如果你的网络有一个边界,它总有一天会遭到破坏。这既是“现实世界”难以传授的教训,也是关键安全模型(零信任)产生的前提。
什么是“零信任”?
“永不信任且始终验证”应该是对零信任模型最具概括性的描述。所谓“永不信任”,是因为网络中没有用户或端点被认为是绝对安全的;“始终验证”是因为每个用户和端点访问任何网络资源都必须在每个网络节点进行身份验证,而不仅仅是在边界或大型网段边界才需要进行身份验证。
本质上来说,零信任是关于如何创建组织的网络安全态势的思考过程和方法,其基本上打破了旧式的“网络边界防护”思维。在旧式思维中,专注点主要集中在网络防御边界,其假定已经在边界内的任何事物都不会造成威胁,因此边界内部事物基本畅通无阻,全都拥有访问权限。而就零信任模型而言,其对边界内部或外部的网络统统采取不信任的态度,必须经过验证才能完成授权,实现访问操作。
为什么要用零信任?
2010年,“零信任”网络架构正式面世,如今,经过9年的发展,零信任模型已经在CIO、CISO和其他企业高管中流行起来。而推动零信任模型日渐流行的现实因素有很多,包括:
1. 网络攻击演变得更加复杂高端
网络形势的严峻程度具体可以通过下述一组统计数据进行直观地了解:
美国网络安全公司 Cybersecurity Ventures 发布的《2017年度网络犯罪报告》预测,到2021年,网络犯罪所致全球经济损失总额将达6万亿美元/年,比2015年的3万亿美元足足翻了一倍。
同时,由Ponemon Institute和IBM安全机构赞助的《2018年数据泄露研究成本》发现,数据泄露的全球平均成本现在为390万美元,比2017年增加了6%。
而且,这些数据还是在公司企业对网络安全工作投入越来越多的情况下取得的。科技研究与咨询公司Gartner将2018年全球信息安全产品和服务支出定在了1140多亿美元,比去年增长12.4%。
企业高管们开始认识到现有的安全方法并不足以应对愈趋严峻的安全态势,他们需要寻找更好的方法,而零信任模型恰好就是解决该问题的答案。
2. 工作流的移动化和云端化
如今,可以说网络边界已经根本不存在了。单纯由内部系统组成的企业数据中心不再存在,企业应用一部分在办公楼里,一部分在云端,分布各地的员工、合作伙伴和客户都可以通过各种设备远程访问云端应用。
面对这样的新形势,我们应该如何保护自身安全成为了一个重要命题,而零信任模型也由此应运而生并流行开来。
零信任模型真的适合您的企业吗?
虽然零信任模型背后的概念很简单,但是实现起来却是另一回事。在公司决定投资该技术和程序之前,应该了解该模型及其应用所涉及的具体内容。虽然,零信任被视为“后边界时代”的答案,但它真的适合您的公司吗?我想您需要通过了解以下几个问题来获取答案:
1. 决定由谁负责驱动项目?
无论是零信任模型本身,还是其支持技术“微分段”都需要对安全和网络基础设施进行更改。鉴于此,公司首先要回答的问题之一就是应该由哪个团队负责该项目。
在开始项目之前,根据具体的应用程序环境配置方式,可能需要对交换机、路由器、防火墙、身份验证服务器和应用程序服务器本身进行更改。在许多组织中,更改这些基础架构组件可能已经远远超出了安全团队的责任范围,在这种情况下,组织要不扩展安全团队的责任范围,要不确定具体的项目负责人,例如由安全团队负责,网络和应用程序维护团队辅助项目实施。
对于一些企业而言,零信任的多重职责和组成部分成为推动它们迁移至DevSecOps(指DevOps全生命周期的安全防护)的激励因素。将基础架构的每个部门视为要经常进行身份验证、监控和改进的软件,对于零信任安全性具有非常重要的意义,而且也可以缓解围绕哪个团队应该负责推动变革过程的一系列问题。
2. 建立最小权限策略
访问权限的成本是多少?贵公司是否将其视为访问表中的一串廉价代码?尽可能地为用户提供他们可能需要的权限,真的比冒险让他们在职责扩展时遇到访问拒绝问题更好?如果是这样,那么当你启用零信任模型时,你的用户可能需要经历一次严肃的态度调整。
最小权限安全性基于一个非常简单的概念:当用户仅具有完成其工作所需的访问权限时,网络(和应用程序)基础架构是最安全的。这种特权管理方式存在诸多好处,其中一个是当员工不具备充分的权限时,其能够造成的伤害也是有限的。另一个巨大的好处是,即便黑客窃取到这些员工的登录凭据,其能造成的伤害也是有限的。对于具备低级别权限的低级别员工来说,如果他们对远程网络段和应用程序的访问受到限制,那么他们为网络接管提供跳板的可能性也要小很多。
对于许多组织来说,想要实现最小权限可能需要思维上的辨证性转变,因为如果不能完全且谨慎的解释这种转变背后的原因,它就会变得很尴尬。然而,在零信任架构中,最小特权可以成为限制攻击者扩展攻击,并在网络内部造成大规模破坏能力的有力工具。
3. 最小逻辑单元
这是零信任安全的关键。当您将网络和应用程序基础架构在逻辑上和物理上划分为非常小的部分时,由于每个从一个网段到另一个网段的传输都需要进行身份验证,那么您就能够对入侵者可以实施的访问权限进行一些非常严格的限制。
组织应该同时从逻辑空间和时间上考虑这些小分段。如果用户(特别是高级特权用户。例如管理员)偶尔需要访问特定系统或功能,则应该授予他/她处理问题所需时间的访问权限,而不是总能如此。
如果您认为自己的网络遭到了破坏,那么逻辑响应可以尽可能减少这种破坏所造成的损失。将任何单一攻击限制在单个逻辑段,就可以限制攻击对整体安全性的威胁。
4. 突出重点,多看多研究
零信任模型实现过程中需要依赖的技术之一就是“微分段”。在基本网络用语中,“分段”是指将以太网划分为子网络(也就是子网),以管理并控制网络流量,而不是将所有数据包发送给所有节点。网络分段提供了基础工具,提升了网络性能,并在传统静态网络中引入了安全性。“微分段”基于这一基本理念,抽象出新的虚拟化及控制层。使用微分段,数据中心被划分为逻辑单元,这些逻辑单元往往是工作负载或应用。这样IT能够针对每个逻辑单元制定独特的安全策略与规则。一旦周边被渗透,微分段能够显著减少恶意行为的攻击面,并限制攻击的横向移动。因为,传统防火墙能够实现常见的纵向防护,但微分段明显地限制了企业内工作负载之间不必要的横向通信。
微分段可以让你更轻松地掌握网络上发生的任何事情,但是要想知道谁在做什么,前提条件是你首先要观察得够多够仔细。如果你想要实现零信任安全,就应该仔细研究网络行为的许多不同方面。
通过微分段技术,可以比使用传统的授权模式更简单地检测零信任网络。但是为了确定优先级问题,我们的重点不在于监控何处,而在于监控每个分段中的哪些因素。
一旦确定了战略网络段或应用程序技术架构组件,就可以建立对网络流量和行为的深入审查,而不必担心淹没在海量数据中,因为你只需要从有限的网段中获取数据即可。但是,一般而言,在监控网段时你需要积极一点,以便安全架构师可以跟踪攻击者和员工行为,并帮助改进安全规则和流程以跟上网络发展的步伐。
5. 添加多因素身份验证
零信任最大的改变在于将执行机制从单一的网络边界转移到每个目标系统和应用程序。其重点是验证用户的身份以及他们所使用的设备,而不是基于某人是否从受信或不受信的网络中访问企业资源的安全策略。
如果对每个网段的身份验证是整个网络安全的关键,那么身份验证过程就变得至关重要。这里所说的用户身份验证是指强化您所使用的因素,并添加其他因素以使用户身份识别变得更加确定。
针对用户所用密码的调查结果总是不可避免地令人失望,像“12345”或“qwerty”这样的字符串始终位于最常用密码列表的顶部。因此,第一项任务就是为组织中的每个人建立强密码策略,然后切实地执行这些策略。
接下来的任务就是添加多因素身份验证。如今,多因素身份验证正变得越来越普遍,但要知道它可是从几乎为0的市场渗透率发展起来的,因此许多公司非常愿意尝试任何比传统用户名/密码更强大的身份验证方式来强化自身网络安全。
6. 保持技术更新
没有任何安全模型可以一成不变,成为“设置完就忘记”的存在。零信任安全当然也不例外,相反地,它可能算是最不应该被忘记的安全模型之一。这是因为当身份验证在整个方案中发挥如此重要的作用时,跟上威胁发展步伐并了解其如何试图阻止身份验证方案至关重要。
除了身份验证问题之外,安全专业人员还需要及时了解用于横向移动和绕过网络分段的威胁及机制。在网络安全的世界中,没有人可以假设当前运行的方法和技术可以始终有效,因此安全从业人员需要跟上行业发展趋势,并且花时间分析监控中捕获的事件,以查看网络分段中哪些地方已被攻击者试探,以及哪些地方极有可能被攻击者攻破。
毫无疑问,零信任安全可以成为信息和资产安全的基础。但仅仅因为一种方法是有效的,并不意味着它就可以在未经慎重思考和规划的情况下投入使用。企业需要根据自身情况考量上述问题,提前做好计划,并且记住最重要的一点——不要信任任何人!
经典企业实践案例:BeyondCorp
作为零信任网络的先行者,谷歌花了6年时间才从其VPN和特权网络访问模式迁移到BeyondCorp零信任环境。期间谷歌不得不重新定义和调整其职位角色及分类,建立起全新的主控库存服务以跟踪设备,并重新设计用户身份验证及访问控制策略。从2014年起,Google连续在《login》杂志上发表了6篇BeyondCorp相关的论文,全面介绍BeyondCorp和Google从2011年至今的实施经验。
Google将BeyondCorp项目的目标设定为“让所有Google员工从不受信任的网络中不接入VPN就能顺利工作”。与传统的边界安全模式不同,BeyondCorp摒弃了将网络隔离作为防护敏感资源的主要机制,取而代之的是,所有的应用都部署在公网上,通过用户与设备为中心的认证与授权工作流进行访问。这就意味着作为零信任安全架构的BeyondCorp,将访问控制权从边界转移到个人设备与用户上。因此员工可以实现在任何地点的安全访问,无需传统的VPN。
谷歌的零信任安全架构涉及复杂的库存管理,记录具体谁拥有网络里的哪台设备。设备库存服务来从多个系统管理渠道搜集每个设备的各种实时信息,比如活动目录(Avvtive Directory)或Puppet。
对于用户的认证则基于一套代表敏感程度的信任层。无论员工使用什么设备或身处何处,都能得到相应的访问权限。低层次的访问不需要对设备做太严格的审核。
而且,在谷歌网络中不存在特权用户。谷歌使用安全密钥进行身份管理,比密码更难伪造。每个入网的设备都有谷歌颁发的证书。网络的加密则是通过TLS(传输层安全协议)来实现。
除此之外,与传统的边界安全模式不同,BeyondCorp不是以用户的物理登陆地点或来源网络作为访问服务或工具的判定标准,其访问策略是建立在设备信息、状态和关联用户的基础上,更偏向用户行为和设备状态的分析。
总体来说,谷歌BeyondCorp主要包括三大指导原则:
- 无边界设计——从特定网络连接,与你能获得的服务没有关系;
- 上下文感知——根据对用户与设备的了解,来授予所获得的服务;
- 动态访问控制——所有对服务的访问必须经过认证、授权和加密。