一、零信任的前世今生
传统的网络安全架构在过去发挥了重要作用,但随着 IT 无边界化的发展,高级网络攻击肆虐,内外部威胁愈演愈烈,传统的边界安全体系面临巨大挑战。
零信任理念最早源于 2004 年成立的耶利哥论坛,其目的是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010 年,John Kindervag 首次提出零信任安全的概念,核心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。
2014 年,谷歌发表关于内部零信任安全项目 BeyondCorp 的系列论文,验证了零信任安全在大型网络场景下的可行性。同年,国际云安全联盟提出软件定义边界(SDP),进一步推动零信任的落地。
2017 年,Gartner 分析师提出持续自适应风险与信任评估(CARTA)的概念,与零信任有重叠之处。
2018 年,Forrester 分析师提出零信任拓展生态系统(ZTX)概念。
2019 - 2020 年,美 NIST 连续发布两版《零信任架构》标准草案,推动零信任向标准化进展。
标准中介绍了实现零信任架构的三种方案,分别是:
软件定义边界(SDP)
增强的身份权限管理(IAM)
微隔离(MSG)
二、零信任的核心概念
(一)零信任的定义与内涵
零信任并非单一的技术或产品,而是一种全新的网络安全架构设计理念。与传统安全架构设计理念不同,传统网络安全架构往往基于“分区分域、边界防护”等设计理念,预设了对内网中的人、设备和系统的信任。
而零信任强调默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。
(二)零信任理念的诞生
零信任概念最早是由美国国防部发布的“黑核计划”提出。黑核计划提出了基于边界的安全模型要转变成为基于用户操作行为的安全模型,将以边界为重心转向以用户为中心。1994 年耶利哥论坛上提出了无边界化的网络安全理念,为零信任设计奠定了基础。2010 年,John Kindervag 在 Forrester 报告中正式提出了零信任的概念,主要用来描述基于网络位置的隐式信任安全模型转移到基于用户行为的持续信任评估安全模型。
互联网的发展对零信任理念的诞生有着重要影响。早期互联网发展分为不可信的互联网以及可信的局域网,大家办公全部在局域网内,业务和终端电脑都在内部,边界清晰,网络安全模型基于“边界防护”理念。
但随着云计算、移动互联网、BYOD、物联网等兴起,用户业务上云、移动办公、BYOD、万物互联等成为常态,安全边界逐步泛化、模糊,过去基于“边界防护”的安全理念面临巨大挑战。因此,去边界化、以“用户/业务”为中心的零信任理念有了存在的土壤和环境,加之近几年疫情的影响,进一步促进了围绕“零信任”理念催生的一系列技术的进步和发展。
从2021年Gartner技术成熟度曲线来看,零信任技术已经渡过发展低谷,进入了复苏期,因此未来5-10年,网络安全产业将会迎来零信任的高速发展和应用。
三、零信任的技术架构
(一)设计原则
美国国家标准与技术研究院(NIST)制定的零信任架构设计原则为零信任技术的实现提供了明确的指导。首先,所有的数据源、系统、应用、设备等都被视为资源,必须处于可控的状态。这意味着对这些资源要进行全面的管理和监控,确保其安全性和合规性。例如,企业可以通过资产管理系统对设备状态进行实时监测,如是否安装杀毒软件、软件版本是否为最新等。
无论处于什么样的网络位置,所有通信都必须是安全的。在零信任环境中,落实了零信任网络访问(ZTNA)的概念,访问策略是默认拒绝访问,必须对特定资源授予明确的访问权。
对资源的访问,都要基于连接(会话)进行安全授权。这意味着每次连接都需要进行严格的身份验证和授权,信任仅限于单一会话。
对资源的访问权限应该采用动态策略,例如设备状态、地理位置、网络变化、行为变化、时间/日期、已安装的软件等。现代计算环境复杂,利用“信号”在环境中做出访问控制决策,如根据用户及位置、设备及相关的安全态势、实时风险以及应用程序上下文等信息,动态调整访问权限。
在零信任模型中,每个资源请求都应触发安全态势评估,包括持续监控企业资产的状态,快速应用补丁和漏洞修复。例如,从持续的监控和报告中获得的洞察力,可以围绕所授予的访问级别制定策略和决策。
美国国家标准与技术研究院(也就是大家熟知的NIST),已经帮助咱们设计好了原则,也就是NIST SP800这篇技术文档《零信任架构》,这篇文档说了,只要按照如下原则设计,就满足零信任这种理念和架构,具体遵循原则如下:
所有的数据源、系统、应用、设备等都被视为资源,说白了都要处于可控的状态。
无论你处于什么样的网络位置,比如所谓的内网,所有通信都必须是安全的。
对资源的访问,都要基于连接(会话)进行安全授权
对资源的访问权限应该采用动态策略,例如设备状态(是否安装杀毒/软件版本状态等)、地理位置、网络变化、行为变化、时间/日期、已安装的软件等
企业应该监控并且策略所有自有或关联的资产状态、安全态势等信息
以上基本就是零信任架构设计的一些基本规范,也就是只要符合上述原则的技术手段都可以称之为零信任技术。
(二)访问抽象逻辑
零信任的整体访问模型可以很容易地抽象出来。所有的资源(业务/应用/系统等)都要放到策略决策/执行节点(简称 PDP/PEP)上来,所有的终端用户访问都要经过 PDP/PEP,并且执行相关的策略。
所有的资源(业务/应用/系统等)都要放到策略决策/执行节点(简称 PDP/PEP)上来,所有的终端用户访问都要经过 PDP/PEP,并且执行相关的策略,例如动态授权鉴权、建立会话、所有资源的状态监控、安全态势监控等,这样逻辑上就实现了零信任的网络架构。
在实际应用中,零信任代理网关用来反向代理后端的业务系统,隐藏服务。它通过接收控制中心的指令(PA)建立或者切断会话连接。零信任客户端用来监测终端的安全性和状态,并内置 SPA 种子,保障终端与控制中心和代理网关安全建立连接。终端(含零信任客户端)-零信任代理网关-后端业务系统最终构建真实的数据层面。
四、零信任技术架构核心组件
(一)组件功能概述
零信任技术架构的核心组件包括 PDP(策略决策点)和 PEP(策略执行点),同时还配套了一系列相关的能力组件。其中,SIEM/SOC/态势感知等组件要将网络安全态势及时同步给零信任控制中心(也就是 PDP),帮助其判断访问环境的安全态势。例如,据相关数据统计,企业通过 SIEM 系统能够收集和分析大量的安全事件日志,平均每天可以处理数万条日志信息,从而为 PDP 提供全面的安全态势感知。威胁情报源则帮助 PDP 了解最新的安全威胁,例如恶意软件、病毒等攻击行为特征以及内部恶意行为特征等,使得 PDP 能够及时调整策略应对潜在风险。PKI/或者身份认证系统,帮助 PDP 建立安全认证和合理授权,确保只有合法的用户和设备能够访问资源。日志审计/大数据审计平台帮助 PDP 了解所有资产的状态,通过对日志的分析,可以发现潜在的安全问题和异常行为,平均每月可以检测出数十起异常访问事件。
(二)PDP 策略决策点
PDP 由策略引擎(PE)和策略管理器(PA)组成。策略引擎作为零信任架构的“大脑”,承担着关键的信任决策、认证授权和连接管理功能。它综合多方面信息来源,如来自 SIEM/SOC/态势感知的安全态势信息、威胁情报源的最新威胁信息、PKI/身份认证系统的认证信息以及日志审计/大数据审计平台的资产状态信息等,持续判断连接的安全性。这种“用不信任,持续验证”的思想体现了零信任的核心设计理念。如果验证和鉴权通过,控制中心(也就是逻辑组件 PA)就会通知终端和 PEP(策略执行节点)可以建立连接,实现业务的安全访问。同时,控制中心开启持续监控的能力,以确保整个访问连接都是安全可信的。控制中心和执行节点、终端的通信形成了控制平面。
(三)PEP 策略执行点
PEP 包括零信任代理网关和零信任客户端。零信任代理网关用来反向代理后端的业务系统,隐藏服务。它通过接收控制中心的指令(PA)建立或者切断会话连接。例如,在企业的实际应用中,零信任代理网关可以根据不同的访问请求和安全策略,动态地调整连接状态,确保只有合法的访问能够通过。零信任客户端用来监测终端的安全性和状态,并内置 SPA 种子,保障终端与控制中心和代理网关安全建立连接。终端(含零信任客户端)-零信任代理网关-后端业务系统最终构建真实的数据层面,确保数据在传输和访问过程中的安全性。
五、相对成熟的零信任三大技术架构
(一)IAM 方案
IAM(Identity and Access Management 的缩写)即“身份识别与访问管理”,在 NIST 技术文档中被称为“增强身份治理方案”。传统的 IAM 核心功能是用户账号管理、身份认证和授权/鉴权,基于 RBAC(基于用户角色的访问控制模型)的静态认证授权机制。而零信任要求有信任决策引擎,能够基于多方数据源判断用户的信任等级和响应策略,实现动态的认证和授权等。
为满足零信任技术设计理念,传统的 IAM 必须进行改造。增强后的 IAM 将 PDP(策略决策中心)内置到产品里面,例如其中的风险认证模块、风险管理模块等通过聚合多源的信息来进行动态的认证和授权。然后,ZTA-IAM 通过搭配零信任安全网关、以及零信任客户端,最终实现了一套完整的零信任解决方案。
例如,据统计,在某大型企业实施零信任架构后,通过 IAM 方案的增强改造,身份认证的准确率提高了 30%,授权响应时间缩短了 40%,有效降低了未经授权访问的风险,大大提高了企业网络安全水平。
(二)MSG 方案
MSG(micro-segmentation)即微隔离。MSG 的核心思想是通过微隔离的手段来实现网格化管理,每一个资源(或者一组资源)、用户、主机、应用甚至进程都要相互隔离,从而完全杜绝隐式信任区(一个资源间隔离)/或者尽可能减少隐式信任区(一组资源间隔离)。
根据 NIST SP800 里面对微隔离的定义,网络中的防火墙、WAF、安全软件、IPS 等都可以作为 PEP(执行节点)来进行资源级隔离(而非区域隔离),当然还要建立一个控制中心去统一管理这些节点,以实现动态策略管理,但实现难度很高。目前,基于可实现的角度,人们对微隔离方案范围做了限定,主要是传统数据中心和云数据中心东西向流量防护。这包括支持一虚多的硬件防火墙实现传统数据中心应用间的微隔离,还有一些主机安全软件,实现物理和虚拟主机的安全隔离,虚拟防火墙实现虚拟化环境安全隔离等。
微隔离方案有无代理、轻代理和重代理三种模式,本质基本一致,所有的流量、访问都要经过该代理,只有经过安全分析、认证授权才可以进行业务互访。例如,在某云数据中心实施微隔离方案后,东西向流量的安全风险降低了 50%,有效防止了攻击者在数据中心内部的横向移动。
(三)SDP 方案
SDP(软件定义边界)是云安全联盟推崇的方案,SDP 由 SDP 客户端、SDP 网关和 SDP 控制器三部分构成,同时配套其他的安全产品、威胁情报等最终构建了一套零信任方案。
SDP 客户端要先和 SDP 控制器进行请求(携带 SPA 种子),SDP 控制器经过身份验证、鉴权以及信任评估,将相应的 SDP 网关 IP 地址/授权凭证返回给 SDP 客户端,同时将 SDP 客户端验证信息给 SDP 网关。然后,SDP 客户端请求 SDP 网关,网关验证 SDP 客户端相关信息(凭证和 SPA 种子),握手通过后,根据资源凭证 SDP 代理网关给予相应的资源访问权限。这样就完成了整个访问过程。
SDP 控制中心会和传统网络安全架构中一些网络安全设备、例如 SOC、环境感知、安全感知、SIEM、日志审计、资产管理等进行信息收集,从而持续判断访问过程和环境的安全性,以进行动态的管理。例如,在某企业实施 SDP 方案后,攻击面减少了 70%,网络安全防护能力得到了极大提升。
六、零信任的应用场景与未来展望
(一)典型应用场景
零信任目前的典型应用场景丰富多样,为企业的网络安全提供了有力保障。
在分支/远程办公场景中,员工可能在不同的地理位置通过各种设备接入企业网络。零信任架构可以确保只有经过身份验证和授权的用户才能访问网络资源,无论他们身在何处。例如,在某跨国企业中,员工分布在全球各地,通过零信任架构实现了安全的远程办公,有效防止了数据泄露和未经授权的访问。据统计,该企业在实施零信任后,远程办公的安全事件减少了 40%。
混合云业务访问场景中,企业通常会同时使用公有云和私有云,零信任策略可以帮助统一管理复杂的多云和混合云环境中的访问权限,并确保数据安全。比如,某金融机构采用零信任架构管理其混合云环境,实现了对不同云服务提供商的资源的安全访问,降低了因云环境复杂而带来的安全风险。数据显示,该金融机构在实施零信任后,混合云环境中的数据泄露风险降低了 30%。
在外包服务场景中,企业与外部供应商合作时,零信任可以为外部实体分配临时访问权限,并限制其访问范围,防止数据泄露。例如,某软件公司在与外包团队合作时,通过零信任架构对外包人员的访问进行严格管控,确保了公司核心代码的安全。据了解,该软件公司实施零信任后,外包服务中的安全问题减少了 50%。
上下游供应链访问场景中,企业需要与合作伙伴、供应商和其他第三方共享资源。零信任可以确保供应链中的各个环节都得到安全保障,防止攻击涟漪效应。如某制造业企业通过零信任架构管理其供应链访问,有效防止了因供应商安全漏洞而导致的攻击。统计数据表明,该企业在实施零信任后,供应链攻击事件减少了 35%。
(二)未来发展趋势
融合零信任技术架构是未来的发展趋势。MSG 技术方案后续可以专注于实现传统/云数据中心东西向流量的防护。通过对资源进行网格化管理,实现更精细的隔离和访问控制,减少内部攻击的风险。例如,在某大型云数据中心,采用 MSG 方案对东西向流量进行防护,有效防止了攻击者在数据中心内部的横向移动,降低了安全风险。
IAM 技术方案+SDP 的技术方案可以实现南北向流量的防护,并且解决端-链路-数据中心(云上/云下)整个链路的安全性。IAM 方案通过增强身份治理,实现动态的认证和授权,而 SDP 方案通过软件定义边界,提供更安全的访问控制。两者结合,可以为企业提供全方位的安全保障。例如,某互联网企业采用 IAM+SDP 方案,实现了对南北向流量的安全防护,提高了企业的网络安全水平。
最终,通过零信任架构实现以“人/业务为中心”的防护思想,无论东西南北,最终实现动态管控。在未来,随着技术的不断发展,零信任架构将不断完善和优化,为企业的网络安全提供更加坚实的保障。