一、零信任總體架構(gòu)
首先,我們來看看零信任架構(gòu)的總體框架:
上圖是一個(gè)簡(jiǎn)略的零信任架構(gòu)總體框架圖,在圖的左邊是發(fā)起訪問的主體,右邊是訪問的目標(biāo)資源,訪問主體通過控制平面發(fā)起訪問請(qǐng)求,由信任評(píng)估引擎、訪問控制引擎實(shí)施身份認(rèn)證和授權(quán),訪問請(qǐng)求獲得允許后,訪問代理作為執(zhí)行點(diǎn),接受訪問主體的流量數(shù)據(jù),建立一次性的安全訪問連接。
在整個(gè)過程中,信任評(píng)估引擎將持續(xù)地進(jìn)行信任評(píng)估,訪問控制引擎通過持續(xù)的評(píng)估數(shù)據(jù),動(dòng)態(tài)地判斷訪問控制策略是否需要改變,一旦發(fā)現(xiàn)問題,就可以及時(shí)通過訪問代理中斷連接,防止其做橫向移動(dòng)和惡意提權(quán),快速實(shí)施對(duì)資源的保護(hù)。
圖中的身份安全基礎(chǔ)設(shè)施可以為訪問控制提供基礎(chǔ)的數(shù)據(jù)來源,以便對(duì)人/設(shè)備/系統(tǒng)進(jìn)行身份管理和權(quán)限管理,典型的身份安全基礎(chǔ)設(shè)施包括:PKI系統(tǒng)、身份管理系統(tǒng)、數(shù)據(jù)訪問策略等。
其它安全分析平臺(tái)為持續(xù)的動(dòng)態(tài)評(píng)估提供大量的日志信息,包括資產(chǎn)狀態(tài)、規(guī)范性要求、運(yùn)行環(huán)境安全風(fēng)險(xiǎn)、威脅情報(bào)等數(shù)據(jù)。典型的其他安全分析平臺(tái)包括有:終端防護(hù)與響應(yīng)系統(tǒng)、安全態(tài)勢(shì)感知分析系統(tǒng)、行業(yè)合規(guī)系統(tǒng)、威脅情報(bào)源、安全信息和事件管理系統(tǒng)等。
二、零信任關(guān)鍵技術(shù)“SIM”
1.SDP(軟件定義邊界)
SDP技術(shù)是通過軟件的方式,在“移動(dòng)+云”的背景下構(gòu)建起虛擬邊界,利用基于身份的訪問控制及完備的權(quán)限認(rèn)證機(jī)制,提供有效的隱身保護(hù)。
SDP的基本原則之一就是信息隱身,它會(huì)隱藏服務(wù)器地址、端口,使攻擊者無法獲取攻擊目標(biāo)。另外,SDP在連接服務(wù)器之前,會(huì)進(jìn)行預(yù)認(rèn)證和預(yù)授權(quán),先認(rèn)證用戶和設(shè)備的合法性,接著,用戶只能看到被授權(quán)訪問的應(yīng)用。并且,用戶只有應(yīng)用層的訪問權(quán)限,無網(wǎng)絡(luò)級(jí)的準(zhǔn)入。SDP還具有擴(kuò)展性,基于標(biāo)準(zhǔn)協(xié)議,可以方便與其他安全系統(tǒng)集成。
2.IAM(增強(qiáng)的身份管理)
全面身份化是零信任架構(gòu)的基石,零信任所需的IAM技術(shù)通過圍繞身份、權(quán)限、環(huán)境等信息進(jìn)行有效管控與治理,從而保證正確的身份在正確的訪問環(huán)境下,基于正當(dāng)理由訪問正確的資源。隨著數(shù)字化轉(zhuǎn)型的不斷深入,業(yè)務(wù)的云化、終端的激增均使得企業(yè)IT環(huán)境變得更加復(fù)雜,傳統(tǒng)靜態(tài)且封閉的身份與訪問管理機(jī)制已不能適應(yīng)這種變化,因此零信任中的IAM將更加敏捷、靈活且智能,需要適應(yīng)各種新興的業(yè)務(wù)場(chǎng)景,能夠采用動(dòng)態(tài)的策略實(shí)現(xiàn)自主完善,可以不斷調(diào)整以滿足實(shí)際的安全需求。
3.MSG(微隔離)
傳統(tǒng)防護(hù)模式通常采用防火墻作為內(nèi)外部流量的安全防護(hù)手段,一旦攻擊者突破防護(hù)邊界,缺少有效的安全控制手段用來阻止橫向流量之間的隨意訪問。這也就是黑客入侵后能在內(nèi)部進(jìn)行橫向移動(dòng)的重要原因。
隨著東西向流量占比越來越大,微隔離技術(shù)應(yīng)運(yùn)而生,其作為一種網(wǎng)絡(luò)安全技術(shù),重點(diǎn)用于阻止攻擊者在進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向移動(dòng)訪問。微隔離通過細(xì)粒度的策略控制,可以靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機(jī)與主機(jī)的隔離,讓東西向流量可視可控,從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。當(dāng)前微隔離方案主要有三種技術(shù)路線,分別是云原生微隔離、API對(duì)接微隔離以及主機(jī)代理微隔離,其中主機(jī)代理微隔離更加適應(yīng)新興技術(shù)不斷更迭及應(yīng)用帶來的多變的用戶業(yè)務(wù)環(huán)境。
三、企業(yè)如何開始零信任?
現(xiàn)在的企業(yè)網(wǎng)絡(luò)架構(gòu)有云計(jì)算,虛擬化,移動(dòng)互聯(lián),工業(yè)互聯(lián)網(wǎng)......網(wǎng)絡(luò)情況非常復(fù)雜,那構(gòu)建零信任架構(gòu)應(yīng)該如何開始呢?
1.明確現(xiàn)狀和目標(biāo)
在決定采用零信任架構(gòu)之前,企業(yè)最好思考以下問題:
公司為什么要采用零信任安全模型?
采用零信任架構(gòu)會(huì)不會(huì)干擾目前組織的工作?
企業(yè)曾經(jīng)遭受過網(wǎng)絡(luò)攻擊嗎?如果有,那企業(yè)犯了什么錯(cuò)誤?存在什么問題?
員工知道這個(gè)安全概念嗎?員工準(zhǔn)備好了嗎?
你打算如何做這個(gè)計(jì)劃?
對(duì)以上問題的思考有助于明確企業(yè)的現(xiàn)實(shí)需求,進(jìn)而明確企業(yè)的戰(zhàn)略目標(biāo)。因?yàn)榱阈湃渭軜?gòu)是一種理念和戰(zhàn)略,是一個(gè)長(zhǎng)期的目標(biāo),企業(yè)無法一蹴而就,但是可以部分實(shí)現(xiàn)零信任,采用混合架構(gòu),所以,如何根據(jù)現(xiàn)實(shí)情況逐步對(duì)企業(yè)進(jìn)行優(yōu)化調(diào)整才是最重要的。
2.映射用戶需求和資源對(duì)象
來源:微軟
企業(yè)應(yīng)該對(duì)數(shù)據(jù)的流動(dòng)非常清楚,比如人員在訪問什么數(shù)據(jù)?人員的身份是什么?他在什么地方?等等。上圖是微軟的按條件、動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的零信任部署模型,通過該模型梳理企業(yè)的人員、設(shè)備、資源等情況會(huì)更加清晰、系統(tǒng)。
在用戶層面:
首先,要明確用戶是誰?他們需要訪問什么應(yīng)用、服務(wù)或數(shù)據(jù)?他們?nèi)绾卧L問?在哪里訪問?
其次,用戶需要滿足什么條件/屬性/狀態(tài)?才能被允許訪問或部分訪問?
然后,對(duì)于上述條件,我們?nèi)绾瓮ㄟ^特定的安全控制措施滿足這些條件?
最后,如何確保我們的安全控制措施是有效的?也就是說如何做好安全監(jiān)控?
在目標(biāo)層面:
從目標(biāo)資源的角度看,同樣也是思考幾個(gè)問題:
誰訪問數(shù)據(jù)?他們的身份是什么?他們?nèi)绾卧L問?
用戶賬戶的安全風(fēng)險(xiǎn)如何?(例如使用弱密碼/泄露的密碼、低密碼強(qiáng)度、使用行為等)
設(shè)備類型是什么?設(shè)備健康狀態(tài)/安全狀態(tài)如何?它在訪問什么數(shù)據(jù)?
數(shù)據(jù)重要性/機(jī)密性/敏感性如何?
用戶所在位置如何?當(dāng)前登錄位置?歷史登錄行為?
訪問的目標(biāo)應(yīng)用是什么?SaaS、云端應(yīng)用、企業(yè)本地部署應(yīng)用、還是移動(dòng)App?
在決策層面:
通過對(duì)用戶層面和目標(biāo)層面一步一步地梳理和映射之后,基于動(dòng)態(tài)評(píng)估結(jié)果,對(duì)應(yīng)的安全強(qiáng)制措施可以是:允許或拒絕訪問、要求多因素身份驗(yàn)證、強(qiáng)制重置用戶密碼、限制訪問特定應(yīng)用/特定功能(例如禁止下載文件等)等。
3.使用微分段
在企業(yè)網(wǎng)絡(luò)中,不應(yīng)該只有一個(gè)大管道進(jìn)出其中。在零信任方法中,組織應(yīng)在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)位置放置微邊界,將網(wǎng)絡(luò)分成小島,其中包含特定的工作負(fù)載。每個(gè)“小島”都有自己的入口和出口控件。這樣可以增加入侵者在整個(gè)網(wǎng)絡(luò)中滲透的難度,從而減少橫向移動(dòng)的威脅。
至于應(yīng)該怎樣分割網(wǎng)絡(luò),這里沒有標(biāo)準(zhǔn)的模型,需要企業(yè)根據(jù)自身情況設(shè)計(jì)。
4.自動(dòng)化和編排
對(duì)組織的人員、設(shè)備、資源的關(guān)系進(jìn)行梳理和映射之后,我們將網(wǎng)絡(luò)進(jìn)行微隔離,現(xiàn)在,我們需要做的就是在微邊界或者每個(gè)端點(diǎn)上都進(jìn)行自動(dòng)化和編排,將重復(fù)和繁瑣的安全任務(wù)轉(zhuǎn)換為自動(dòng)執(zhí)行、計(jì)劃執(zhí)行或事件驅(qū)動(dòng)的自定義工作流。這樣可以釋放大量的工作人員時(shí)間,并減少人為出錯(cuò)的機(jī)會(huì)。
5.實(shí)施適應(yīng)性風(fēng)險(xiǎn)政策
一切都安排妥當(dāng)后,還有一個(gè)因素需要考慮,就是人員的權(quán)限也是會(huì)變化的,比如說在某個(gè)項(xiàng)目組內(nèi)的成員可以獲得特定的權(quán)限,但是項(xiàng)目結(jié)束或人員離職后,需要及時(shí)的取消其權(quán)限。風(fēng)險(xiǎn)政策需要適應(yīng)動(dòng)態(tài)變化的實(shí)際情況,并根據(jù)需要相應(yīng)地更改權(quán)限。
四、總結(jié)
總結(jié)一下,企業(yè)構(gòu)建零信任首先需要開展系統(tǒng)全面地資產(chǎn)梳理、業(yè)務(wù)安全分析,深入研究零信任在企業(yè)部署實(shí)施的必要性和適應(yīng)性、部署場(chǎng)景和方案可行性、與現(xiàn)有安全保障框架的兼容性,在保障網(wǎng)絡(luò)和業(yè)務(wù)安全穩(wěn)定運(yùn)行前提下,分階段、循序漸進(jìn)推動(dòng)系統(tǒng)遷移,完善網(wǎng)絡(luò)安全保障體系,建立自適應(yīng)的安全防御能力。
當(dāng)然,每個(gè)企業(yè)的IT能力、技術(shù)路線、實(shí)際需求,以及對(duì)安全的認(rèn)知都不一樣,所以說,沒有完全一致的零信任部署計(jì)劃,以上步驟也僅供參考。當(dāng)然,無論企業(yè)最終是否采用零信任,我們?nèi)匀豢梢詮闹刑崛〉接杏玫慕ㄗh,例如身份驗(yàn)證憑據(jù)的保護(hù)、安全數(shù)據(jù)和狀態(tài)的可視化等等。
