你好,我是茆正華。歡迎來到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》的第二講, IAM(身份和訪問控制管理)為什么是零信任核心?
1.
什么是零信任?
解答上面問題前,先了解下零信任。這個(gè)概念想必大家都耳熟能詳。簡單說,零信任就是“永不信任,始終驗(yàn)證”。
也就是說,不能以網(wǎng)絡(luò)邊界作為信任的前提,任何情況下組織都不應(yīng)該自動(dòng)信任任何事物,必須首先驗(yàn)證試圖連接到組織系統(tǒng)的任何人和所有事物,并且具備合法的理由。
這個(gè)過程不是一次驗(yàn)證,而是在訪問過程中,持續(xù)不斷地去判斷和驗(yàn)證。相較于傳統(tǒng)“城堡/護(hù)城河”式的網(wǎng)絡(luò)安全防護(hù)方法,零信任模型并不嚴(yán)格區(qū)分保衛(wèi)界限,或者說它的保衛(wèi)界限從傳統(tǒng)的網(wǎng)絡(luò)入口收縮到每一個(gè)資源和服務(wù)的對外入口,可以說處處是邊界。
尤其是隨著企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展,混合遠(yuǎn)程工作、物聯(lián)網(wǎng)、API 和應(yīng)用程序的快速增長,交互的場景網(wǎng)狀化,網(wǎng)絡(luò)邊界的概念已漸漸消失。暴露面在不斷擴(kuò)大增加,傳統(tǒng)基于邊界防護(hù)的效果越來越差。換句話說,你無法保護(hù)不再存在的東西!
相反,若采取零信任防護(hù)模型,就可以確保只有正確的身份才能訪問正確的數(shù)據(jù),并且僅在需要時(shí)訪問。因此,建立以身份優(yōu)先的零信任架構(gòu),可為可信的人類和非人類的主體安全可靠的訪問客體資源。
我認(rèn)為零信任的本質(zhì)就是把主體和客體隔離開,永遠(yuǎn)不允許主體用戶直接接觸客體資源,利用各種各樣的技術(shù),如代理技術(shù)、網(wǎng)關(guān)技術(shù)、隧道技術(shù)等。這樣我們就有了控制抓手,控制“誰”可以訪問“誰”,并且充分利用最小權(quán)限原則和持續(xù)動(dòng)態(tài)的原則。
2.
零信任三大核心組件
2019年,美國國家標(biāo)準(zhǔn)委員會(huì)NIST對外正式發(fā)布了《零信任架構(gòu)》(《NIST.SP.800-207-draft-Zero Trust Architecture》),強(qiáng)調(diào)了零信任是一組不斷發(fā)展的網(wǎng)絡(luò)安全范例的術(shù)語。
在國內(nèi)引進(jìn)零信任概念后,建立了以“SIM”為核心的零信任解決方案,即SDP(軟件定義邊界),IAM(增強(qiáng)身份管理),MSG(微隔離)。
其中,SDP 旨在使應(yīng)用程序所有者能夠在需要時(shí)部署安全邊界,以便將資源與不安全的網(wǎng)絡(luò)隔離開來。SDP通過隱藏應(yīng)用程序和資源,將網(wǎng)絡(luò)資源從公共網(wǎng)絡(luò)隔離,只允許經(jīng)過身份驗(yàn)證的用戶會(huì)話通過安全網(wǎng)絡(luò)隧道連接到所需資源,從而幫助保護(hù)應(yīng)用程序和數(shù)據(jù)資產(chǎn)免受網(wǎng)絡(luò)攻擊和未經(jīng)授權(quán)的訪問。
IAM,傳統(tǒng)的基于身份的訪問控制管理技術(shù),從賬號(hào)、認(rèn)證、授權(quán)、審計(jì)維度對主體訪問客體的行為進(jìn)行靜態(tài)的訪問控制管理。而零信任架構(gòu)中的IAM是一種增強(qiáng)的IAM。
Gartner對其管控范圍進(jìn)行了重新定義,要求從管理、保證、授權(quán)、分析維度對身份的整個(gè)生命周期進(jìn)行管理,包括用戶身份的注冊、創(chuàng)建、轉(zhuǎn)移及在各個(gè)應(yīng)用系統(tǒng)中的權(quán)限控制;更加強(qiáng)調(diào)動(dòng)態(tài)的訪問控制能力,甚至采用更加先進(jìn)的AI技術(shù)分析用戶訪問行為,從而更能適應(yīng)不斷變化的風(fēng)險(xiǎn)威脅。
微隔離是一種能夠適應(yīng)虛擬化部署環(huán)境,識(shí)別和管理數(shù)據(jù)中心內(nèi)部流量的一種隔離技術(shù),其核心是對全部東西向流量的可視化識(shí)別與訪問控制。
它是一種區(qū)別于傳統(tǒng)防火墻的安全域隔離的技術(shù),通過訪問控制策略和加密能力,對數(shù)據(jù)中心的工作負(fù)載、應(yīng)用、服務(wù)進(jìn)行更加細(xì)粒度的訪問控制,旨在收縮暴露面,并阻止病毒或風(fēng)險(xiǎn)的橫向移動(dòng),減少風(fēng)險(xiǎn)爆炸半徑。
3.
IAM是核心
那為什么說IAM是三大組件中的核心呢?IAM是數(shù)字世界與現(xiàn)實(shí)世界融合的交界點(diǎn),無論是SDP還是微隔離本身就是一種可以使用的資源,在被使用或操作時(shí)首先需要進(jìn)行身份鑒別和控制。
例如,SDP作為主體接入零信任網(wǎng)絡(luò)的入口點(diǎn),本身就需要借助IAM的身份鑒別能力,來確認(rèn)人、應(yīng)用、客戶端設(shè)備等身份,還需要借助IAM的風(fēng)險(xiǎn)識(shí)別模塊對主體的安全性進(jìn)行分析,只有確認(rèn)主體的身份和安全性后才能讓其接人零信任網(wǎng)絡(luò)。
其次,增強(qiáng)IAM,它不僅有傳統(tǒng)4A的能力,還有持續(xù)動(dòng)態(tài)認(rèn)證的能力,包括能夠?qū)τ脩粼L問的所有會(huì)話進(jìn)行用戶行為的風(fēng)險(xiǎn)分析,以對風(fēng)險(xiǎn)進(jìn)行評估并能實(shí)時(shí)阻止風(fēng)險(xiǎn)訪問。當(dāng)用戶訪問后端資源時(shí),需要做到身份鑒別,風(fēng)險(xiǎn)鑒別,以及權(quán)限鑒別,進(jìn)行身份優(yōu)先的全鏈路的安全防控。
最后,MSG,Gartner直接將MSG改為身份定義微隔離(Identity-Based segmentation),注重用身份來鑒別服務(wù)與服務(wù)之間的訪問,以做到更加細(xì)粒度的訪問控制能力。我們在服務(wù)之間無人參與的過程,更加需要為應(yīng)用或服務(wù)定義身份和權(quán)限,因此微隔離的解決方案也對IAM有很高的依賴。
回到企業(yè)現(xiàn)實(shí)業(yè)務(wù)場景,現(xiàn)代企業(yè)IT環(huán)境雙態(tài)化(敏態(tài)和穩(wěn)態(tài))。傳統(tǒng)的網(wǎng)絡(luò)界限也在上云、數(shù)字化等過程中逐步消失。現(xiàn)代企業(yè)的IT業(yè)務(wù)場景應(yīng)該允許在任何設(shè)備上的任何地方和任意時(shí)間工作,并可以安全的訪問任何數(shù)字化生態(tài)系統(tǒng)中的工具、系統(tǒng)和數(shù)據(jù),以滿足數(shù)字化平臺(tái)真正的生態(tài)化。
與此同時(shí),企業(yè)安全威脅的嚴(yán)重性和復(fù)雜性繼續(xù)增加。這些都促使企業(yè)組織亟需一套整體的安全解決方案,以身份為優(yōu)先的一體化零信任解決方案也因此越來越受到企業(yè)CIO的認(rèn)可。
零信任方案將安全能力從傳統(tǒng)網(wǎng)絡(luò)安全邊界擴(kuò)展到主體、行為、客體資源,從而構(gòu)建“主體身份可信、業(yè)務(wù)訪問動(dòng)態(tài)合規(guī)、客體資源安全防護(hù)、信任持續(xù)評估”的動(dòng)態(tài)綜合縱深安全防御能力。
而IAM恰好能解決其中的核心問題。我們都知道人和設(shè)備無處不在,這不應(yīng)該成為獲取服務(wù)的障礙。我們的首要任務(wù)是需要確保設(shè)備是安全的和可信的,當(dāng)你讓它們訪問這些服務(wù)時(shí),需要對人、設(shè)備進(jìn)行安全控制。
這個(gè)過程中,最好的保障方式之一就是賦予身份,并進(jìn)行身份和訪問控制管理。從而,確保正確的訪問主體在正確的設(shè)備、時(shí)間、地點(diǎn)和正確授權(quán)下訪問正確的數(shù)據(jù)、資產(chǎn),并全程審計(jì)留痕。
所以,無論是從零信任的技術(shù)核心來看,還是回到企業(yè)實(shí)際的安全現(xiàn)狀與背景,IAM都是企業(yè)實(shí)施零信任解決方案的重中之重。這也是為什么業(yè)界稱零信任安全的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問控制。
4.
企業(yè)零信任落地建議
最后,不得不說企業(yè)在實(shí)施落地零信任解決方案時(shí),最好的切入點(diǎn)就是IAM。當(dāng)然,當(dāng)下中國真正成功落地零信任的企業(yè)并不多。因?yàn)閷?shí)施零信任技術(shù),并沒有單一的解決方案。它需要結(jié)合業(yè)務(wù)場景分步驟、分階段、分場景,并配合技術(shù)的完善不斷去重組和優(yōu)化。
國內(nèi)很多提供零信任解決方案的廠商,都有強(qiáng)大的網(wǎng)絡(luò)安全工具或網(wǎng)絡(luò)安全攻防的基因,如擅長VPN、防火墻、準(zhǔn)入、MDM、SOC等,把零信任解決方案作為一個(gè)技術(shù)工具方案進(jìn)行推廣,導(dǎo)致零信任解決方案落地效果不佳。
我們則認(rèn)為零信任解決方案和IAM解決方案一樣天然的是一個(gè)綜合業(yè)務(wù)解決方案,需要強(qiáng)依賴企業(yè)業(yè)務(wù)實(shí)際情況進(jìn)行定制化方案設(shè)計(jì),只有更貼近業(yè)務(wù)端才能更好、更快地在企業(yè)組織中推行零信任解決方案。
事實(shí)上,有效的零信任策略組合利用了多種現(xiàn)有技術(shù)和方法,例如多重身份驗(yàn)證 (MFA)、身份和訪問管理 (IAM)、特權(quán)訪問管理 (PAM) 、API安全網(wǎng)關(guān)、細(xì)粒度權(quán)限管理(ABAC)、用戶行為風(fēng)險(xiǎn)分析(UEBA)等,以進(jìn)行全鏈路的深度安全防御。
此外,零信任還強(qiáng)調(diào)諸如最小權(quán)限原則之類的治理策略,建立符合零信任理念的現(xiàn)代化安全架構(gòu)。它的建設(shè)不是一蹴而就的,企業(yè)組織需要堅(jiān)持零信任理念的指導(dǎo)原則,隨著時(shí)間的推移采用分階段、分步驟的系統(tǒng)化建設(shè)方法。
盡管,我推薦企業(yè)在實(shí)際落地零信任解決方案采取整體設(shè)計(jì)理論。但實(shí)際上,很多企業(yè)常常把IAM和零信任進(jìn)行獨(dú)立立項(xiàng)。
在此,我建議這類企業(yè)可以按照業(yè)務(wù)和技術(shù)對兩種方案建設(shè)范圍進(jìn)行區(qū)分:更貼近硬件、系統(tǒng)、網(wǎng)絡(luò)的,與業(yè)務(wù)無關(guān)的技術(shù)能力劃歸零信任方案;更貼近人、組織、業(yè)務(wù)系統(tǒng)和流程的,劃歸IAM方案。
但無論如何,IAM都是企業(yè)實(shí)施零信任最好的切入點(diǎn),也是其核心。無論是從IAM的技術(shù)成熟度,還是企業(yè)目前的數(shù)字安全現(xiàn)狀。隨著企業(yè)數(shù)字化系統(tǒng)的快速增長,對應(yīng)用戶、設(shè)備等身份與日俱增,由此給企業(yè)帶來了更多潛在的身份安全威脅。
企業(yè)可以借助零信任建設(shè),建立統(tǒng)一的身份管理平臺(tái),讓企業(yè)的決策者收回企業(yè)組織內(nèi)的身份控制權(quán),為企業(yè)數(shù)字化轉(zhuǎn)型迭代提供抓手和檢驗(yàn)手段。
若企業(yè)還像過去一樣使用多種工具來管理整個(gè)企業(yè)的身份,將導(dǎo)致可見性差,管理也會(huì)變得越孤立和分散。結(jié)果將會(huì)惡性循環(huán),從而影響企業(yè)運(yùn)營效率并產(chǎn)生諸多漏洞,使企業(yè)面臨更糟糕的安全威脅。
因此,企業(yè)不妨試著從IAM著手,一步步完善落地企業(yè)零信任。無論是從快速看到成效,還是最終結(jié)果來看,它都是企業(yè)組織在構(gòu)建現(xiàn)代安全防護(hù)的不二選擇!
下期預(yù)告
下一講,我將為你介紹IAM與新技術(shù)之AI,看看二者能碰撞出什么不一樣的火花以及產(chǎn)生怎樣的安全新問題!
我們下期內(nèi)容再見,也歡迎你在文末留言,對本期內(nèi)容進(jìn)行探討。