網(wǎng)絡(luò)安全水平提升
零信任網(wǎng)絡(luò)實現(xiàn)了身份、設(shè)備、應(yīng)用的動態(tài)信任評估體系,并通過信任評估進行作用于資源訪問路徑上持續(xù)的訪問控制。零信任技術(shù)使得網(wǎng)絡(luò)平臺具備層次化的、一致的、持續(xù)的訪問控制能力。
以資源為中心的安全保護
在邊界防護體系中,安全產(chǎn)品堆砌在網(wǎng)絡(luò)邊界,意圖建立起一道防線阻隔網(wǎng)絡(luò)攻擊,內(nèi)網(wǎng)則成為信任區(qū),內(nèi)網(wǎng)的東西向流量缺少最基礎(chǔ)的訪問控制能力。這種體系下內(nèi)網(wǎng)計算機失陷后,攻擊者能夠利用設(shè)備固有的信任和已授予用戶的信任來進一步橫向移動、訪問資源。
零信任網(wǎng)絡(luò)則以資源保護為核心訴求規(guī)劃防護體系,通過在所有資源訪問路徑上建立訪問控制點,收斂了資源暴露面,綜合資源訪問過程中包括身份、設(shè)備、環(huán)境、時間在內(nèi)的所有網(wǎng)絡(luò)空間因素對訪問行為進行可信度判斷,以此為依據(jù)從網(wǎng)絡(luò)可見性、資源可見性、資源訪問權(quán)限三個層級進行訪問控制。
身份和認(rèn)證的統(tǒng)一管理
典型的企業(yè)IT系統(tǒng)建設(shè)呈現(xiàn)煙囪式,各個系統(tǒng)相互獨立,企業(yè)成員需要在每個系統(tǒng)上建立賬號,弱密碼、各系統(tǒng)用同一個密碼、密碼長期不更改等問題無法根除。當(dāng)人員流動、人員職責(zé)變更時賬號身份管理出現(xiàn)疏漏難以避免,導(dǎo)致人員權(quán)限膨脹,遺留大量僵尸賬號等問題。在面對網(wǎng)絡(luò)攻擊時,這些失控身份將成為攻擊者滲透企業(yè)的切入點,獲取資源的入口。企業(yè)可以通過建設(shè)IAM系統(tǒng),對身份統(tǒng)一管理,建立多因子、SSO認(rèn)證,緩解身份失控風(fēng)險,強化認(rèn)證強度和可信度。然而IAM系統(tǒng)是基于應(yīng)用層進行訪問控制,無法防護對操作系統(tǒng)、中間件等的攻擊。
零信任網(wǎng)絡(luò)在圍繞資源建立了訪問控制點后,進一步實現(xiàn)以身份為中心訪問控制策略。工程實踐上,零信任架構(gòu)能夠與IAM系統(tǒng)對接,集成現(xiàn)有身份和訪問管理能力,實質(zhì)上擴展了IMA的作用邊界,將其對應(yīng)用層的保護延伸到網(wǎng)絡(luò)接入層。
設(shè)備的集中管理
企業(yè)的辦公環(huán)境正變得越來越復(fù)雜,員工需要能使用公司配發(fā)資產(chǎn)、個人自帶設(shè)備或者移動設(shè)備訪問企業(yè)資產(chǎn),這對企業(yè)網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)。企業(yè)IT和安全人員需要面對設(shè)備黑洞,有多少員工自帶辦公設(shè)備、哪個設(shè)備現(xiàn)在是誰在用、某個IP是誰的什么設(shè)備,當(dāng)應(yīng)急響應(yīng)事件發(fā)生時如何快速定位到誰的設(shè)備出現(xiàn)異常。EPP、EDR、CWPP等主機防護安全產(chǎn)品能夠?qū)υO(shè)備資產(chǎn)進行管理,但是缺少將設(shè)備資產(chǎn)與企業(yè)數(shù)字身份關(guān)聯(lián)的能力。
零信任網(wǎng)絡(luò)為所有設(shè)備建立標(biāo)識,關(guān)聯(lián)設(shè)備與使用者身份,將設(shè)備狀態(tài)作為訪問控制策略的關(guān)鍵因素,納入信任度評價體系,不同設(shè)備類型、不同設(shè)備狀態(tài)計算出不同信任度,不同信任度設(shè)定合理的資源訪問權(quán)限。在實踐中,設(shè)備管理可以采用靈活的解決方案,例如對公司設(shè)備資產(chǎn)頒發(fā)專用數(shù)字證書賦予唯一身份認(rèn)證,員工自帶設(shè)備則安裝客戶端軟件進行基線檢測。
與傳統(tǒng)安全產(chǎn)品形成互補
零信任體系能夠與傳統(tǒng)安全產(chǎn)品集成,或者直接使用傳統(tǒng)安全產(chǎn)品實現(xiàn)。以NIST抽象的零信任架構(gòu)為例:策略決策點可與IAM系統(tǒng)對接實現(xiàn)身份信息的獲取和認(rèn)證授權(quán),持續(xù)評估可結(jié)合UEBA、SOC、SIEM等系統(tǒng)實現(xiàn),設(shè)備資產(chǎn)的標(biāo)識和保護可以使用EDR類產(chǎn)品,設(shè)備資產(chǎn)可以安裝DLP類產(chǎn)品實現(xiàn)端到端的資源保護。
合規(guī)審計能力提升
滿足等保2.0的解決方案
等保2.0完善了我國網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn),其提出的一個中心三重防護思想與零信任思想高度契合。在CSA發(fā)布的《SDP實現(xiàn)等保2.0合規(guī)技術(shù)指南白皮書》中,CSA中國區(qū)專家梳理了SDP與等保技術(shù)要求點的適用情況,零信任技術(shù)在等保2.0技術(shù)要求的網(wǎng)絡(luò)架構(gòu)、通信傳輸、邊界安全、訪問控制、安全審計、身份鑒別等要求項上均有良好適用性。
生產(chǎn)效率提升
位置無關(guān)的辦公體驗
企業(yè)將信息系統(tǒng)、資源部署在私有或者云數(shù)據(jù)中心,員工通過辦公場所的有線固網(wǎng)、企業(yè)專有WIFI等方式接入網(wǎng)絡(luò)獲取工作所需資源。外出員工、企業(yè)分支機構(gòu)、合作伙伴則通過虛擬專用網(wǎng)與數(shù)據(jù)中心建立連接,進行日常辦公和信息交互。用戶使用不同工具對資源進行訪問。
在零信任網(wǎng)絡(luò)下,無論員工在辦公場所、機場、高鐵,無論資源在私有數(shù)據(jù)中心還是公有云上,其都能通過零信任網(wǎng)絡(luò)提供的“身份、設(shè)備、應(yīng)用”信任鏈訪問有權(quán)訪問的資源。
便捷的資源訪問
隨著企業(yè)數(shù)據(jù)中心和分支機構(gòu)增多,異地數(shù)據(jù)中心繁多,核心應(yīng)用上云,大量應(yīng)用第三方SaaS,其辦公環(huán)境愈發(fā)復(fù)雜,員工一項工作需要多種資源,所需資源分布在不同物理設(shè)施,工作時常要登錄多個系統(tǒng),來回切換不同的虛擬專用網(wǎng)。
零信任網(wǎng)絡(luò)通過統(tǒng)一的認(rèn)證管理,使得員工一次登錄即可獲得應(yīng)有的應(yīng)用訪問權(quán)限,同時使用部署在不同位置的應(yīng)用,極大改善了工作效率和工作體驗。
