網(wǎng)絡如何為零信任提供支持
構(gòu)建零信任架構(gòu)通常要求對網(wǎng)絡資源給予足夠的訪問權(quán)限,這樣用戶就可以完成他們的工作任務,網(wǎng)絡本身也可以提供幫助。
簡單地說,零信任要求驗證每個試圖訪問網(wǎng)絡的用戶和設備,并實施嚴格的訪問控制和身份管理措施,讓授權(quán)用戶只能訪問他們工作所需的資源。
零信任作為一種架構(gòu)有許多潛在的解決方案可供選擇,但這只是適用于網(wǎng)絡領(lǐng)域的一種解決方案。
最小特權(quán)
最小特權(quán)是零信任的一個原則,即允許用戶獲得足夠的資源來完成他們的工作。實現(xiàn)這一點的一種方法是網(wǎng)絡分段,它根據(jù)身份驗證、信任、用戶角色、拓撲將網(wǎng)絡分割成不相連的部分。如果有效實施,它可以隔離網(wǎng)段上的主機,并將其東西流向的通信最小化,從而在主機遭到攻擊時限制附帶損害的范圍。由于主機和應用程序只能訪問其被授權(quán)訪問的有限資源,因此分段可防止網(wǎng)絡攻擊者損害網(wǎng)絡的其余部分。
組織被授予訪問權(quán)限,并根據(jù)場景授權(quán)訪問資源:例如用戶是誰,使用什么設備訪問網(wǎng)絡,網(wǎng)絡位于何處,如何通信,以及為什么需要訪問。
還有其他強制分段的方法。最傳統(tǒng)的方法之一是物理隔離,也就是使用專用服務器、電纜和網(wǎng)絡設備對網(wǎng)絡進行物理隔離,以達到不同的安全級別。雖然這是一種行之有效的方法,但為每個用戶的信任級別和角色構(gòu)建完全獨立的網(wǎng)絡環(huán)境在成本方面可能很高昂。
第二層分段
另一種方法是第二層分段,通過設備和接入交換機之間的內(nèi)聯(lián)安全過濾將終端用戶和他們的設備隔離開來。但是在每個用戶和交換機之間安裝防火墻的成本可能會非常昂貴。另一種方法是基于端口的網(wǎng)絡訪問控制,它基于身份驗證或請求方證書授予訪問權(quán)限并將每個節(jié)點分配給第三層虛擬局域網(wǎng)(VLAN)。
這些方法通常通過802.1x標準和可擴展認證協(xié)議在有線和無線接入網(wǎng)絡上使用。然而,組織可能無法利用供應商的最終用戶角色、身份驗證憑據(jù)、設備配置文件和高級流量篩選等更全面的功能,并根據(jù)用戶的可信度級別對其進行分段。
第三層分段
創(chuàng)建應用程序隔離區(qū)的常用方法包括將訪問電纜和端口分離到第三層子網(wǎng)(VLAN)中,并執(zhí)行內(nèi)聯(lián)過濾。過濾可以通過網(wǎng)絡設備(例如路由器)執(zhí)行,也可以通過對用戶身份和角色有所了解的防火墻或代理服務器執(zhí)行。一個典型的示例是標準的三層Web應用程序體系結(jié)構(gòu),其中Web服務器、應用程序服務器和數(shù)據(jù)庫服務器位于不同的子網(wǎng)中。
可以采取網(wǎng)絡切片的方法,這是一種軟件定義網(wǎng)絡的方法,網(wǎng)絡在邏輯上被分成多個部分,類似于虛擬路由和轉(zhuǎn)發(fā)場景。
當前主要的做法是為每臺服務器分配自己的IPv4子網(wǎng)或IPv6/64前綴,并讓它向網(wǎng)絡路由器公布其子網(wǎng)。該服務器子網(wǎng)中的所有通信量都是該服務器的本地通信量,并且該主機內(nèi)的虛擬網(wǎng)絡上不會發(fā)生其他滲透。
將流量封裝在IP網(wǎng)絡頂部運行的覆蓋隧道中也可以分隔網(wǎng)段,這可以通過多種方式實現(xiàn)。其中包括虛擬可擴展局域網(wǎng)、使用通用路由封裝的網(wǎng)絡虛擬化、通用網(wǎng)絡虛擬化封裝、無狀態(tài)傳輸隧道和TCP分段卸載。
數(shù)據(jù)包標記(使用內(nèi)部標識符標記數(shù)據(jù)包)可用于在接口之間建立信任關(guān)系,并根據(jù)其身份和授權(quán)隔離最終用戶設備的數(shù)據(jù)包。組織可以在包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec在內(nèi)的協(xié)議中添加標簽。還有一種方法是分段路由,在IPv6包中使用一個特殊的路由報頭來控制MPLS或IPv6網(wǎng)絡上的通信路徑。
美國國家標準技術(shù)研究院(NIST)的建議
美國國家標準與技術(shù)研究所(NIST)列舉了零信任體系結(jié)構(gòu)的邏輯組件,并提供了一些部署樣式的定義。這包括基于策略決策點和策略實施點驗證和驗證用戶。類似于云安全聯(lián)盟最初構(gòu)想的軟件定義邊界(SDP)。
這種方法采用一個軟件定義邊界(SDP)控制器,該控制器對用戶進行身份驗證,然后根據(jù)用戶的角色和授權(quán)通知軟件定義邊界(SDP)網(wǎng)關(guān)允許訪問特定的應用程序。該過程可以使用傳統(tǒng)的用戶名和密碼,也可以使用帶有一次性密碼、軟件令牌、硬令牌、移動應用程序或文本消息的多因素身份驗證(MFA)方法。還有一種稱為單數(shù)據(jù)包授權(quán)或端口斷開的替代方法,該方法使用客戶端瀏覽器或應用程序?qū)⒁唤M數(shù)據(jù)包發(fā)送到軟件定義邊界(SDP)控制器,以識別用戶及其設備。
還有各種各樣的微分段、主機隔離和零信任網(wǎng)絡方法。有些是在網(wǎng)絡設備、服務器,以及在身份和訪問控制系統(tǒng)中或在中間設備(例如代理服務器和防火墻)中實現(xiàn)的。零信任方法種類繁多,可以在主機操作系統(tǒng)、軟件容器虛擬網(wǎng)絡、虛擬機管理程序或具有軟件定義邊界(SDP)或IAP的虛擬云基礎(chǔ)設施中實施。
許多零信任方法還包括終端用戶節(jié)點上的軟件代理以及X.509證書、相互TLS(mTLS)、單包認證(SPA)和多因素身份驗證(MFA)。并非所有這些都可以完全由網(wǎng)絡或服務器或安全管理員自己實現(xiàn)。為了實現(xiàn)一個健壯的零信任網(wǎng)絡架構(gòu),這些技術(shù)可以通過與跨學科的IT團隊的協(xié)作來實現(xiàn)。
