(jìn)行動態(tài)訪問控制,,必將成為數(shù)字時代下主流的網(wǎng)絡(luò)安全架構(gòu),。當(dāng)前海外零信任產(chǎn)業(yè)已進(jìn)入規(guī)模化發(fā)展階段,,國內(nèi)廠商已陸續(xù)推出自身的零信任產(chǎn)品或解決方案,。在零信任安全逐漸普及的背景下,我們認(rèn)為兩類廠商最為受益:一是綜合實(shí)力強(qiáng)勁并已有相應(yīng)產(chǎn)品或解決方 案推出的網(wǎng)絡(luò)安全公司,;二是在 SDP,、IAM、MSG 或是某一應(yīng)用場景具備突出優(yōu)勢的廠商,。