如今，企業(yè)的業(yè)務(wù)和商業(yè)流程已不再局限于物理環(huán)境內(nèi)，傳統(tǒng)以網(wǎng)絡(luò)邊界為中心的防火墻式安全防護(hù)機(jī)制已無法滿足企業(yè)的發(fā)展要求，企業(yè)需要轉(zhuǎn)向構(gòu)建一個(gè)以數(shù)據(jù)和身份為中心的、與當(dāng)下數(shù)字化發(fā)展趨勢(shì)更加相適應(yīng)的安全防護(hù)機(jī)制。

在這樣的大背景下，F(xiàn)orrester Research 的一位分析師于2010年正式提出了零信任的安全概念。最初，F(xiàn)orrester 一直著重于研究如何將傳統(tǒng)的單一邊界劃分為一系列微邊界或是網(wǎng)絡(luò)分段，提倡通過加強(qiáng)細(xì)粒度授權(quán)和威脅管控來提升整體業(yè)務(wù)安全性。

隨著時(shí)代的發(fā)展，業(yè)界逐漸開始將零信任與網(wǎng)絡(luò)分段、以及加強(qiáng)網(wǎng)絡(luò)分段的下一代防火墻技術(shù)聯(lián)系起來。但是，零信任并不僅僅局限于網(wǎng)絡(luò)分段，它是一個(gè)全新的安全理念，零信任的實(shí)現(xiàn)需要一系列復(fù)雜流程和技術(shù)的落地。因此，從 2018 年開始，F(xiàn)orrester 開始發(fā)布零信任拓展生態(tài)系統(tǒng) Zero Trust eXtended (ZTX) 研究報(bào)告，并提出 7 個(gè)構(gòu)成 ZTX 生態(tài)系統(tǒng)的主要元素，如下圖所示：

下面我們?cè)敿?xì)聊聊這 7 個(gè)主要元素，全面揭秘零信任安全理念。

網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全能力，是零信任安全體系最為基礎(chǔ)的能力要求。在ZTX模型中，需要重點(diǎn)關(guān)注的是如何實(shí)現(xiàn)網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)分段和網(wǎng)絡(luò)安全。簡(jiǎn)單來說，零信任中的網(wǎng)絡(luò)安全能力可以理解為是支持微邊界和網(wǎng)絡(luò)分段的 NGFW(下一代防火墻)技術(shù)的產(chǎn)品能力，實(shí)現(xiàn)形式可以是硬件，也可以是虛擬化設(shè)備，或者是提供同等能力的軟件形態(tài)。

數(shù)據(jù)安全

構(gòu)建零信任架構(gòu)的最終目的還是回歸本源，聚焦于保護(hù)企業(yè)數(shù)據(jù)安全。在ZTX模型中，需要重點(diǎn)關(guān)注是如何實(shí)現(xiàn)數(shù)據(jù)分類、數(shù)據(jù)規(guī)劃、數(shù)據(jù)隔離、數(shù)據(jù)加密和數(shù)據(jù)控制的。零信任數(shù)據(jù)安全保護(hù)聚焦數(shù)據(jù)本身，與數(shù)據(jù)位置無關(guān)。無論數(shù)據(jù)存儲(chǔ)在終端、服務(wù)器、數(shù)據(jù)庫(kù)、還是SaaS應(yīng)用中，無論是企業(yè)內(nèi)部數(shù)據(jù)還是外部數(shù)據(jù)，無論數(shù)據(jù)是流動(dòng)狀態(tài)還是靜止?fàn)顟B(tài)，零信任架構(gòu)都需要采用一定的技術(shù)手段對(duì)數(shù)據(jù)進(jìn)行保護(hù)，防止數(shù)據(jù)泄露。

IDaaS(Identity as a Service) 是零信任架構(gòu)實(shí)踐的一種主要形式，根本出發(fā)點(diǎn)是為了保護(hù)企業(yè)數(shù)據(jù)的安全，目前主流方法是通過基于風(fēng)險(xiǎn)的動(dòng)態(tài)權(quán)限管控，來實(shí)現(xiàn)對(duì)危險(xiǎn)訪問的屏蔽。企業(yè)的敏感業(yè)務(wù)數(shù)據(jù)信息應(yīng)該被隔離或是自動(dòng)標(biāo)識(shí)，并在整個(gè)數(shù)據(jù)生命周期中被持續(xù)保護(hù)。

身份安全

據(jù) Verizon 有關(guān)數(shù)據(jù)統(tǒng)計(jì)，80%的數(shù)據(jù)泄露是因?yàn)樯矸輵{證被盜或泄露引發(fā)的。在傳統(tǒng)的企業(yè)內(nèi)部可信網(wǎng)絡(luò)區(qū)域內(nèi)，黑客一旦入侵，就猶入無人之境，可以對(duì)企業(yè)IT資源進(jìn)行肆無忌憚地破壞。大多數(shù)應(yīng)用系統(tǒng)和服務(wù)交互都與用戶是相關(guān)聯(lián)的，因此零信任最為重要的策略對(duì)象主體就是身份和賬號(hào)。在ZTX模型中，主要關(guān)注點(diǎn)在于如何使用企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)基礎(chǔ)架構(gòu)的用戶的安全，以及減少這些合法用戶身份所帶來的潛在威脅。

IDaaS是目前最為先進(jìn)的身份與訪問管理解決方案，其中提倡的最為前沿的實(shí)踐就是通過一種自適應(yīng)的、基于風(fēng)險(xiǎn)的評(píng)估來識(shí)別潛在威脅，并且這種評(píng)估機(jī)制會(huì)貫穿整個(gè)用戶生命周期。企業(yè)IT可以設(shè)置風(fēng)險(xiǎn)容忍度，并且允許風(fēng)險(xiǎn)評(píng)估引擎根據(jù)上下文信號(hào)來判定某一特定認(rèn)證事件的風(fēng)險(xiǎn)等級(jí)，并根據(jù)風(fēng)險(xiǎn)等級(jí)洞察自動(dòng)喚起二次認(rèn)證。當(dāng)然，這種信任也不是絕對(duì)的：自適應(yīng)認(rèn)證機(jī)制會(huì)持續(xù)對(duì)上下文信號(hào)進(jìn)行監(jiān)測(cè)，一旦用戶上下文的其中某一方面發(fā)生改變，就會(huì)對(duì)用戶進(jìn)行再次認(rèn)證和授權(quán)驗(yàn)證。

工作負(fù)載/應(yīng)用安全

在ZTX模型中，工作負(fù)載安全重點(diǎn)關(guān)注網(wǎng)絡(luò)環(huán)境、應(yīng)用和其他技術(shù)設(shè)備的安全保障能力。無論是在何種云環(huán)境中，工作負(fù)載(比如應(yīng)用系統(tǒng)、虛擬機(jī)、容器、Serveless等)都非常容易受到攻擊。

企業(yè)如果想要實(shí)現(xiàn)基于零信任的工作負(fù)載安全，首先要弄清楚企業(yè)內(nèi)部的工作負(fù)載資產(chǎn)情況，構(gòu)建工作負(fù)載、安全組、實(shí)例和防火墻的實(shí)時(shí)拓?fù)?，零信任的自適應(yīng)訪問授權(quán)引擎會(huì)根據(jù)企業(yè)工作負(fù)載的變化自動(dòng)調(diào)整，并強(qiáng)制執(zhí)行授權(quán)策略。在產(chǎn)品和能力提供方面，零信任的工作負(fù)載安全主要通過基于身份的代理網(wǎng)關(guān)實(shí)現(xiàn)，用戶只可以看見和訪問被授權(quán)的工作負(fù)載，未經(jīng)授權(quán)的則無法看見和訪問，同時(shí)結(jié)合其他傳統(tǒng)的安全手段，來強(qiáng)化應(yīng)用和工作負(fù)載的安全。

設(shè)備安全

在ZTX模型中，設(shè)備安全的重點(diǎn)在于持續(xù)對(duì)每個(gè)訪問企業(yè)資源的設(shè)備(包括移動(dòng)設(shè)備)進(jìn)行隔離，并采取相對(duì)應(yīng)的安全防護(hù)和控制性措施。設(shè)備除了看得見的傳統(tǒng)服務(wù)器、PC 和智能手機(jī)之外，還包括 IoT 設(shè)備、網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件、工作負(fù)載等軟設(shè)備形態(tài)。

在產(chǎn)品能力方面，零信任的設(shè)備安全主要通過對(duì)設(shè)備的安全性進(jìn)行持續(xù)檢查和發(fā)現(xiàn)來實(shí)現(xiàn)，一方面根據(jù)預(yù)先收集的設(shè)備類型對(duì)設(shè)備的內(nèi)網(wǎng)訪問行為進(jìn)行允許、拒絕和限制等授權(quán)，另一方面持續(xù)監(jiān)測(cè)設(shè)備，確保設(shè)備行為不會(huì)偏離策略，同時(shí)根據(jù)已建立的策略發(fā)出通知并啟動(dòng)設(shè)備修復(fù)。

可視化和分析

看不見或看不懂的東西是無法被保護(hù)的。

Forrester 提出的這個(gè)維度主要關(guān)注零信任技術(shù)是否提供有用的分析和數(shù)據(jù)支撐，并且盡可能消除應(yīng)用系統(tǒng)和企業(yè)IT基礎(chǔ)架構(gòu)存在的死角。在不同的維度下，有不同的支撐和實(shí)現(xiàn)場(chǎng)景，企業(yè)需要在對(duì)客戶、業(yè)務(wù)和技術(shù)等維度有綜合考慮和認(rèn)知的情況下，再去定義零信任產(chǎn)品的數(shù)據(jù)分析和可視化邏輯。

自動(dòng)化和編排

零信任安全體系如果想要實(shí)現(xiàn)價(jià)值最大化，就需要與更廣泛的 IT 環(huán)境進(jìn)行集成，并且需要提升自身的事件響應(yīng)速度和策略準(zhǔn)確性，并自動(dòng)分配任務(wù)。在ZTX模型中，重點(diǎn)關(guān)注的是技術(shù)如何實(shí)現(xiàn)基于零信任原則的自動(dòng)化和編排，使企業(yè)能夠針對(duì)不同類型的應(yīng)用系統(tǒng)加強(qiáng)統(tǒng)一管理和控制。

通過自動(dòng)化和編排，零信任可以將復(fù)雜和繁瑣的安全性任務(wù)轉(zhuǎn)化為自動(dòng)執(zhí)行、按計(jì)劃執(zhí)行或事件驅(qū)動(dòng)的自定義工作流。比如，在 IDaaS 平臺(tái)中，很多廠商提供的解決方案會(huì)將主身份源系統(tǒng)與其他身份源系統(tǒng)，以及下游應(yīng)用系統(tǒng)進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)對(duì)零信任主要策略對(duì)象人員和身份賬號(hào)的自動(dòng)化聯(lián)動(dòng)管理，只要主身份源系統(tǒng)中人員身份信息有調(diào)整或變動(dòng)，關(guān)聯(lián)的其他系統(tǒng)中的人員身份信息也會(huì)進(jìn)行相應(yīng)的調(diào)整和更新，從而將企業(yè)IT管理人員從龐雜的賬號(hào)管理工作中解放出來。

在日志管理和審計(jì)方面，IDaaS平臺(tái)也可以通過算法和風(fēng)險(xiǎn)評(píng)估模型，來自動(dòng)對(duì)危險(xiǎn)事件進(jìn)行預(yù)測(cè)和報(bào)警，同時(shí)也可以與第三方SIEM產(chǎn)品相結(jié)合，為企業(yè)客戶提供更加完整的日志分析服務(wù)。更多 IDAAS、零信任相關(guān)場(chǎng)景功能可搜索玉符科技進(jìn)行咨詢。