《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 零信任落地實踐方案探討

零信任落地實踐方案探討

2022-05-10
作者:孫宏鳴
來源:中國信息安全
關(guān)鍵詞: 零信任

  零信任概念的提出,徹底顛覆了原來基于邊界安全的防護模型,近年來受到了國內(nèi)外網(wǎng)絡(luò)安全業(yè)界的追捧,。所謂零信任顧名思義就是“從不信任”,那么企業(yè)是否需要摒棄原有已經(jīng)建立或正在搭建的傳統(tǒng)基于邊界防護的安全模型,,而向零信任安全模型進行轉(zhuǎn)變呢?零信任是企業(yè)安全建設(shè)中必須經(jīng)歷的安全防護體系技術(shù)革新,,但它必然要經(jīng)歷一個長期探索實踐的過程,。

  一、零信任的主要安全模型分析

  云計算和大數(shù)據(jù)時代,,網(wǎng)絡(luò)安全邊界泛化,,內(nèi)外部威脅越來越大,傳統(tǒng)的邊界安全架構(gòu)難以應(yīng)對,,零信任安全架構(gòu)應(yīng)運而生,。作為企業(yè),該如何選擇“零信任”安全解決方案,,為企業(yè)解決目前面臨的安全風(fēng)險,?

       目前“零信任”安全模型較成熟的包括安全訪問服務(wù)邊緣(SASE)模型和零信任邊緣(ZTE)模型等。以這兩種模型為例,,首先要先了解目前模型的區(qū)別,,探討各自的發(fā)展趨勢,再選擇適合企業(yè)的落地實施方案,。

       對 SASE 模型,,身份驅(qū)動、云架構(gòu),、支撐所有邊緣以及網(wǎng)絡(luò)服務(wù)提供點(PoP)分布是其主要特征,。SASE 模型擴展了身份的定義,將原有的用戶,、組、角色分配擴展到了設(shè)備,、應(yīng)用程序、服務(wù),、物聯(lián)網(wǎng),、網(wǎng)絡(luò)邊緣位置、網(wǎng)絡(luò)源頭等,,這些要素都被歸納成了身份,,所有這些與網(wǎng)絡(luò)連接相關(guān)聯(lián)的服務(wù)都由身份驅(qū)動。與傳統(tǒng)的廣域網(wǎng)不同,SASE 不會強制將流量回傳到數(shù)據(jù)中心進行檢索,,而是將檢查引擎帶到附近的 PoP 點,,客戶端將網(wǎng)絡(luò)流量發(fā)到 PoP 點進行檢查,并轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)或骨干網(wǎng)轉(zhuǎn)發(fā)到其他 SASE 客戶端,,從而消除網(wǎng)絡(luò)回傳所造成的延遲,。SASE 可提供廣域網(wǎng)和安全即服務(wù)(SECaaS),即提供所有云服務(wù)特有的功能,,實現(xiàn)最大效率,、方便地適應(yīng)業(yè)務(wù)需求,并將所有功能都放置在 PoP 點上,。

       SASE 模型的優(yōu)點在于能夠提供全面,、靈活、一致的安全服務(wù) , 同時降低整體安全建設(shè)成本,,整合供應(yīng)商和廠家的資源,,為客戶提供高效的云服務(wù)。通過基于云的網(wǎng)絡(luò)安全服務(wù)可簡化 IT 基礎(chǔ)架構(gòu),,減少 IT 團隊管理及運維安全產(chǎn)品的數(shù)量,,降低后期運維的復(fù)雜性,極大地提高了工作效率,。SASE 模型并利用云技術(shù)為企業(yè)優(yōu)化性能,、簡化用戶驗證流程,并對未授權(quán)的數(shù)據(jù)進行保護,。

       SASE 模型強調(diào)網(wǎng)絡(luò)和安全緊耦合,,網(wǎng)絡(luò)和安全同步建設(shè),為正在準(zhǔn)備搭建安全體系的企業(yè)提供了較為理想的路徑,。反之,,已經(jīng)搭建或正在搭建安全體系過程中的企業(yè),如果要重構(gòu)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu),,是個極大的挑戰(zhàn),,也是一筆不小的投入。所以,,SASE 模型可能更適用于面對終端用戶的零售行業(yè),,為這類企業(yè)提供完整的安全服務(wù),不需要企業(yè)在每一個分支節(jié)點上搭建一整套安全體系,,便于統(tǒng)一管理并降低建設(shè)成本,。

      ZTE 模型的重點在零信任。一是數(shù)據(jù)中心零信任,,即資源訪問的零信任,,二是邊緣零信任,,即所有邊緣的零信任訪問安全,。其實可以理解為SASE 模型納入了零信任的模塊,,本質(zhì)上是一個概念。ZTE 模型強調(diào)網(wǎng)絡(luò)和安全解耦,,先解決遠程訪問問題,,再解決網(wǎng)絡(luò)架構(gòu)重構(gòu)問題。

  二,、華潤醫(yī)藥商業(yè)集團零信任的實踐

  華潤醫(yī)藥商業(yè)集團有限公司(以下簡稱“公司”)作為華潤下屬的大型醫(yī)藥流通企業(yè),,在全國分布百余家分子公司,近千家藥店,,日常業(yè)務(wù)經(jīng)營都離不開信息化基礎(chǔ)支撐,所以網(wǎng)絡(luò)安全工作尤為重要,。近年來各央企在網(wǎng)絡(luò)安全建設(shè)方面均積極響應(yīng)國家號召及相關(guān)法律法規(guī)要求,,完善網(wǎng)絡(luò)安全防護能力,,公司同樣十分重視網(wǎng)絡(luò)安全建設(shè),目前同國內(nèi)主流安全廠商合作,,建立了以態(tài)勢感知為核心,,貫穿邊界與終端的縱深防御體系,并通過連續(xù)兩年參與攻防演練,,不斷提升網(wǎng)絡(luò)安全人員專業(yè)水平,,通過攻防實戰(zhàn)進一步優(yōu)化網(wǎng)絡(luò)安全建設(shè)。

      但公司在涉及云計算,、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)領(lǐng)域時,,現(xiàn)有的網(wǎng)絡(luò)邊界泛化給企業(yè)帶來的安全風(fēng)險不可控,,傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)和解決方案難以適應(yīng)現(xiàn)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,而零信任能夠有效幫助公司在數(shù)字化轉(zhuǎn)型中解決難以解決的問題,。

      公司選擇了 SASE(安全訪問服務(wù)邊緣)和ZTE(零信任邊緣)兩種模型并行的解決方案為企業(yè)摸索“零信任”網(wǎng)絡(luò)安全架構(gòu)推進的方向。

       公司分支企業(yè)眾多,,幾乎覆蓋全國范圍,存在安全管控難,、處置難,、安全性低,、資源靈活性差等問題,并缺少整體統(tǒng)一的長效運營機制,?;谝陨蠁栴},公司參考了 SASE 模型的解決方案,,將原有的傳統(tǒng)廣域網(wǎng)鏈接數(shù)據(jù)中心的訪問形式變?yōu)镻oP 點廣域網(wǎng)匯聚的網(wǎng)絡(luò)架構(gòu)方案,,由統(tǒng)一的運營服務(wù)商提供網(wǎng)絡(luò)鏈路及全面的安全服務(wù)。但并不是完全重構(gòu)原有的網(wǎng)絡(luò)架構(gòu),,而是分為三類情況使用不同的方案,。

        第一類是改變網(wǎng)絡(luò)安全管理方式,主要針對區(qū)域公司,。由于大部分區(qū)域公司已經(jīng)搭建了相對成熟的安全體系,,只將原有的傳統(tǒng)廣域網(wǎng)鏈路改為就近接入運營商 PoP 點,并將原有的雙線冗余線路的備用線路使用軟件定義廣域網(wǎng)(SD-WAN)技術(shù)進行替換,,并通過服務(wù)質(zhì)量(QoS)機制將主營業(yè)務(wù)與辦公業(yè)務(wù)進行合理切分,,大大提高了網(wǎng)絡(luò)使用效率,降低費用成本,,并且可以通過統(tǒng)一的管理平臺對廣域網(wǎng)進行管理,,統(tǒng)一下發(fā)配置安全策略,提高整體安全管控和處置,。

        第二類是逐層匯聚,、分層管理,主要針對二,、三級分支機構(gòu),。這類單位安全體系雖已建設(shè),,但還未達到較高的程度,,通過就近接入 PoP 點或匯聚到區(qū)域公司,由運營商提供部分安全服務(wù)或由區(qū)域公司進行統(tǒng)一管控,。

        第三類主要針對零售門店及小型分支機構(gòu)這類沒有能力搭建安全體系的單位,。使用 SD-WAN 安全接入方案就近接入 PoP 點,由運營商提供整體的安全服務(wù),,從而降低安全建設(shè)成本并加強統(tǒng)一安全管控,。通過 SASE 模型的管理理念對網(wǎng)絡(luò)架構(gòu)進行調(diào)整,提供全面,、一致的安全服務(wù) , 同時降低整體安全建設(shè)成本,,提高工作效率。

       近兩年,,公司辦公受新冠疫情的影響,,員工居家辦公成為常態(tài)化,。作為虛擬專用網(wǎng)絡(luò)(VPN)產(chǎn)品的使用“大戶”,公司原有的 VPN 賬戶眾多 ,傳統(tǒng) VPN 在使用過程中已經(jīng)難以滿足當(dāng)前業(yè)務(wù)的需求,,一些問題逐漸暴露,,經(jīng)常出現(xiàn)不同程度的安全風(fēng)險。傳統(tǒng) VPN 架構(gòu)存在很多問題,,如權(quán)限基于角色固定分配,,不夠靈活,在業(yè)務(wù)生成中及重保等特殊時期,,粗放的權(quán)限管控?zé)o法達到對不同角色的業(yè)務(wù)人員及非法人員的訪問控制,。業(yè)務(wù)端口暴露在公網(wǎng),本身即存在賬號冒用,、惡意掃描,、口令爆破等安全隱患。公司總部負(fù)責(zé) VPN 業(yè)務(wù)運維,,涉及下級單位 VPN 問題均需要總部人員處理,,諸如找回賬號密碼等細(xì)微而繁瑣的問題占用了總部人員大量時間和精力。不同終端,、瀏覽器對于傳統(tǒng) VPN 客戶端的兼容性不同,,兼容性問題也是經(jīng)常被員工吐槽的地方。在 VPN 使用中,,基于互聯(lián)網(wǎng)的加密訪問經(jīng)常因為網(wǎng)絡(luò)原因出現(xiàn)業(yè)務(wù)卡頓甚至掉線問題,。

       為此,公司參考了 ZTE 模型的解決方案,,首先解決遠程訪問問題,。公司于 2021 年進行了零信任安全建設(shè)試點,以零信任理念為指導(dǎo),,結(jié)合深信服軟件定義邊界(SDP)架構(gòu)的零信任產(chǎn)品,,構(gòu)建了覆蓋全國辦公人員的零信任遠程辦公平臺。

       SDP 架構(gòu)的零信任產(chǎn)品,,對訪問連接進行先認(rèn)證,、再連接,拒絕一切非法連接請求,,有效縮小暴露面,,避免業(yè)務(wù)被掃描探測以及應(yīng)用層分布式拒絕服務(wù)攻擊(DDoS)。通過單包認(rèn)證(SPA)授權(quán)安全機制實現(xiàn)業(yè)務(wù)隱身,、服務(wù)隱身,,保護辦公業(yè)務(wù)及設(shè)備自身。對于沒有安裝專有客戶端的電腦,,服務(wù)器不會響應(yīng)來自任何客戶端的任何連接,,無法打開認(rèn)證界面及無法訪問任何接口,。具備自適應(yīng)身份認(rèn)證策略,異常用戶在異常網(wǎng)絡(luò),、異常時間、新設(shè)備訪問重要敏感應(yīng)用或數(shù)據(jù)時,,零信任平臺強制要求用戶進行二次認(rèn)證,、應(yīng)用增強認(rèn)證,確保用戶身份的可靠性,。

       零信任的試點應(yīng)用,,提升了公司的網(wǎng)絡(luò)安全性,簡化了運維,。但基于公司現(xiàn)狀及規(guī)劃,,試點工作還需進一步同廠商進行下一步的工作落地和探索。在使用體驗優(yōu)化方面,,由于 SDP 架構(gòu)的數(shù)據(jù)轉(zhuǎn)發(fā)鏈更多,,零信任與 VPN 使用流暢度上差異不大,在用戶使用體驗方面需要進一步優(yōu)化,。零信任安全體系需要全面支持互聯(lián)網(wǎng)協(xié)議第 6 版(IPV6),,依據(jù)相關(guān)政策要求,需要進行 IPV6 業(yè)務(wù)改造,,通過零信任對外發(fā)布的業(yè)務(wù)將優(yōu)先進行改造,。零信任安全體系需要支持內(nèi)部即時通訊,將零信任產(chǎn)品進一步同公司現(xiàn)有辦公平臺進行對接,,實現(xiàn)身份,、業(yè)務(wù)的統(tǒng)一管理,實現(xiàn)單點登錄,。公司零信任安全體系建設(shè)的下一步工作,,是將公司現(xiàn)有安全體系建設(shè)進一步與零信任產(chǎn)品體系打通,實現(xiàn)數(shù)據(jù)互通,,進一步提高管理信息化中的安全可靠性,。

  三、結(jié)語

  零信任安全架構(gòu)對傳統(tǒng)的邊界安全架構(gòu)模式重新進行了評估和審視,,并對安全架構(gòu)給出了新的建設(shè)思路,。但零信任不是某一個產(chǎn)品,而是一種新的安全架構(gòu)理念,,在具體實踐上,,不是僅在企業(yè)網(wǎng)絡(luò)邊界上進行訪問控制,而是應(yīng)對企業(yè)的所有網(wǎng)絡(luò)邊緣,、身份之間的所有訪問請求進行更細(xì)化的動態(tài)訪問控制,,從而真正實現(xiàn)“從不信任,,始終驗證”。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。