通过低开销的零信任架构方法保护公司的数字资产
零信任是一种设计安全防护架构的方法,它的核心思路是:默认情况下,所有交互都是不可信的。这与传统的架构相反,后者可能会根据通信是否始于防火墙内部来判断是否可信。具体而言,零信任力求弥合依赖隐式信任模型和一次性身份验证的安全防护架构之间的缺口。
零信任之所以得到广泛普及,是因为随着全球威胁格局的改变,传统的网络边界安全防护理念面临巨大挑战。组织严密的网络犯罪分子可能会利用内部涉密人员,同时继续寻找新的方法来突破传统安全防护架构的外壳。制作精良的黑客工具和商业化勒索软件即服务平台越来越容易获得,使得新一类经济犯罪分子和网络恐怖分子能更加轻易地得逞。所有这些威胁都有可能泄露珍贵数据,扰乱业务和商业,并对人们生活造成影响。
在著名的 Forrester Research 2010 年零信任报告中,分析师 John Kindervag 呼吁将网络安全防护中常见的”信任但验证”方法调整为”验证而不信任”策略。Kindervag 针对当年盛行业界的座右铭:”我们希望我们的网络就像 M&M 巧克力豆一样,外面爽脆,中间软糯”提出了质疑。几十年来,企业的网络安全都是这样设计的:一个内部或受信任的网络(中间软糯)由防火墙及其他安全防护措施(外面爽脆)与外部世界隔绝开。这个边界内的(或通过远程方法连接的)人或端点,要比边界外的人或端点获得更高级别的信任。
这种”硬壳软心”的安全防护设计可以说从来都不是理想的方法,但今天却仍在广泛使用。这些架构使得进入内部网络的人可以轻松地遍历内部网络,相应的用户、设备、数据和其他资源几乎完全不设防。网络攻击正是利用了这种设计,即首先获得对一个或多个内部端点或其他资产的访问权限,然后再沿网络横向移动、利用存在的弱点、泄露受控的信息并发起进一步的攻击。
除了易受精心策划的网络攻击外,随着网络扩展涵盖了大量端点,用户需要从更多的位置进行远程访问,并且需要通过更细粒度的服务访问更多资产,这种功能不足的架构就变得愈发压力重重。自新冠肺炎(COVID-19)疫情以来,由于工作人员纷纷开始远程办公,而云环境中的工作负载也日益增加,信任问题引起了更多关注。
为了管理这种环境的漏洞,企业正在从允许安全访问整个网络的虚拟专用网络(VPN)过渡到更精细的零信任网络访问(ZTNA),后者将会进行访问分段并限制用户对特定应用和服务的权限。这种微分段方法可以帮助限制攻击者的横向移动、减少攻击面并控制数据泄露的影响,但采用零信任模型需要企业在其安全架构的各个方面应用”验证而永不信任”的理念。
零信任安全防护的基础是去边界化和最小权限访问,它可以保护敏感数据、资产和服务免受网络边界和隐式信任架构中自有漏洞的影响。
实施零信任架构不需要全面更换现有网络或大量收购新技术。相反,该框架应该是对其他现有安全实践和工具的强化。许多企业已经拥有零信任架构所需的基础,而且在日常运维中也遵循着相应的实践。
例如,传统安全架构中,可能已经包含了一部分成功采用零信任策略所需的关键组件:
事实上,零信任如今已经在各种不同的规模以及日益广泛的环境中派上用场。其核心租户主要需要应用现有的安全实践以及组织和流程控制。
与像 Bell-LaPadula 这样更为正式的受控访问模型不同,零信任安全模型通常是用抽象的术语来描述的。不同的团体或标准机构往往使用不同的组件集。一个典型的组件集可能包括:
这些组件主要集中在如何使用默认的”全部拒绝”和”例外允许”来实施基于身份的访问策略。
信任边界是组件之间的任何逻辑区隔,参与交互的主体会在这里更改其信任状态(通常在”受信任”和”不受信任”两种状态之间)。一般来说,从不受信任到受信任的转变需要完成两件事:
为了遵守零信任原则,信任边界必须尽可能小;按照定义,在边界内主体是受信任的,并且可以省略、绕过或以其他方式限制访问控制。由于授权应仅针对特定的业务功能,因此对于任何允许访问其他功能的边界,都应缩小它的范围。
并非系统架构中的所有安全边界都需要符合正确的零信任边界标准。这些普通边界(例如过滤不需要的 IP 地址、允许某些协议访问网络,或限制社交媒体的使用)可以与零信任重叠,并且仍然能在安全策略中发挥作用。然而,采用零信任的主要区别在于:普通边界并不是信任计算的一部分,而在传统网络架构中却可能是。只有符合零信任原则的边界才能在信任计算中发挥作用。
零信任要求始终保持不同主体之间的区隔:也就是说,任何两个主体之间始终存在信任边界,因此每次交互都需要多重身份验证(MFA)和直接授权。即便是两个主体在同一个网络上(一种非常常见的情景),但它们既不在同一物理位置上,也不属于同一业务线或集成系统的一部分,因此没有隐含的信任。
零信任安全模型会强制执行这些信任边界。通常,这是通过在与所有资源的所有潜在交互之间插入一个执行点来实现的。当这些交互随着时间而变化时,系统的身份、资源状态及其他方面也会发生改变。这种持续的改变需要对身份和资源进行同样持续的评估和监控,并适应性地执行身份验证和授权。
目前,仍有许多领域由于基础受限而无法实施。常见的问题包括:继续沿用传统技术、不成熟的业务流程,或是将安全作为基本业务功能的低优先事项。
零信任通常需要领导层和安全专业人员改变思维方式。领导者需要对维持现有已过时安全架构的风险做出评估。IT 和运营技术(OT)专业人员需要认识到他们可以在哪些方面利用现有投资来降低实施零信任的成本,以及在哪些方面需要优先考虑新的投资。然而,现实情况是:有些协议和设备永远不会是零信任的,在这种情况下,必须要做出是更换还是维持的决定。此外,如果某些系统不能完全采用零信任方法,OT 专业人员必须要思考有哪些缓解性的控制措施,以及是否可以采用替代性的安全控制措施来进一步减少风险。
转向”默认拒绝”或”始终验证”(零信任的基本前提)需要所有团队决心坚定:他们要随着时间的推移不断进行实施和维护,同时确保企业或机构内的任何部分都不会试图通过创建”影子 IT”来绕过零信任安全架构。
