2010年,Forrester Research分析师John Kindervag提出了著名的零信任理念,随即这种创新性安全理念火遍全球,被认为是行业颠覆性创新理念,必将引领下一代网络信息安全行业。
但命运有时候就是这么不如人意。零信任技术火了十几年,也被吹了十几年,但直到今天,在国内依旧还是处于“叫好不叫座”的尴尬地位。真正掏出真金白银,大规模落地零信任技术的企业,还真没有多少。
那么,问题究竟出在哪里,导致火热的零信任处于类似“人买我推荐,真买我不买”的境遇?对于甲方企业来说,全面实施零信任的核心推动是什么,零信任技术未来的发展路径又是怎样的呢?
安全是风险和收益的平衡
在回答上述问题之前,我们需要先讨论“企业安全的本质是什么”?
当下HW正在如火如荼地开展,攻守双方各自调动已有的资源进行攻防演练,或打穿目标系统夺取权限;或守住安全的底线,溯源攻击方的路径。他们的目的十分明了:打败对方,赢得对抗的胜利。
这并不是企业安全的本质。打赢只是一个结果,企业安全的本质应该是让企业更好地发展。站在企业战略层面来看,安全的本质其实是风险和收益之间的平衡,是一种将不可控风险转化为可控成本的手段。
网络攻击风险伴随着互联网的发展而发展。早期的网络攻击主要以木马和病毒为主,以成功感染目标用户电脑为目标,更多是以个人炫技为主,对于企业的危害主要集中在“电脑中毒”,对于企业业务和运营的干扰较小。
因此,那时企业信息安全岗位大多由IT运维兼任,安全防护体系主要是老三件套:防火墙、杀毒软件和入侵检测。此时,网络攻击所带来的成本还比较小,传统边界安全体系目的是将病毒隔绝在外。
随着互联网进一步发展,企业业务陆续登录线上,网络攻击逐渐盛行,以及各种利用漏洞薅羊毛的行为出现,网络威胁开始给企业带来持续性的业务干扰和直接的经济损失。更关键的是,这部分成本正在随着技术的发展和数字化转型不断增加,有的甚至已经成为决定企业生死的核心因素之一。
此时,网络攻击不再是以“感染电脑”为目的,趋利性愈发明显:高举DDoS恐吓对企业进行敲诈,或加密企业设备、数据进行勒索,亦或窃取数据直接在暗网上倒卖......轻则业务中断,重则带来庞大的经济损失。
为了控制、降低网络威胁所带来的巨额成本,企业持续增加对信息安全的投入,设置信息安全部门,大量购买各种安全设备,并对传统的边界防护体系进行改造升级,重新梳理企业信息安全的底层逻辑和内在需求,构建更加适应业务发展的新型安全体系。
与此同时,网络安全法律体系也在逐步完善,对于违反安全合规的惩处力度也越来越大,甚至可以决定生死,其中典型法律代表包括《网络安全法》《数据安全法》《网络安全审查办法》等。为了降低这部分成本,企业信息安全也在朝着“满足合规”的方向进行建设,避免企业因为踩到安全红线而蒙受巨大的损失。
“划算”成为实施零信任的关键因素
从“企业安全的本质”可以看出,网络风险和合规风险是推动企业安全发展的核心动力。新理念、新技术、新产品的出现,都是为了更好地降低这两大风险所带来的成本,或优化安全运营方式,让业务更顺滑;或强化安全技术,从而更精准地扼杀风险等。
我国网络安全行业有着强合规属性,企业违反合规所带来的损失直接且严重,轻则被监管部门约谈,重则APP下架,被监管机构重罚,对企业经营产生十分不利的影响。因此,在资源有限的情况下,企业往往优先满足合规需求。
从现有的网络安全法律体系和合规细则来看,零信任技术对于满足合规需求并无多大帮助,因此正在推动企业落地零信任技术的核心推动力只能是网络攻击威胁。
对于企业来说,一旦全面实施、落地零信任技术,那么必定会对安全架构进行全面调整,需要投入海量的人力、物力进行建设。
正如上文所说,网络安全的本质是一种成本控制手段,因此,企业对安全的投入永远不会超过,各类网络威胁造成损失的总和(可以简单理解为:风险造成的损失X概率)。
另外,企业对安全的投入也要进行纵向地考量,即和现阶段的安全体系相比,投入大量资源所产生的效果,是否有明显的提升,以及对业务发展有没有明显的影响?
此时,企业领导层就需要考虑一个非常关键的问题:投入划算吗?
首先,我国面临的网络攻击形势虽然非常严峻,但是还无法和国外频繁爆发,动辄数百万美元以上的勒索赎金,以及大规模数据窃取等严重程度相媲美。这也是为什么国外零信任技术落地更加普遍,而国内还是抱着试试看的态度,更倾向于逐步强化安全体系。
其次,我国缺乏真正意义上全面实施零信任的标杆企业,无法给予行业参照,导致很多企业难以下定决心。从以往网络安全行业的发展历程来看,一个标杆性案例对于新技术的应用有非常大的促进意义,大多数企业都不愿意成为第一个吃螃蟹者。原因在于,第一个吃螃蟹者结果未知,而继续依赖现有的安全体系则有一个可接受的结果。
在这样的情况下,企业更倾向于继续观望,而非成为一个被观察者,最终造成人人看好零信任技术,却无人下场落地实践。此外,不少企业还缺乏落地零信任的技术基础。
例如动态授权和持续信任是零信任的核心之一,需要在权限统一管理基础上建立持续信任评估机制,参与信任评估的因素的多少决定信任评估结果的准确率。信任评估模型需根据不同网络构建不同的评估模型,准确精准度要求高,当前持续信任缺乏统一的落地。
零信任将安全体系视为一个整体,涉及终端环境感知、IAM、EDR、UEBA等多种安全产品,在落地时需要对这些产品和系统进行融合。然而当下企业采购的安全设备往往分散在多家厂商品牌,想要完美融合几乎不太可能,零信任落地可谓是困难重重。
局部零信任不失为一条路径
随着大、云、物、移、智、链等技术的飞速发展,以及新冠疫情对于全球的持续冲击,零信任技术落地迎来了新的发展机遇。而在无法全面落地的情况下,局部零信任就成为了很多企业的选择。
例如零信任的核心之一,身份认证体系就不断被强化,成为落地零信任的局部尝试。
随着企业数字化转型的加速,上云成为必不可少的路径,而云端架构使得企业面临更大的风险,一旦储存的数据泄露或遭到攻击,将对企业造成难以估量的损失。据统计,80%的数据泄露都与账号密码被盗用有关,身份认证成为企业信息安全的重要关口。
在这种情况下,传统的身份认证体系已经难以满足日新月异的网络发展,更难以确保访问者身份的安全性,因此,以零信任的理念来构建新型身份安全理念,优化身份安全验证体系成为很多企业的选择,并为未来全面落地零信任打好基础。
例如在疫情期间,为了强化线上办公的安全性,某企业就对原有的身份认证体系进行改造升级。从以账户管理为基础转向以身份管理为基础,通过多因子、实时、动态的认证来确保访问的身份和其所代表的身份一致。
在落地的过程中,企业也充分考虑授权策略的自适应、可管理、可扩展几方面的平衡。通过RBAC实现粗粒度授权,建立满足最小权限原则的权限基线,也可通过ABAC模型,基于主体、客体和环境属性实现角色的动态映射,满足灵活的管理需求。同时也可通过风险评估和分析,对角色和权限进行过滤,实现场景和风险感知的动态授权。
事实上,局部落地零信任的方式更加适合我国企业的现状。越来越多的公司开始尝试在细节处引入零信任,对现有的安全体系进行改进,包括授权管理、业务审计、信息安全运行监测预警系统、终端安全系统等多个方面。
这么做的好处十分明显,企业不需要对既定的安全架构“大动干戈”,也就意味着不需要大规模的资源投入,因此也更加容易获得领导层的支持。同时,企业在实施的过程中还可以进一步感知零信任对于企业安全的提升,以及是否会对业务产生不利影响等等。
某种意义上来说,零信任要做的并不是完全替代原有的安全体系,而是从微隔离或网络隐藏的角度出发,以身份管理、权限控制、动态认证等技术为基础,不断强化原有安全体系之不足。
一方面,零信任体系可以融合原有的主机安全、EDR、态势感知等为其进行安全感知能力;可以融合原有的堡垒机、统一门户(含SSO)安全准入、VPN以及安全网关(FW、UTM等)作为其安全动作执行能力等。
另一方面,纵深防御体系可以借助零信任实现多层级细粒度权限控制;可以借助零信任的动态信任评估系统实现实时响应;可以借助零信任的身份管理实现多设备管理等。
由此来看,零信任落地或许可以走出一条先局部后整体的道路,这条路的时间也许会很久,但却是一条可行性的路径,让企业有足够的时间和资源不断探索零信任、评估零信任。
零信任落地是对传统安全的升华
作为近年来最为火热的安全技术之一,业界对于零信任抱有极大的热忱。然而,长时间的鼓吹让零信任充斥着越来越多的泡沫,动辄“颠覆”原有的安全体系的大动作,则让大多数企业只能远远望着“零信任”,而非真正落地和践行。
我们总是在吐槽传统边界安全,认为零信任的出现将打破这些边界,但需要注意的是,零信任并非无边界,反而处处皆是边界,故而需要“持续验证”。从这点来看,零信任的出现并非是颠覆,而是进阶与升华。
当传统的边界支离破碎,新的边界在系统中逐渐形成,并将会发挥更为强大的效果。