企业实现零信任网络能够获得什么效果?实施零信任网络使得企业网络安全水平提升、合规审计能力提升、生产效率提升,其可作为网络安全体系的“骨架”连接其他安全技术,笔者认为零信任网络是更符合发展潮流的IT设施建设方案。
网络安全水平提升
零信任网络实现了身份、设备、应用的动态信任评估体系,并通过信任评估进行作用于资源访问路径上持续的访问控制。零信任技术使得网络平台具备层次化的、一致的、持续的访问控制能力。
以资源为中心的安全保护
在边界防护体系中,安全产品堆砌在网络边界,意图建立起一道防线阻隔网络攻击,内网则成为信任区,内网的东西向流量缺少最基础的访问控制能力。这种体系下内网计算机失陷后,攻击者能够利用设备固有的信任和已授予用户的信任来进一步横向移动、访问资源。
零信任网络则以资源保护为核心诉求规划防护体系,通过在所有资源访问路径上建立访问控制点,收敛了资源暴露面,综合资源访问过程中包括身份、设备、环境、时间在内的所有网络空间因素对访问行为进行可信度判断,以此为依据从网络可见性、资源可见性、资源访问权限三个层级进行访问控制。
身份和认证的统一管理
典型的企业IT系统建设呈现烟囱式,各个系统相互独立,企业成员需要在每个系统上建立账号,弱密码、各系统用同一个密码、密码长期不更改等问题无法根除。当人员流动、人员职责变更时账号身份管理出现疏漏难以避免,导致人员权限膨胀,遗留大量僵尸账号等问题。在面对网络攻击时,这些失控身份将成为攻击者渗透企业的切入点,获取资源的入口。企业可以通过建设IAM系统,对身份统一管理,建立多因子、SSO认证,缓解身份失控风险,强化认证强度和可信度。然而IAM系统是基于应用层进行访问控制,无法防护对操作系统、中间件等的攻击。
零信任网络在围绕资源建立了访问控制点后,进一步实现以身份为中心访问控制策略。工程实践上,零信任架构能够与IAM系统对接,集成现有身份和访问管理能力,实质上扩展了IMA的作用边界,将其对应用层的保护延伸到网络接入层。
设备的集中管理
企业的办公环境正变得越来越复杂,员工需要能使用公司配发资产、个人自带设备或者移动设备访问企业资产,这对企业网络安全带来巨大挑战。企业IT和安全人员需要面对设备黑洞,有多少员工自带办公设备、哪个设备现在是谁在用、某个IP是谁的什么设备,当应急响应事件发生时如何快速定位到谁的设备出现异常。EPP、EDR、CWPP等主机防护安全产品能够对设备资产进行管理,但是缺少将设备资产与企业数字身份关联的能力。
零信任网络为所有设备建立标识,关联设备与使用者身份,将设备状态作为访问控制策略的关键因素,纳入信任度评价体系,不同设备类型、不同设备状态计算出不同信任度,不同信任度设定合理的资源访问权限。在实践中,设备管理可以采用灵活的解决方案,例如对公司设备资产颁发专用数字证书赋予唯一身份认证,员工自带设备则安装客户端软件进行基线检测。
与传统安全产品形成互补
零信任体系能够与传统安全产品集成,或者直接使用传统安全产品实现。以NIST抽象的零信任架构为例:策略决策点可与IAM系统对接实现身份信息的获取和认证授权,持续评估可结合UEBA、SOC、SIEM等系统实现,设备资产的标识和保护可以使用EDR类产品,设备资产可以安装DLP类产品实现端到端的资源保护。
合规审计能力提升
满足等保2.0的解决方案
等保2.0完善了我国网络安全建设标准,其提出的一个中心三重防护思想与零信任思想高度契合。在CSA发布的《SDP实现等保2.0合规技术指南白皮书》中,CSA中国区专家梳理了SDP与等保技术要求点的适用情况,零信任技术在等保2.0技术要求的网络架构、通信传输、边界安全、访问控制、安全审计、身份鉴别等要求项上均有良好适用性。
生产效率提升
位置无关的办公体验
企业将信息系统、资源部署在私有或者云数据中心,员工通过办公场所的有线固网、企业专有WIFI等方式接入网络获取工作所需资源。外出员工、企业分支机构、合作伙伴则通过虚拟专用网与数据中心建立连接,进行日常办公和信息交互。用户使用不同工具对资源进行访问。
在零信任网络下,无论员工在办公场所、机场、高铁,无论资源在私有数据中心还是公有云上,其都能通过零信任网络提供的“身份、设备、应用”信任链访问有权访问的资源。
便捷的资源访问
随着企业数据中心和分支机构增多,异地数据中心繁多,核心应用上云,大量应用第三方SaaS,其办公环境愈发复杂,员工一项工作需要多种资源,所需资源分布在不同物理设施,工作时常要登录多个系统,来回切换不同的虚拟专用网。
零信任网络通过统一的认证管理,使得员工一次登录即可获得应有的应用访问权限,同时使用部署在不同位置的应用,极大改善了工作效率和工作体验。