两个多月前,安全牛曾发表一篇题为《“零信任”时代,VPN必将被SDP取代》的文章,引发了较大争议,有人认为SDP(零信任的一种实现框架)无法取代VPN,也有人认为零信任才是最终答案。但是,新冠疫情已经将VPN与SDP/零信任的对决大大提前,因为VPN在全球性的大规模远程办公巨变中,资源消耗和“卡顿”问题被成倍放大。
如果新冠疫情发展成持久战,VPN与零信任架构的“决胜局”势必将提前上演。
在国内疫情较为严重的时期,不少科技公司远程办公的工程师就曾吐槽VPN服务器因负载过高频频崩溃。如今,随着国外疫情后浪推前浪,谷歌、Twitter等科技巨头也纷纷开启远程办公模式,远程办公的工作负载呈几何级数飙升。下面是Zoom最近的全球用户数增长统计表,可以直观感受下:
除了对Zoom和Slack高峰期卡顿(类似企业微信和钉钉在国内疫情高峰期的遭遇)的各种吐槽外,国外工程师对VPN的糟糕表现更是直接爆了粗口:所有VPN都是垃圾。
前不久技术专家Matthew Sullivan写了一篇博客专门吐槽企业VPN的安全性问题和可用性,他的观点是:
尽量别用VPN。
为什么?因为:
所有的VPN都是垃圾。
Sullivan认为,VPN需要精心配置,否则就是给黑客留门。但要命的是,这种精心配置只存在于理论层面,现实中绝大多数用户压根做不到或者不屑做!
零信任取代VPN?
Sullivan认为,相比VPN,零信任网络安全架构具备以下三大优点:
1. 不存在网络桥接,不会劫持用户流量。
2. VPN设备的一大问题,在于需要匹配专有软件/操作系统配置——这类配置正是阻碍自动修复程序的元凶,而零信任架构可以选择的OpenSSH安全记录要好得多,自2003年以来,OpenSSH从未因默认配置中的漏洞而遭遇未经授权的远程访问。细粒度的应用与流量监控和微分段,使得攻击者即使成功侵入网络入口点位置,其实也没有什么后续空间可以利用。
3. 与VPN一旦用户登录就获得完全授信不同,零信任的主机保护解决方案会对每个应用程序进行严密监控,记录应用的所有活动并执行流量过滤。如此一来,即使攻击者成功侵入私有云VPC网络入口点位置,其实也没有什么后续空间可以利用。
但是对于零信任取代VPN,安全牛的读者们看法不一,有人认为Sullivan对VPN桥接和流量劫持的说法不准确,指出:
IPSec支持IP载荷直接传输的非桥接模式。该协议是经过大量安全研究者分析过的,其他协议不说实现,本身协议安不安全就是个问题。而且协议问题的发现需要时间。
也有读者支持Sullivan的观点,认为:
现有的VPN方案确实都垃圾,IPsec (基于strongSwan) 算好的了,但IPsec本身的复杂度让配置变得麻烦,而且不同客户端的支持也有管理成本。OpenVPN性能比较差。而商业的要特定的客户端……
为什么是零信任?
零信任不是产品或服务,当然也不仅仅是流行语。相反,它是网络安全的一种特殊方法。它的意思正如其名——不是“先验证,然后信任”,而是“永远不要信任,永远要验证”。
本质上,零信任关系到通过限制对数据的访问来保护数据。企业不会自动信任任何人或任何东西,无论是在企业网络安全边界范围之内还是之外。相反,零信任方法要求在授予访问权限之前,对试图连接到企业内网的应用程序或系统的每个人、设备、帐户等进行验证。
可是等等,传统网络安全系统的设计不就是实现这种安全控制吗?难道零信任仅仅是一种锦上添花的技术?回想一下微盟删库事件的情节——微盟的一位核心运维人员通过VPN登录堡垒机然后进入生产环境上演“电锯狂人”,传统网络安全工具和控制形同虚设,虽然微盟删库事件有其特殊性,且问题的根源主要是缺乏内部威胁的预案和安全管理策略,但也从一定程度上暴露出了包括VPN、堡垒机、防火墙之类的传统安全防御工具和方法的“二哈”属性。
其实,零信任框架也并非空中楼阁,包括许多企业已广泛使用的安全技术来保护其数据。但是,零信任的价值在于,它代表了一种全新的网络安全防御方法和体系,不仅可以保护整个企业范围内的总体边界,还可以将企业的安全边界移动到组织内外的每个网络、系统、用户和设备。强调身份、多因素身份验证、受信任的端点、网络分段、访问控制和用户归因来分隔和规范对敏感数据和系统的访问,从而使更细粒度和更高效的安全访问控制成为可能。
简而言之,零信任是一种新的思考网络安全的方法,可帮助组织在当今瞬息万变的威胁形势下保护其数据,客户和自己的竞争优势。
现在部署零信任是不是太早了点?
数据安全是2020年企业高管和CISO们的头号任务,几乎所有企业高管都已经感受到保护企业系统和数据的压力。投资者和“数据主体”(客户和消费者)也迫切需要更好的数据安全保障。
尤其是当部分数据和应用程序在本地部署,而另外一些在云中时(混合云模式),安全问题将变得尤为复杂——从员工到承包商和合作伙伴的每一方都使用来自多个位置的各种设备来访问这些应用程序。同时,各国政府和行业法规正在提高保护重要数据的标准和要求,零信任度可以帮助企业更好地合规。
对于企业来说,目前部署零信任比较大的顾虑无疑是方法和技术的成熟度以及成本问题,没有人想做小白鼠,也没有人去贸然尝试尚处于“临床测试”阶段的“方子”。目前市场上已经有大量经过生产环境验证的零信任应用方案/供应商和技术框架(包括谷歌和微软等大型企业用例)。
根据Forester 2019年四季度的市场报告,目前市场上的零信任代表性厂商如下:
但是值得注意的是,正如以下我们将要介绍的,零信任架构的本质是一次安全范型的转移或者变革,因此成功实施零信任架构的决定性因素并非厂商或产品,而是企业CISO自身对零信任架构的理解、实践方法、策略和路径。因此在实施零信任架构的过程中,对于国内企业用户来说,包括安恒信息、奇安信、青藤云安全、缔盟云安全、深信服等众多对零信任有一定积累的网安企业基于各自产品和不同标准框架的零信任方案并没有一个唯一的评判标准,最合适的才是比较好的。
以下,我们简要介绍几种目前已经比较成熟的零信任框架和实践路径。
零信任网络的三种实现方法
支持零信任的网络安全技术近年来正在迅速发展,为零信任的落地提供了丰富而实用的工具、框架和方法。目前,没有实现零信任网络安全框架的单一方法或者技术,换而言之就是对于不同的企业来说,并没有唯一的标准答案,可谓条条大路通罗马。总之,你要做的就是将各种技术模块、方法整合在一起确保只有经过安全验证的用户和设备才能访问目标应用程序和数据。
例如,最小化访问权限原则,仅为用户提供完成工作所需的数据和权限。这包括实施到期特权和一次性凭证,这些凭证在不需要访问后会自动作废。此外,还需实施连续检查和流量记录,并限制访问范围,以防止数据在系统和网络之间未经授权的横向移动。
零信任框架使用多种安全技术来增加对敏感数据和系统的访问粒度。例如身份和访问管理(IAM)、基于角色的访问控制(RBAC)、网络访问控制(NAC)、多因素身份验证(MFA)、加密、策略执行引擎、策略编排、日志记录、分析以及评分和文件系统权限等。
同样,你也可以使用技术标准和协议来实现零信任方法。云安全联盟(CSA)开发了一种称为软件定义边界(SDP)的安全框架,该框架已用于某些零信任案例的实施中。互联网工程任务组(IETF)通过批准主机标识协议(HIP)为零信任安全模型做出了贡献,该协议代表了OSI堆栈中的新安全网络层。许多网络安全供应商都在这些技术的基础上将零信任解决方案推向市场。
基于这些技术,标准和协议,组织可以使用三种不同的方法来实现零信任安全性:
1.网络微分段(微隔离)
将网络雕刻到小的粒度节点,一直到单个机器或应用程序。安全协议和服务交付模型是为每个唯一的细分市场设计的。
2.SDP
基于一种需要了解的策略,其中在授予对应用程序基础结构的访问权限之前,先验证设备的状态和身份。
3.零信任代理
可充当客户端和服务器之间的中继,有助于防止攻击者入侵专用网络。
哪种方法最适合取决于您所在企业的应用场景和需求——所保护的应用程序、当前存在的基础结构、实施是未开发的环境还是涵盖旧有环境以及其他因素。
构建零信任环境的五个步骤
建立零信任框架并不一定意味着一整套的技术转型。企业可以采用循序渐进的方法,以受控的迭代方式进行,从而帮助确保优质结果,同时对用户和操作的干扰降到很低。
1.定义保护面
零信任体系中,你的关注重点不是攻击面而是保护面。所谓保护面就是对公司最有价值的关键数据、应用程序、资产和服务(DAAS)。保护面的实例包括信用卡信息、受保护的健康信息(PHI)、个人身份信息(PII)、知识产权(IP)、应用程序(现成的或定制的软件)、SCADA控件、销售点终端、医疗设备、制造资产和IoT设备等资产以及DNS、DHCP和Active Directory等服务。
定义保护面后,你可以实施紧密的控制,使用简洁、精确和可理解的策略声明来创建一个微边界(或分隔的微边界)。
2.映射交易流
流量在网络中的移动方式决定了其保护方式。因此,您需要获得有关DAAS相互依赖关系的上下文信息。记录特定资源的交互方式可以帮你确定合适的安全控制并提供有价值的上下文,以确保在提供优秀网络安全防护的同时,对用户和业务运营的干扰降到很低。
3.构建零信任IT网络架构
零信任度网络是完全自定义的,并没有唯一的标准和设计参考。总的原则是,零信任体系架构应当围绕保护面(资产、数据、应用和服务等)构建。一旦定义了保护面并根据业务需求映射了业务流程,就可以从下一代防火墙开始设计零信任架构。下一代防火墙可以充当分段网关,在保护面周围创建一个微边界。使用分段网关,您可以强制执行附加的检查和访问控制层,一直延伸到第7层,管控任何尝试访问保护面内部资源的访问。
4.创建零信任安全策略
完成零信任网络架构的构建后,你将需要创建零信任策略来确定访问规则,你需要知道您的用户是谁,他们需要访问哪些应用程序,为什么他们需要访问,他们倾向于如何连接到这些应用程序,以及可以使用哪些控件来保护该访问。
通过实施这种精细粒度的策略,可以确保仅允许合法应用或者流量的进行通讯。
5.监控和维护零信任网络
这最后一步包括检查内部和外部的所有日志,侧重于零信任的运维方面。由于零信任是一个反复迭代的过程,因此检查和记录所有流量将提供宝贵的见解,以了解如何随着时间的推移持续改进零信任网络。
其他注意事项和优秀做法
对于考虑采用零信任安全模型的组织,以下是一些有助于确保成功的优秀实践:
选择架构或技术之前,请确保您具有正确的策略。零信任是以数据为中心的,因此,重要的是考虑数据的位置,需要访问的人以及可以使用哪种方法来保护数据。Forrester建议将数据分为三类-公开,内部和机密-每个“数据块”都应当有自己的微边界。
从小处着手以获得经验。为整个企业实施零信任架构的规模和范围可能是巨大的。例如,谷歌花了七年时间才完成BeyondCorp项目的实施。
考虑用户体验。零信任框架不必也不应该破坏员工的正常工作流程/体验,即使他们(及其设备)正受到访问权限验证的审查。零信任的部分认证和授权流程应当尽量“透明化”,在用户根本觉察不到的后台进行。
对用户和设备身份验证实施强有力的措施。零信任的根基是,在没有验证获得完全授权之前,没有任何人或任何设备可以信赖。因此,基于强身份、严格的身份验证和非永久权限的企业范围的IAM系统是零信任框架的关键构建块。
将零信任框架纳入数字化转型项目。为零信任网络重新设计工作流程时,还可以借此机会完成企业安全模型的转型。
总结
2020年,企业迎来实施零信任架构的合适时机,万事俱备,技术已经成熟,协议和标准已经就绪,与此同时新的安全威胁、挑战和期望也都使得零信任架构成为未来一段时间企业安全投资和战略有效性的优质保障。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】