传统的网络安全架构理念是基于边界的安全架构,企业构建网络安全体系时,首先寻找安全边界,把网络划分为外网、内网、DMZ区等不同的区域,然后在边界上部署防火墙、入侵检测、WAF等产品。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备和系统的信任,忽视加强内网安全措施。不法分子一旦突破企业的边界安全防护进入内网,会像进入无人之境,将带来严重的后果。
随着云计算、大数据、物联网、移动办公等新技术与业务的深度融合,网络安全边界也逐渐变得更加模糊,传统边界安全防护理念面临巨大挑战。在这样的背景下,零信任架构(Zero Trust Architecture, ZTA)应运而生。它打破传统的认证,即信任、边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。
-
零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。
-
2010年,零信任这个术语正式出现,并指出所有的网络流量都是不可信的,这个时期专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。以身份为基石的架构体系逐渐得到业界主流的认可。
-
2014年,Google基于内部项目BeyondCorp的研究成果,构建零信任架构。
-
2017年,Gartner将其自适应安全架构优化为持续自适应风险与信任评估构架。
与边界模型的“信任但验证”不同,零信任的核心原则是“从不信任、始终验证”。传统网络安全都专注于边界防御,授权主体可广泛访问内网资源,而零信任网络建立在五个假设前提之下:
基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。
零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权,业务安全访问相关机制需要尽可能工作在应用协议层。
持续信任评估是零信任架构从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。
动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。
NIST标准的发布,首次提出了零信任的官方标准定义以及实践技术架构,强调零信任是个安全理念而非技术,并指出目前实现零信任架构的三大技术“SIM”,即软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)。
SDP旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件,仅在设备验证和身份验证后才允许访问企业应用基础架构。从架构上讲,基于SDP的系统通常会实施控制层与数据层的分离,即控制流阶段,用户及其设备进行预认证来获取丰富的属性凭据作为身份主体,以此结合基于属性的预授权策略,映射得到仅供目标访问的特定设备和服务,从而可以直接建立相应安全连接。
零信任强调基于身份的信任链条,即该身份在可信终端,该身份拥有权限才可对资源进行请求。传统的IAM系统可以协助解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。通过IAM将身份信息(身份吊销离职、身份过期、身份异常等)传递给零信任系统后,零信任系统可以通过IAM系统的身份信息来分配相应权限,而通过IAM系统对身份的唯一标识,可有利于零信任系统确认用户可信,通过唯一标识对用户身份建立起终端、资源的信任关系,并在发现风险时实施针对关键用户相关的访问连接进行阻断等控制。
微隔离本质上是一种网络安全隔离技术,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独立的安全段定义访问控制策略。它主要聚焦在云平台东西向流量的隔离,一是区别传统物理防火墙的隔离作用,二是更加贴近云计算环境中的真实需求。微隔离将网络边界安全理念发挥到极致,将网络边界分割到尽可能的小,能够很好的缓解传统边界安全理念下的边界过度信任带来的安全风险。
目前,零信任安全方案多处于快速迭代期,项目建设过程中需要不同程度的定制化开发工作。因此在规划前,参考行业中应用规模相当的实践案例,能一定程度上帮助解决架构选择和建设实施阶段的难点。
零信任安全架构要具备一定的安全扩容和持续演进的能力,才能为企业数字化业务的快速发展做好支撑和保障。因此,对于计划向零信任转型的企业,架构选择至关重要。架构规划时,架构设计师或CSO需要充分了解企业的业务运营模式,包括企业未来五年的扩展及数字化转型计划,这可以帮助企业更好匹配中长期发展的零信任安全需求。
在零信任安全建设中,需要指定相关责任人或部门,为项目顺利实施落实身份、网络、终端、应用和数据等5个方面的技术要求,细化出每个方面的具体要求,并提出详细的需求说明。
在零信任项目建设过程中,业务系统的对接往往是企业和服务商共同的难点。业务资产由于其形态、部署位置、权属分散等方面的特殊性,使零信任建设要素对接过程会非常复杂。因此,业务部门、安全团队、服务商的协同配合对推动零信任建设非常重要。
相比传统网络安全产品,零信任安全控制系统的可靠性、鲁棒性要求非常高。所以,不管是旧系统迁移还是新系统重建,正式上线前,都需要预留足够的测试时间,以确定系统运行的稳定性、行为分析模型的可用性,同时识别那些不符合业务期望的安全策略。根据本次调研,可参考的试运行测试周期应该在3-6个月。
零信任安全系统必须要纳入企业整体的安全运营体系中去,同时还需考虑如何将企业的业务运营计划合理融入到零信任的运营体系中去,包括业务细粒度访问监管、例行检查等,特别是在重要人员调整和重大网络重构事件发生时。
零信任是个广泛适用的方法论,也就是说它可以应用于整个计算架构的各个方面,零信任技术是对攻防对抗路线的一次变革,让组织能够将网络安全的主动权把握在自己的手中。国内已经逐步接受零信任的理念,少部分企业已经开始部署实施,其中接受度较高的是金融行业。零信任将从SDP、IAM和微隔离三大技术方向演进到融合端点安全、数据防泄漏、流量安全、威胁情报乃至态势感知的一体化方案,兼容、开放及合作会成为零信任持续的趋势。