零信任網(wǎng)絡能提供更好的數(shù)據(jù)泄露防護，但通往零信任網(wǎng)絡的道路卻困難曲折。零信任模型的核心思想，是網(wǎng)絡邊界內(nèi)外的任何東西，在沒經(jīng)過驗證之前都不予信任。用傳統(tǒng)安全方法擋不住數(shù)據(jù)泄露的公司企業(yè)目前越來越關注零信任網(wǎng)絡模型了。

[[237340]]

但是，想要實現(xiàn)該模型的公司企業(yè)，首先就需要拋棄長期以來深植于內(nèi)部人可信和公司網(wǎng)絡可信思維基礎上的那些操作。

零信任模型

2010年，佛瑞斯特研究所構(gòu)造了“零信任”這個術語，用以描述嘗試連接網(wǎng)絡資產(chǎn)的任何用戶和任何設備都被當成不可信對象處理的一種安全模型。該模型突出設備憑證和用戶憑證的使用，而不以網(wǎng)絡位置來作為允許或拒絕網(wǎng)絡資產(chǎn)訪問的基礎。

佛瑞斯特和其他業(yè)內(nèi)人士宣稱，零信任方法可防止攻擊者在突破網(wǎng)絡邊界后藏身網(wǎng)絡內(nèi)部繼續(xù)摸查高價值目標。因為傳統(tǒng)安全控制和數(shù)據(jù)泄露預防工具無法發(fā)現(xiàn)，使用被盜憑證的外部攻擊者所做的惡意活動。因為，他可以自由來去。最近幾年數(shù)據(jù)泄露事件大量爆發(fā)，問題的根源，在于公司企業(yè)長期以來所持有的隱式信任用戶和內(nèi)網(wǎng)流量的做法。只將外部用戶當做不可信對象加以驗證，怎么能防住日益嚴重的內(nèi)部人威脅呢?

黑客攻擊者還不是唯一的問題。移動辦公和云服務托管的增長，也令很多公司企業(yè)難以確立起網(wǎng)絡邊界。傳統(tǒng)筑起邊界長城守護內(nèi)部資源的安全方法，隨著企業(yè)數(shù)據(jù)的分散化和數(shù)據(jù)訪問方式的多樣化而不再有效。

信任是個危險的漏洞，容易被攻擊者利用。用戶和網(wǎng)絡分為可信及不可信的觀念，是公司企業(yè)首先需要拋棄的。

零信任概念中，任何人、任何設備、任何網(wǎng)絡都不可信。必須要摒棄“人以網(wǎng)分”的想法，將注意力集中在網(wǎng)絡中四處流通的數(shù)據(jù)包上。要監(jiān)視所有流量，而不僅僅是外部流量。

漫漫零信任路

實現(xiàn)零信任網(wǎng)絡可能會很困難。作為零信任網(wǎng)絡的先行者，谷歌花了6年時間才從其VPN和特權(quán)網(wǎng)絡訪問模式遷移到BeyondCorp零信任環(huán)境。期間谷歌不得不重新定義和調(diào)整其職位角色及分類，建立起全新的主控庫存服務以跟蹤設備，提升App可見性，并翻新用戶身份驗證及訪問控制策略。從董事會層面自頂向下地支持并推進零信任網(wǎng)絡建設。

邁向零信任之路時應遵循的一條關鍵原則是，在被驗證可信之前，任何人任何設備都不能訪問內(nèi)部資源。網(wǎng)絡本身不可以確定用戶可以訪問哪些服務。

賦予用戶的信任，不能基于用戶嘗試訪問公司應用的位置——公司網(wǎng)絡邊界內(nèi)部或外部，而應基于用戶信息、設備信息和所訪問的資源。

重點應放在安全驗證用戶、知曉用戶角色及訪問權(quán)限，以及能夠識別出異常用戶/設備行為上。這也意味著要能夠安全驗證設備，識別設備使用上下文，并確保對設備應用了全部該有的安全控制措施。在這樣的環(huán)境中，多因子身份驗證(MFA)和用戶及實體行為分析(UEBA)之類的功能，是確立用戶信任的關鍵。零信任的目標，就是轉(zhuǎn)換到“從不信任，總是驗證”的模式。

從內(nèi)而外設計安全

規(guī)劃零信任時，切記不能像當前大多數(shù)企業(yè)所做的那樣由外而內(nèi)地設計安全，而應由內(nèi)而外地規(guī)劃。應少考慮攻擊界面，而更多地關注“防護界面”——公司實際需要保護的數(shù)字資產(chǎn)。

應以將安全及訪問控制措施盡可能地貼近防護界面為目標，而不應將這些防護措施遠遠安置在網(wǎng)絡邊界。人們常將網(wǎng)絡分隔與零信任搞混，但如果我們不知道防護界面，那還做網(wǎng)絡分隔干什么呢?

為實現(xiàn)零信任環(huán)境，內(nèi)容分發(fā)網(wǎng)絡公司阿卡邁已清除了其企業(yè)邊界。這是因為用戶位置已不再能夠賦予用戶信任度了。

今年晚些時候，阿卡邁還將下架遠程員工的所有VPN訪問，徹底棄用口令也就在不遠的將來。想要訪問該公司應用和系統(tǒng)的任何人——包括該公司員工，都會被當成來賓先進行驗證。只有通過了用戶驗證、訪問權(quán)限驗證和設備驗證，才會被賦予信任。

安全邊界仍然圍繞個人設備展開，但企業(yè)邊界背后的特權(quán)網(wǎng)絡概念就已落伍。零信任模型比以邊界為中心的方法更能提供統(tǒng)一又安全的企業(yè)資產(chǎn)訪問。

在零信任之路上，沒什么東西比可見性更重要的了?？梢娦允顷P鍵第一步，是創(chuàng)建整個策略的基石。阿卡邁啟動零信任遷移時所做的第一步工作，就是為其所有應用和設備建立其全面的庫存清單。

想要保護敏感數(shù)據(jù)，首先得知道這些數(shù)據(jù)都在哪兒，知道數(shù)據(jù)在企業(yè)網(wǎng)絡中的流動方式，知曉都有哪些用戶在用哪些設備訪問這些數(shù)據(jù)。正如谷歌指出的，當你無法信任網(wǎng)絡來提供對企業(yè)資產(chǎn)的安全訪問時，你就得有可靠的實時數(shù)據(jù)來告訴你有哪些人和系統(tǒng)正在訪問公司資產(chǎn)。

實現(xiàn)零信任的另一關鍵，是要有強大的方法來安全識別并驗證用戶及設備。舉個例子，谷歌的網(wǎng)絡上就僅容許經(jīng)該公司采購并管理的設備。所有設備都具有基于設備證書的唯一ID，且需滿足嚴格的安全控制才可以訪問網(wǎng)絡。該公司使用與HR過程耦合的數(shù)據(jù)庫來識別用戶并確保職位和訪問權(quán)限信息實時更新。

谷歌在BeyondCorp相關白皮書中曾寫道：“對公司資源的所有訪問都經(jīng)過全面驗證和授權(quán)，并基于設備狀態(tài)和用戶憑證予以全面加密。”

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文