“零信任”自從2010年被Forrester分析師約翰·金德維格正式提出到現在已有十年的歷史,在這十年中“零信任”一直都是安全圈內眾人不斷爭議和討論的對象,有人說它將是網絡安全發展的必然產物,也有人說這種理念難以實現。無論“零信任”如何飽受爭議,但事實證明隨著相關技術的發展它都已然成為當下企業最好的選擇。
研究人員說: “我們估計,這份報告中披露的戰役是伊朗迄今所揭示的最連續,最全面的戰役之一。”,“揭露的戰役被用作偵察基礎設施;但是,研究人員將攻擊活動與威脅小組APT33,APT34和APT39捆綁在一起,使用開放源代碼和自行開發的工具進行了混合,從而促進了小組竊取敏感信息并利用供應鏈攻擊來針對其他組織,說過。
2019年,在工信部公開征求對《關于促進網絡安全產業發展的指導意見(征求意見稿)》的意見中,”零信任安全“首次被列入網絡安全需要突破的關鍵技術。同年,國家首次將零信任安全技術和5G、云安全等并列列為我國網絡安全重點細分領域技術。由此可見,零信任安全同樣引起了國家相關部門和業界的高度重視。
陳本峰認為:”想要實現零信任,就需要重新思考我們應該如何利用現有的基礎設施,以更簡單、更高效的方式設計具體實施方案,同時保證整個過程中不受任何阻礙。“針對零信任架構的3種具體實現方案,陳本峰為我們帶來了詳細的解讀。
零信任架構
零信任架構就是在不可信的網絡環境下重建信任,利用零信任概念和包含組件關系,制定工作流程規劃和訪問策略。零信任架構是基于零信任的企業網絡安全策略原則,其目的是防止數據泄漏并限制內部橫向移動。零信任架構的技術的本質是構建以身份為基石的業務動態可信訪問控制機制。企業決定采用零信任作為網絡安全基礎,并基于零信任原則制定開發計劃,然后部署此計劃形成一個零信任環境供企業使用。
企業可以通過多種方式為工作流程制定ZTA。這些方法在使用組件和組織的策略規則的主要來源方面有所不同。每個方法都實現了零信任的7大原則(零信任安全十周年峰會|陳本峰受邀出席并解讀《NIST零信任架構》),但可以使用一個或兩個作為策略的主要驅動力。這些方法包括通過下一代防火墻增強身份治理驅動的邏輯微分段,以及基于網絡的細分。
針對不同的用例可以選擇不同的方法,很多組織為企業開發零信任產品時可能會發現其選擇的用例和現有策略指向,某種方法會優勝于其他方法。這并不意味著其他方法無效,而是在具體的過程中其他方法難以實施,可能需要更基本的方法來更改企業當前業務流程的方式。
零信任架構(ZTA)的三大技術:”SIM“
2019年,美國國家標準委員會NIST對外正式發布了《零信任架構ZTA》白皮書,強調了零信任的安全理念,并介紹了實現零信任架構的三大技術”SIM“:
1)SDP,軟件定義邊界;
2)IAM,身份權限管理;
3)MSG,微隔離。
零信任架構的三大技術
圖: 零信任架構的三大技術
SDP 軟件定義邊界:
SDP即”軟件定義邊界“,是國際云安全聯盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代網絡安全模型。SDP 旨在使應用程序所有者能夠在需要時部署安全邊界,以便將服務與不安全的網絡隔離開來。SDP 將物理設備替換為在應用程序所有者控制下運行的邏輯組件。SDP 僅在設備驗證和身份驗證后才允許訪問企業應用基礎架構。
SDP 的體系結構由兩部分組成:SDP 主機和 SDP 控制器。SDP 主機可以發起連接或接受連接。這些操作通過安全控制通道與 SDP 控制器交互來管理(請參見下圖)。因此,在 SDP 中,控制平面與數據平面分離以實現完全可擴展的系統。此外,為便于擴展與保證正常使用,所有組件都可以是多個實例的。
圖:SDP架構及特性
在使用中,每個服務器都隱藏在遠程訪問網關設備后面,在授權服務可見且允許訪問之前用戶必須對其進行身份驗證。 SDP 采用分類網絡中使用的邏輯模型,并將該模型整合到標準工作流程中。
SDP的安全優勢:
1、SDP最小化攻擊面降低安全風險;
2、SDP通過分離訪問控制和數據信道,保護關鍵資產和基礎架構,從而阻止潛在的基于網絡的攻擊;
3、SDP提供了整個集成的安全體系結構,這一體系結構是現有的安全設備難以實現的;
4、SDP提供了基于連接的安全架構,而不是基于IP的替代方案。因為整個IT環境爆炸式的增長,云環境中的邊界缺失使得基于IP的安全性變得脆弱。
5、SDP允許預先審查控制所有連接,從哪些設備、哪些服務、哪些設施可以進行連接,所以它整個的安全性方面是比傳統的架構是更有優勢的。
IAM(增強的身份管理)
身份管理是大多數組織實現安全和IT運營策略的核心。它使企業可以自動訪問越來越多的技術資產,同時管理潛在的安全和合規風險。身份管理為所有用戶,應用程序和數據啟用并保護數字身份。
開發ZTA的增強的身份管理方法將參與者的身份用作策略創建的關鍵組成部分。企業資源訪問的主要要求基于授予給定主體的訪問特權。通常使用開放式網絡模型或具有訪問者訪問權限或網絡上頻繁使用非企業設備的企業網絡找到針對企業的基于身份治理的增強方法。最初,所有具有資源訪問權限的資產都將獲得網絡訪問權限,這些權限僅限于具有適當訪問權限的身份。自發布NIST SP 800-207(第二草稿)零信任架構以來,身份驅動的方法與資源門戶網站模型配合的很好。身份和狀態提供輔助支持數據以訪問決策。其他模型也可以使用,具體取決于現有的策略。
身份管理可以幫助組織有效地解決復雜業務帶來的挑戰,并平衡四個關鍵目標:
加強安全性并降低風險。
改善合規性和審計績效。
提供快速,有效的業務訪問。
降低運營成本。
圖: 零信任身份與訪問管理
MSG(微隔離)
微隔離是一種網絡安全技術,它可以將數據中心在邏輯上劃分為各個工作負載級別的不同安全段,然后定義安全控制并為每個唯一段提供服務。微隔離使IT人員可以使用網絡虛擬化技術在數據中心內部部署靈活的安全策略,而不必安裝多個物理防火墻。此外,微隔離可用于保護每個虛擬機(VM)在具有策略驅動的應用程序級安全控制的企業網絡中。微隔離技術可以大大增強企業的抵御能力。
圖: 微隔離
微隔離是一種在數據中心和云部署中創建安全區域的方法,該方法使企業組織可以分離工作負載并分別保護它們,使網絡安全性更加精細,從而更加有效。如下為微隔離的幾個好處:
1,減少攻擊面
2.改善橫向運動的安全性
3.安全關鍵應用
4.改善法規遵從性狀況
寫在最后:
網絡安全多年來已經成為人們口中經久不衰的話題,從單一防護到零信任的發展,安全防御方式正在進一步提升。隨著技術的不斷發展,零信任理念也正在逐步將公共和私人網絡的邊界消除。不過,并非每個企業都擁有實施零信任網絡的IT基礎架構的知識、資源和時間。企業必須擁有大量的預算和人力來開發,構建和維護因地適宜的零信任架構。對于資源不足的小型企業來說,這也將成為一項重大的挑戰。