“永不信任,始终验证”是零信任架构的设计原则。
零信任最初是Forrester Research分析师John Kindervag于2010年提出,他认为所有的网络流量都必须是不可信的。
在传统的 IT 安全模型中,一个组织的安全防护像是一座城堡,由一条代表网络的护城河守护着。在这样的设置中,很难从网络外部访问组织的资源。同时,默认情况下,网络内的每个人都被认为是可信的。然而,这种方法的问题在于,一旦攻击者获得对网络的访问权,并因此默认受到信任,那么组织的所有资源都面临着被攻击的风险。
传统的基于边界的安全模型
相比之下,零信任基于这样一种信念:企业不应该自动地信任其边界内或外部的任何东西,而是在授予访问权限之前,对试图连接到IT系统的任何人和东西进行验证。
从本质上讲,零信任安全不仅承认网络内部和外部都存在威胁,而且还假定攻击是不可避免的(或可能已经发生)。因此,它会持续监控恶意活动,并限制用户只能访问完成工作所需的内容。这有效地防止了用户(包括潜在的攻击者)在网络中横向移动并访问任何不受限制的数据。
零信任的安全模型
简而言之,零信任的原则就是“在经过验证之前不要信任任何人。”
BeyondCorp
大约在同一时间,谷歌开始开发自己的零信任系统,其创建了 BeyondCorp,用于将传统的虚拟专用网络 (VPN) 访问策略迁移到新的基础设施,在该基础设施中没有系统是可信的,所有终端都会对访问进行门控和监控。后来,谷歌开发了 BeyondProd,它提供了一种零信任方法,在云优先的微服务环境中安全地管理代码部署。
Kindervag 的零信任模型和 Google 的 BeyondCorp 都围绕着以下几个主要原则:
- 分段——传统网络公开了对所有数据资产、服务器和应用程序的直接访问。零信任模型划分了这些资源的各个子集,并取消了用户直接访问它们而无需首先通过严格控制的网关的能力。这有时被称为“网络隔离”。微分段进一步扩展了这个概念,它将工作负载彼此隔离,这样管理员就可以监视和控制不同服务器和应用程序之间的信息流,而不仅仅是客户机和服务器之间的信息流。
- 访问控制——无论用户是实际位于办公室还是远程工作,他们都应该只能访问符合其各自角色的信息和资源。网络的每个部分都应该进行身份验证和授权,以确保流量是从受信任的用户发送的,而不管请求的位置或来源如何。
- 可见性——网关应该检查和记录所有流量,管理员应该定期监控日志,以确保用户只尝试访问他们被允许访问的系统。通常,管理员会使用云访问安全代理软件来监控用户和云应用程序之间的流量,并在他们发现可疑行为时发出警告。
借助零信任模型,组织可以消除对网络和资源的直接访问,建立精细的访问控制,并获得对用户操作和流量的可见性。但是,他们需要模型来指导他们完成实施。
零信任模型的三大原则和八大支柱
三大核心原则
零信任是一个集成的、端到端安全策略,基于三个核心原则:
(1) 永不信任,始终验证——始终基于所有可用数据点进行身份验证和授权,包括用户身份、位置、设备、数据源、服务或工作负载。持续验证意味着不存在可信区域、设备或用户。
(2) 假设有漏洞——通过假设防御系统已经被渗透,可以采取更强大的安全态势来应对潜在威胁,从而在发生漏洞时将影响降到最低。通过分段访问和减少攻击面、验证端到端加密,并实时监控网络,限制“爆炸半径”——由入侵引起的潜在损害的范围和范围。
(3) 应用最低权限访问——零信任遵循最低权限原则 (PoLP),该原则限制任何实体的访问权限,只允许执行其功能所需的最小特权。换句话说,PoLP 可以防止用户、帐户、计算进程等在整个网络中进行不必要的广泛访问。
八大支柱
以上原则为构建零信任架构 (ZTA) 奠定了基础。此外,零信任安全的八大支柱构成了一个防御架构,旨在满足当今复杂网络的需求。这些支柱分别代表了对零信任环境进行分类和实现的关键关注领域。
(1) 身份安全——身份是唯一描述用户或实体的属性或属集性。通常被称为用户安全,其中心是使用身份验证和访问控制策略来识别和验证试图连接到网络的用户。身份安全依赖于动态和上下文数据分析,以确保正确的用户在正确的时间被允许访问。基于角色的访问控制 (RBAC)和基于属性的访问控制 (ABAC) 将应用于该策略以授权用户。
(2) 端点安全——与身份安全类似,端点(或设备)安全对尝试连接到企业网络的设备(包括用户控制和自主设备,例如物联网设备)执行“记录系统”验证。其侧重于在每个步骤中监视和维护设备运行状况。组织应该对所有代理设备(包括移动电话、笔记本电脑、服务器和物联网设备)进行清点和保护,以防止未经授权的设备访问网络。
(3) 应用程序安全——应用程序和工作负载安全包括本地和基于云的服务和系统。保护和管理应用层是成功采用零信任状态的关键。安全性封装了每个工作负载和计算容器,以防止跨网络收集数据和未经授权的访问。
(4) 数据安全——侧重于保护和强制访问数据。为了做到这一点,数据被分类,然后与除需要访问的用户之外的所有人隔离。这个过程包括基于任务关键度对数据进行分类,确定数据应该存储在哪里,并相应地开发数据管理策略,作为健壮的零信任方法的一部分。
(5) 可见性和分析——对与访问控制、分段、加密和其他零信任组件相关的所有安全流程和通信的可见性提供了对用户和系统行为的重要洞察。在此级别监控网络可改进威胁检测和分析,同时能够做出明智的安全决策并适应不断变化的安全环境。
(6) 自动化——通过自动化在整个企业中一致地应用策略的手动安全流程来提高可扩展性、减少人为错误并提高效率和性能。
(7) 基础设施安全——确保工作负载中的系统和服务免受未经授权的访问和潜在漏洞的影响。
(8) 网络安全——柱侧重于隔离敏感资源,防止未经授权的访问。这涉及实施微分段技术、定义网络访问以及加密端到端流量以控制网络流量。
零信任的应用
零信任安全可以根据您的架构设计和方法以多种方式应用。
零信任网络访问 (ZTNA)是零信任模型最常见的实现。基于微分段和网络隔离,ZTNA 取代了对 VPN 的需求,在经过验证和身份认证后可以接入网络。
零信任应用程序访问 (ZTAA)也按照零信任原则运行,但与 ZTNA 不同,它在保护网络和应用程序方面更进一步。ZTAA 假设所有的网络都受到威胁,并限制对应用程序的访问,直到用户和设备得到验证。这种方法有效地阻止了进入网络的攻击者并保护了连接的应用程序。
零信任访问是包含 ZTAA 和 ZTNA 的总括模型,可在整个架构(包括所有网络和应用程序)中提供端到端的零信任。它提供基于身份的安全性,不仅考虑网络上的用户,还考虑网络上的内容——将零信任扩展到提供商本身。这为组织在真正的零信任环境中提供了强大的数据隐私。
最后,零信任不是一种技术,而是一种安全框架和理念,这意味着企业可以将其构建到现有的体系结构中,而无需完全拆除现有的基础设施。