你的網(wǎng)絡(luò)安全嗎?在回答這個(gè)問題時(shí)，無論企業(yè)還是個(gè)人，無論是否裝備了防火墻或是部署了殺軟，恐怕都不敢直言安全。正所謂，未知的才是最可怕的。網(wǎng)絡(luò)威脅似乎隨時(shí)能夠?qū)⑷藗儤?gòu)建的安全防線給吞噬掉。而對于企業(yè)網(wǎng)絡(luò)來說，要想獲得“終極”安全，零信任理念必須要建立起來了。

[[241126]]

傳統(tǒng)的安全模型過時(shí)了

當(dāng)前，不少企業(yè)的網(wǎng)絡(luò)防護(hù)依舊沿用過時(shí)的傳統(tǒng)安全模型，在此種模型下，企業(yè)常常只會(huì)圍繞數(shù)據(jù)中心在周圍構(gòu)建“護(hù)城河”來保護(hù)其數(shù)據(jù)資產(chǎn)?？墒前殡S辦公移動(dòng)化遷移，企業(yè)分支、遠(yuǎn)程辦公、云端辦公的需求越來越多，涉及安全的資產(chǎn)變得比以前更為分散，而防護(hù)邊界也日益模糊。

而且對于傳統(tǒng)安全模型來說，往往會(huì)假設(shè)企業(yè)內(nèi)部的所有行為都是可以信任的，即便部署有防火墻、入侵檢測、DDoS防護(hù)等設(shè)備，也是針對網(wǎng)絡(luò)邊界進(jìn)行的防護(hù)。這就導(dǎo)致一旦攻擊來自企業(yè)內(nèi)部，網(wǎng)絡(luò)防護(hù)就變得形同虛設(shè)。

此外，當(dāng)下的網(wǎng)絡(luò)攻擊不僅從外向內(nèi)展開，而且很可能發(fā)起橫向攻擊，如內(nèi)部某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)遭受破壞，攻擊者便可在系統(tǒng)之間隨意跳躍攻擊。因此，鑒于網(wǎng)絡(luò)攻擊的日益復(fù)雜以及內(nèi)部威脅的大量增加，現(xiàn)在非常有必要采取一些可有效阻斷攻擊在內(nèi)部傳播路徑的安全措施了。

零信任成驗(yàn)證關(guān)鍵

對于上述情況，相信只有基于零信任的安全理念才能進(jìn)一步為企業(yè)網(wǎng)絡(luò)防護(hù)加固。那么，零信任的安全理念是什么樣子的?可以說，零信任是根植于“永不信任，始終驗(yàn)證”原則上，通過基于用戶、數(shù)據(jù)和位置的微細(xì)分與顆粒度進(jìn)行劃分，并聯(lián)合周邊安全設(shè)備共同執(zhí)行防護(hù)檢測與過濾，達(dá)到解決網(wǎng)絡(luò)內(nèi)橫向威脅的移動(dòng)。

為何要強(qiáng)調(diào)防止攻擊的橫向移動(dòng)?這是由于攻擊的滲透點(diǎn)通常不是目標(biāo)位置，而阻止橫向移動(dòng)在內(nèi)網(wǎng)中的作用就相當(dāng)關(guān)鍵了。比如，當(dāng)攻擊者滲透端點(diǎn)設(shè)備成功后，還需要在整個(gè)環(huán)境中橫向移動(dòng)，才能到達(dá)目標(biāo)資產(chǎn)所在的數(shù)據(jù)中心;或者，利用網(wǎng)絡(luò)釣魚獲得了準(zhǔn)入憑證后，仍需要在對應(yīng)數(shù)據(jù)庫通過身份驗(yàn)證，才能以達(dá)到攻擊者想尋求并提取數(shù)據(jù)的位置一樣。

其中還涉及到如何確定用戶身份，以及能否設(shè)置適當(dāng)?shù)脑L問權(quán)限等問題。例如，在大多數(shù)企業(yè)里，市場營銷人員可以訪問包含營銷內(nèi)容、客戶信息和相關(guān)數(shù)據(jù)庫，但無法訪問財(cái)務(wù)文件或數(shù)據(jù);財(cái)務(wù)人員則可以訪問與財(cái)務(wù)相關(guān)的數(shù)據(jù)庫，但不能訪問人力資源信息等等。因此，確定用戶是誰，以及他們可以訪問哪些應(yīng)用程序，做哪些操作，可是判定相應(yīng)會(huì)話是否合規(guī)的重要一步。如果這些交互點(diǎn)或檢查點(diǎn)不到位，又怎能有效識別驗(yàn)證并阻止入侵行為呢?

如何實(shí)現(xiàn)零信任架構(gòu)

為了構(gòu)建企業(yè)網(wǎng)絡(luò)的零信任架構(gòu)，較為現(xiàn)實(shí)的方法是將現(xiàn)有的基礎(chǔ)設(shè)施統(tǒng)統(tǒng)考慮在內(nèi)，并圍繞敏感數(shù)據(jù)資產(chǎn)創(chuàng)建最小的防護(hù)邊界。無論是服務(wù)器、終端筆記本電腦，還是應(yīng)用程序，將網(wǎng)絡(luò)扁平化、不受信任系統(tǒng)最小化。

最初可以使用VLAN(虛擬局域網(wǎng))等傳統(tǒng)設(shè)置來創(chuàng)建小邊界，即便它們維護(hù)起來很麻煩。然后，再實(shí)施高級網(wǎng)絡(luò)分段，并采用最低權(quán)限的訪問策略并嚴(yán)格執(zhí)行訪問控制。這樣做，企業(yè)就可以顯著減少惡意軟件的傳播路徑。

而要做到“始終驗(yàn)證”，則意味著要檢查并記錄所有流量。為了有效地做到這一點(diǎn)，可以確定適當(dāng)?shù)慕换ス?jié)點(diǎn)來方便檢查。例如，基于業(yè)務(wù)策略的安全規(guī)則應(yīng)該用于識別、允許或拒絕通過防護(hù)邊界“檢查點(diǎn)”的流量和活動(dòng)，包括對敏感資源進(jìn)行分段，建立信任邊界，以防止敏感數(shù)據(jù)泄漏等操作。

此外，添加更多身份驗(yàn)證方法來防止基于憑證的攻擊，升級安全設(shè)備，培訓(xùn)人員安全意識等等都是打造零信任架構(gòu)中的重要環(huán)節(jié)。

可以預(yù)見

在抵御現(xiàn)代網(wǎng)絡(luò)威脅，防止敏感數(shù)據(jù)泄露的攻防博弈面前，敵我雙方此消彼長的態(tài)勢在所難免。不過以零信任為目標(biāo)的防護(hù)策略顯然是永不會(huì)過時(shí)的，即便短期內(nèi)多數(shù)企業(yè)還并不容易將其實(shí)現(xiàn)，但毋庸置疑的是，安全零信任時(shí)代已然到來。