本文深入评述了零信任架构,包括其优势、最佳实践和常见的实施障碍。帮助您深入了解 ZTAA和ZTNA等零信任模型,并学习在基础架构中应用零信任访问控制所需的工具和技术。
01
什么是零信任?
零信任是一种现代安全模式,其设计原则是 "绝不信任,始终验证"。它要求所有设备和用户,无论他们是在组织网络内部还是外部,都必须经过身份验证、授权和定期验证,才能被授予访问权限。
简而言之,"零信任 "就是 "在验证之前不要相信任何人"。
零信任通过消除系统架构中的隐含信任来防止安全漏洞,要求在每个接入点进行验证,而不是自动信任网络内的用户。采用多层方法保护现代网络环境,包括:
● 网络分段
● 7 层威胁防范
● 简化的细粒度用户访问控制
● 全面安全监控
● 安全系统自动化
随着远程办公、自带设备(BYOD)和基于云计算的资产的兴起,这些资产并不在企业拥有的网络边界内,传统的外围安全就显得力不从心。这就是零信任的由来。零信任架构(ZTA)在设计上不存在传统的网络边界,摒弃了传统的安全边界模式(城堡护城河模式)。
从本质上讲,零信任安全不仅承认网络内外都存在威胁,而且假定入侵不可避免(或很可能已经发生)。因此,零信任安全系统会持续监控恶意活动,并将用户访问权限限制在工作所需的范围内。这样就能有效防止用户(包括潜在的坏人)通过网络横向移动,访问任何未受限制的数据。
零信任安全可以多种方式应用,具体取决于你的架构设计和方法。
零信任网络访问(ZTNA)有时也被称为 "软件定义边界",是零信任模式最常见的实施方式。ZTNA 以微分段和网络隔离为基础,取代了对 VPN 的需求,在验证和认证后允许访问网络。
根据 Gartner 的定义,在 ZTNA 模式下,"通过信任代理将访问限制在一组命名实体上。在允许访问之前,代理验证指定参与者的身份、上下文和政策遵守情况,并禁止网络中其他地方的横向移动"。这最大限度地减少了攻击面,大大降低了安全风险。
零信任应用访问(ZTAA)也基于零信任原则,但与 ZTNA 不同的是,它更进一步,不仅保护网络,还保护应用。ZTAA 假定所有网络都已被入侵,并限制对应用程序的访问,直到用户和设备经过验证后才可访问。这种方法能有效阻止攻击者进入网络,并保护连接的应用程序。
零信任访问是包含 ZTAA 和 ZTNA 的总体模式,可在整个架构(包括所有网络和应用)中提供端到端的零信任。它提供基于身份的安全性,不仅考虑谁在网络上,还考虑网络上有什么--将零信任扩展到提供商本身。这样,企业就能在真正的零信任环境中获得全面的数据隐私保护。
02
零信任安全的历史
John Kindervag 于 2010 年提出了最初的零信任模型。作为 Forrester Research 的首席分析师,Kindervag 意识到,传统的访问模式基于过时的假设,即企业应该信任其网络内的一切。当时的想法是,基于外围的安全(即防火墙)足以验证用户访问并完全确保网络安全。
但是,随着越来越多的员工开始通过各种类型的设备和各种连接远程访问系统,这种信任结构被证明不足以有效管理分布式员工。Kindervag 意识到了这一漏洞,并开发了零信任系统(Zero Trust)作为应对措施。
与此同时,谷歌也开始开发自己的零信任系统。谷歌创建了 BeyondCorp,用于将传统的虚拟专用网络 (VPN) 访问策略迁移到一种新的基础架构,在这种基础架构中,没有任何系统是可信的,所有端点都对访问进行控制和监控。后来,谷歌又开发了 BeyondProd,提供了一种零信任方法,用于在云优先的微服务环境中安全地管理代码部署。
Kindervag 的零信任模型和谷歌的 BeyondCorp 都围绕着几个主要原则:
细分
传统网络暴露了对所有数据资产、服务器和应用程序的直接访问。零信任模式对这些资源的各个子集进行了细分,使用户无法在不经过严格控制的网关的情况下直接访问这些资源。这有时被称为 "网络隔离"。微分段技术通过将工作负载相互隔离,使管理员可以监控不同服务器和应用程序之间的信息流,而不仅仅是客户端和服务器之间的信息流,从而进一步完善了这一概念。
访问控制
无论用户是身处办公室还是远程办公,他们都只能访问适合其各自角色的信息和资源。网络的每个部分都应进行身份验证和授权验证,以确保流量来自经过身份验证和授权的用户,而不论请求的位置或来源如何。
可见性
网关应检查并记录所有流量,管理员应定期监控日志,确保用户只尝试访问允许访问的系统。通常,管理员会使用云访问安全代理软件来监控用户与云应用程序之间的流量,并在发现可疑行为时发出警告。
通过零信任模式,企业可以消除对网络和资源的直接访问,建立细粒度的访问控制,并获得对用户行为和流量的可见性。但是,他们需要模型来指导实施。
谷歌为希望效仿 BeyondCorp 的企业提供了大量的文档,为零信任设定了行业标准。然而,大多数公司发现,谷歌的方法在理论上很有趣,但在实践中却无法实现(它的实现本质上需要对谷歌现有的网络组件和全球架构进行剥离和替换)。相反,企业必须依靠第三方服务的组合来在其基础设施中实施零信任架构。
03
零信任模式的基础
零信任是一个集成的、端到端安全策略,基于三个核心原则:
永不信任,始终验证
始终基于所有可用数据点进行身份验证和授权,包括用户身份、位置、设备、数据源、服务或工作负载。持续验证意味着不存在可信区域、设备或用户。
假设有漏洞
通过假设防御系统已经被渗透,可以采取更强大的安全态势来应对潜在威胁,从而在发生漏洞时将影响降到最低。通过分段访问和减少攻击面、验证端到端加密,并实时监控网络,限制“爆炸半径”——由入侵引起的潜在损害的范围和范围。
应用最低权限访问
零信任遵循最低权限原则 (PoLP),该原则限制任何实体的访问权限,只允许执行其功能所需的最小特权。换句话说,PoLP 可以防止用户、帐户、计算进程等在整个网络中进行不必要的广泛访问。
以上原则为构建零信任架构 (ZTA) 奠定了基础。
此外,零信任安全的八大支柱构成了一个防御架构,旨在满足当今复杂网络的需求。这些支柱分别代表了对零信任环境进行分类和实现的关键关注领域。
身份安全
身份是唯一描述用户或实体的属性或属集性。通常被称为用户安全,其中心是使用身份验证和访问控制策略来识别和验证试图连接到网络的用户。身份安全依赖于动态和上下文数据分析,以确保正确的用户在正确的时间被允许访问。基于角色的访问控制 (RBAC)和基于属性的访问控制 (ABAC) 将应用于该策略以授权用户。
端点安全
与身份安全类似,端点(或设备)安全对尝试连接到企业网络的设备(包括用户控制和自主设备,例如物联网设备)执行“记录系统”验证。其侧重于在每个步骤中监视和维护设备运行状况。组织应该对所有代理设备(包括移动电话、笔记本电脑、服务器和物联网设备)进行清点和保护,以防止未经授权的设备访问网络。
应用程序安全
应用程序和工作负载安全包括本地和基于云的服务和系统。保护和管理应用层是成功采用零信任状态的关键。安全性封装了每个工作负载和计算容器,以防止跨网络收集数据和未经授权的访问。
数据安全
侧重于保护和强制访问数据。为了做到这一点,数据被分类,然后与除需要访问的用户之外的所有人隔离。这个过程包括基于任务关键度对数据进行分类,确定数据应该存储在哪里,并相应地开发数据管理策略,作为健壮的零信任方法的一部分。
可见性和分析
对与访问控制、分段、加密和其他零信任组件相关的所有安全流程和通信的可见性提供了对用户和系统行为的重要洞察。在此级别监控网络可改进威胁检测和分析,同时能够做出明智的安全决策并适应不断变化的安全环境。
自动化
通过自动化在整个企业中一致地应用策略的手动安全流程来提高可扩展性、减少人为错误并提高效率和性能。
基础设施安全
确保工作负载中的系统和服务免受未经授权的访问和潜在漏洞的影响。
网络安全
侧重于隔离敏感资源,防止未经授权的访问。这涉及实施微分段技术、定义网络访问以及加密端到端流量以控制网络流量。这些原则为构建零信任架构(ZTA)奠定了基础。
04
零信任的好处
一个有效实施的零信任模型应该超越安全性,它能让企业更有效地运营,为每个人提供安全、细粒度的访问,包括:
● 降低基础设施的复杂性
● 在混合物理和云环境中工作
● 使用各种不同的设备和在不同的物理位置工作
● 遵守内部和监管标准
虚拟专用网络(VPN)往往难以适配现代科技环境的复杂性。虽然零信任和VPN并不相互排斥,但许多组织在采用零信任模式后发现VPN并无必要。
VPN提供基于边界的安全,可提供全网访问;相比之下,ZTNA只允许在验证和认证后访问特定资源。与VPN相比,ZTNA通过减少攻击面和实施更细粒度的控制,加强了内部和外部网络的安全性。此外,ZTNA还具有更高的灵活性和可扩展性,提高了资源利用率,减轻了IT压力。
05
实施零信任网络访问的障碍
尽管零信任在安全方面的优势显而易见,但当企业迁移到新的网络安全模式时,可能会遇到重大障碍。即使使用第三方服务,许多企业仍难以成功实施零信任网络访问。
根据 Cybersecurity Insiders 的一份报告,只有15%的公司已经制定了零信任战略,另有63%的公司打算在不久的将来制定战略。同样,在 2019 年进行的一项调查中显示,只有 16% 的物理数据中心实施了零信任架构。
如果您的企业计划采用零信任方法,就需要对这些潜在的挑战进行预测和规划。
适应复杂和混合环境
现代企业拥有高度复杂和分布式的基础设施。IT 领导者面临的挑战是创建一个零信任战略,以应对可能拥有数百个不同数据库、服务器、代理、内部应用程序和第三方 SaaS 应用程序的环境。更复杂的是,每种应用都可能在多个不同的物理和云数据中心运行,每个数据中心都有自己的网络和访问策略。
对于许多企业来说,要使网络达到符合零信任协议的水平,需要进行大量的自定义配置和耗时的开发项目,这种负担可能会促使组织走不可扩展或不安全的捷径。
使用大杂烩工具
要在这样的组织中建立支持零信任模式的基础设施,就必须实施大量不同的微分隔工具、软件定义的边界工具和身份感知代理。这一系列工具可能包括VPN、多因素身份验证(MFA)、设备审批、入侵防御系统(IPS)、单点登录(SSO)解决方案等。
然而,其中许多系统都是针对云提供商、操作系统和设备的。许多组织不支持同质的设备集,而是在多个云和物理数据中心运行,用户同时使用 Mac 和 Windows,服务器运行多个 Linux 发行版或 Windows Server 版本,并支持各种不同的网络连接设备。
这些工具的供应商往往要求企业购买冗余技术来支持所有这些环境。这些供应商还可能将重点放在网络层,而不是将控制放在用户和应用程序附近,从而增加不必要的复杂性。
从传统系统过渡
围绕隐式信任设计的传统系统和第三方应用程序会带来更多挑战。企业通常无法在不重建的情况下,以符合零信任模式的方式配置传统或第三方应用程序。管理员通常必须创建自己的框架和基础设施来支持它们,这就增加了复杂性、时间和费用,而且需要各个层面的支持。
弥补安全漏洞
向零信任过渡可能会带来安全漏洞,从而增加风险。大多数组织都是采取零敲碎打的方式,逐步实现零信任。虽然这有助于管理成本和资源,但也会带来安全漏洞,尤其是在从传统架构迁移的情况下。
管理成本限制
向 ZTA 迁移的成本可能会很高,尤其是在从传统系统过渡的情况下。全面的零信任框架可能需要从头开始构建基础设施。这是一个长期、多阶段的过程,需要大量的资源和时间。虽然这些成本可以通过渐进式采用得到一定程度的控制,但采用的速度和规模可能是一个挑战。更不用说培训人才和投入资源在实施后维护零信任架构的成本了。
即使在项目开发之后,企业也需要为持续维护预留资源。例如,微分区需要定期更新 IP 数据,并配置和验证更改,以最大限度地减少用户访问。此外,当管理员将新系统和应用程序引入网络时,他们必须以符合零信任协议的方式添加这些系统和应用程序,需要额外的框架开发。
平衡安全性与性能
零信任通过锁定访问权限,直到用户通过验证,将安全性放在首位。挑战在于确保零信任访问管理不会影响工作流程和性能。例如,如果员工改变了角色,他们需要更新对所需数据的访问权限。如果不能快速识别这种角色变化,用户就会被锁定,无法访问工作所需的关键文件,从而影响工作效率,给工作流程造成障碍。
决策因素
在大型企业中建立零信任模式需要主要利益相关者的支持,以确保正确的规划、培训和实施。该项目几乎涉及组织中的每一个人,因此管理人员和领导者都必须就计划达成一致。由于许多组织在实施此类变革时进展缓慢,单是决策因素因素就会给项目的成功实施带来很大压力。
06
如何实现零信任
现代访问管理始于一个问题:谁有权访问什么?
零信任的实施不会一蹴而就。通常情况下,现有的基础设施可以集成到零信任方法中,但要达到成熟,大多数网络都需要采用和集成更多的功能和流程。
事实上,循序渐进地采用零信任安全态势可以降低风险,从最初的规划到基本、中级和高级阶段,零信任成熟度模型能够逐步改善网络安全保护、响应和运行。
向零信任迁移需要全面了解网络架构的当前状态,包括其所有资产(包括物理和虚拟资产)、主体和业务流程。如果这些信息不完整,企业的网络安全就会存在盲点。通过对网络的当前状态进行全面审计和分析,您就可以规划出需要采取哪些措施来优化网络,来实现理想的零信任。
美国国家标准与技术研究院(NIST)概述了迁移到零信任架构的六个步骤。
识别企业中的行为者
谁是你的主体和用户?为了让零信任发挥作用,需要知道谁是你的企业主体以及他们的访问权限。注意拥有特殊权限的用户,比如开发人员或系统管理员,一般开通对传统系统的空白访问权限。零信任应该允许这些用户有足够的灵活性,同时应用日志和审计操作来验证和确认访问。
识别企业拥有的资产
零信任架构还需要能够识别和管理资产和设备。这些资产包括笔记本电脑、手机和物联网设备等硬件组件,以及用户账户和应用程序等数字工件。管理企业资产不仅涉及编目,还包括配置管理和监控。
确定关键流程并评估与执行相关的风险
下一步是对业务流程和数据进行清点和排序。业务流程应告知如何批准和拒绝资源访问请求。
为候选 ZTA 制定政策
初始ZTA迁移的目标服务或流程取决于多个因素,包括:
● 流程对组织的重要性
● 受影响的对象群体
● 工作流程所用资源的当前状态
根据风险评估资产和工作流程的价值。考虑工作流程使用或影响的所有上游资源、下游资源和实体。这些都会影响哪些资产被选为候选迁移资产。
确定候选解决方案
确定潜在候选清单后,创建并考虑实施零信任策略的解决方案清单。在确定哪些候选方案最适合迁移时,请牢记各种零信任原则和要求。
初始部署和监控
选定候选工作流程并确定要应用哪些ZTA解决方案后,就可以开始部署了。这将是一个迭代过程,需要观察和监控新的解决方案,根据需要更新工作流程。
07
零信任的最佳实践
严格执行身份验证和授权
所有资源都必须经过验证和身份验证。这通常包括使用多因素身份验证 (MFA) 等技术来授予访问权限,而不是基于隐式信任进行操作。
维护数据完整性
衡量和监控所有自有资产的安全性,以确保数据完整性并减少网络威胁。
收集数据以提高安全性
定期从多个来源收集数据,如网络基础设施和通信,以不断调整和改进安全态势。
将每个数据源和计算设备都视为资源
任何可以访问网络的设备都应视为资源。无论网络位置如何,都要确保所有通信的安全-位置不再意味着信任。通过外部或内部网络连接的用户和设备必须满足相同的安全要求才能获得访问权限。
按会话授予资源访问权限
强制执行最低权限,要求用户为每个会话申请访问权限。
使用动态策略适度访问
使用透明的动态安全策略保护资源,以适应网络及其用户不断变化的需求。
08
美高梅零信任解决方案
美高梅零信任解决方案,以身份驱动网络行为,动态验证、持续保护,对客户端进行全方位、无处不在的安全管控,实现对电脑、手机等多终端的网络安全保护,具备强大的兼容性,方便安装,帮助企业构建端到端的安全访问体系,提升业务访问效率,应对办公安全风险。
方案价值
● 持续动态验证
基于零信任原则的安全访问,可持续动态检测访问行为,极大降低企业在应用访问和数据传输中面临的安全挑战。
● 统一安全策略
从身份授权到终端管理、安全防护、预警与溯源,端到端的闭环式安全访问体系强化整体安全状况。
● 最佳用户体验
高效易用,VPN一键连接;智能易管,自服务网络诊断;合规安全,终端安全基线准入。
目前,美高梅零信任终端——凌云星连APP已上线,结合美高梅骨干网资源与运营服务,为客户提供“云网安”一体化SASE解决方案。
美高梅将安全和服务作为企业高质量发展的差异化增长极,厚植安全运营能力,为客户提供更多高质量、高价值的服务。
原文链接:http://www.strongdm.com/zero-trust