零信任的过去、现在和未来
往期博客已經(jīng)介紹了有關零信任安全框架的基本概念和相關應用,本期將從行業(yè)的角度介紹零信任的由來、現(xiàn)狀和未來展望。
1. 前零信任時代
過去十年,信息安全行業(yè)經(jīng)歷了三大趨勢:移動化、上云和軟件即服務(SaaS)。這三大趨勢重新定義了工作、業(yè)務開展和信息消費的方式。據(jù)?Gartner 預測,到 2022 年,全球終端用戶的公有云服務開支將超過4800億美元,同比增長21.7%。朝九晚五的現(xiàn)場辦公模式早已被遠程辦公逐漸取代,員工在家或在路上就可以連接企業(yè)網(wǎng)絡。新冠疫情的爆發(fā)迫使人們居家隔離,進一步加速了遠程辦公的普及。一夜之間,科技行業(yè)最核心員工之外的所有員工都開始了全遠程辦公。?
同時,越來越多企業(yè)采用混合 IT 環(huán)境,對企業(yè)的網(wǎng)絡安全提出了新的復雜要求。以往,企業(yè)都使用數(shù)據(jù)中心運行核心應用并存儲敏感數(shù)據(jù),現(xiàn)在有不少大型企業(yè)都開始購買云服務,將資源從本地硬件遷移到公有云,目的是降低成本,提高資源的可擴展性。而為了更快獲取投資回報,進一步降低總擁有成本(TCO),很多企業(yè)都選擇 SaaS 應用,而不是傳統(tǒng)的自托管企業(yè)應用或企業(yè)自建的解決方案。
然而,上述三大趨勢給企業(yè)的網(wǎng)絡安全和用戶體驗都帶來了巨大挑戰(zhàn):
傳統(tǒng)的網(wǎng)絡安全基礎架構如同護城河,企業(yè)資源由具有網(wǎng)絡安全設備的企業(yè)網(wǎng)絡邊界保護,這些設備包括殺毒軟件、防火墻、URL 過濾、數(shù)據(jù)丟失防護、拒絕服務攻擊保護和沙盒。為了適應遠程辦公和移動辦公的趨勢,企業(yè)在原有架構上添加了虛擬專用網(wǎng)絡(VPN),在企業(yè)網(wǎng)絡和遠程員工之間形成安全通道。但是,VPN 會過度授予用戶對企業(yè)網(wǎng)絡和資源的訪問權限,用戶達到一定數(shù)量時經(jīng)常會遇到連接速度慢的問題。
在保障遠程訪問 SaaS 應用安全的問題上,傳統(tǒng)方法類似于“創(chuàng)可貼”,將所有流量路由到總數(shù)據(jù)中心,在數(shù)據(jù)中心可以從集中位置訪問資源。不過由于流量路由效率低、擴展能力有限、各類隱形成本和安全性不佳,傳統(tǒng)方法很難順利實現(xiàn)。
與傳統(tǒng)方法相比,云遷移的初始設置成本較低、維護要求少,工作負載同時具有可擴展性和靈活性。只是,許多資源被企業(yè)的數(shù)據(jù)中心和公有云廠商隔離。此外,動態(tài)、短期且相互依賴的云原生工作負載還需要云原生的安全防護功能。
2. 進入零信任時代
過去,企業(yè)網(wǎng)絡安全的定義側重于使用網(wǎng)絡防護方法支持網(wǎng)絡連接、監(jiān)控和檢測。如今,基于位置的傳統(tǒng)網(wǎng)絡邊界方法已被淘汰。身份開始在全新的現(xiàn)代化安全框架中發(fā)揮核心作用,這種以身份為中心的安全框架稱為零信任。零信任的概念基于以下原則:“永不信任,始終驗證”。該模型將根據(jù)靜態(tài)位置信息推斷出的隱式信任替換為基于動態(tài)情境數(shù)據(jù)的顯式信任。情境數(shù)據(jù)的來源包括用戶身份、應用程序和屬性、端點狀態(tài)、網(wǎng)絡健康狀態(tài)和企業(yè)安全策略。
零信任網(wǎng)絡訪問(ZTNA)用于保障專用網(wǎng)絡安全,只能有經(jīng)過驗證的請求才能進行條件訪問。零信任代理在授予或拒絕訪問之前會不斷驗證請求的身份、情境和策略。ZTNA 確保應用不再對所有人可見,大幅減少了攻擊面。由于 ZTNA 的可用性和可擴展性優(yōu)勢,作為 VPN 的替代方案推出后就迅速取得了業(yè)內(nèi)關注。此外,ZTNA 提供的基于身份和情境的micro-segmentation 微隔離(微分段)也支持細粒度的安全控制,與基于網(wǎng)絡的傳統(tǒng)分割方法相比,微隔離(微分段)能更有效地在防止橫向移動攻擊。
也正是因為傳統(tǒng)網(wǎng)絡邊界模型已無法繼續(xù)滿足現(xiàn)代企業(yè)的安全需求和性能要求,越來越多的公司開始對零信任策略感興趣。2019 年,Gartner 結合了網(wǎng)絡連接與網(wǎng)絡安全概念創(chuàng)建了安全訪問服務邊緣(SASE)模型。在該模型下,企業(yè)可以使用以身份為中心的網(wǎng)絡訪問云服務以及安全 Web 網(wǎng)關(SWG)和云訪問安全代理(CASB)替換原有的中心輻射型網(wǎng)絡基礎架構,以提升效率和安全性。還有一種方案是使用軟件定義的廣域網(wǎng) (SD-WAN) 、身份和訪問管理(IAM) 、SWG 和 CASB 來減少或替換現(xiàn)有的多協(xié)議標簽交換(MPLS)。
3. 展望零信任的未來
1)零信任在數(shù)據(jù)平面和控制平面取得的進展
零信任開發(fā)和采用的最佳可視化方式就是探索理想的零信任架構。為此,可以將零信任框架的實現(xiàn)抽象為數(shù)據(jù)平面和控制平面的組合。數(shù)據(jù)平面提供對資源的訪問,而控制平面對資源的訪問權限做出持續(xù)的實時決策。
理想的零信任框架應該具有最高效的數(shù)據(jù)平面和最有效的控制平面。
零信任框架的數(shù)據(jù)平面基于整體的安全專用網(wǎng)絡,通過數(shù)據(jù)平面可以統(tǒng)一處理人員、應用、工作負載和數(shù)據(jù)連接,比起分開處理更加安全高效。
在這種情況下,零信任的安全專用網(wǎng)狀網(wǎng)絡可以使用任何類型的網(wǎng)絡基礎架構連接來自任何資源、設備和用戶的流量,覆蓋底層物理網(wǎng)絡基礎架構,如寬帶、光纖、4G/5G 或 WiFi,將企業(yè) IT 和安全全景從物理拓撲中抽象出來,此外還能基于企業(yè) IT 安全需求使用身份、情境和策略在人員、應用和資源之間建立邏輯關系。
零信任框架的控制平面是指零信任的編排,包括觀察、監(jiān)控、檢查、分析和采取行動。零信任編排和安全網(wǎng)狀網(wǎng)絡之間的交互可控制反饋回路。
本質(zhì)上來說,零信任編排的三個關鍵特性分別是集成性、雙向性和連續(xù)性:
-
集成性:零信任編排集成了各種安全信號并轉(zhuǎn)化為情境數(shù)據(jù)。這些信號可能來自用戶、設備、應用、工作負載和數(shù)據(jù)等各種身份類型,可能來自網(wǎng)絡流量、終端設備、工作負載、應用和郵件等狀態(tài)數(shù)據(jù)列表,還可能來自用戶行為和威脅情報。此外,零信任編排還將訪問策略納入驗證授權、會話管理或資源撤銷的決策中。
-
雙向性:零信任編排與身份提供程序、網(wǎng)絡、終端和應用等安全組件進行雙向的信息交換:通過監(jiān)聽事件流或關聯(lián)來自安全信號的歷史輸入收集數(shù)據(jù),隨后使用機器學習和基于規(guī)則的方法整合信息,最后將指示發(fā)送回安全組件以采取行動。
-
持續(xù)性:零信任編排支持持續(xù)安全管理,即在整個網(wǎng)絡連接的生命周期內(nèi)實現(xiàn)近乎實時的安全執(zhí)行,而不只是在連接點或訪問點采取安全控制。例如,當零信任編排檢測到惡意活動或禁用的用戶賬號時,可以立即請求身份提供程序撤銷令牌刷新或會話刷新,建議網(wǎng)絡與資源斷開連接,必要時要求應用重新驗證用戶身份。
2)零信任和身份系統(tǒng)如何協(xié)同工作
身份是零信任框架的基石。我們需要身份來描述和管控幾乎所有內(nèi)容,包括員工、客戶、承包商、本地應用、SasS 應用、API、服務器、虛擬機、容器、無服務器、物聯(lián)網(wǎng)(IoT)、機器人、數(shù)據(jù)集、甚至是非同質(zhì)化代幣(NFT)。而在身份之間建立聯(lián)系就需要 IAM、特權訪問管理(PAM)、身份治理和管理(IGA)以及身份驗證等方法。零信任安全就是利用身份優(yōu)化用戶體驗,增強安全態(tài)勢的最佳示例之一。
3)呼吁安全行業(yè)內(nèi)部合作
從行業(yè)內(nèi)部研發(fā)和并購的角度來看,零信任作為保障企業(yè)網(wǎng)絡安全的現(xiàn)代化方式可以推動行業(yè)整合。目前安全行業(yè)的大量投資都涌入了零信任板塊,數(shù)十家公司也都于近期推出了零信任產(chǎn)品。然而,任何安全行業(yè)廠商,甚至是大廠,都無法獨立提供一整套零信任產(chǎn)品。這是因為在網(wǎng)絡安全中,足夠安全是遠遠不夠的,在構建安全基礎架構時將所有雞蛋放在一個籃子里是非常危險的。而更好的方法就是與多家安全廠商建立深度戰(zhàn)略合作關系,采用最佳產(chǎn)品組合以抵御潛在的網(wǎng)絡攻擊。此外,在應用之外添加單獨的安全程序也能提供額外防護。?
當下的安全行業(yè)受到了內(nèi)部割裂的負面影響,當務之急是考慮增進協(xié)作,協(xié)作可以推動技術進步,讓每個用戶和企業(yè)都可以隨時隨地安全使用任何技術。在零信任時代,協(xié)作變得更加重要。在安全信號共享領域已有初步探索,OpenID 基金會的共享信號和事件工作組就是很好的例子。未來,希望整個安全行業(yè)都能齊心協(xié)力,合作共贏。
總結
以上是生活随笔為你收集整理的零信任的过去、现在和未来的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 误传(转载)
- 下一篇: 英语说10点20有计算机课,101 pr