企业网络安全的拐点:零信任

2022-05-01
192

国内IT安全圈儿这些年非常热闹,新的名词层出不穷,APT、云安全(CASB)、威胁情报、态势感知让人目接不暇,无论市场、资本和厂商,都使尽浑身解数争先恐后去贴合这些新概念。而零信任概念作为IT安全圈中的后浪,虽然早在2010年就首次提出,在2019年的RSA大会上演为主旋律,直到近两年才成为安全厂商极力热捧的新贵。

为何零信任大器晚成呢?步入万物互联时代,零信任的风靡很大程度上源于网络边界泛化带来的安全风险。

首先我来看传统的网络安全模型,把企业网络看成一个城堡,而网络安全是基于周边(城墙)的约束,在城墙(公司网络边界)内的任何用户都是“受信任”的,而在墙外的任何用户都不受信任。这种约束在企业的网络边界上就是我们所熟悉的防火墙。防火墙可以把坏人挡在企业(网络)外面,但是若有“内鬼”,防火墙却只能束手无策。

随着时间的推移,市场上其他因素的出现,比如虚拟企业、分公司、跨国公司、云计算的增长、移动技术的使用增加,以及人们工作方式的变化等等。周边安全正在步步失效,企业无法依靠基于周边的安全工具来保护其内部敏感数据,零信任才逐步“火爆”起来,并形成了现在我们所看到的框架模型。

早在1994年的博士论文里,Marsh对信任进行了特别的研究,提出“零信任”胜过“不信任”。直到2010年,Forrester Research的分析师Kindervag把零信任正式用在网络安全中,强调一个组织不应该信任其内外的任何东西的想法。相反,公司在授予访问权限之前必须验证所有试图连接到其网络的内容。

事实上,零信任不是一个产品,也不是一个特定的供应商。零信任是一个企业网络数据安全需要遵循的策略,是一个技术框架模型。在零信任模型中,需要对用户访问进行严格的安全控制,以及对设备访问进行安全控制。无论用户位于何处,都需要严格的识别和设备验证。该模型假设所有用户、设备和数据包都已被盗,无论他们是在防火墙内还是防火墙外。因此,零信任系统必须监控和审计所有试图访问其网络的不同设备,并确保每台设备都经过身份验证。

零信任以“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型,能够有效帮助企业在数字化转型中解决曾经难以解决的难题,而现在越来越多的政府和企业都在用零信任框架模式来实施网络安全措施,一时之间,各路英雄齐聚零信任江湖,争相探索破局之路。

如何实现零信任呢?

首先,让我们看看到底什么是零信任架构(体系),关于其定义,到目前为止小编认为最全面也是最合理的描述是:在一个不可信开放网络环境下,以身份(Identity)为中心,通过动态(Dynamic)访问控制技术,围绕核心保护对象(Object),遵循最小权限(Least-privilege )原则,构筑端到端的逻辑身份边界的安全体系。这个定义可以拆解为以下几个要点:

要点一:从安全原则上讲,零信任首次颠覆了传统网络安全里面的重要前提——“缺省信任”(Default Trust)。

网络安全发展到零信任的出现,一直秉承先君子后小人的贵族理念,典型代表场景就是防火墙把企业网络定义为内网,将整个网络分为信任域和非信任域,对在信任域内部的人、设备、行为缺省就是信任,如果在其中发生安全事件,我们再去追溯,找小人。而零信任则反其道而行之,先小人后君子,在不相信所有的网络实体的前提下去建立一个端到端的安全访问机制。

要点二:零信任从技术本质上讲是以网络上所有实体(人、设备、应用、数据等)的身份识别及对其认证为中心,遵循最小访问权限原则,动态建立端到端访问连接。

这里与传统安全技术最大的区别有二:(1)传统安全基本是遵循事先定义的静态访问规则,零信任的访问规则都是实时动态建立的,无法事先判断规则允许与否,使得安全系数大大增加;(2)传统安全访问权限大多仅依赖一个维度的权限定义,譬如授予某个人或某岗位的一个特权账号,而零信任架构则要求该账号授予双维度,譬如某个人加上某个特定的终端设备作为访问条件,这样大大增加了当下IT运维经常要面对的账号滥用和账号盗用的发现难度。

要点三:零信任与其他网络安全新术语的推出,让业界人士,尤其是安全技术人员感到两难的不适。

零信任体系包含了很多在垂直安全技术领域,但似乎好像又没有任何一项技术是属于零信任特有的。这种感觉是对的,从本质上讲,零信任体系既不是一个独立的安全技术或产品,也不是针对企业网络安全某个特定场景的解决方案,明白这个道理就可以解释这两年的一个现象:似乎所有的安全厂商都在拥抱零信任,但到目前为止雷声大雨点小,没有哪家安全厂商在这个领域有实际意义上的优秀表现。

企业的零信任体系是企业网络安全发展到一定阶段的必然质变。可以这么说,相较于零信任体系,其它这些年涌现出的安全新技术还都只是一种量变过程,都是在解决企业网络安全面临的某些局部性问题,而零信任则是从企业网络安全的背景、前提、目标、过程和结果各方面皆具创新性的思考与改革,是集方法、技术、系统和治理过程的全局整合,相关的理论还远远没有达到完善的地步,也不是安全厂商几个产品就能覆盖的问题。

其次,我们需要解释为什么不像其它安全新名词一经提出就会火热,之后再慢慢经历一个真假命题的验证轨迹。零信任概念在2010年就已提出,过了七八年后才热闹起来(实际上的热度峰值还没达到)。安全和信任是很容易让人们联想到一起的一对术语,但是,零信任意味着不信任,那又何来安全之说?我们可以看到,美国企业网络安全界接受零信任体系也不是触碰即擦火的效果,也是需要一个很长的时期(实际上到现在给人的感觉似乎也是这个概念中国比美国热),在美国企业网络安全领域,零信任从提出到成为RSA的热点走过了近十年时间,究其原因在于企业网络环境的变化和条件日趋成熟:

1.企业边界的消失

IT技术在过去十年的迅猛发展,使得企业网络的行为发生了很大的变化,移动办公、BYOD和居家办公等新型企业运营模式对传统企业网络安全带来诸多挑战,其中最大的影响就是传统企业网络的边界概念在逐渐模糊消亡,而传统的企业网络安全正是以企业边界为重要条件并映射相对应的信任机制。

2.云计算的普及

云计算在过去十年的发展中,无论美国或是中国都当得起惊世骇俗这个形容,只不过中国的发展主要在互联网业务譬如电商,收入靠CDN这样的层面;而美国则以企业SaaS为典型代表,云安全早已成为企业网络安全的重中之重,和企业边界问题一样,传统网络安全技术对于云来说已经到了捉襟见肘的地步,急需新的安全理念和架构体系而不是期待一两个产品的出现。

3.企业数据成指数地增长

随着CPU存储等硬件技术和以云计算为代表的相关系统软件能力的突飞猛进,企业网络上的数据呈几何级数增长,相关的数据资产安全已经成为企业网络安全的最大挑战,传统的安全思维已经完全满足不了这个新需求。

4.零信任相关技术的日趋成熟

上面我们讲过零信任体系包含了很多技术,但又没有一个技术是零信任特有的。而这些局部技术在过去十年中因为需求场景的不断复杂化也在不停地迭更新,无论是对企业网络中实体的梳理画像,从单因子向双因子的认证演进,还是围绕软件定义边界(SDP - Software Define Perimeter)概念形成的相关技术方案,这些技术的成熟度为企业构建零信任体系提供充分必要的前提条件。

因此,我们可以预测在美国企业网络安全领域,零信任体系确实走到了开花结果的地步,而在国内,虽然上面所列的因素和美国相比,无论是需求场景差异,还是相关技术的能力等都还是存在差距的,但是国家这些年对网络安全的重视,以及中国企业文化基因中集中化管理的先天优势,都为企业网络零信任体系的建立提供了天时地利,只是我们一定要根据企业的具体情况,掌握好实施节奏,避免用一个呆板的静态方案去生搬硬套各种各样的企业环境。

那么,中国企业网络在考虑建立零信任体系时的合理思路是什么?笔者认为围绕以下几点原则开展相关工作是非常重要且必要的:

1.长期规划非短时部署的产品或方案

零信任是一个适时而生的安全概念,它即不是一个新出现的局部安全需求,也不会是一项全新的具体技术,它是企业信息安全发展到一定阶段,针对新的安全需求和已存在的安全技术进行一次质变的重新整合,再从一个崭新的角度看待企业IT安全从而提出的发展概念,这就决定了零信任体系的建设是一个企业高层参与的宏观工程(当然执行时是需要拆解成不同的具体落地项目),而不是日常企业网络安全运维的局部项目。

2. 建立目标清晰的零信任体系

虽然零信任体系本身是一个很庞大的系统,不可能一蹴而就,但这并不意味着我们就不需要有清晰的终极目标,那么零信任体系到底可以给企业网络安全一个什么样的终极目标才更为合理呢?仁者见仁智者见智,笔者在这里抛砖引玉给一个“7Right原则” 定义:在完全没有信任的前提下,实现Right(1)的在Right(2)的时间和Right(3)的地方,利用Right(4)的设备,通过Right(5)的账号访问Right(6)的应用系统和操作Right(7)的数据。

3. 解构系统工程并分阶段运维

企业网络建设一个完整的零信任体系是个长期工程,从IT安全运维的角度可以大致分为基础、整合、自适应三阶段,每一阶段都可以清晰地设定相应的子目标和任务。实际上,现在每一个企业的网络安全都可以说已经处在零信任体系的某一个阶段(大多数企业网络处在基础阶段,少数企业已经触及整合阶段),而且有些企业在局部做得非常不错,譬如银行业务网络大多已实施的最小权限化管理原则,运营商内部网络成熟的4A认证管理体系等等。零信任体系各阶段的主要任务归纳如下:

基础阶段

阶段任务就是当前大多数企业网络安全运维面临的主要工作,譬如访问权限的定义、基于策略的管理等等;

整合阶段

在基础阶段的前提下引入生命周期管理、动态授权和需要关联几个维度后的管理机制(基础阶段一般都是一个维度下的管理);

自适应阶段

强调自动,因此人工智能/机器学习的应用是这个阶段的显著特点,同时对企业网络的全面梳理,和对业务的深度融合都是该阶段的重要挑战,成功晋级该阶段将意味着企业网络安全的巅峰到来,意味着7R原则在企业网络安全运维的高效运转。

最重要的,建立零信任体系一定是一个甲方全程主导的长期工程,绝不可能是一个安全厂商提供的交钥匙的产品或方案,也不是甲方一个安全运维部门能够独立完成的项目,且不论其涉及的广度和与业务的紧密关系,整个工程周期中有很多关键节点是需要甲方决策层的深度参与,这就决定了零信任体系建设是一个甲方的“生产”业务,第三方仅是起到协助和支撑的角色。当然,每个企业都应该结合企业现在和未来的需求,考虑自身网络安全的现状和能力,制定一个能够逐步实现的零信任体系的长期项目计划。

零信任不等于从零开始

因为在零信任扩展生态系统框架模型里有7个类别,提供了完整的安全方法:1)员工安全、2)设备安全、3)工作负载、4)网络、5)数据安全、6)可见性和分析、以及7)自动化和编排,但每个公司或多或少都已有一些零信任的元素。比如说,零信任安全的一个关键值是身份认证。现在企业一般都会有身份认证,而有的企业身份认证安全机制却又不完全满足零信任对身份认证要求,但这些并不制约对企业认证系统的改善。比如,企业缺乏多因素身份验证(MFA),但却可以通过独立类别的凭据进行额外的实时身份验证,以证实登录或其他交易的数字用户的身份。多因素身份验证结合了两个或多个凭据,诸如用户知道什么(密码)、用户拥有什么(安全令牌)或是用户是谁(生物识别验证)等,所以你并不一定要用一个全新的认证系统来取代现存的认证系统。

无心插柳柳成荫,这两年肆虐全球的疫情却在成就了零信任在意料之外的壮大发展。在停工/隔离期间,许多公司被迫进入远程工作模式。VPN故障迫使许多组织采用软件定义的外延和WAN,以及安全访问服务边缘。结果造就的是许多人在还未意识到零信任概念的情形下却已不由自主地走上零信任的康庄大道。

因此,迈入零信任,并非每家公司都从零开始的,实际上有许多企业零信任框架搭建完成度早已起步10%、25%,甚至起步更高,走得更远。

在走向零信任的网络安全大道上,公司并非需要重新购买所有的新技术才能达到零信任状态,而是可以结合应用已部署技术以及各种技术组合,将安全效益最大化。

零信任是网络数据安全的“灵丹妙药”,对于企业来说,零信任不再是全新的技术 ,同时,还可以根据自身情况来判断身处零信任安全大道上的位置。至于判定方法,那就是企业需要对自身的网络活动进行摸底、审计以及全面监控,这样才能找出短板,扬长避短,为数据资产和用户量身定制一个真实意义的零信任系统。

最后,祝愿每一家企业早日实现“Right的在Right的时间和Right的地方,利用Right的设备,通过Right的账号访问Right的应用系统和操作Right的数据”这样的零信任体系(架构)!

转载时必须以链接形式注明原始出处及本声明