1、为什么都在提零信任?
网络安全领域是创新驱动的代表领域,每年都会有各种新兴安全概念及技术不断涌现,近两年安全领域最火的概念非“零信任”莫属。其实大多数技术发展和演进都会经历一个发展周期,很快会被新的技术替代,比如端点安全产品最早的形态是AV产品,也就是杀毒软件,通过对病毒文件进行分析,提取病毒特征,并于特征库的信息进行比对,从而识别出恶意文件,后来演进为EPP产品,再到近两年的EDR产品,产品演进和迭代速度非常快。零信任从提出到现在历经10余年,逐渐被业内认可,并得到空前的发展,背后的原因是什么呢?
理念到落地,促进企业认知:零信任最早被提出可以追溯到 2010年Forrester分析师John Kindervag提出 “零信任模型(Zero Trust Model)”开始,紧接着CSA(云安全联盟)提出SDP架构(软件定义边界),2014年谷歌基于其内部项目BeyondCorp的研究成果并陆续发布 6 篇相关论文,介绍其零信任落地实践,也是业内第一个将零信任理念与实际网络架构相结合的零信任实战,从此零信任被广泛关注并取得了蓬勃的发展。
安全架构升级:零信任本质上是一种新的安全防护理念,往往来对标传统的边界防御体系,是对传统边界护城河式防御体系的补充和延申,这就使得零信任在甲乙双方眼中是一种颠覆性、创新性的存在。随着数据资产的价值被逐步认可,基于场景的安全模型逐步被重视,传统边界防御模型的弊端也越来越明显,零信任就成为了企业信息安全管理者不得不考虑的手段,因为它的存在将指引企业重新审视现有安全防护体系,并思考如何利用零信任体系来实现自身安全架构的升级,可以说零信任将成为网络安全的基础设施,作为企业未来网络安全架构中不可或缺的一部分,也正是因为如此,各种类型的安全厂商都推出相关的技术方案和产品。
2、零信任发展的背后是业务场景的复杂化
以往许多企业仍然依赖“护城河”方法(也称为“边界安全”方法)来保护企业内网免遭恶意攻击,就像古时候的城池受到城墙、护城河的保护一样,使用边界安全的企业进行了大量的安全投资,想要通过防火墙、WAF、蜜罐技术和其他入侵防护工具来加强他们的网络边界。“边界安全”通过验证进入和外发企业网络的数据包和用户身份来保护网络入口点和出口点的安全,然后假设在加固后的边界内进行的活动是相对安全的。
现在,与人类城市文明发展的步伐一致,城市为了发展需要开通了港口、高铁、机场等交通机构导致防守边界变得支离破碎,没有统一的安全边界,“护城河”式的防护体系逐步瓦解。数字化转型就是企业对自身发展的一种变革,它带来的变化是非常广泛的,业务开放、网络开放、数据流转开放等各种场景导致远程办公、跨网访问、安全运维、小程序暴露面收敛等需求激增,企业的网络基础设施日益复杂,安全边界逐渐模糊。一方面,云计算、5G、移动互联等技术的采用让企业的人和业务、数据“走”出了企业的边界;另一方面,大数据、物联网等新业务的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河。
尽管城池的边界防护仍然很重要,但是与不断加大投资力度来构建更坚固的城墙和更宽的护城河相比,“零信任”模型采用了一种更加细致入微的方法来管理对我们所谓城池内的身份信息、数据和设备的访问,无论是内部人员恶意或不经意的行为,或是隐蔽的攻击者突破了城墙,都无法获得对数据的自动访问。因此,零信任成为了数字化转型的保障,是现代业务场景下不二的选择。
3、构建零信任安全基础设施的要点
和传统网安不同,零信任不是一个产品,也不仅仅是理念和思想,她的本质是企业安全架构的基础设施,像路由器、交换机对于企业网络的价值一样,基础却又不可或缺,因此从工程化视角来看,零信任安全基础设施需要从基础架构、场景化功能以及集中管理三个方面体现完善的能力。
3.1 完善的基础架构
以零信任理念建设的基础安全架构以用户和资源为核心,核心是解决企业数据访问控制问题,拒绝“隐式信任”和动态的、细粒度的安全策略都是贴近并深入理解业务,将安全能力嵌入到业务流程中。在零信任架构下安全将与业务共同建设和演进,从业务出发,以保障业务数据安全为目标。业务场景是复杂的,包括混合的数据中心、多地办公场所、多类型的员工以及无法统一管理的设备等,这些挑战将要求零信任基础架构满足高性能,可满足规模化员工、设备接入需求,并且具有成熟组网的能力,保障零信任的组网健壮性。
高性能要求能够在较短的响应时间、较大的并发处理能力、较高的吞吐量与稳定的性能参数,比如对零信任网关类产品要求能够处理大并发的用户接入请求,TLS建链等指标能够稳定的爬坡,并在峰值保持持续稳定。另外,大多数厂家的零信任方案具备SPA能力,这就要求利用IPTables来建立动态的ACL,在大规模接入下也面临性能挑战,往往需要优化IPTables的处理逻辑,或采用其他协议来替代,比如eBPF协议或许是一种不错的尝试。
成熟组网要求零信任架构多元化的、各组件稳定服务、通信稳定可靠等,在零信任要解决的场景中,可以归为两大类,即应用层的零信任改造和网络层(包括内外网)零信任改造,网络层的零信任改造要求零信任方案具备主备、集群的能力,包括控制中心异地灾备组网、多数据中心统一接入组网、多控制中心多网关组网等场景,同时要保障集群之间数据同步、策略同步的一致性以及故障检测机制能够在单台或多台设备异常的情况下能够快速切换,保障业务的连续性,所以零信任架构中的控制平台和数据转发网关类设备均需要稳定服务,对自身服务状态做多维度的监控,除了对系统自身运行时的CPU使用率、内存、磁盘使用情况进行监控,还可以增加对用户接入成功率、认证成功率以及链路质量等维度进行监控,增加立体监控效果。
3.2 场景化搭建
不同行业在零信任的应用上有着不同的关注点,对零信任的应用场景和技术依赖也是各不相同,企业对零信任常用来解决场景包括远程办公、多分支机构接入、安全运维、代码访问\开发安全等场景,在这些场景中需要解决终端资产统一管理问题、资产安全识别及准入、人员身份安全问题、应用安全问题、数据安全问题等等,这种多样化场景需求要求零信任体系中的各个组件是一种松耦合的状态,企业可以根据不同的场景化需求来自由搭配,实现灵活的建设方案。
在笔者看来,零信任提供的场景化能力与现有企业已经具备的安全能力有重叠之处,但零信任通过对访问行为的上下文关联,自适应调整安全策略才是这个体系的灵魂,才能够发挥安全效果1+1>2的安全收益。
3.3 集中管理能力
Forrester 对零信任框架分解了七个必要支柱,包括劳动力安全、设备安全、工作负载安全、网络安全、数据安全、可见性和分析、以及自动化和编排,所有的安全能力均需要在零信任控制平台的管理下形成统一、高效的联动机制,否则将增加零信任体系的运营成本,零信任体系需要具备以下安全能力:
全网统一视图
想要做好安全管理首先要解决对安全资产、事件、运行情况有直观的分析和展示,对零信任架构中的主客体进行全局视角的展示,以及围绕主客体产生的安全事件及告警等。
集中策略配置与下发
零信任控制平面应该具备策略编排模块,方便管理员进行统一的安全策略编排能力,包括数据访问控制策略、网络访问控制策略、应用访问控制策略以及其他配套的安全策略,策略编排能力是零信任体系成熟度的重要指标。
完善的排障工具
由于零信任体系核心要保护业务及数据安全,这就需要对各种类型的访问者进行访问控制,包括对其使用的终端进行安全管理和终端数据采集,以便在必要时刻对终端进行管控,这个操作将会对用户体验造成一定的影响,安全软件产品在终端的适配性和对应用软件的兼容性是零信任项目推广的重要因素,对项目成败起到至关重要的作用,所以需要一套完善的机制和能力帮助用户快速解决其遇到的问题,从而降低客户投诉和抱怨的声音。
对于零信任体系的故障排查需要从运维层面和用户使用层面进行考虑,运维层面包括对零信任体系的各个组件自身服务和运行环境的监控和告警,用户使用层面需要具备客户端环境一键检测、日志一键收集及上报、网络链路拨测、远程协助等能力,尽量减少故障诊断时依赖用户接入,提升用户体验。
4、结束语
零信任体系将成为未来企业安全架构的基础设施,随着业务场景的复杂化,企业在选择安全厂商助力自己实现零信任转型时,不能仅评估功能的丰富,而是要从基础架构、功能场景和集中管控等维度来评判,一个完善的零信任体系要和企业的业务场景相结合, 实现与业务的安全随行。