目录
概述
什么是零信任网络
零信任网络的逻辑组成
技术组件
技术壁垒
应用场景
最佳实践
市场前景
概述
“零信任网络”是在2010年被Forrester的首席分析师JohnKindervag提出,他认为:“企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。”这个概念一经提出就饱受争议,有人说其是这是安全产品未来趋势,也有人担心这个概念难以落地而不被看好,然而随着底层组件技术的不断发展,这个概念也被逐步验证成为现实。
什么是零信任网络
在谈到“零信任”前不得不提到“基于网络边界建立信任”的理念,传统网络安全防护大都通过在网络边界部署防火墙、IDS、入侵监测系统等防护设备,对企业网络层层防护,从外向内地将攻击拦截在外从而保障企业网络的安全。然而现在的网络架构和使用模式正在对这种基于边界的防护策略发起挑战:缺乏内部流量的检查、主机部署缺乏物理和逻辑上的灵活性、存在单点故障。比如:位于网络防护边界之外的远程用户和移动设备的接入,云上资产的访问与防护等问题,一旦某个单点被突破,就给了攻击者横行移动、进一步入侵的可能,传统防护策略逐渐显得力不从心。
零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型的核心思想是不基于网络位置建立信任,任何在授权前的人/设备/应用程序都视为不被信任的、在访问数据前都应取得信任,细粒度数据访问权限,采用最小权限原则,将网络防御的对象从边界缩小到了单个或者更小的资源组。
如果把企业网络比作一座城的话,那么传统边界防护就是给城修城墙、设栅栏,而在零信任网络下就是给一个城市居民配置一名守卫兵。传统基于边界访问的“城墙”不会消失——它还能抵御大部分入侵,仅靠配置“守卫兵”的方式又回占用太多的资源和带宽,两者还需在实用性和安全性上作出平衡。
零信任架构的逻辑组成
在组织和企业中,构成零信任架构部署的逻辑组件通常有很多,《NIST SP800-207:零信任架构草案》中描述了一种典型的方案逻辑及核心产品组件:
策略引擎(Policy Engine, PE)。组件负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源(例如IP黑名单,威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问,策略引擎的核心作用是信任评估。
策略管理器(Policy Administrator, PA)。组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关,并依赖于其决定最终允许或拒绝连接,策略管理器的核心作用是策略判定点,是零信任动态权限的判定组件。
策略执行点(Policy Enforcement Point, PEP)。这实际上是一个组件系统,负责开始,持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件:客户端组件(如用户笔记本电脑上的agent)与资源端组件(如资源前控制访问的网关),策略执行点确保业务的安全访问。
除了以上核心组件外,还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源,具体包括:
- 持续诊断和缓解计划(continuous diagnostics and mitigation,CDM)系统
- 行业合规系统(Industry Compliance System)
- 威胁情报流,该系统提供帮助策略引擎进行访问决策的信息
- 数据访问策略
- 企业公钥基础设施(PKI)
- ID管理系统。系统负责创建、保存和管理企业用户帐户和身份记录
- 安全应急和事件管理系统(SIEM)
技术组件
零信任技术需要根据用户身份、用户所处位置、上下文信息和其他数据等条件,利用微隔离和细粒度边界规则,来确定是否信任请求企业特范围访问权的用户/主机/应用。首先是建立资产清单库,至少包括用户清单库、设备清单库。且能够根据企业组织架构调整、人员变动、设备丢失等情况对资产进行生命周期管理,且动态维护相关联的属性特征。如人员职级、角色,设备证书状态、设备是否安装了最新的补丁等。
身份认证可以对现有技术进行融合,如多因子身份验证(MFA)、可信身份认证(FIDO)、身份与访问管理(IAM)、SSO等。
需要做到:
做到细粒度权限访问:
- 最小权限原则
- 终端数据隔离
- 应用资产隐藏
内网流量也要求全部加密。通过TLS、IPSec等技术创建安全通道,并通过PKI/CA/X.509等基础设施实现流量的保密性和完整性。同时,所有流量必须被记录和监控。
自学习、自适应的动态模型。利用机器学习,通过用户及实体行为分析(UEBA)识别异常行为等。
除了技术方面,人的观念转变和高层支持更加重要。否则,零信任根本难以起步。
技术壁垒
按目前零信任网络的发展来看,零信任网络还有很多不足。比如BGP、身份和访问管理(IAM)服务等路由协议之间缺乏集成。路由如果足够智能,可以将具有子IP地址的源设备存储在一个子IP网络中,并通过IP地址和应用程序将数据包发送到目标子IP网络。此外,虽然现在IAM可以用于网络,但它并不用于确定数据包是如何路由的。下图说明了零信任网络正在将路由器的路由表与目录的AAA策略结合起来,以允许或拒绝一个包从源到目的地的转发。与目前的二进制规则相比,更精细的规则可以应用到路由中,后者可以提高网络性能和安全控制。
应用场景
任何企业网络都可以在设计时考虑零信任原则。如今,大多数组织的企业基础架构已经具有了零信任的某些要素,或者正在通过实施信息安全和弹性策略以及最佳实践来实现。有几种场景可以更轻松地实施零信任体系架构。例如,ZTA易于在地理广泛分布和/或具有高度移动性的员工队伍的组织中扎根。也就是说,任何具有多种资源的大型网络的组织,都可以从零信任架构中获益。在下面的用例中,没有明确指出ZTA,因为企业可能同时拥有遗留和(可能)ZTA基础设施。ZTA组件和遗留网络基础设施在企业中同时运行可能会有一段时间。
1. 分支机构访问业务系统
2. 多云企业
3.存在外包服务和/或非员工访问的企业
4. 跨企业协同
最佳实践
1. Google的BeyondCorp
作为零信任网络的先行者,谷歌花了6年时间才从其VPN和特权网络访问模式迁移到BeyondCorp零信任环境。期间谷歌不得不重新定义和调整其职位角色及分类,建立起全新的主控库存服务以跟踪设备,并重新设计用户身份验证及访问控制策略。
2. Microsoft Azure
Azure 的零信任相对来说还是比较完善的,从体系角度来看涵盖了端、云、On-Permises、SaaS 等应用,相关组件:
- 用户 Identity:然后通过 Identity Provider(创建、维护和管理用户身份的组件)的认证,再认证的过程中可以使用账号密码,也可以使用 MFA(Multi Factor Auth)多因素认证的方式,多因素认证包括软、硬 Token、SMS、人体特征等;
- 设备 Identity:设备包含了公司的设备以及没有统一管理的设备,这些设备的信息,包含 IP 地址、MAC 地址、安装的软件、操作系统版本、补丁状态等存储到 Device Inventory;另外设备也会有相应的 Identity 来证明设备的身份;设备会有对应的设备状态、设备的风险进行判定;
- Security Policy Enforcement:通过收集的用户 Identity 以及状态、设备的信息,状态以及 Identity 后,SPE 策略进行综合的判定,同时可以结合 Threat Intelligence 来增强 SPE 的策略判定的范围和准备性;策略的例子包括可以访问后面的 Data、Apps、Infrastructure、Network;
- Data:针对数据(Emails、Documents)进行分类、标签、加密的策略;
- Apps:可以自适应访问对应的 SaaS 应用和 On-Permises 应用;
- Infrastructure:包括 IaaS、PaaS、Container、Serverless 以及 JIT(按需开启访问)和 GIT 版本控制软件;
- Network:针对网络交付过程以及内部的微隔离进行策略打通。
市场前景
国外
Microsoft、Google、Cisco、Symantec等国际巨头纷纷进军零信任领域,2017年Google基于零信任构建的BeyondCorp项目成功完成。创业公司代表:Zscaler和Okta,凭借其在零信任安全领域的技术创新已经在纳斯达克上市,市值也从20亿美金飞速发展到100亿美金以上。
《Gartner2019零信任网络访问市场指南》预测:到2023年,有60%的企业将淘汰大部分的VPN,而使用ZTNA(零信任网络访问)
国内
2019年,工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见;
零信任安全首次被列入网络安全需要突破的关键技术;
中国信息通信研究院首次将零信任安全技术和5G、云安全等并列为我国网络安全重点细分领域技术。
无疑,零信任已经成为安全界的新宠。
零信任安全厂商
- Google:BeyondCorp架构
- Akamai:Akamai Enterprise Application Access
- 思科:布局与收购Duo Beyond、Tetration、SD-Access
- 塞门铁克:收购Luminate Security后推出Symantec Secure Access Cloud
- Unisys:Stealth
- 派拓:收购PureSec, RedLock, Twistlock
以及一些独角兽创业公司。
reference: