John Kindervag 在 Forrester 創立了“零信任”一詞。零信任後來成為一個術語,用來描述各種網路安全解決方案。
我們要搞清楚零信任是不是就表示不信任,就要了解是誰不信任誰?在計算機網路裡的任何操作可以分為資源訪問者和資源提供者,按這裡語義套進去就是資源訪問者不信任資源提供者。那麼問題來了,如果不信任那麼資源提供者怎麼把資料給資源訪問者呢,整個網路就不存在了,是個悖論!
接下來,我們來討論一下零信任如何解決這個悖論。零信任的口號是“永不信任、持續認證”,所以零信任的理念是初始假設網路已經淪陷,不管是企業內網還是網際網路,前提就是網路不安全了,攻擊者已經在網路中存在,在這個假設前提下,我們該用什麼樣的一個方法論來保護資料、資源、裝置的安全。
怎麼理解「永不信任」呢?
在傳統網路裡面就充滿了信任,比如:信任作業系統、資料庫、web伺服器部署在作業系統之上,預設認為一般人進不了作業系統,進入作業系統的是可信的人。就像是信任內網,一般情況下,企業外部出口部署了很多防護系統,但在內網環境下是完全不設防的;或者是信任靜態密碼,無論是多重要的系統,多重要的賬號,依舊是一個密碼即可進入系統之中。
零信任中的永不信任就是不能預設靜態信任,不能預設網路是安全的、系統是安全的、人是安全的,不能預設上次是信任的就繼續信任;那麼要怎麼建立信任,信任是人、裝置、網路、上下文等等各種因素綜合評估的結果,是動態的隨著因素的變化信任評估也將發生變化;所以永不信任的概念就是不依賴靜態信任,信任的過程是動態。
那麼為什麼要「持續認證」?
大多數系統都會採用入口大門先出示憑證,或增加二次強認證來保證訪問系統的主體的合法性,一旦認證透過將通行無阻,出現的惡意訪問、越權、非法操作將無法防護。
零信任中的持續認證是細粒度到主體的每一次事務性的資源獲取或操作過程必須重新評估主體的信任,因為在複雜的網際網路中主體中狀態是持續動態的在變化,那麼就要進行持續的認證和風險評估,才能做到最細粒度的風險控制。
總而言之,零信任不是不信任,而是沒有預設信任,不依賴以前的信任,不存在靜態信任;他是一個建立信任的過程;預設認為任何一次主體對客體的呼叫都是不信任的,必須進行持續認證後,建立信任並獲得當前的操作許可權。
從網路安全形度出發,到底什麼樣的架構才能落地零信任理念?
派拉零信任架構設想
圖示:零信任架構設想
SDP 軟體定義邊界
SDP:主要是用於定義訪問的邊界,保護南北向流量安全;
企業安全瀏覽器:支援chrome和IE雙核心的瀏覽器,作為Web應用的沙箱,可以以有效方式避免終端環境本身不安全問題;安全瀏覽器自動與閘道器建立加密的安全隧道,保障通訊資料的安全性,釋出的後端應用只能在安全瀏覽器中訪問,並能支援國密化方案;
Agent:在無安全瀏覽器或CS應用的TCP通訊場景下,需要一個獨立的客戶端服務來建立可信的mTLS安全隧道,同時還要負責終端的安全評估、裝置的上下文獲取、終端的安全基線建立,保證在發起認證前的終端環境的安全;
控制器:SDP控制器提供一個單向埠,接受終端的認證請求,對終端的裝置狀態、身份憑據、行為上下文進行判斷;只有認證透過的認證的訪問請求,控制器才會通知安全閘道器臨時開放訪問埠,接受終端的訪問請求,並在訪問過程中持續監控終端狀態,發生訪問或裝置風險時進行實施阻斷閘道器埠的關閉操作;
安全閘道器:提供可信的mTLS安全隧道服務,隧道聯通後分發到應用閘道器、API閘道器、應用閘道器,滿足不同場景下不同應用的代理訪問能力,對於終端只能與安全閘道器進行連線,不與實際資源直接互動,所有流量都透過3個業務閘道器進行轉發,在轉發過程中進行實施的細粒度許可權控制;
IAM 增強型身份設施
SSO:單點登入元件,提供身份驗證、授權;用於零信任架構中所有元件的認證功能;作為一個IDP支援Oauth2、OIDC、SAML等認證中心;
MFA:多因素認證中心,結合SSO和UEBA在使用者認證階段提供強認證能力,標準的OTP、簡訊認證、二維碼掃描、生物認證、第三方網際網路認證能力;
UEBA:持續使用者行為風險分析能力,在零信任架構中解決持續認證的有效架構,實施的根據終端狀態 、訪問行為、資料流量、資源狀態綜合分析,可以透過學習演算法和模型進行風險判斷,並透過MFA能力進行風險緩解的操作;
IDM:身份控制和管理,統一身份源的建立、角色身份的供給、許可權的細粒度控制、資源應用的身份同步能力;有效的整合企業內部所有應用的統一身份治理能力;
PKI:公鑰基礎設施,具有數字證書、認證中心(CA)、證書資料庫、證書吊銷系統、金鑰備份及恢復系統等構成部分;為資料通道mTLS的底層安全提供能力,為裝置認證和資料傳送提供不可抵賴性保障;
控制中心:零信任架構能控制大腦和配置中心,所有元件安裝部署配置、策略制定下發、終端閘道器資源的控制;
MSG 微隔離微分段
微隔離提供東西向資料安全保護,即應用程式之間不是人為發起的資料通訊的安全保護;
Istio對部署在容器的應用叢集進行分類保護,以業務系統為單位統一資料出口和入口;邏輯上將資料中心劃分為不同的安全段,一直到各個工作負載級別,然後為每個獨特的段定義安全控制和所提供的服務。多采用軟體方式,而不是安裝多個物理防火牆,微隔離可以在資料中心深處部署靈活的安全策略;
所有應用程式間互動基於PKI系統提供的證書服務,提供mTLS的雙向認證,資源呼叫者和提供者必須基於證書體現才能進行訪問 。
零信任是一種理念,不是一種技術也不是一個產品,它是一組不斷演進的網路安全方式,它將網路防禦範圍從靜態的基於網路的邊界,轉移到關注終端、使用者和資產,將傳統以網路為基礎的信任變為以身份為信任的機制;
零信任不是不信任,是指從零開始建立信任的過程。需要基於業務需求 、安全運營現狀、技術發展趨勢等對零信任能力進行持續完善和演進。
企業實施零信任分如下步驟:
企業確定意願
架構規劃先行
分步建設
階段1:概念驗證
階段2:業務接入
階段3:能力演進
下期我們還會對零信任作進一步的介紹,及時關注喲~