现在对零信任的定义满天飞,总能听到各种像原理、支柱、基础、要点之类的词。虽然说对零信任的定义暂时来看并不绝对,但是必然还是需要一个共同能理解的概念。因此,NIST发布了NIST SP 800-27零信任结构,描述了零信任的七个要点。
1. 所有数据来源和计算服务都必须被认为是资源
现在已经不是只把终端用户设备或者服务器认为是资源的时代了。如今的网络由各种动态的设备组成,包括从传统的服务器以及端点,到像功能即服务(function-as-a-service, FaaS)这类能在特定许可下对环境中其他资源进行操作的动态云计算服务。
对于所有在自身环境中的数据以及计算资源,资源拥有者必须确保自己有最基本的高级认证控制,以及最低许可的接入控制。同时为了满足之后的要点,所有的资源必须在一定程度上能够进行相互之间的交互,提供关联信号,协助零信任中的一些结构组件进行决策。
2. 无论网络位置在哪都需要确保所有通信安全
在零信任环境中,会落实零信任网络访问(zero trust network access, ZTNA)概念。这和传统的通过虚拟专用网进行远程接入相比有所不同。
在ZTNA环境,接入策略是默认拒绝的。接入必须对特定资源进行明确的许可。另外,在ZTNA中的用户不应该对这类许可有所感知。一般而言,很难改变自己感知不到的东西。
由于受疫情影响,如今地理位置分散的工作环境使得这第二点对组织更为重要。因为他们有大量的员工从许多位置和设备接入内部资源。
3. 对每个企业资源的接入需要基于会话进行许可
“人就和季节一样,会变化。”这个说法在数字身份时代更为可信。在分布式计算环境的动态环境下,云原生结构和分布的员工会暴露大量的威胁。信任的概念不能超过一个单独的会话窗口。
这意味着就算在之前的会话信任某个设备或者身份,也不代表着会自然地在之后的会话中对其信任。每个会话都应该以相同严格的标准来评估其从设备和身份而来的,对自身环境的威胁。和用户相关的不正常行为,或者设备安全状态的改变,都是可能会发生的问题,并且可能会发生的事情;并且这些事情都应该和每个会话相关联,对是否允许接入,以及接入的权限范围进行评估。
4. 接入由动态策略决定——包括对客户端身份、应用/服务以及请求资产的可观察状态,也可能包括其他行为和环境的属性
现代计算环境很复杂,会延展到远远超过组织传统边界以外的地方。一种解决这个情况的方式,是运用一种“信号”的方式,对自身环境进行接入控制决策。
通过微软的 Conditional Access图表进行可视化是个不错的方法。接入和许可的决策必须将信号放入考量之中。这些因素可以是用户和位置、设备以及其相关安全状态、实时风险和应用关联等。这些信号应该为许可完全接入、限制性接入或者不能接入的决策提供支持。企业还能基于这些信号进行额外的评估来要求更高等级的认证确保,比如进行多因子验证或者限制这些信号相关的接入等级。
5. 企业需要监控和评估所有拥有和相关资产的完整性与安全状态
在零信任模型中,没有设备或者资产是天然被信任的。每个资源的请求都必须触发一个安全状态评估。这包括了对接入环境的企业资产进行持续性状态监测,无论这些资产是企业自身拥有的,还是和其他实体相关联的——只要他们接入内部资源就都需要被监测到。同样,这还包括基于持续监测和报告的快速进行补丁修复。回到之前基于会话获得许可的例子上,这些设备的状态可以被检查,以确保它们没有高危漏洞,或者缺少重要的安全补丁。
通过这类动态对所有以及关联资产的完整性与安全状态的了解和监测,可以基于对许可的接入权限进行策略与决策的设定。
6. 所有资源的认证与授权都是动态的,并且在接入被许可前都要严格执行
就跟之前讨论过的例子一样,接入许可与信任的概念是在一个动态持续的状态下进行的。这是一个持续动态的流程,并不会因为用户因为关联的接入许可创建了一个账号而停止。这是一个反复的流程,随着多种因素,贯彻策略的执行。
7. 企业需要尽可能多地收集当前的资产、网络基础设施和通信的状态信息,并且将其用于改善自己的安全态势。
技术环境受到大量威胁的影响,因此企业必须保持连续监控,以确保能感知到自身环境内发生的事件。零信任架构由NIST 800-207中提到的三个关键组件组成:
- 策略引擎
- 策略管理
- 策略执行点
在现有状态中获得的资产、网络基础设施和通信信息可以被这些组件用于提升决策能力,并且确保会形成风险的决策能避免出现。
零信任不只是一次旅途
许多组织都会犯的一个错误在于认为零信任是一个需要到达的目的地;他们认为只要他们买了正确的工具,就能在自己的环境中实现零信任。这显然不是零信任生效的方式。当然,工具可以帮助零信任的落地,使组织更接近零信任结构,但这并非是万灵药。就跟大部分IT和网络安全一样,它由人、流程和技术组成。
就像NSA发布的《拥抱零信任安全模型》文中那样,最重要的建议是从一个成熟的方式实践零信任,包括了最初的准备,以及基础、进阶和高级阶段的成熟度变化。
这就意味着,第一步是进行准备:知道自己现在的位置、需要填补和缺陷、当前架构、实践和流程如何能和上述零信任的关键要点相匹配。然后,设定一个如何解决这些问题的计划。最重要的是,要知道这些都是需要时间来检验的。
点评
零信任的概念从去年才开始在国内逐渐受到重视。但是,零信任的落地并非一蹴而就的,除了技术之外,不仅需要制度和方法上的支持,也需要时间慢慢等待效果的出现。