啟用“零信任”模型前需要解決的6個問題
如果你的網(wǎng)絡有一個邊界,它總有一天會遭到破壞。這既是“現(xiàn)實世界”難以傳授的教訓,也是關鍵安全模型(零信任)產生的前提。
什么是“零信任”?
“永不信任且始終驗證”應該是對零信任模型最具概括性的描述。所謂“永不信任”,是因為網(wǎng)絡中沒有用戶或端點被認為是絕對安全的;“始終驗證”是因為每個用戶和端點訪問任何網(wǎng)絡資源都必須在每個網(wǎng)絡節(jié)點進行身份驗證,而不僅僅是在邊界或大型網(wǎng)段邊界才需要進行身份驗證。
本質上來說,零信任是關于如何創(chuàng)建組織的網(wǎng)絡安全態(tài)勢的思考過程和方法,其基本上打破了舊式的“網(wǎng)絡邊界防護”思維。在舊式思維中,專注點主要集中在網(wǎng)絡防御邊界,其假定已經(jīng)在邊界內的任何事物都不會造成威脅,因此邊界內部事物基本暢通無阻,全都擁有訪問權限。而就零信任模型而言,其對邊界內部或外部的網(wǎng)絡統(tǒng)統(tǒng)采取不信任的態(tài)度,必須經(jīng)過驗證才能完成授權,實現(xiàn)訪問操作。
為什么要用零信任?
2010年,“零信任”網(wǎng)絡架構正式面世,如今,經(jīng)過9年的發(fā)展,零信任模型已經(jīng)在CIO、CISO和其他企業(yè)高管中流行起來。而推動零信任模型日漸流行的現(xiàn)實因素有很多,包括:
1. 網(wǎng)絡攻擊演變得更加復雜高端
網(wǎng)絡形勢的嚴峻程度具體可以通過下述一組統(tǒng)計數(shù)據(jù)進行直觀地了解:
美國網(wǎng)絡安全公司 Cybersecurity Ventures 發(fā)布的《2017年度網(wǎng)絡犯罪報告》預測,到2021年,網(wǎng)絡犯罪所致全球經(jīng)濟損失總額將達6萬億美元/年,比2015年的3萬億美元足足翻了一倍。
同時,由Ponemon Institute和IBM安全機構贊助的《2018年數(shù)據(jù)泄露研究成本》發(fā)現(xiàn),數(shù)據(jù)泄露的全球平均成本現(xiàn)在為390萬美元,比2017年增加了6%。
而且,這些數(shù)據(jù)還是在公司企業(yè)對網(wǎng)絡安全工作投入越來越多的情況下取得的。科技研究與咨詢公司Gartner將2018年全球信息安全產品和服務支出定在了1140多億美元,比去年增長12.4%。
企業(yè)高管們開始認識到現(xiàn)有的安全方法并不足以應對愈趨嚴峻的安全態(tài)勢,他們需要尋找更好的方法,而零信任模型恰好就是解決該問題的答案。
2. 工作流的移動化和云端化
如今,可以說網(wǎng)絡邊界已經(jīng)根本不存在了。單純由內部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在,企業(yè)應用一部分在辦公樓里,一部分在云端,分布各地的員工、合作伙伴和客戶都可以通過各種設備遠程訪問云端應用。
面對這樣的新形勢,我們應該如何保護自身安全成為了一個重要命題,而零信任模型也由此應運而生并流行開來。
零信任模型真的適合您的企業(yè)嗎?
雖然零信任模型背后的概念很簡單,但是實現(xiàn)起來卻是另一回事。在公司決定投資該技術和程序之前,應該了解該模型及其應用所涉及的具體內容。雖然,零信任被視為“后邊界時代”的答案,但它真的適合您的公司嗎?我想您需要通過了解以下幾個問題來獲取答案:
1. 決定由誰負責驅動項目?
無論是零信任模型本身,還是其支持技術“微分段”都需要對安全和網(wǎng)絡基礎設施進行更改。鑒于此,公司首先要回答的問題之一就是應該由哪個團隊負責該項目。
在開始項目之前,根據(jù)具體的應用程序環(huán)境配置方式,可能需要對交換機、路由器、防火墻、身份驗證服務器和應用程序服務器本身進行更改。在許多組織中,更改這些基礎架構組件可能已經(jīng)遠遠超出了安全團隊的責任范圍,在這種情況下,組織要不擴展安全團隊的責任范圍,要不確定具體的項目負責人,例如由安全團隊負責,網(wǎng)絡和應用程序維護團隊輔助項目實施。
對于一些企業(yè)而言,零信任的多重職責和組成部分成為推動它們遷移至DevSecOps(指DevOps全生命周期的安全防護)的激勵因素。將基礎架構的每個部門視為要經(jīng)常進行身份驗證、監(jiān)控和改進的軟件,對于零信任安全性具有非常重要的意義,而且也可以緩解圍繞哪個團隊應該負責推動變革過程的一系列問題。
2. 建立最小權限策略
訪問權限的成本是多少?貴公司是否將其視為訪問表中的一串廉價代碼?盡可能地為用戶提供他們可能需要的權限,真的比冒險讓他們在職責擴展時遇到訪問拒絕問題更好?如果是這樣,那么當你啟用零信任模型時,你的用戶可能需要經(jīng)歷一次嚴肅的態(tài)度調整。
最小權限安全性基于一個非常簡單的概念:當用戶僅具有完成其工作所需的訪問權限時,網(wǎng)絡(和應用程序)基礎架構是最安全的。這種特權管理方式存在諸多好處,其中一個是當員工不具備充分的權限時,其能夠造成的傷害也是有限的。另一個巨大的好處是,即便黑客竊取到這些員工的登錄憑據(jù),其能造成的傷害也是有限的。對于具備低級別權限的低級別員工來說,如果他們對遠程網(wǎng)絡段和應用程序的訪問受到限制,那么他們?yōu)榫W(wǎng)絡接管提供跳板的可能性也要小很多。
對于許多組織來說,想要實現(xiàn)最小權限可能需要思維上的辨證性轉變,因為如果不能完全且謹慎的解釋這種轉變背后的原因,它就會變得很尷尬。然而,在零信任架構中,最小特權可以成為限制攻擊者擴展攻擊,并在網(wǎng)絡內部造成大規(guī)模破壞能力的有力工具。
3. 最小邏輯單元
這是零信任安全的關鍵。當您將網(wǎng)絡和應用程序基礎架構在邏輯上和物理上劃分為非常小的部分時,由于每個從一個網(wǎng)段到另一個網(wǎng)段的傳輸都需要進行身份驗證,那么您就能夠對入侵者可以實施的訪問權限進行一些非常嚴格的限制。
組織應該同時從邏輯空間和時間上考慮這些小分段。如果用戶(特別是高級特權用戶。例如管理員)偶爾需要訪問特定系統(tǒng)或功能,則應該授予他/她處理問題所需時間的訪問權限,而不是總能如此。
如果您認為自己的網(wǎng)絡遭到了破壞,那么邏輯響應可以盡可能減少這種破壞所造成的損失。將任何單一攻擊限制在單個邏輯段,就可以限制攻擊對整體安全性的威脅。
4. 突出重點,多看多研究
零信任模型實現(xiàn)過程中需要依賴的技術之一就是“微分段”。在基本網(wǎng)絡用語中,“分段”是指將以太網(wǎng)劃分為子網(wǎng)絡(也就是子網(wǎng)),以管理并控制網(wǎng)絡流量,而不是將所有數(shù)據(jù)包發(fā)送給所有節(jié)點。網(wǎng)絡分段提供了基礎工具,提升了網(wǎng)絡性能,并在傳統(tǒng)靜態(tài)網(wǎng)絡中引入了安全性。“微分段”基于這一基本理念,抽象出新的虛擬化及控制層。使用微分段,數(shù)據(jù)中心被劃分為邏輯單元,這些邏輯單元往往是工作負載或應用。這樣IT能夠針對每個邏輯單元制定獨特的安全策略與規(guī)則。一旦周邊被滲透,微分段能夠顯著減少惡意行為的攻擊面,并限制攻擊的橫向移動。因為,傳統(tǒng)防火墻能夠實現(xiàn)常見的縱向防護,但微分段明顯地限制了企業(yè)內工作負載之間不必要的橫向通信。
微分段可以讓你更輕松地掌握網(wǎng)絡上發(fā)生的任何事情,但是要想知道誰在做什么,前提條件是你首先要觀察得夠多夠仔細。如果你想要實現(xiàn)零信任安全,就應該仔細研究網(wǎng)絡行為的許多不同方面。
通過微分段技術,可以比使用傳統(tǒng)的授權模式更簡單地檢測零信任網(wǎng)絡。但是為了確定優(yōu)先級問題,我們的重點不在于監(jiān)控何處,而在于監(jiān)控每個分段中的哪些因素。
一旦確定了戰(zhàn)略網(wǎng)絡段或應用程序技術架構組件,就可以建立對網(wǎng)絡流量和行為的深入審查,而不必擔心淹沒在海量數(shù)據(jù)中,因為你只需要從有限的網(wǎng)段中獲取數(shù)據(jù)即可。但是,一般而言,在監(jiān)控網(wǎng)段時你需要積極一點,以便安全架構師可以跟蹤攻擊者和員工行為,并幫助改進安全規(guī)則和流程以跟上網(wǎng)絡發(fā)展的步伐。
5. 添加多因素身份驗證
零信任最大的改變在于將執(zhí)行機制從單一的網(wǎng)絡邊界轉移到每個目標系統(tǒng)和應用程序。其重點是驗證用戶的身份以及他們所使用的設備,而不是基于某人是否從受信或不受信的網(wǎng)絡中訪問企業(yè)資源的安全策略。
如果對每個網(wǎng)段的身份驗證是整個網(wǎng)絡安全的關鍵,那么身份驗證過程就變得至關重要。這里所說的用戶身份驗證是指強化您所使用的因素,并添加其他因素以使用戶身份識別變得更加確定。
針對用戶所用密碼的調查結果總是不可避免地令人失望,像“12345”或“qwerty”這樣的字符串始終位于最常用密碼列表的頂部。因此,第一項任務就是為組織中的每個人建立強密碼策略,然后切實地執(zhí)行這些策略。
接下來的任務就是添加多因素身份驗證。如今,多因素身份驗證正變得越來越普遍,但要知道它可是從幾乎為0的市場滲透率發(fā)展起來的,因此許多公司非常愿意嘗試任何比傳統(tǒng)用戶名/密碼更強大的身份驗證方式來強化自身網(wǎng)絡安全。
6. 保持技術更新
沒有任何安全模型可以一成不變,成為“設置完就忘記”的存在。零信任安全當然也不例外,相反地,它可能算是最不應該被忘記的安全模型之一。這是因為當身份驗證在整個方案中發(fā)揮如此重要的作用時,跟上威脅發(fā)展步伐并了解其如何試圖阻止身份驗證方案至關重要。
除了身份驗證問題之外,安全專業(yè)人員還需要及時了解用于橫向移動和繞過網(wǎng)絡分段的威脅及機制。在網(wǎng)絡安全的世界中,沒有人可以假設當前運行的方法和技術可以始終有效,因此安全從業(yè)人員需要跟上行業(yè)發(fā)展趨勢,并且花時間分析監(jiān)控中捕獲的事件,以查看網(wǎng)絡分段中哪些地方已被攻擊者試探,以及哪些地方極有可能被攻擊者攻破。
毫無疑問,零信任安全可以成為信息和資產安全的基礎。但僅僅因為一種方法是有效的,并不意味著它就可以在未經(jīng)慎重思考和規(guī)劃的情況下投入使用。企業(yè)需要根據(jù)自身情況考量上述問題,提前做好計劃,并且記住最重要的一點——不要信任任何人!
經(jīng)典企業(yè)實踐案例:BeyondCorp
作為零信任網(wǎng)絡的先行者,谷歌花了6年時間才從其VPN和特權網(wǎng)絡訪問模式遷移到BeyondCorp零信任環(huán)境。期間谷歌不得不重新定義和調整其職位角色及分類,建立起全新的主控庫存服務以跟蹤設備,并重新設計用戶身份驗證及訪問控制策略。從2014年起,Google連續(xù)在《login》雜志上發(fā)表了6篇BeyondCorp相關的論文,全面介紹BeyondCorp和Google從2011年至今的實施經(jīng)驗。
Google將BeyondCorp項目的目標設定為“讓所有Google員工從不受信任的網(wǎng)絡中不接入VPN就能順利工作”。與傳統(tǒng)的邊界安全模式不同,BeyondCorp摒棄了將網(wǎng)絡隔離作為防護敏感資源的主要機制,取而代之的是,所有的應用都部署在公網(wǎng)上,通過用戶與設備為中心的認證與授權工作流進行訪問。這就意味著作為零信任安全架構的BeyondCorp,將訪問控制權從邊界轉移到個人設備與用戶上。因此員工可以實現(xiàn)在任何地點的安全訪問,無需傳統(tǒng)的VPN。
谷歌的零信任安全架構涉及復雜的庫存管理,記錄具體誰擁有網(wǎng)絡里的哪臺設備。設備庫存服務來從多個系統(tǒng)管理渠道搜集每個設備的各種實時信息,比如活動目錄(Avvtive Directory)或Puppet。
對于用戶的認證則基于一套代表敏感程度的信任層。無論員工使用什么設備或身處何處,都能得到相應的訪問權限。低層次的訪問不需要對設備做太嚴格的審核。
而且,在谷歌網(wǎng)絡中不存在特權用戶。谷歌使用安全密鑰進行身份管理,比密碼更難偽造。每個入網(wǎng)的設備都有谷歌頒發(fā)的證書。網(wǎng)絡的加密則是通過TLS(傳輸層安全協(xié)議)來實現(xiàn)。
除此之外,與傳統(tǒng)的邊界安全模式不同,BeyondCorp不是以用戶的物理登陸地點或來源網(wǎng)絡作為訪問服務或工具的判定標準,其訪問策略是建立在設備信息、狀態(tài)和關聯(lián)用戶的基礎上,更偏向用戶行為和設備狀態(tài)的分析。
總體來說,谷歌BeyondCorp主要包括三大指導原則:
- 無邊界設計——從特定網(wǎng)絡連接,與你能獲得的服務沒有關系;
- 上下文感知——根據(jù)對用戶與設備的了解,來授予所獲得的服務;
- 動態(tài)訪問控制——所有對服務的訪問必須經(jīng)過認證、授權和加密。
