En 400-6655-581
5
返回列表
> 資源中心 > 技術(shù)干貨 | 遇見零信任——零信任框架

技術(shù)干貨 | 遇見零信任——零信任框架

2020-04-24瀏覽次數(shù):996


自2014年在云安全聯(lián)盟(CSA)引入軟件定義邊界(SDP)的初始規(guī)范以來,零信任網(wǎng)絡(luò)(ZTNA)概念一直在不斷發(fā)展。


尤其在Google基于ZTNA推出的BeyondCorp框架后更是點(diǎn)燃了從事IT安全領(lǐng)域無數(shù)人心中的夢想。


最近幾年異常紅火,特別在今年年初由于疫情的緣故大部分企業(yè)都采用了遠(yuǎn)程辦公的方式后更是炙手可熱,究其原因其實(shí)我們都在尋求更安全、更可靠、更可信的解決方案,而不滿足于可能給企業(yè)帶來潛在風(fēng)險(xiǎn)和損失的現(xiàn)狀。


目前許多企業(yè)并不具備遠(yuǎn)程辦公條件,對可用性、穩(wěn)定性方面咱先不說,在安全性方面是存在著大量隱患的。


具體有兩方面:


一、傳統(tǒng)的企業(yè)沒有互聯(lián)網(wǎng)應(yīng)用而通過VPN的方式訪問,不僅要安裝客戶端而且高風(fēng)險(xiǎn)也很高,它只對網(wǎng)絡(luò)層進(jìn)行控制,無法去管應(yīng)用層,當(dāng)用戶通過VPN驗(yàn)證后,后端的服務(wù)應(yīng)用也就差不多是裸奔了,由于大部分企業(yè)都是外緊內(nèi)松,認(rèn)為“內(nèi)網(wǎng)可信外網(wǎng)不可信”,所以DMZ也就是這么來的,攻擊者一旦拿到用戶憑據(jù)就很容易突破VPN或DMZ,剩下的就看各個(gè)服務(wù)應(yīng)用本身的安全防護(hù)了,而內(nèi)部的服務(wù)應(yīng)用普遍防護(hù)都比較弱,尤其是企業(yè)自開發(fā)應(yīng)用,更是無法禁受攻擊者的探測和劫持?,F(xiàn)有的服務(wù)應(yīng)用業(yè)務(wù)基本上也都是靜態(tài)的RBAC模式,獲得角色或組幾乎就等同于獲得了所有業(yè)務(wù)的操作權(quán)限。傳統(tǒng)應(yīng)用未來基本都會(huì)轉(zhuǎn)向互聯(lián)網(wǎng),安全也將是首要問題。

二、互聯(lián)網(wǎng)企業(yè)由于服務(wù)應(yīng)用都部署在云端,員工可以不用VPN直接進(jìn)行訪問,但由于服務(wù)應(yīng)用直接暴露在互聯(lián)網(wǎng)上,雖然外網(wǎng)上的服務(wù)應(yīng)用安全防護(hù)相比內(nèi)網(wǎng)的應(yīng)用會(huì)好許多,但也經(jīng)不起攻擊者的持續(xù)探測和DDoS攻擊,一旦有漏洞被利用,服務(wù)應(yīng)用就岌岌可危,造成的經(jīng)濟(jì)損失將無法估計(jì);

那么軟件有漏洞嗎?這個(gè)問題貌似微軟最有資格回答,而最近思科暴出的CDPwn漏洞就威脅數(shù)以千萬計(jì)的企業(yè)設(shè)備。

以上還只限于外部的攻擊,那么內(nèi)部員工呢?認(rèn)證后真的可信了嗎?有句話說“不會(huì)讓員工犯錯(cuò)誤的制度才是好制度”,千萬別去考驗(yàn)人性,我們會(huì)非常失望的,也許有人說自己肯定沒問題,那么又能堅(jiān)持多久呢?就像饑餓的時(shí)候面對一塊面包需要靠意志力去堅(jiān)持一樣,那為什么要去面對?拿走不是更好嗎?不讓內(nèi)外網(wǎng)員工在訪問資源上有區(qū)別對待,而且都沒有犯錯(cuò)誤的機(jī)會(huì),這就是ZTNA要做的事情。



零信任網(wǎng)絡(luò)(ZTNA)概念簡單地說一切皆不可信,想要信任拿出證據(jù)來證明自己。具體到業(yè)務(wù)場景就是后端的服務(wù)應(yīng)用在互聯(lián)網(wǎng)上不可見,對外提供的只有訪問代理,能給予終端(用戶、設(shè)備、應(yīng)用)什么樣的訪問權(quán)限取決于對終端信任度為多少,不可見容易理解,怎么理解對終端的信任度呢?這就像我們在尋求幫助,熟悉的人給予多,而陌生的人給予少。給予多的是因?yàn)榱私猓兄嗟男湃?,而陌生的則不然。同樣,在ZTNA的架構(gòu)里,終端要訪問后端的服務(wù)應(yīng)用,需要有身份讓訪問代理識(shí)別,這還不夠,身份只是標(biāo)識(shí),但仍然無法解決想干什么的問題,這還需要終端提供更多的可信信息,譬如設(shè)備、用戶、環(huán)境、應(yīng)用的信息等,后端的策略引擎會(huì)動(dòng)態(tài)評(píng)估給出是否給予相應(yīng)訪問權(quán)限的結(jié)果。



在ZTNA中,終端被認(rèn)為是主體,是訪問的發(fā)起方,一般指設(shè)備、用戶、應(yīng)用、環(huán)境或它們之間的疊加,這里的應(yīng)用也作為主體出現(xiàn),應(yīng)用之間通過API的調(diào)用就是如此;被訪問的資源稱為客體,一般指應(yīng)用、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等;主體對客體想干什么就是動(dòng)作了;環(huán)境就是終端所處的狀態(tài),比如地理環(huán)境、設(shè)備軟件、系統(tǒng)補(bǔ)丁、設(shè)備型號(hào)等;所有這些的屬性都組成了主體訪問客體在策略引擎中動(dòng)態(tài)評(píng)估權(quán)限的依據(jù),一般被定義在安全的上下文中。


對終端而言,信息提供越完整,可信度也就越高,可訪問的權(quán)限也就越大,當(dāng)然權(quán)限和訪問的服務(wù)應(yīng)用給予的最高權(quán)限相關(guān)。這里的權(quán)限是基于策略引擎下評(píng)估的細(xì)粒度訪問權(quán)限(ABAC),可根據(jù)信息度的差異獲得不同權(quán)限的最終組合。


ZTNA是先認(rèn)證后訪問的,對外提供的只有訪問代理,與現(xiàn)有的應(yīng)用認(rèn)證后再訪問不同,后者是完全暴露給終端,意味著也同樣暴露給了攻擊者,這存在安全隱患;另一個(gè)方面現(xiàn)有應(yīng)用無法做到動(dòng)態(tài)細(xì)粒度訪問控制(ABAC),基于靜態(tài)的RBAC模式已無法滿足企業(yè)對業(yè)務(wù)安全性的要求。


以下是ZTNA增加ABAC訪問控制后的概念模型:



這里我們可以看到ZTNA包括設(shè)備、應(yīng)用注冊,統(tǒng)一身份管理,數(shù)字證書,單點(diǎn)登錄(SSO),訪問代理時(shí)需要策略引擎進(jìn)行策略評(píng)估;而訪問控制(ABAC)則有策略實(shí)施(PEP)、策略決策(PDP)、策略定義(PAP)、策略信息(PIP)共同組成對外提供服務(wù)。當(dāng)然在PDP里也可以引入人工智能進(jìn)行補(bǔ)充,完善動(dòng)態(tài)訪問機(jī)制;訪問代理可作為網(wǎng)關(guān)監(jiān)控?cái)?shù)據(jù),保障數(shù)據(jù)的可信度。


從安全性上說,可以做到內(nèi)外網(wǎng)安全訪問的一致性,外網(wǎng)訪問完全可以替代傳統(tǒng)的VPN對內(nèi)網(wǎng)訪問,由于后端的服務(wù)應(yīng)用在互聯(lián)網(wǎng)上不可見,訪問代理認(rèn)證通過后才會(huì)與應(yīng)用建立鏈接,因此應(yīng)用不會(huì)受到互聯(lián)網(wǎng)攻擊,完成SSO后終端會(huì)獲得臨時(shí)令牌,訪問代理會(huì)驗(yàn)證臨時(shí)令牌和終端可信信息,并對異常數(shù)據(jù)進(jìn)行監(jiān)控,極大減少了攻擊面,增加了攻擊的難度,即便攻擊者拿到用戶憑據(jù)已失去了意義。


據(jù)2019年Gartner市場預(yù)測,到2022年通過ZTNA可以訪問80%向生態(tài)系統(tǒng)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用程序;到2023年有60%的企業(yè)將淘汰大部分的VPN而采用ZTNA。

未來,  將是企業(yè)擁抱零信任網(wǎng)絡(luò)(ZTNA)的時(shí)代。