John Kindervag 在 Forrester 創(chuàng)立了“零信任”一詞。零信任后來(lái)成為一個(gè)術(shù)語(yǔ),用來(lái)描述各種網(wǎng)絡(luò)安全解決方案。
我們要搞清楚零信任是不是就表示不信任,就要了解是誰(shuí)不信任誰(shuí)?在計(jì)算機(jī)網(wǎng)絡(luò)里的任何操作可以分為資源訪問者和資源提供者,按這里語(yǔ)義套進(jìn)去就是資源訪問者不信任資源提供者。那么問題來(lái)了,如果不信任那么資源提供者怎么把數(shù)據(jù)給資源訪問者呢,整個(gè)網(wǎng)絡(luò)就不存在了,是個(gè)悖論!
接下來(lái),我們來(lái)討論一下零信任如何解決這個(gè)悖論。零信任的口號(hào)是“永不信任、持續(xù)認(rèn)證”,所以零信任的理念是初始假設(shè)網(wǎng)絡(luò)已經(jīng)淪陷,不管是企業(yè)內(nèi)網(wǎng)還是互聯(lián)網(wǎng),前提就是網(wǎng)絡(luò)不安全了,攻擊者已經(jīng)在網(wǎng)絡(luò)中存在,在這個(gè)假設(shè)前提下,我們?cè)撚檬裁礃拥囊粋€(gè)方法論來(lái)保護(hù)數(shù)據(jù)、資源、設(shè)備的安全。
怎么理解「永不信任」呢?
在傳統(tǒng)網(wǎng)絡(luò)里面就充滿了信任,比如:信任操作系統(tǒng)、數(shù)據(jù)庫(kù)、web服務(wù)器部署在操作系統(tǒng)之上,默認(rèn)認(rèn)為一般人進(jìn)不了操作系統(tǒng),進(jìn)入操作系統(tǒng)的是可信的人。就像是信任內(nèi)網(wǎng),一般情況下,企業(yè)外部出口部署了很多防護(hù)系統(tǒng),但在內(nèi)網(wǎng)環(huán)境下是完全不設(shè)防的;或者是信任靜態(tài)密碼,無(wú)論是多重要的系統(tǒng),多重要的賬號(hào),依舊是一個(gè)密碼即可進(jìn)入系統(tǒng)之中。
零信任中的永不信任就是不能預(yù)設(shè)靜態(tài)信任,不能預(yù)設(shè)網(wǎng)絡(luò)是安全的、系統(tǒng)是安全的、人是安全的,不能預(yù)設(shè)上次是信任的就繼續(xù)信任;那么要怎么建立信任,信任是人、設(shè)備、網(wǎng)絡(luò)、上下文等等各種因素綜合評(píng)估的結(jié)果,是動(dòng)態(tài)的隨著因素的變化信任評(píng)估也將發(fā)生變化;所以永不信任的概念就是不依賴靜態(tài)信任,信任的過(guò)程是動(dòng)態(tài)。
那么為什么要「持續(xù)認(rèn)證」?
大多數(shù)系統(tǒng)都會(huì)采用入口大門先出示憑證,或增加二次強(qiáng)認(rèn)證來(lái)保證訪問系統(tǒng)的主體的合法性,一旦認(rèn)證通過(guò)將通行無(wú)阻,出現(xiàn)的惡意訪問、越權(quán)、非法操作將無(wú)法防護(hù)。
零信任中的持續(xù)認(rèn)證是細(xì)粒度到主體的每一次事務(wù)性的資源獲取或操作過(guò)程必須重新評(píng)估主體的信任,因?yàn)樵趶?fù)雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動(dòng)態(tài)的在變化,那么就要進(jìn)行持續(xù)的認(rèn)證和風(fēng)險(xiǎn)評(píng)估,才能做到最細(xì)粒度的風(fēng)險(xiǎn)控制。
總而言之,零信任不是不信任,而是沒有默認(rèn)信任,不依賴以前的信任,不存在靜態(tài)信任;他是一個(gè)建立信任的過(guò)程;默認(rèn)認(rèn)為任何一次主體對(duì)客體的調(diào)用都是不信任的,必須進(jìn)行持續(xù)認(rèn)證后,建立信任并獲得當(dāng)前的操作權(quán)限。
從網(wǎng)絡(luò)安全角度出發(fā),到底什么樣的架構(gòu)才能落地零信任理念?
派拉零信任架構(gòu)設(shè)想
圖示:零信任架構(gòu)設(shè)想
SDP 軟件定義邊界
SDP:主要是用于定義訪問的邊界,保護(hù)南北向流量安全;
企業(yè)安全瀏覽器:支持chrome和IE雙內(nèi)核的瀏覽器,作為Web應(yīng)用的沙箱,可以以有效方式避免終端環(huán)境本身不安全問題;安全瀏覽器自動(dòng)與網(wǎng)關(guān)建立加密的安全隧道,保障通訊數(shù)據(jù)的安全性,發(fā)布的后端應(yīng)用只能在安全瀏覽器中訪問,并能支持國(guó)密化方案;
Agent:在無(wú)安全瀏覽器或CS應(yīng)用的TCP通訊場(chǎng)景下,需要一個(gè)獨(dú)立的客戶端服務(wù)來(lái)建立可信的mTLS安全隧道,同時(shí)還要負(fù)責(zé)終端的安全評(píng)估、設(shè)備的上下文獲取、終端的安全基線建立,保證在發(fā)起認(rèn)證前的終端環(huán)境的安全;
控制器:SDP控制器提供一個(gè)單向端口,接受終端的認(rèn)證請(qǐng)求,對(duì)終端的設(shè)備狀態(tài)、身份憑據(jù)、行為上下文進(jìn)行判斷;只有認(rèn)證通過(guò)的認(rèn)證的訪問請(qǐng)求,控制器才會(huì)通知安全網(wǎng)關(guān)臨時(shí)開放訪問端口,接受終端的訪問請(qǐng)求,并在訪問過(guò)程中持續(xù)監(jiān)控終端狀態(tài),發(fā)生訪問或設(shè)備風(fēng)險(xiǎn)時(shí)進(jìn)行實(shí)施阻斷網(wǎng)關(guān)端口的關(guān)閉操作;
安全網(wǎng)關(guān):提供可信的mTLS安全隧道服務(wù),隧道聯(lián)通后分發(fā)到應(yīng)用網(wǎng)關(guān)、API網(wǎng)關(guān)、應(yīng)用網(wǎng)關(guān),滿足不同場(chǎng)景下不同應(yīng)用的代理訪問能力,對(duì)于終端只能與安全網(wǎng)關(guān)進(jìn)行連接,不與實(shí)際資源直接交互,所有流量都通過(guò)3個(gè)業(yè)務(wù)網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā),在轉(zhuǎn)發(fā)過(guò)程中進(jìn)行實(shí)施的細(xì)粒度權(quán)限控制;
IAM 增強(qiáng)型身份設(shè)施
SSO:單點(diǎn)登錄組件,提供身份驗(yàn)證、授權(quán);用于零信任架構(gòu)中所有組件的認(rèn)證功能;作為一個(gè)IDP支持Oauth2、OIDC、SAML等認(rèn)證中心;
MFA:多因素認(rèn)證中心,結(jié)合SSO和UEBA在用戶認(rèn)證階段提供強(qiáng)認(rèn)證能力,標(biāo)準(zhǔn)的OTP、短信認(rèn)證、二維碼掃描、生物認(rèn)證、第三方互聯(lián)網(wǎng)認(rèn)證能力;
UEBA:持續(xù)用戶行為風(fēng)險(xiǎn)分析能力,在零信任架構(gòu)中解決持續(xù)認(rèn)證的有效架構(gòu),實(shí)施的根據(jù)終端狀態(tài) 、訪問行為、數(shù)據(jù)流量、資源狀態(tài)綜合分析,可以通過(guò)學(xué)習(xí)算法和模型進(jìn)行風(fēng)險(xiǎn)判斷,并通過(guò)MFA能力進(jìn)行風(fēng)險(xiǎn)緩解的操作;
IDM:身份控制和管理,統(tǒng)一身份源的建立、角色身份的供給、權(quán)限的細(xì)粒度控制、資源應(yīng)用的身份同步能力;有效的整合企業(yè)內(nèi)部所有應(yīng)用的統(tǒng)一身份治理能力;
PKI:公鑰基礎(chǔ)設(shè)施,具有數(shù)字證書、認(rèn)證中心(CA)、證書資料庫(kù)、證書吊銷系統(tǒng)、密鑰備份及恢復(fù)系統(tǒng)等構(gòu)成部分;為數(shù)據(jù)通道m(xù)TLS的底層安全提供能力,為設(shè)備認(rèn)證和數(shù)據(jù)發(fā)送提供不可抵賴性保障;
控制中心:零信任架構(gòu)能控制大腦和配置中心,所有組件安裝部署配置、策略制定下發(fā)、終端網(wǎng)關(guān)資源的控制;
MSG 微隔離微分段
微隔離提供東西向數(shù)據(jù)安全保護(hù),即應(yīng)用程序之間不是人為發(fā)起的數(shù)據(jù)通信的安全保護(hù);
Istio對(duì)部署在容器的應(yīng)用集群進(jìn)行分類保護(hù),以業(yè)務(wù)系統(tǒng)為單位統(tǒng)一數(shù)據(jù)出口和入口;邏輯上將數(shù)據(jù)中心劃分為不同的安全段,一直到各個(gè)工作負(fù)載級(jí)別,然后為每個(gè)獨(dú)特的段定義安全控制和所提供的服務(wù)。多采用軟件方式,而不是安裝多個(gè)物理防火墻,微隔離可以在數(shù)據(jù)中心深處部署靈活的安全策略;
所有應(yīng)用程序間交互基于PKI系統(tǒng)提供的證書服務(wù),提供mTLS的雙向認(rèn)證,資源調(diào)用者和提供者必須基于證書體現(xiàn)才能進(jìn)行訪問 。
零信任是一種理念,不是一種技術(shù)也不是一個(gè)產(chǎn)品,它是一組不斷演進(jìn)的網(wǎng)絡(luò)安全方式,它將網(wǎng)絡(luò)防御范圍從靜態(tài)的基于網(wǎng)絡(luò)的邊界,轉(zhuǎn)移到關(guān)注終端、用戶和資產(chǎn),將傳統(tǒng)以網(wǎng)絡(luò)為基礎(chǔ)的信任變?yōu)橐陨矸轂樾湃蔚臋C(jī)制;
零信任不是不信任,是指從零開始建立信任的過(guò)程。需要基于業(yè)務(wù)需求 、安全運(yùn)營(yíng)現(xiàn)狀、技術(shù)發(fā)展趨勢(shì)等對(duì)零信任能力進(jìn)行持續(xù)完善和演進(jìn)。
企業(yè)實(shí)施零信任分如下步驟:
企業(yè)確定意愿
架構(gòu)規(guī)劃先行
分步建設(shè)
階段1:概念驗(yàn)證
階段2:業(yè)務(wù)接入
階段3:能力演進(jìn)
下期我們還會(huì)對(duì)零信任作進(jìn)一步的介紹,及時(shí)關(guān)注喲~