NIST:七條零信任要點
現(xiàn)在對零信任的定義滿天飛,總能聽到各種像原理、支柱、基礎(chǔ)、要點之類的詞。雖然說對零信任的定義暫時來看并不絕對,但是必然還是需要一個共同能理解的概念。因此,NIST發(fā)布了NIST SP 800-27零信任結(jié)構(gòu),描述了零信任的七個要點。
1. 所有數(shù)據(jù)來源和計算服務(wù)都必須被認為是資源
現(xiàn)在已經(jīng)不是只把終端用戶設(shè)備或者服務(wù)器認為是資源的時代了。如今的網(wǎng)絡(luò)由各種動態(tài)的設(shè)備組成,包括從傳統(tǒng)的服務(wù)器以及端點,到像功能即服務(wù)(function-as-a-service, FaaS)這類能在特定許可下對環(huán)境中其他資源進行操作的動態(tài)云計算服務(wù)。
對于所有在自身環(huán)境中的數(shù)據(jù)以及計算資源,資源擁有者必須確保自己有最基本的高級認證控制,以及最低許可的接入控制。同時為了滿足之后的要點,所有的資源必須在一定程度上能夠進行相互之間的交互,提供關(guān)聯(lián)信號,協(xié)助零信任中的一些結(jié)構(gòu)組件進行決策。
2. 無論網(wǎng)絡(luò)位置在哪都需要確保所有通信安全
在零信任環(huán)境中,會落實零信任網(wǎng)絡(luò)訪問(zero trust network access, ZTNA)概念。這和傳統(tǒng)的通過虛擬專用網(wǎng)進行遠程接入相比有所不同。
在ZTNA環(huán)境,接入策略是默認拒絕的。接入必須對特定資源進行明確的許可。另外,在ZTNA中的用戶不應(yīng)該對這類許可有所感知。一般而言,很難改變自己感知不到的東西。
由于受疫情影響,如今地理位置分散的工作環(huán)境使得這第二點對組織更為重要。因為他們有大量的員工從許多位置和設(shè)備接入內(nèi)部資源。
3. 對每個企業(yè)資源的接入需要基于會話進行許可
“人就和季節(jié)一樣,會變化。”這個說法在數(shù)字身份時代更為可信。在分布式計算環(huán)境的動態(tài)環(huán)境下,云原生結(jié)構(gòu)和分布的員工會暴露大量的威脅。信任的概念不能超過一個單獨的會話窗口。
這意味著就算在之前的會話信任某個設(shè)備或者身份,也不代表著會自然地在之后的會話中對其信任。每個會話都應(yīng)該以相同嚴格的標準來評估其從設(shè)備和身份而來的,對自身環(huán)境的威脅。和用戶相關(guān)的不正常行為,或者設(shè)備安全狀態(tài)的改變,都是可能會發(fā)生的問題,并且可能會發(fā)生的事情;并且這些事情都應(yīng)該和每個會話相關(guān)聯(lián),對是否允許接入,以及接入的權(quán)限范圍進行評估。
4. 接入由動態(tài)策略決定——包括對客戶端身份、應(yīng)用/服務(wù)以及請求資產(chǎn)的可觀察狀態(tài),也可能包括其他行為和環(huán)境的屬性
現(xiàn)代計算環(huán)境很復(fù)雜,會延展到遠遠超過組織傳統(tǒng)邊界以外的地方。一種解決這個情況的方式,是運用一種“信號”的方式,對自身環(huán)境進行接入控制決策。
通過微軟的 Conditional Access圖表進行可視化是個不錯的方法。接入和許可的決策必須將信號放入考量之中。這些因素可以是用戶和位置、設(shè)備以及其相關(guān)安全狀態(tài)、實時風險和應(yīng)用關(guān)聯(lián)等。這些信號應(yīng)該為許可完全接入、限制性接入或者不能接入的決策提供支持。企業(yè)還能基于這些信號進行額外的評估來要求更高等級的認證確保,比如進行多因子驗證或者限制這些信號相關(guān)的接入等級。
5. 企業(yè)需要監(jiān)控和評估所有擁有和相關(guān)資產(chǎn)的完整性與安全狀態(tài)
在零信任模型中,沒有設(shè)備或者資產(chǎn)是天然被信任的。每個資源的請求都必須觸發(fā)一個安全狀態(tài)評估。這包括了對接入環(huán)境的企業(yè)資產(chǎn)進行持續(xù)性狀態(tài)監(jiān)測,無論這些資產(chǎn)是企業(yè)自身擁有的,還是和其他實體相關(guān)聯(lián)的——只要他們接入內(nèi)部資源就都需要被監(jiān)測到。同樣,這還包括基于持續(xù)監(jiān)測和報告的快速進行補丁修復(fù)。回到之前基于會話獲得許可的例子上,這些設(shè)備的狀態(tài)可以被檢查,以確保它們沒有高危漏洞,或者缺少重要的安全補丁。
通過這類動態(tài)對所有以及關(guān)聯(lián)資產(chǎn)的完整性與安全狀態(tài)的了解和監(jiān)測,可以基于對許可的接入權(quán)限進行策略與決策的設(shè)定。
6. 所有資源的認證與授權(quán)都是動態(tài)的,并且在接入被許可前都要嚴格執(zhí)行
就跟之前討論過的例子一樣,接入許可與信任的概念是在一個動態(tài)持續(xù)的狀態(tài)下進行的。這是一個持續(xù)動態(tài)的流程,并不會因為用戶因為關(guān)聯(lián)的接入許可創(chuàng)建了一個賬號而停止。這是一個反復(fù)的流程,隨著多種因素,貫徹策略的執(zhí)行。
7. 企業(yè)需要盡可能多地收集當前的資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的狀態(tài)信息,并且將其用于改善自己的安全態(tài)勢。
技術(shù)環(huán)境受到大量威脅的影響,因此企業(yè)必須保持連續(xù)監(jiān)控,以確保能感知到自身環(huán)境內(nèi)發(fā)生的事件。零信任架構(gòu)由NIST 800-207中提到的三個關(guān)鍵組件組成:
- 策略引擎
- 策略管理
- 策略執(zhí)行點
在現(xiàn)有狀態(tài)中獲得的資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信信息可以被這些組件用于提升決策能力,并且確保會形成風險的決策能避免出現(xiàn)。
零信任不只是一次旅途
許多組織都會犯的一個錯誤在于認為零信任是一個需要到達的目的地;他們認為只要他們買了正確的工具,就能在自己的環(huán)境中實現(xiàn)零信任。這顯然不是零信任生效的方式。當然,工具可以幫助零信任的落地,使組織更接近零信任結(jié)構(gòu),但這并非是萬靈藥。就跟大部分IT和網(wǎng)絡(luò)安全一樣,它由人、流程和技術(shù)組成。
就像NSA發(fā)布的《擁抱零信任安全模型》文中那樣,最重要的建議是從一個成熟的方式實踐零信任,包括了最初的準備,以及基礎(chǔ)、進階和高級階段的成熟度變化。
這就意味著,第一步是進行準備:知道自己現(xiàn)在的位置、需要填補和缺陷、當前架構(gòu)、實踐和流程如何能和上述零信任的關(guān)鍵要點相匹配。然后,設(shè)定一個如何解決這些問題的計劃。最重要的是,要知道這些都是需要時間來檢驗的。
點評
零信任的概念從去年才開始在國內(nèi)逐漸受到重視。但是,零信任的落地并非一蹴而就的,除了技術(shù)之外,不僅需要制度和方法上的支持,也需要時間慢慢等待效果的出現(xiàn)。
