零信任的概念由市场研究机构Forrester在2010年最先提出,后来Gartner和Forrester对零信任的概念、应用场景和迁移方式又进行了完善和补充。去年开始,疫情带动的大量远程办公和远程教育,给我们传统的安全体系带来了很多新的挑战,零信任安全的理念也被大家所重视起来。
零信任和我们传统的安全体系有什么不同?
传统的安全体系是基于网络边界划分的,有严格的内外网之分,内部的系统、应用,只能在内网访问,对外部用户来说,访问内网需要连接VPN。但是用户一旦进入内网,就会得到完全的信任和访问权限,这种安全保护体系无法满足当前的企业需求。而基于零信任的安全体系,它的原则是首先认为用户是不可信的,无论在内网还是外网,需要通过严格的身份鉴别和访问控制后,才能授予相应的访问权限。
零信任架构简介
Forrester对零信任做了扩展,称为ZTX。ZTX模型主要关注以下几个方面:
零信任数据:对数据的分类、分级、加密和管理;
零信任网络:网络的分段、隔离和控制;
零信任身份:用户访问认证和对访问以及权限的持续管控;
零信任工作负载:对于应用程序和运行应用程序的资源,例如容器或者虚拟化平台的安全管控;
零信任设备:移动设备、IoT设备、BYOD等都会带来额外的安全风险,需要保障这些设备的安全;
可见性和分析:通过SIEM、UEBA等工具来观察、分析和防范安全风险;
自动化和编排:零信任架构中大量不同组件的自动化编排和执行。
在数据平面上,所有的访问主体,包括人员、应用、设备等,首先被默认为不可信,需要在可信网关进行身份的鉴别和授权,同时也是控制平面生成的安全策略的执行点PEP,只有通过认证和授权的访问主体才能访问到客体的应用或者数据资源。
在控制平面上核心是策略引擎,这里会结合身份管理系统和权限管理系统来进行认证和授权,同时会有持续的信任评估引擎、细粒度授权引擎、动态的访问控制引擎、基于AI的智能分析引擎等。策略引擎会持续地对访问主体进行风险评估和动态的权限控制,从而最大程度地降低安全风险。
零信任的主要技术领域
零信任架构中包含三个主要技术部分:身份管理(IAM)、软件定义边界(SDP)和微分段(Micro Segment),有时也合称SIM。
身份管理(IAM)
零信任的核心理念就是持续的身份鉴别和访问控制,因此身份管理从源头上就是零信任架构的核心部分。和传统的IAM技术相比,零信任架构对身份管理也提出了更高的要求。除了对用户身份的统一管理、认证和授权之外,还需要实现基于风险的动态感知和智能分析平台,基于大数据和AI技术,对于用户访问的行为数据、用户的特征和权限数据,以及环境上下文数据进行分析,通过风险模型自动生成认证和授权策略。我们也称为增强型IAM。
软件定义边界(SDP)
软件定义边界 (Software Defined Perimeter,即SDP) 是一种安全框架,根据身份控制对资源的访问,通过隐藏核心网络资源,使之不直接暴露在互联网下,保护网络资源不受外来的安全威胁。
SDP的主要组成部分包括SDP Controller,Initiating Host (即访问的Client) 和Accepting Host (即被访问的资源)。所有的Client在访问资源之前,都要通过Controller服务对SPA单包验证和访问控制,从而实现先认证,后连接,对后端服务的隐藏,起到减小攻击面,保护关键资源不被攻击的作用。
微分段(MicroSegment)
微分段是在数据中心和云部署环境中创建安全区域,将工作负载彼此隔离并单独加以保护,从而实现东西方向的攻击防护和更细粒度的安全控制。
微分段的常用实现方式有三种,分为基于网络SDN来实现微分段、 基于虚拟化Hypervisor来实现微分段和基于主机的微分段。
零信任的实施路径探讨
在落地零信任架构之前需要考虑的几个重要方面:
获得业务部门的支持和投入:零信任架构不仅仅是IT部门内部的事务,也需要业务领导的支持和投入;
其他IT和安全项目的关联性:零信任常常会与现有的IT项目、业务项目和安全项目有关联或者依赖性,需要提前加以分析,避免对项目的负面影响。例如,过于复杂的微分段可能会成为网络管理员的噩梦;
盘点现有的零信任相关的技术能力:零信任架构涉及广泛的技术领域,企业需要盘点已有的技术能力,例如是否已经实施了比较完整的身份管理系统。
零信任架构的落地不是一蹴而就的,需要选择合适的实施路径。对于零信任架构的三个核心技术,我们建议的实施路径是从IAM和MFA入手,以实现对用户身份的安全治理和管控。
部署完整的身份管理:解决最核心的身份认证和审计问题,满足安全和合规的要求;
实现最小权限:只赋予用户实现访问需求的最小权限是零信任的核心原则之一,通过持续动态的权限控制来实现最小权限的原则;
无密码化:从安全的角度,密码是脆弱和易受到攻击的,通过实施MFA可以用令牌、密钥、指纹、人脸等身份验证手段来取代密码,降低安全风险。
在实现IAM之后,下一步建议考虑对设备和应用的安全防护,主要包括以下几个方面:
设备安全加固:通过安全沙箱来隔离外部环境,保持终端设备运行环境的安全;
应用保护:通过可信安全网关来保护企业资源和应用,将先访问-后认证的方式改变为先认证-后访问的方式,从而使得资源和应用对于非法访问者不可见;
通过应用白名单等方式加强对于BYOD设备的安全管控;
云端应用和资源的安全治理。
最后可以进一步实施对网络和数据的防护,例如:
通过微分段来重新划分网络边界,保护应用和资源。就像是应用可以访问中间件,中间件可以访问数据库,但是微分段策略限制应用不能直接访问数据库;
利用网关对南北向的流量进行风险检测,阻断病毒、攻击和恶意软件;
对企业数据进行梳理,分类和分级,并通过访问控制、使用审计、加密等方式来对数据加以保护。
零信任架构的落地并没有一个标准的路径,业界的最佳实践认为实施完整统一的身份管理是零信任架构落地的第一步,在此基础上进一步引入SDP和微分段技术,实现对用户身份、设备、网络、应用、数据的全面安全管控,从而全方位提升企业的信息安全保障,支持企业业务的发展。