「零信任」實施路徑探討
零信任的概念由市場研究機構Forrester在2010年最先提出,後來Gartner和Forrester對零信任的概念、應用場景和遷移方式又進行了完善和補充。去年開始,疫情帶動的大量遠端辦公和遠端教育,給我們傳統的安全體系帶來了很多新的挑戰,零信任安全的理念也被大家所重視起來。
零信任和我們傳統的安全體系有什麼不同?
傳統的安全體系是基於網路邊界劃分的,有嚴格的內外網之分,內部的系統、應用,只能在內網訪問,對外部使用者來說,訪問內網需要連線VPN。但是使用者一旦進入內網,就會得到完全的信任和訪問許可權,這種安全保護體系無法滿足當前的企業需求。而基於零信任的安全體系,它的原則是首先認為使用者是不可信的,無論在內網還是外網,需要透過嚴格的身份鑑別和訪問控制後,才能授予相應的訪問許可權。
零信任架構簡介
Forrester對零信任做了擴充套件,稱為ZTX。ZTX模型主要關注以下幾個方面:
零信任資料:對資料的分類、分級、加密和管理;
零信任網路:網路的分段、隔離和控制;
零信任身份:使用者訪問認證和對訪問以及許可權的持續管控;
零信任工作負載:對於應用程式和執行應用程式的資源,例如容器或者虛擬化平臺的安全管控;
零信任裝置:移動裝置、IoT裝置、BYOD等都會帶來額外的安全風險,需要保障這些裝置的安全;
可見性和分析:透過SIEM、UEBA等工具來觀察、分析和防範安全風險;
自動化和編排:零信任架構中大量不同元件的自動化編排和執行。
圖示:ZTX模型圖
圖示:零信任安全體系架構圖
在資料平面上,所有的訪問主體,包括人員、應用、裝置等,首先被預設為不可信,需要在可信閘道器進行身份的鑑別和授權,同時也是控制平面生成的安全策略的執行點PEP,只有透過認證和授權的訪問主體才能訪問到客體的應用或者資料資源。
在控制平面上核心是策略引擎,這裡會結合身份管理系統和許可權管理系統來進行認證和授權,同時會有持續的信任評估引擎、細粒度授權引擎、動態的訪問控制引擎、基於AI的智慧分析引擎等。策略引擎會持續地對訪問主體進行風險評估和動態的許可權控制,從而最大程度地降低安全風險。
零信任的主要技術領域
零信任架構中包含三個主要技術部分:身份管理(IAM)、軟體定義邊界(SDP)和微分段(Micro Segment),有時也合稱SIM。
身份管理(IAM)
零信任的核心理念就是持續的身份鑑別和訪問控制,因此身份管理從源頭上就是零信任架構的核心部分。和傳統的IAM技術相比,零信任架構對身份管理也提出了更高的要求。除了對使用者身份的統一管理、認證和授權之外,還需要實現基於風險的動態感知和智慧分析平臺,基於大資料和AI技術,對於使用者訪問的行為資料、使用者的特徵和許可權資料,以及環境上下文資料進行分析,透過風險模型自動生成認證和授權策略。我們也稱為增強型IAM。
軟體定義邊界(SDP)
軟體定義邊界 (Software Defined Perimeter,即SDP) 是一種安全框架,根據身份控制對資源的訪問,透過隱藏核心網路資源,使之不直接暴露在網際網路下,保護網路資源不受外來的安全威脅。
SDP的主要組成部分包括SDP Controller,Initiating Host (即訪問的Client) 和Accepting Host (即被訪問的資源)。所有的Client在訪問資源之前,都要透過Controller服務對SPA單包驗證和訪問控制,從而實現先認證,後連線,對後端服務的隱藏,起到減小攻擊面,保護關鍵資源不被攻擊的作用。
微分段(MicroSegment)
微分段是在資料中心和雲部署環境中建立安全區域,將工作負載彼此隔離並單獨加以保護,從而實現東西方向的攻擊防護和更細粒度的安全控制。
微分段的常用實現方式有三種,分為基於網路SDN來實現微分段、 基於虛擬化Hypervisor來實現微分段和基於主機的微分段。
零信任的實施路徑探討
在落地零信任架構之前需要考慮的幾個重要方面:
獲得業務部門的支援和投入:零信任架構不僅僅是IT部門內部的事務,也需要業務領導的支援和投入;
其他IT和安全專案的關聯性:零信任常常會與現有的IT專案、業務專案和安全專案有關聯或者依賴性,需要提前加以分析,避免對專案的負面影響。例如,過於複雜的微分段可能會成為網路管理員的噩夢;
盤點現有的零信任相關的技術能力:零信任架構涉及廣泛的技術領域,企業需要盤點已有的技術能力,例如是否已經實施了比較完整的身份管理系統。
零信任架構的落地不是一蹴而就的,需要選擇合適的實施路徑。對於零信任架構的三個核心技術,我們建議的實施路徑是從IAM和MFA入手,以實現對使用者身份的安全治理和管控。
部署完整的身份管理:解決最核心的身份認證和審計問題,滿足安全和合規的要求;
實現最小許可權:只賦予使用者實現訪問需求的最小許可權是零信任的核心原則之一,透過持續動態的許可權控制來實現最小許可權的原則;
無密碼化:從安全的角度,密碼是脆弱和易受到攻擊的,透過實施MFA可以用令牌、金鑰、指紋、人臉等身份驗證手段來取代密碼,降低安全風險。
在實現IAM之後,下一步建議考慮對裝置和應用的安全防護,主要包括以下幾個方面:
裝置安全加固:透過安全沙箱來隔離外部環境,保持終端裝置執行環境的安全;
應用保護:透過可信安全閘道器來保護企業資源和應用,將先訪問-後認證的方式改變為先認證-後訪問的方式,從而使得資源和應用對於非法訪問者不可見;
透過應用白名單等方式加強對於BYOD裝置的安全管控;
雲端應用和資源的安全治理。
最後可以進一步實施對網路和資料的防護,例如:
透過微分段來重新劃分網路邊界,保護應用和資源。就像是應用可以訪問中介軟體,中介軟體可以訪問資料庫,但是微分段策略限制應用不能直接訪問資料庫;
利用閘道器對南北向的流量進行風險檢測,阻斷病毒、攻擊和惡意軟體;
對企業資料進行梳理,分類和分級,並透過訪問控制、使用審計、加密等方式來對資料加以保護。
零信任架構的落地並沒有一個標準的路徑,業界的最佳實踐認為實施完整統一的身份管理是零信任架構落地的第一步,在此基礎上進一步引入SDP和微分段技術,實現對使用者身份、裝置、網路、應用、資料的全面安全管控,從而全方位提升企業的資訊保安保障,支援企業業務的發展。
相關文章
- 實施零信任網路訪問的五個最佳實踐
- 軍工企業MES實施探討
- 圖片隱藏真實的檔名及路徑的方法探討
- 三大因素影響零信任實施失敗
- SAP MM 實施專案裡Open PO 遷移思路探討
- 零信任安全網路構建
- 深信服科技副總裁張開翼:雲資料中心演進路徑探討
- 讀零信任網路:在不可信網路中構建安全系統18零信任代理
- 讀零信任網路:在不可信網路中構建安全系統02零信任模型模型
- 都在談零信任,網路安全和零信任架構的核心是什麼?架構
- 如何縮小安全漏洞爆炸半徑,實現服務間零信任安全?
- Promise探討Promise
- 網路安全新晉網紅“零信任”
- 超越基礎設施:深度探討平臺工程的關鍵支柱
- OPCUA 探討(一)
- 深入探討HBASE
- 深入探討 UndefinedUndefined
- 移動App網路優化細節探討APP優化
- 零信任是否就是不信任?
- 淺談零信任網路,入門必讀!
- 網路安全中零信任指什麼意思?
- 讀零信任網路:在不可信網路中構建安全系統14流量信任
- 讀零信任網路:在不可信網路中構建安全系統07裝置信任
- Springboot 加密方案探討Spring Boot加密
- px em rem 探討REM
- “以零信任,重建信任”,零信任發展趨勢論壇5月落地
- 零信任架構架構
- 淺談IPv4至IPv6演進的實施路徑
- 讀零信任網路:在不可信網路中構建安全系統09使用者信任
- 網路分流器-網路分流器-網路安全評估探討
- 美創科技亮相第三屆國際零信任峰會,零信任實踐獲安全革新獎
- 用程式碼探討KVC/KVO的實現原理
- 用程式碼探討 KVC/KVO 的實現原理
- 騰訊 iOA 零信任安全技術實踐
- 基於零信任架構的IDaaS實現架構
- SA創新沙盒盤點|BastionZero——零信任基礎設施訪問服務AST
- 零信任如何幫助縮小網路安全技能差距
- 騰訊首次對外公佈零信任技術演進路線圖,助力零信任技術落地及應用