如果你的網(wǎng)絡(luò)有一個(gè)邊界，它總有一天會遭到破壞。這既是“現(xiàn)實(shí)世界”難以傳授的教訓(xùn)，也是關(guān)鍵安全模型(零信任)產(chǎn)生的前提。

[[270401]]

什么是“零信任”?

“永不信任且始終驗(yàn)證”應(yīng)該是對零信任模型最具概括性的描述。所謂“永不信任”，是因?yàn)榫W(wǎng)絡(luò)中沒有用戶或端點(diǎn)被認(rèn)為是絕對安全的;“始終驗(yàn)證”是因?yàn)槊總€(gè)用戶和端點(diǎn)訪問任何網(wǎng)絡(luò)資源都必須在每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證，而不僅僅是在邊界或大型網(wǎng)段邊界才需要進(jìn)行身份驗(yàn)證。

本質(zhì)上來說，零信任是關(guān)于如何創(chuàng)建組織的網(wǎng)絡(luò)安全態(tài)勢的思考過程和方法，其基本上打破了舊式的“網(wǎng)絡(luò)邊界防護(hù)”思維。在舊式思維中，專注點(diǎn)主要集中在網(wǎng)絡(luò)防御邊界，其假定已經(jīng)在邊界內(nèi)的任何事物都不會造成威脅，因此邊界內(nèi)部事物基本暢通無阻，全都擁有訪問權(quán)限。而就零信任模型而言，其對邊界內(nèi)部或外部的網(wǎng)絡(luò)統(tǒng)統(tǒng)采取不信任的態(tài)度，必須經(jīng)過驗(yàn)證才能完成授權(quán)，實(shí)現(xiàn)訪問操作。

為什么要用零信任?

2010年，“零信任”網(wǎng)絡(luò)架構(gòu)正式面世，如今，經(jīng)過9年的發(fā)展，零信任模型已經(jīng)在CIO、CISO和其他企業(yè)高管中流行起來。而推動(dòng)零信任模型日漸流行的現(xiàn)實(shí)因素有很多，包括：

1. 網(wǎng)絡(luò)攻擊演變得更加復(fù)雜高端

網(wǎng)絡(luò)形勢的嚴(yán)峻程度具體可以通過下述一組統(tǒng)計(jì)數(shù)據(jù)進(jìn)行直觀地了解：

美國網(wǎng)絡(luò)安全公司 Cybersecurity Ventures 發(fā)布的《2017年度網(wǎng)絡(luò)犯罪報(bào)告》預(yù)測，到2021年，網(wǎng)絡(luò)犯罪所致全球經(jīng)濟(jì)損失總額將達(dá)6萬億美元/年，比2015年的3萬億美元足足翻了一倍。

同時(shí)，由Ponemon Institute和IBM安全機(jī)構(gòu)贊助的《2018年數(shù)據(jù)泄露研究成本》發(fā)現(xiàn)，數(shù)據(jù)泄露的全球平均成本現(xiàn)在為390萬美元，比2017年增加了6%。

而且，這些數(shù)據(jù)還是在公司企業(yè)對網(wǎng)絡(luò)安全工作投入越來越多的情況下取得的?？萍佳芯颗c咨詢公司Gartner將2018年全球信息安全產(chǎn)品和服務(wù)支出定在了1140多億美元,比去年增長12.4%。

企業(yè)高管們開始認(rèn)識到現(xiàn)有的安全方法并不足以應(yīng)對愈趨嚴(yán)峻的安全態(tài)勢，他們需要尋找更好的方法，而零信任模型恰好就是解決該問題的答案。

2. 工作流的移動(dòng)化和云端化

如今，可以說網(wǎng)絡(luò)邊界已經(jīng)根本不存在了。單純由內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在，企業(yè)應(yīng)用一部分在辦公樓里，一部分在云端，分布各地的員工、合作伙伴和客戶都可以通過各種設(shè)備遠(yuǎn)程訪問云端應(yīng)用。

面對這樣的新形勢，我們應(yīng)該如何保護(hù)自身安全成為了一個(gè)重要命題，而零信任模型也由此應(yīng)運(yùn)而生并流行開來。

零信任模型真的適合您的企業(yè)嗎?

雖然零信任模型背后的概念很簡單，但是實(shí)現(xiàn)起來卻是另一回事。在公司決定投資該技術(shù)和程序之前，應(yīng)該了解該模型及其應(yīng)用所涉及的具體內(nèi)容。雖然，零信任被視為“后邊界時(shí)代”的答案，但它真的適合您的公司嗎?我想您需要通過了解以下幾個(gè)問題來獲取答案：

1. 決定由誰負(fù)責(zé)驅(qū)動(dòng)項(xiàng)目?

無論是零信任模型本身，還是其支持技術(shù)“微分段”都需要對安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行更改。鑒于此，公司首先要回答的問題之一就是應(yīng)該由哪個(gè)團(tuán)隊(duì)負(fù)責(zé)該項(xiàng)目。

在開始項(xiàng)目之前，根據(jù)具體的應(yīng)用程序環(huán)境配置方式，可能需要對交換機(jī)、路由器、防火墻、身份驗(yàn)證服務(wù)器和應(yīng)用程序服務(wù)器本身進(jìn)行更改。在許多組織中，更改這些基礎(chǔ)架構(gòu)組件可能已經(jīng)遠(yuǎn)遠(yuǎn)超出了安全團(tuán)隊(duì)的責(zé)任范圍，在這種情況下，組織要不擴(kuò)展安全團(tuán)隊(duì)的責(zé)任范圍，要不確定具體的項(xiàng)目負(fù)責(zé)人，例如由安全團(tuán)隊(duì)負(fù)責(zé)，網(wǎng)絡(luò)和應(yīng)用程序維護(hù)團(tuán)隊(duì)輔助項(xiàng)目實(shí)施。

對于一些企業(yè)而言，零信任的多重職責(zé)和組成部分成為推動(dòng)它們遷移至DevSecOps(指DevOps全生命周期的安全防護(hù))的激勵(lì)因素。將基礎(chǔ)架構(gòu)的每個(gè)部門視為要經(jīng)常進(jìn)行身份驗(yàn)證、監(jiān)控和改進(jìn)的軟件，對于零信任安全性具有非常重要的意義，而且也可以緩解圍繞哪個(gè)團(tuán)隊(duì)?wèi)?yīng)該負(fù)責(zé)推動(dòng)變革過程的一系列問題。

2. 建立最小權(quán)限策略

訪問權(quán)限的成本是多少?貴公司是否將其視為訪問表中的一串廉價(jià)代碼?盡可能地為用戶提供他們可能需要的權(quán)限，真的比冒險(xiǎn)讓他們在職責(zé)擴(kuò)展時(shí)遇到訪問拒絕問題更好?如果是這樣，那么當(dāng)你啟用零信任模型時(shí)，你的用戶可能需要經(jīng)歷一次嚴(yán)肅的態(tài)度調(diào)整。

最小權(quán)限安全性基于一個(gè)非常簡單的概念：當(dāng)用戶僅具有完成其工作所需的訪問權(quán)限時(shí)，網(wǎng)絡(luò)(和應(yīng)用程序)基礎(chǔ)架構(gòu)是最安全的。這種特權(quán)管理方式存在諸多好處，其中一個(gè)是當(dāng)員工不具備充分的權(quán)限時(shí)，其能夠造成的傷害也是有限的。另一個(gè)巨大的好處是，即便黑客竊取到這些員工的登錄憑據(jù)，其能造成的傷害也是有限的。對于具備低級別權(quán)限的低級別員工來說，如果他們對遠(yuǎn)程網(wǎng)絡(luò)段和應(yīng)用程序的訪問受到限制，那么他們?yōu)榫W(wǎng)絡(luò)接管提供跳板的可能性也要小很多。

對于許多組織來說，想要實(shí)現(xiàn)最小權(quán)限可能需要思維上的辨證性轉(zhuǎn)變，因?yàn)槿绻荒芡耆抑?jǐn)慎的解釋這種轉(zhuǎn)變背后的原因，它就會變得很尷尬。然而，在零信任架構(gòu)中，最小特權(quán)可以成為限制攻擊者擴(kuò)展攻擊，并在網(wǎng)絡(luò)內(nèi)部造成大規(guī)模破壞能力的有力工具。

3. 最小邏輯單元

這是零信任安全的關(guān)鍵。當(dāng)您將網(wǎng)絡(luò)和應(yīng)用程序基礎(chǔ)架構(gòu)在邏輯上和物理上劃分為非常小的部分時(shí)，由于每個(gè)從一個(gè)網(wǎng)段到另一個(gè)網(wǎng)段的傳輸都需要進(jìn)行身份驗(yàn)證，那么您就能夠?qū)θ肭终呖梢詫?shí)施的訪問權(quán)限進(jìn)行一些非常嚴(yán)格的限制。

組織應(yīng)該同時(shí)從邏輯空間和時(shí)間上考慮這些小分段。如果用戶(特別是高級特權(quán)用戶。例如管理員)偶爾需要訪問特定系統(tǒng)或功能，則應(yīng)該授予他/她處理問題所需時(shí)間的訪問權(quán)限，而不是總能如此。

如果您認(rèn)為自己的網(wǎng)絡(luò)遭到了破壞，那么邏輯響應(yīng)可以盡可能減少這種破壞所造成的損失。將任何單一攻擊限制在單個(gè)邏輯段，就可以限制攻擊對整體安全性的威脅。

4. 突出重點(diǎn)，多看多研究

零信任模型實(shí)現(xiàn)過程中需要依賴的技術(shù)之一就是“微分段”。在基本網(wǎng)絡(luò)用語中，“分段”是指將以太網(wǎng)劃分為子網(wǎng)絡(luò)(也就是子網(wǎng))，以管理并控制網(wǎng)絡(luò)流量，而不是將所有數(shù)據(jù)包發(fā)送給所有節(jié)點(diǎn)。網(wǎng)絡(luò)分段提供了基礎(chǔ)工具，提升了網(wǎng)絡(luò)性能，并在傳統(tǒng)靜態(tài)網(wǎng)絡(luò)中引入了安全性。“微分段”基于這一基本理念，抽象出新的虛擬化及控制層。使用微分段，數(shù)據(jù)中心被劃分為邏輯單元，這些邏輯單元往往是工作負(fù)載或應(yīng)用。這樣IT能夠針對每個(gè)邏輯單元制定獨(dú)特的安全策略與規(guī)則。一旦周邊被滲透，微分段能夠顯著減少惡意行為的攻擊面，并限制攻擊的橫向移動(dòng)。因?yàn)?，傳統(tǒng)防火墻能夠?qū)崿F(xiàn)常見的縱向防護(hù)，但微分段明顯地限制了企業(yè)內(nèi)工作負(fù)載之間不必要的橫向通信。

微分段可以讓你更輕松地掌握網(wǎng)絡(luò)上發(fā)生的任何事情，但是要想知道誰在做什么，前提條件是你首先要觀察得夠多夠仔細(xì)。如果你想要實(shí)現(xiàn)零信任安全，就應(yīng)該仔細(xì)研究網(wǎng)絡(luò)行為的許多不同方面。

通過微分段技術(shù)，可以比使用傳統(tǒng)的授權(quán)模式更簡單地檢測零信任網(wǎng)絡(luò)。但是為了確定優(yōu)先級問題，我們的重點(diǎn)不在于監(jiān)控何處，而在于監(jiān)控每個(gè)分段中的哪些因素。

一旦確定了戰(zhàn)略網(wǎng)絡(luò)段或應(yīng)用程序技術(shù)架構(gòu)組件，就可以建立對網(wǎng)絡(luò)流量和行為的深入審查，而不必?fù)?dān)心淹沒在海量數(shù)據(jù)中，因?yàn)槟阒恍枰獜挠邢薜木W(wǎng)段中獲取數(shù)據(jù)即可。但是，一般而言，在監(jiān)控網(wǎng)段時(shí)你需要積極一點(diǎn)，以便安全架構(gòu)師可以跟蹤攻擊者和員工行為，并幫助改進(jìn)安全規(guī)則和流程以跟上網(wǎng)絡(luò)發(fā)展的步伐。

5. 添加多因素身份驗(yàn)證

零信任最大的改變在于將執(zhí)行機(jī)制從單一的網(wǎng)絡(luò)邊界轉(zhuǎn)移到每個(gè)目標(biāo)系統(tǒng)和應(yīng)用程序。其重點(diǎn)是驗(yàn)證用戶的身份以及他們所使用的設(shè)備，而不是基于某人是否從受信或不受信的網(wǎng)絡(luò)中訪問企業(yè)資源的安全策略。

如果對每個(gè)網(wǎng)段的身份驗(yàn)證是整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵，那么身份驗(yàn)證過程就變得至關(guān)重要。這里所說的用戶身份驗(yàn)證是指強(qiáng)化您所使用的因素，并添加其他因素以使用戶身份識別變得更加確定。

針對用戶所用密碼的調(diào)查結(jié)果總是不可避免地令人失望，像“12345”或“qwerty”這樣的字符串始終位于最常用密碼列表的頂部。因此，第一項(xiàng)任務(wù)就是為組織中的每個(gè)人建立強(qiáng)密碼策略，然后切實(shí)地執(zhí)行這些策略。

接下來的任務(wù)就是添加多因素身份驗(yàn)證。如今，多因素身份驗(yàn)證正變得越來越普遍，但要知道它可是從幾乎為0的市場滲透率發(fā)展起來的，因此許多公司非常愿意嘗試任何比傳統(tǒng)用戶名/密碼更強(qiáng)大的身份驗(yàn)證方式來強(qiáng)化自身網(wǎng)絡(luò)安全。

6. 保持技術(shù)更新

沒有任何安全模型可以一成不變，成為“設(shè)置完就忘記”的存在。零信任安全當(dāng)然也不例外，相反地，它可能算是最不應(yīng)該被忘記的安全模型之一。這是因?yàn)楫?dāng)身份驗(yàn)證在整個(gè)方案中發(fā)揮如此重要的作用時(shí)，跟上威脅發(fā)展步伐并了解其如何試圖阻止身份驗(yàn)證方案至關(guān)重要。

除了身份驗(yàn)證問題之外，安全專業(yè)人員還需要及時(shí)了解用于橫向移動(dòng)和繞過網(wǎng)絡(luò)分段的威脅及機(jī)制。在網(wǎng)絡(luò)安全的世界中，沒有人可以假設(shè)當(dāng)前運(yùn)行的方法和技術(shù)可以始終有效，因此安全從業(yè)人員需要跟上行業(yè)發(fā)展趨勢，并且花時(shí)間分析監(jiān)控中捕獲的事件，以查看網(wǎng)絡(luò)分段中哪些地方已被攻擊者試探，以及哪些地方極有可能被攻擊者攻破。

毫無疑問，零信任安全可以成為信息和資產(chǎn)安全的基礎(chǔ)。但僅僅因?yàn)橐环N方法是有效的，并不意味著它就可以在未經(jīng)慎重思考和規(guī)劃的情況下投入使用。企業(yè)需要根據(jù)自身情況考量上述問題，提前做好計(jì)劃，并且記住最重要的一點(diǎn)——不要信任任何人!

經(jīng)典企業(yè)實(shí)踐案例：BeyondCorp

作為零信任網(wǎng)絡(luò)的先行者，谷歌花了6年時(shí)間才從其VPN和特權(quán)網(wǎng)絡(luò)訪問模式遷移到BeyondCorp零信任環(huán)境。期間谷歌不得不重新定義和調(diào)整其職位角色及分類，建立起全新的主控庫存服務(wù)以跟蹤設(shè)備，并重新設(shè)計(jì)用戶身份驗(yàn)證及訪問控制策略。從2014年起，Google連續(xù)在《login》雜志上發(fā)表了6篇BeyondCorp相關(guān)的論文，全面介紹BeyondCorp和Google從2011年至今的實(shí)施經(jīng)驗(yàn)。

Google將BeyondCorp項(xiàng)目的目標(biāo)設(shè)定為“讓所有Google員工從不受信任的網(wǎng)絡(luò)中不接入VPN就能順利工作”。與傳統(tǒng)的邊界安全模式不同，BeyondCorp摒棄了將網(wǎng)絡(luò)隔離作為防護(hù)敏感資源的主要機(jī)制，取而代之的是，所有的應(yīng)用都部署在公網(wǎng)上，通過用戶與設(shè)備為中心的認(rèn)證與授權(quán)工作流進(jìn)行訪問。這就意味著作為零信任安全架構(gòu)的BeyondCorp，將訪問控制權(quán)從邊界轉(zhuǎn)移到個(gè)人設(shè)備與用戶上。因此員工可以實(shí)現(xiàn)在任何地點(diǎn)的安全訪問，無需傳統(tǒng)的VPN。

谷歌的零信任安全架構(gòu)涉及復(fù)雜的庫存管理，記錄具體誰擁有網(wǎng)絡(luò)里的哪臺設(shè)備。設(shè)備庫存服務(wù)來從多個(gè)系統(tǒng)管理渠道搜集每個(gè)設(shè)備的各種實(shí)時(shí)信息，比如活動(dòng)目錄(Avvtive Directory)或Puppet。

對于用戶的認(rèn)證則基于一套代表敏感程度的信任層。無論員工使用什么設(shè)備或身處何處，都能得到相應(yīng)的訪問權(quán)限。低層次的訪問不需要對設(shè)備做太嚴(yán)格的審核。

而且，在谷歌網(wǎng)絡(luò)中不存在特權(quán)用戶。谷歌使用安全密鑰進(jìn)行身份管理，比密碼更難偽造。每個(gè)入網(wǎng)的設(shè)備都有谷歌頒發(fā)的證書。網(wǎng)絡(luò)的加密則是通過TLS(傳輸層安全協(xié)議)來實(shí)現(xiàn)。

除此之外，與傳統(tǒng)的邊界安全模式不同，BeyondCorp不是以用戶的物理登陸地點(diǎn)或來源網(wǎng)絡(luò)作為訪問服務(wù)或工具的判定標(biāo)準(zhǔn)，其訪問策略是建立在設(shè)備信息、狀態(tài)和關(guān)聯(lián)用戶的基礎(chǔ)上，更偏向用戶行為和設(shè)備狀態(tài)的分析。

總體來說，谷歌BeyondCorp主要包括三大指導(dǎo)原則：

• 無邊界設(shè)計(jì)——從特定網(wǎng)絡(luò)連接，與你能獲得的服務(wù)沒有關(guān)系;
• 上下文感知——根據(jù)對用戶與設(shè)備的了解，來授予所獲得的服務(wù);
• 動(dòng)態(tài)訪問控制——所有對服務(wù)的訪問必須經(jīng)過認(rèn)證、授權(quán)和加密。