认识零信任安全网络架构
目錄
一、前言:
二、什么是零信任網(wǎng)絡(luò)?
三、為什么選擇零信任網(wǎng)絡(luò)?
四、零信任網(wǎng)絡(luò)與傳統(tǒng)安全模型
五、零信任網(wǎng)絡(luò)的設(shè)計原則
六、零信任架構(gòu)的邏輯組成
七、零信任架構(gòu)的部署形式
八、總結(jié)
一、前言:
“零信任網(wǎng)絡(luò)”(亦稱零信任架構(gòu))自2010年被當時還是研究機構(gòu)Forrester的首席分析師JohnKindervag提出時起,便一直處于安全圈的“風口浪尖”處,成為眾人不斷爭議與討論的對象,有人說這是未來安全發(fā)展的必然產(chǎn)物、也有人說其太過超前而無法落地,但無論“零信任”如何飽受爭議,不可否認的是隨著“零信任”的支撐技術(shù)逐漸發(fā)展,這個從前只存在于理論上的“安全最優(yōu)解”正逐步成為現(xiàn)實。
在2019年9月份,工信部公開征求對《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》的意見中,《意見》指出到2025年,要培育形成一批年營收超過20億的網(wǎng)絡(luò)安全企業(yè),形成若干具有國際競爭力的網(wǎng)絡(luò)安全骨干企業(yè),網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模要超過2000億。除了提出對市場規(guī)模和網(wǎng)安企業(yè)的要求,該《意見》還將“零信任安全”列入網(wǎng)絡(luò)安全需要重點突破的關(guān)鍵技術(shù)。
那么究竟什么是“零信任安全架構(gòu)”,他與傳統(tǒng)的邊界模型又有什么區(qū)別。美創(chuàng)安全實驗室從本周起將分三期帶大家詳細了解“零信任”的成長始末。
二、什么是零信任網(wǎng)絡(luò)?
“零信任”是一個安全術(shù)語也是一個安全概念,它將網(wǎng)絡(luò)防御的邊界縮小到單個或更小的資源組,其中心思想是企業(yè)不應(yīng)自動信任內(nèi)部或外部的任何人/事/物、不應(yīng)該根據(jù)物理或網(wǎng)絡(luò)位置對系統(tǒng)授予完全可信的權(quán)限,應(yīng)在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證、對數(shù)據(jù)資源的訪問只有當資源需要的時候才授予。
簡單來說,**“零信任”的策略就是不相信任何人。除非網(wǎng)絡(luò)明確知道接入者的身份,否則任誰都無法接入到網(wǎng)絡(luò)。**現(xiàn)有傳統(tǒng)的訪問驗證模型只需知道IP地址或者主機信息等即可,但在“零信任”模型中需要更加明確的信息才可以,不知道用戶身份或者不清楚授權(quán)途徑的請求一律拒絕。用戶的訪問權(quán)限將不再受到地理位置的影響,但不同用戶將因自身不同的權(quán)限級別擁有不同的訪問資源,而過去從外網(wǎng)登陸內(nèi)網(wǎng)所需的VPN也將被一道廢棄。零信任對訪問控制進行了范式上的顛覆,引導安全體系架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”,其本質(zhì)訴求是以身份為中心進行訪問控制。
這與無邊界網(wǎng)絡(luò)概念有點類似。在無邊界網(wǎng)絡(luò)概念中,最終用戶并不是所有都位于辦公室以及防火墻后,而是在遠程工作,使用他們的iPad或者其他移動設(shè)備。網(wǎng)絡(luò)需要了解他們角色的更多信息,并明確哪些用戶被允許連接網(wǎng)絡(luò)來工作。
零信任架構(gòu)是對企業(yè)級網(wǎng)絡(luò)發(fā)展趨勢的回應(yīng),企業(yè)級網(wǎng)絡(luò)開始包含遠程用戶和位于企業(yè)網(wǎng)絡(luò)邊界的基于云的資產(chǎn)。零信任架構(gòu)關(guān)注于保護資源、而非網(wǎng)絡(luò)分段,因為網(wǎng)絡(luò)位置不再被視為資源安全態(tài)勢的主要組成部分。
三、為什么選擇零信任網(wǎng)絡(luò)?
1. 網(wǎng)絡(luò)安全形式日趨嚴峻,急需一種有效的解決方案
美國網(wǎng)絡(luò)安全公司 CybersecurityVentures 發(fā)布的《2017年度網(wǎng)絡(luò)犯罪報告》預測,到2021年,網(wǎng)絡(luò)犯罪所致全球經(jīng)濟損失總額將達6萬億美元/年,比2015年的3萬億美元足足翻了一倍。同時,波耐蒙研究所在IBM資助下所做的《2017數(shù)據(jù)泄露研究》發(fā)現(xiàn),數(shù)據(jù)泄露事件所致平均損失為362萬美元。盡管該數(shù)字比上一年有所下降,但數(shù)據(jù)泄露事件的平均規(guī)模卻上升了1.8%,達到了平均每起事件泄露2.4萬條記錄之多。
企業(yè)高管們認識到了如果僅僅依靠現(xiàn)有安全方法并不足以應(yīng)對愈趨嚴峻的安全態(tài)勢,他們需要更好的東西,而零信任模型恰好就能得到最好的結(jié)果。“零信任模型”基本上打破了舊式邊界防護思維,舊式思維專注防御邊界,假定已經(jīng)在邊界內(nèi)的任何事物都不會造成威脅,因而邊界內(nèi)部事務(wù)基本暢通無阻,全部擁有訪問權(quán)限。
但越來越多的安全專家和技術(shù)專家并不認同邊界防御的效果。尤其是最近幾起嚴重的數(shù)據(jù)泄露事件都是因為黑客突破了外部防御后,便潛伏于企業(yè)內(nèi)網(wǎng),利用內(nèi)部系統(tǒng)漏洞和管理缺陷逐步獲得更高級權(quán)限,而黑客在公司內(nèi)網(wǎng)下的橫向移動過程中幾乎沒遇到什么阻礙。這也證明曾經(jīng)大多數(shù)人主張的“內(nèi)部網(wǎng)絡(luò)是安全的”這一論點從根本上就是錯誤的。
IT系統(tǒng)的一個固有問題在于,太多東西可以經(jīng)由默認連接而“四處巡游“。人們的信任值過高,這也是互聯(lián)網(wǎng)得以騰飛的原因所在,因為每個人都可以在任何時間任何地點共享任何東西。但“信任”也是一把雙刃劍,這也是互聯(lián)網(wǎng)安全的癥結(jié)所在:如果你信任所有東西,你就沒機會保證任何東西的安全。
2. 云技術(shù)的崛起,打破了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)
如今企業(yè)的IT部門為什么急需一種新的安全思維,直接原因是大部分是網(wǎng)絡(luò)邊界已經(jīng)不存在了,純內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在,企業(yè)應(yīng)用一部分在辦公樓里,一部分在云端----分布各地的雇員、合作伙伴和客戶通過各種各樣的設(shè)備訪問云端應(yīng)用。根本原因是云技術(shù)近幾年的大力發(fā)展初顯成效,云防火墻技術(shù)逐漸成熟、云計算的算力不斷提升導致云服務(wù)器幾乎成為了每家企業(yè)的必要設(shè)備。
而隨著云技術(shù)的不斷深入可能導致各種人員通過不同方式接入企業(yè)網(wǎng)絡(luò),對原有的企業(yè)內(nèi)網(wǎng)架構(gòu)造成沖擊,到時候內(nèi)網(wǎng)可能回和外網(wǎng)一樣透明,毫無隱私而言,這一點與當初架構(gòu)的設(shè)計理念可以說是大相徑庭,因此我們必須尋求一種能適應(yīng)云服務(wù)的全新架構(gòu),而“零信任架構(gòu)“也能滿足這個需求。
綜上所述,由于種種宏觀變化,都推動了“零信任網(wǎng)絡(luò)“的發(fā)展與流行,面對工作更加移動化和云端化,曾經(jīng)給過我們無數(shù)安全感的”防火墻“不得不逐步退后,割舍自己曾經(jīng)“主導的陣地”,一直后退到需要保護的資產(chǎn)身邊。這也恰恰是“零信任網(wǎng)絡(luò)”所追求的場景。
四、零信任網(wǎng)絡(luò)與傳統(tǒng)安全模型
傳統(tǒng)的安全模型是以邊界模型為基礎(chǔ)而逐步完善的,傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)通過防火墻、WAF、IPS等邊界安全產(chǎn)品/方案對企業(yè)網(wǎng)絡(luò)邊界進行重重防護。它的核心思想是分區(qū)、分層(加強縱深防御)。**邊界模型專注防御邊界,將攻擊者盡可能擋在外面,假定已經(jīng)在邊界內(nèi)的任何事物都不會造成威脅,**因此邊界內(nèi)部基本暢通無阻。
而反觀“零信任架構(gòu)”,“零信任網(wǎng)絡(luò)“強調(diào)的是永不信任和始終驗證,不信任任何人、事、物。JohnKindervag在提出“零信任”概念時提出過三個原則:
① 不應(yīng)該區(qū)分網(wǎng)絡(luò)位置。
② 所有的訪問控制都應(yīng)該是最小權(quán)限且嚴格限制。
③ 所有的訪問都應(yīng)當被記錄和跟蹤。
如果說傳統(tǒng)網(wǎng)絡(luò)安全模型是用“城墻”將人民保護在一起,那么“零信任網(wǎng)絡(luò)”則是“城門大開”,但是每個民眾都配備一個士兵保護。相比于用廣闊的“城墻”來防護,這種“點到點”的防護策略顯得更加靈活與安全。
那么我們是否可以徹底舍棄城墻,完全轉(zhuǎn)為這種靈活的安全策略呢?
答案顯然是否定的,傳統(tǒng)防火墻至今仍可以抵御80%以上的攻擊,如果完全舍棄防火墻一類的傳統(tǒng)安全產(chǎn)品全部使用“零信任“的策略,**由于”零信任“需要足夠強的帶寬來支撐大量的訪問控制請求,那么勢必會消耗大量的網(wǎng)絡(luò)資源,造成卡頓,請求超時等等后果還有可能影響業(yè)務(wù)功能的正常使用。**所以在傳統(tǒng)邊界防護的基礎(chǔ)上搭建”零信任架構(gòu)“才是最好的選擇。
五、零信任網(wǎng)絡(luò)的設(shè)計原則
“零信任架構(gòu)“提供了旨在消除在信息系統(tǒng)和服務(wù)中實施準確訪問決策時的不確定性的一系列概念、思想和組件關(guān)系(體系結(jié)構(gòu))。為了減少不確定性,“零信任”在網(wǎng)絡(luò)認證機制中減少時間延遲的同時更加關(guān)注認證、授權(quán)、以及可信域。訪問規(guī)則被限制為最小權(quán)限。
在Evan Gilman《零信任網(wǎng)絡(luò)》一書中,根據(jù)“零信任網(wǎng)絡(luò)”的創(chuàng)建理念在合理的推測下被描述為建立在以下五個基本斷言上:
① 應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅。
② 外部和內(nèi)部威脅每時每刻都充斥著網(wǎng)絡(luò)。
③ 不能僅僅依靠網(wǎng)絡(luò)位置來建立信任關(guān)系。
④ 所有設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)該被認證和授權(quán)。
⑤ 訪問控制策略應(yīng)該是動態(tài)的基于盡量多的數(shù)據(jù)源進行計算和評估。
五個斷言簡單易懂但又直擊要害,由此可以看出,“零信任”的理念已經(jīng)從邊界模型“信任但驗證”轉(zhuǎn)換到“從不信任,始終驗證”的模式。所以我們在此基礎(chǔ)上進一步推理可以總結(jié)出在“零信任架構(gòu)”的設(shè)計下要遵循的六點基本原則:
① 所有的數(shù)據(jù)源和計算服務(wù)都被認為是資源。
② 所有的通信都是安全的,而且安全與網(wǎng)絡(luò)位置無關(guān)。
③ 對單個企業(yè)資源的訪問的授權(quán)是對每次連接的授權(quán)。
④ 對資源的訪問是通過策略決定的,包括用戶身份的狀態(tài)和要求的系統(tǒng),可能還包括其他行為屬性。
⑤ 企業(yè)要確保所有所屬的和相關(guān)的系統(tǒng)都在盡可能最安全的狀態(tài),并對系統(tǒng)進行監(jiān)控來確保系統(tǒng)仍然在最安全的狀態(tài)。
⑥ 用戶認證是動態(tài)的,并且在允許訪問前嚴格執(zhí)行。
六、零信任架構(gòu)的邏輯組成
在組織和企業(yè)中,構(gòu)成零信任架構(gòu)部署的邏輯組件通常有很多,《NIST SP800-207:零信任架構(gòu)草案》中描述了一種典型的方案邏輯及核心產(chǎn)品組件:
- 策略引擎(Policy Engine):該組件負責最終決定是否授予指定訪問主體對資源(訪問客體)的訪問權(quán)限。策略引擎使用企業(yè)安全策略以及來自外部源(例如IP黑名單,威脅情報服務(wù))的輸入作為“信任算法”的輸入,以決定授予或拒絕對該資源的訪問,策略引擎的核心作用是信任評估。
- 策略管理器(Policy Administrator):組件負責建立客戶端與資源之間的連接。它將生成客戶端用于訪問企業(yè)資源的任何身份驗證令牌或憑據(jù)。它與策略引擎緊密相關(guān)并依賴于其決定最終允許或拒絕連接,策略管理器的核心作用是策略判定點,是零信任動態(tài)權(quán)限的判定組件。
- 策略執(zhí)行點(Policy Enforcement Point):這實際上是一個組件系統(tǒng),負責開始,持續(xù)監(jiān)控、并最終結(jié)束訪問主體與訪問客體之間的連接。策略執(zhí)行點實際可分為兩個不同的組件:客戶端組件(如用戶筆記本電腦上的agent)與資源端組件(如資源前控制訪問的網(wǎng)關(guān)),策略執(zhí)行點的核心作用是確保業(yè)務(wù)的安全訪問。
除了以上核心組件外,還有進行訪問決策時為策略引擎提供輸入和策略規(guī)則的許多數(shù)據(jù)源。包括本地數(shù)據(jù)源和外部數(shù)據(jù)源,具體包括:
- 持續(xù)診斷和緩解計劃系統(tǒng)(CDM System):該系統(tǒng)收集關(guān)于企業(yè)系統(tǒng)當前狀態(tài)的信息,并將更新應(yīng)用到配置和軟件組件中。企業(yè)CDM系統(tǒng)還提供給策略引擎關(guān)于系統(tǒng)訪問請求的信息。
- 行業(yè)合規(guī)系統(tǒng)(Industry Compliance System):該系統(tǒng)確保企業(yè)與當前政府管理的一致性。包括企業(yè)開發(fā)的所有策略規(guī)則來確保合規(guī)。
- 威脅情報流(Threat Intelligence):該系統(tǒng)提供幫助策略引擎進行訪問決策的信息。
- 數(shù)據(jù)訪問策略(Data Access Policy):數(shù)據(jù)訪問策略是企業(yè)為企業(yè)資源創(chuàng)建的關(guān)于數(shù)據(jù)訪問的屬性、規(guī)則和策略的集合。策略規(guī)則集可以編碼在策略引擎中或有PE動態(tài)生成。
- 企業(yè)公鑰基礎(chǔ)設(shè)施(PKI):該系統(tǒng)負責生成和記錄企業(yè)對資源、應(yīng)用等發(fā)布的證書。既包括全局CA生態(tài)系統(tǒng)和聯(lián)邦PKI。
- ID管理系統(tǒng)(ID Management):系統(tǒng)負責創(chuàng)建、保存和管理企業(yè)用戶帳戶和身份記錄。系統(tǒng)中既含有必要的用戶信息,也含有其他企業(yè)特征,比如角色、訪問屬性、或分配的系統(tǒng)。
- 安全應(yīng)急和事件管理系統(tǒng)(SIEM System):集合了系統(tǒng)日志、網(wǎng)絡(luò)流量、資源權(quán)利和其他信息的企業(yè)系統(tǒng)為企業(yè)信息系統(tǒng)體佛那個安全態(tài)勢的反饋。
七、零信任架構(gòu)的部署形式
基于設(shè)備代理/網(wǎng)關(guān)的部署
在基于設(shè)備代理/網(wǎng)關(guān)的部署模型中,PEP(策略執(zhí)行點)被分為2個組件,位于資源上或在資源之前直接作為組件。比如,每隔企業(yè)發(fā)布的系統(tǒng)都安裝了設(shè)備代理,每個資源都有一個前置的組件只網(wǎng)關(guān)直接通信,作為資源的逆向代理。網(wǎng)關(guān)份額則連接到策略管理員,并允許策略管理員批準的連接。
基于微邊界的部署
基于微邊界的部署模型是基于設(shè)備代理/網(wǎng)關(guān)的部署模型的變種。該模型中,無關(guān)組件可能位于系統(tǒng)中,也可能位于單個資源之前。一般來說,這些資源是作為單個業(yè)務(wù)功能,并不直接與網(wǎng)關(guān)來通信。該模型中,企業(yè)私有云位于網(wǎng)關(guān)之后。
基于資源門戶的部署
在基于資源門戶的部署模型中,PEP作為一個單獨的組件作為用戶請求的網(wǎng)關(guān)。網(wǎng)關(guān)門戶可以作為單個資源也可以作為單個業(yè)務(wù)功能集合的微邊界。
系統(tǒng)應(yīng)用沙箱
系統(tǒng)應(yīng)用沙箱部署模型也是基于代理/網(wǎng)關(guān)部署模型的變種,沙箱模型使可信應(yīng)用在系統(tǒng)中隔離運行。這些隔離的部分可以是虛擬機、也可以是容器和其他實現(xiàn)方式,但目標是一樣的:保護系統(tǒng)中運行的主機和應(yīng)用不受其他應(yīng)用的影響。
八、總結(jié)
回顧一下本期內(nèi)容,首先我們詳細介紹了“零信任”的誕生過程,它是如何自2010年被JohnKindervag提出以及被提出后便一直飽受爭議的故事,其次我們從互聯(lián)網(wǎng)宏觀發(fā)展環(huán)境下論證“零信任網(wǎng)絡(luò)”為什么是未來三年的互聯(lián)網(wǎng)主要發(fā)展法方向,然后我們對比傳統(tǒng)的網(wǎng)路邊界模型,總結(jié)出“零信任網(wǎng)絡(luò)”較傳統(tǒng)邊界模型的優(yōu)點從而推導出為什么要選擇“零信任網(wǎng)絡(luò)“,之后我們根據(jù)互聯(lián)網(wǎng)環(huán)境以及“零信任”設(shè)計理念合理推出“零信任網(wǎng)絡(luò)”的六點設(shè)計原則,在已定的設(shè)計原則上,我們仔細介紹了“零信任網(wǎng)絡(luò)”的詳細邏輯組件以及工作原理,提出理想化模型后我們又針對此架構(gòu)的部署方式做了簡單說明,提出了對應(yīng)不同環(huán)境的四種部署方式。
總結(jié)
以上是生活随笔為你收集整理的认识零信任安全网络架构的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: JS 判断输入是否为数字
- 下一篇: 解决tensorflow在训练的时候权重