John Kindervag 在 Forrester 創(chuàng)立了“零信任”一詞。零信任后來成為一個術語,用來描述各種網(wǎng)絡安全解決方案。
我們要搞清楚零信任是不是就表示不信任,就要了解是誰不信任誰?在計算機網(wǎng)絡里的任何操作可以分為資源訪問者和資源提供者,按這里語義套進去就是資源訪問者不信任資源提供者。那么問題來了,如果不信任那么資源提供者怎么把數(shù)據(jù)給資源訪問者呢,整個網(wǎng)絡就不存在了,是個悖論!
接下來,我們來討論一下零信任如何解決這個悖論。零信任的口號是“永不信任、持續(xù)認證”,所以零信任的理念是初始假設網(wǎng)絡已經(jīng)淪陷,不管是企業(yè)內(nèi)網(wǎng)還是互聯(lián)網(wǎng),前提就是網(wǎng)絡不安全了,攻擊者已經(jīng)在網(wǎng)絡中存在,在這個假設前提下,我們該用什么樣的一個方法論來保護數(shù)據(jù)、資源、設備的安全。
怎么理解「永不信任」呢?
在傳統(tǒng)網(wǎng)絡里面就充滿了信任,比如:信任操作系統(tǒng)、數(shù)據(jù)庫、web服務器部署在操作系統(tǒng)之上,默認認為一般人進不了操作系統(tǒng),進入操作系統(tǒng)的是可信的人。就像是信任內(nèi)網(wǎng),一般情況下,企業(yè)外部出口部署了很多防護系統(tǒng),但在內(nèi)網(wǎng)環(huán)境下是完全不設防的;或者是信任靜態(tài)密碼,無論是多重要的系統(tǒng),多重要的賬號,依舊是一個密碼即可進入系統(tǒng)之中。
零信任中的永不信任就是不能預設靜態(tài)信任,不能預設網(wǎng)絡是安全的、系統(tǒng)是安全的、人是安全的,不能預設上次是信任的就繼續(xù)信任;那么要怎么建立信任,信任是人、設備、網(wǎng)絡、上下文等等各種因素綜合評估的結果,是動態(tài)的隨著因素的變化信任評估也將發(fā)生變化;所以永不信任的概念就是不依賴靜態(tài)信任,信任的過程是動態(tài)。
那么為什么要「持續(xù)認證」?
大多數(shù)系統(tǒng)都會采用入口大門先出示憑證,或增加二次強認證來保證訪問系統(tǒng)的主體的合法性,一旦認證通過將通行無阻,出現(xiàn)的惡意訪問、越權、非法操作將無法防護。
零信任中的持續(xù)認證是細粒度到主體的每一次事務性的資源獲取或操作過程必須重新評估主體的信任,因為在復雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動態(tài)的在變化,那么就要進行持續(xù)的認證和風險評估,才能做到最細粒度的風險控制。
總而言之,零信任不是不信任,而是沒有默認信任,不依賴以前的信任,不存在靜態(tài)信任;他是一個建立信任的過程;默認認為任何一次主體對客體的調(diào)用都是不信任的,必須進行持續(xù)認證后,建立信任并獲得當前的操作權限。
從網(wǎng)絡安全角度出發(fā),到底什么樣的架構才能落地零信任理念?
派拉零信任架構設想
圖示:零信任架構設想
SDP 軟件定義邊界
SDP:主要是用于定義訪問的邊界,保護南北向流量安全;
企業(yè)安全瀏覽器:支持chrome和IE雙內(nèi)核的瀏覽器,作為Web應用的沙箱,可以以有效方式避免終端環(huán)境本身不安全問題;安全瀏覽器自動與網(wǎng)關建立加密的安全隧道,保障通訊數(shù)據(jù)的安全性,發(fā)布的后端應用只能在安全瀏覽器中訪問,并能支持國密化方案;
Agent:在無安全瀏覽器或CS應用的TCP通訊場景下,需要一個獨立的客戶端服務來建立可信的mTLS安全隧道,同時還要負責終端的安全評估、設備的上下文獲取、終端的安全基線建立,保證在發(fā)起認證前的終端環(huán)境的安全;
控制器:SDP控制器提供一個單向端口,接受終端的認證請求,對終端的設備狀態(tài)、身份憑據(jù)、行為上下文進行判斷;只有認證通過的認證的訪問請求,控制器才會通知安全網(wǎng)關臨時開放訪問端口,接受終端的訪問請求,并在訪問過程中持續(xù)監(jiān)控終端狀態(tài),發(fā)生訪問或設備風險時進行實施阻斷網(wǎng)關端口的關閉操作;
安全網(wǎng)關:提供可信的mTLS安全隧道服務,隧道聯(lián)通后分發(fā)到應用網(wǎng)關、API網(wǎng)關、應用網(wǎng)關,滿足不同場景下不同應用的代理訪問能力,對于終端只能與安全網(wǎng)關進行連接,不與實際資源直接交互,所有流量都通過3個業(yè)務網(wǎng)關進行轉(zhuǎn)發(fā),在轉(zhuǎn)發(fā)過程中進行實施的細粒度權限控制;
IAM 增強型身份設施
SSO:單點登錄組件,提供身份驗證、授權;用于零信任架構中所有組件的認證功能;作為一個IDP支持Oauth2、OIDC、SAML等認證中心;
MFA:多因素認證中心,結合SSO和UEBA在用戶認證階段提供強認證能力,標準的OTP、短信認證、二維碼掃描、生物認證、第三方互聯(lián)網(wǎng)認證能力;
UEBA:持續(xù)用戶行為風險分析能力,在零信任架構中解決持續(xù)認證的有效架構,實施的根據(jù)終端狀態(tài) 、訪問行為、數(shù)據(jù)流量、資源狀態(tài)綜合分析,可以通過學習算法和模型進行風險判斷,并通過MFA能力進行風險緩解的操作;
IDM:身份控制和管理,統(tǒng)一身份源的建立、角色身份的供給、權限的細粒度控制、資源應用的身份同步能力;有效的整合企業(yè)內(nèi)部所有應用的統(tǒng)一身份治理能力;
PKI:公鑰基礎設施,具有數(shù)字證書、認證中心(CA)、證書資料庫、證書吊銷系統(tǒng)、密鑰備份及恢復系統(tǒng)等構成部分;為數(shù)據(jù)通道m(xù)TLS的底層安全提供能力,為設備認證和數(shù)據(jù)發(fā)送提供不可抵賴性保障;
控制中心:零信任架構能控制大腦和配置中心,所有組件安裝部署配置、策略制定下發(fā)、終端網(wǎng)關資源的控制;
MSG 微隔離微分段
微隔離提供東西向數(shù)據(jù)安全保護,即應用程序之間不是人為發(fā)起的數(shù)據(jù)通信的安全保護;
Istio對部署在容器的應用集群進行分類保護,以業(yè)務系統(tǒng)為單位統(tǒng)一數(shù)據(jù)出口和入口;邏輯上將數(shù)據(jù)中心劃分為不同的安全段,一直到各個工作負載級別,然后為每個獨特的段定義安全控制和所提供的服務。多采用軟件方式,而不是安裝多個物理防火墻,微隔離可以在數(shù)據(jù)中心深處部署靈活的安全策略;
所有應用程序間交互基于PKI系統(tǒng)提供的證書服務,提供mTLS的雙向認證,資源調(diào)用者和提供者必須基于證書體現(xiàn)才能進行訪問 。
零信任是一種理念,不是一種技術也不是一個產(chǎn)品,它是一組不斷演進的網(wǎng)絡安全方式,它將網(wǎng)絡防御范圍從靜態(tài)的基于網(wǎng)絡的邊界,轉(zhuǎn)移到關注終端、用戶和資產(chǎn),將傳統(tǒng)以網(wǎng)絡為基礎的信任變?yōu)橐陨矸轂樾湃蔚臋C制;
零信任不是不信任,是指從零開始建立信任的過程。需要基于業(yè)務需求 、安全運營現(xiàn)狀、技術發(fā)展趨勢等對零信任能力進行持續(xù)完善和演進。
企業(yè)實施零信任分如下步驟:
企業(yè)確定意愿
架構規(guī)劃先行
分步建設
階段1:概念驗證
階段2:業(yè)務接入
階段3:能力演進
下期我們還會對零信任作進一步的介紹,及時關注喲~