隨著云計算、虛擬化、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的迅猛發(fā)展,企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,傳統(tǒng)的安全邊界逐漸瓦解,與此同時,秉承“去邊界化”安全理念的零信任逐漸進(jìn)入人們的視野,成為解決新時代網(wǎng)絡(luò)安全問題的新理念、新架構(gòu)。

一、“零信任”安全的發(fā)展歷程

2004年,一批IT安全管理者在Jericho論壇提出,在復(fù)雜的企業(yè)IT網(wǎng)絡(luò)中,傳統(tǒng)的網(wǎng)絡(luò)邊界正在消失,防火墻和其他邊界網(wǎng)關(guān)已成為阻礙電子商務(wù)發(fā)展的絆腳石,在建設(shè)企業(yè)網(wǎng)絡(luò)時應(yīng)該消除這種邊界(即“去邊界化”)。但反對者認(rèn)為這是一種令人非常困惑的做法,“去邊界化”后,網(wǎng)絡(luò)安全防護(hù)體系該如何構(gòu)建呢?這在當(dāng)時是一個難以回答的問題。

2010年,Forrester分析師約翰·金德維格提出“零信任”概念,為業(yè)界勾勒了零信任安全的藍(lán)圖,自此,越來越多的網(wǎng)絡(luò)安全專家開始將目光轉(zhuǎn)向“零信任”。2020年2月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布《SP800-207:Zero Trust Architecture》(第二版草案),標(biāo)志著“零信任”從理念走向工程實踐甚至標(biāo)準(zhǔn)化。縱觀零信任安全從萌芽到逐漸成熟,“邊界問題”一直是零信任致力要解決的核心問題,也是理解“零信任”關(guān)鍵。

二、圍繞IT資產(chǎn),重構(gòu)安全邊界

在傳統(tǒng)基于邊界安全模型的IP網(wǎng)絡(luò)中,安全邊界與網(wǎng)絡(luò)邊界是重疊的。企業(yè)IT網(wǎng)絡(luò)建設(shè)時,首先考慮如何通過基礎(chǔ)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)建設(shè)滿足企業(yè)的業(yè)務(wù)需要,然后再按照網(wǎng)絡(luò)安全策略的總體要求,在網(wǎng)絡(luò)邊界上部署相應(yīng)的安全設(shè)備,形成安全邊界。也就是說,網(wǎng)絡(luò)建設(shè)的總體進(jìn)度表現(xiàn)為“先暢通,后安全”,安全邊界疊加在網(wǎng)絡(luò)邊界之上。

另外,基于邊界安全模型的網(wǎng)絡(luò)安全產(chǎn)品過于關(guān)注對界外(Outside-In)攻擊的防范,天生具有“防外不防內(nèi)”的基因缺陷,導(dǎo)致它們無力應(yīng)對來自網(wǎng)絡(luò)內(nèi)部的界內(nèi)(Inside-Out)攻擊。一旦攻擊者突破邊界或內(nèi)網(wǎng)中出現(xiàn)了惡意用戶,則邊界對他們形同虛設(shè)。

基于邊界的網(wǎng)絡(luò)安全模型的特點是部署簡單,安全建設(shè)成本低,但邊界位置不夠靈活,一旦受保護(hù)資源或攻擊者的位置發(fā)生變化,則安全邊界無法對敏感資產(chǎn)提供任何保護(hù)。這也是Jericho論壇認(rèn)為邊界網(wǎng)關(guān)已經(jīng)過時的一個主要原因,但遺憾的是他們雖然意識到要消除邊界網(wǎng)關(guān),但卻沒能提出如何重建安全邊界。

從訪問控制的本質(zhì)上來看,無論采取何種網(wǎng)絡(luò)安全架構(gòu),都需要在訪問主體與客體之間設(shè)置一道“隔離柵欄”(即安全邊界),以便對受保護(hù)資源實施訪問控制。當(dāng)主、客體位置相對固定且可以形成穩(wěn)定邊界時,基于邊界的安全模型當(dāng)然可以勝任。但是隨著IT資源的外遷“云化”,當(dāng)主、客體位置可以發(fā)生變化且可能隨時發(fā)生變化時,緊密圍繞敏感資源,建設(shè)動態(tài)可控的“數(shù)字化”安全邊界就成了唯一的解決方案。

三、丟掉信任幻想,邊界隨資源而生

IP網(wǎng)絡(luò)中的“信任”如同網(wǎng)絡(luò)中的其他弱點一樣,應(yīng)當(dāng)逐漸地被消除掉。“零信任”的理念從邊界模型“信任但驗證”轉(zhuǎn)換到“永不信任,持續(xù)驗證”的模式,其主旨是消除網(wǎng)絡(luò)內(nèi)不合理的信任關(guān)系。NIST提出,“零信任”安全的網(wǎng)絡(luò)設(shè)計下要遵循以下七點基本原則:

① 網(wǎng)絡(luò)中所有的數(shù)據(jù)源和計算服務(wù)都被認(rèn)為是資源,包括用戶、設(shè)備、數(shù)據(jù)、服務(wù)等;

② 資源之間的所有通信都必須滿足相應(yīng)的安全要求(身份鑒別、機密性、完整性保護(hù)等),而且與資源的網(wǎng)絡(luò)位置無關(guān);

③ 對每個資源的訪問授權(quán)均以一次訪問會話為周期,當(dāng)且僅當(dāng)請求方通過身份認(rèn)證后,方可授予其最小訪問權(quán)限(遵循最小權(quán)限原則);

④ 對資源的訪問授權(quán)是通過動態(tài)策略決定的,影響策略判決結(jié)果的因素包括用戶身份、應(yīng)用/服務(wù)、目標(biāo)資源的狀態(tài),以及與安全態(tài)勢相關(guān)的行為或環(huán)境因素等;

⑤ 企業(yè)持續(xù)監(jiān)控和測量所有IT資產(chǎn)的安全狀態(tài),以便對處于不同安全態(tài)勢下的資源采用不同的安全策略;

⑥ 所有資源的認(rèn)證、授權(quán)是動態(tài)完成的,并且必須在允許訪問前完成;

⑦ 企業(yè)盡可能收集IT資產(chǎn)的實時狀態(tài)數(shù)據(jù)(如網(wǎng)絡(luò)流量、訪問請求的元數(shù)據(jù)),以便評估網(wǎng)絡(luò)的安全態(tài)勢。

上述原則是零信任網(wǎng)絡(luò)的頂層設(shè)計原則,其對資源的定義隱含了在零信任架構(gòu)下,安全邊界的位置以及所保護(hù)的對象(即資源)的粒度。為了實現(xiàn)零信任的安全邊界,NIST提出了零信任架構(gòu)的三種實施途徑:

l 采用增強的身份管理系統(tǒng)。將訪問主體的身份作為創(chuàng)建資源訪問策略的關(guān)鍵因素,對資源的訪問策略取決于主體的權(quán)限,但發(fā)起設(shè)備、資產(chǎn)狀態(tài)等因素可能影響最終的授權(quán)級別。

l 采用微隔離(Micro-Segmentation)。將受保護(hù)資源(組)劃入特定的隔離網(wǎng)段,并通過安全網(wǎng)關(guān)(如由NGFW充當(dāng)PEP)對該網(wǎng)段進(jìn)行保護(hù),要求安全網(wǎng)關(guān)具備“快速重配置”能力,以便能夠?qū)崟r響應(yīng)工作流的變化和網(wǎng)絡(luò)威脅。

l 采用軟件定義邊界(SDP)。利用SDN的思想,在底層基礎(chǔ)網(wǎng)絡(luò)上構(gòu)建覆蓋(Overlay)網(wǎng)絡(luò)。網(wǎng)絡(luò)控制器(由PA擔(dān)任)按照PE的策略判決結(jié)果重新配置網(wǎng)絡(luò),訪問請求通過由PA管理的PEP進(jìn)行轉(zhuǎn)發(fā)。

四、選擇零信任,助力IT資產(chǎn)安全

由于TCP/IP協(xié)議自身的缺陷,試圖在網(wǎng)絡(luò)實體之間建立信任關(guān)系是非常困難的,網(wǎng)絡(luò)實體的標(biāo)識問題、公信的第三方缺失等都在阻礙信任評估體系的建設(shè),最終導(dǎo)致實體間缺少建立信任的基礎(chǔ)。

零信任作為一種概念、模型、體系框架,放棄了“邊界”安全模型中不安全的信任假設(shè),重新審視IT資源網(wǎng)中信任關(guān)系的建立、維系方式,通過改變網(wǎng)絡(luò)資源的訪問方式,減少暴露面和攻擊面,為企業(yè)網(wǎng)絡(luò)重建基于策略(按需、動態(tài)地)的安全邊界,使網(wǎng)絡(luò)安全管理能夠更靈活地應(yīng)對各個復(fù)雜的網(wǎng)絡(luò)變化和事件。

零信任主要價值是指導(dǎo)安全體系規(guī)劃建設(shè),是對當(dāng)前企業(yè)級網(wǎng)絡(luò)發(fā)展趨勢的回應(yīng)。隨著企業(yè)辦公場景越來越多樣化,業(yè)務(wù)上云趨勢加快,傳統(tǒng)基于邊界防御以及默認(rèn)信任內(nèi)網(wǎng)的安全建設(shè)方式將難以有效應(yīng)對挑戰(zhàn),企業(yè)將越來越認(rèn)可零信任“永不信任、持續(xù)驗證”對企業(yè)網(wǎng)絡(luò)安全建設(shè)的價值,零信任將成為網(wǎng)絡(luò)安全未來發(fā)展的重要方向。

本文首發(fā)于【權(quán)說安全】公眾號。