信息化觀(guān)察網(wǎng)

兩個(gè)多月前，安全牛曾發(fā)表一篇題為《“零信任”時(shí)代，VPN必將被SDP取代》的文章，引發(fā)了較大爭(zhēng)議，有人認(rèn)為SDP（零信任的一種實(shí)現(xiàn)框架）無(wú)法取代VPN，也有人認(rèn)為零信任才是最終答案。但是，新冠疫情已經(jīng)將VPN與SDP/零信任的對(duì)決大大提前，因?yàn)閂PN在全球性的大規(guī)模遠(yuǎn)程辦公巨變中，資源消耗和“卡頓”問(wèn)題被成倍放大。

如果新冠疫情發(fā)展成持久戰(zhàn)，VPN與零信任架構(gòu)的“決勝局”勢(shì)必將提前上演。

在國(guó)內(nèi)疫情較為嚴(yán)重的時(shí)期，不少科技公司遠(yuǎn)程辦公的工程師就曾吐槽VPN服務(wù)器因負(fù)載過(guò)高頻頻崩潰。如今，隨著國(guó)外疫情后浪推前浪，谷歌、Twitter等科技巨頭也紛紛開(kāi)啟遠(yuǎn)程辦公模式，遠(yuǎn)程辦公的工作負(fù)載呈幾何級(jí)數(shù)飆升。下面是Zoom最近的全球用戶(hù)數(shù)增長(zhǎng)統(tǒng)計(jì)表，可以直觀(guān)感受下：

除了對(duì)Zoom和Slack高峰期卡頓（類(lèi)似企業(yè)微信和釘釘在國(guó)內(nèi)疫情高峰期的遭遇）的各種吐槽外，國(guó)外工程師對(duì)VPN的糟糕表現(xiàn)更是直接爆了粗口：所有VPN都是垃圾。

前不久技術(shù)專(zhuān)家Matthew Sullivan寫(xiě)了一篇博客專(zhuān)門(mén)吐槽企業(yè)VPN的安全性問(wèn)題和可用性，他的觀(guān)點(diǎn)是：

盡量別用VPN。

為什么？因?yàn)椋?/p>

所有的VPN都是垃圾。

Sullivan認(rèn)為，VPN需要精心配置，否則就是給黑客留門(mén)。但要命的是，這種精心配置只存在于理論層面，現(xiàn)實(shí)中絕大多數(shù)用戶(hù)壓根做不到或者不屑做！

零信任取代VPN？

Sullivan認(rèn)為，相比VPN，零信任網(wǎng)絡(luò)安全架構(gòu)具備以下三大優(yōu)點(diǎn)：

1. 不存在網(wǎng)絡(luò)橋接，不會(huì)劫持用戶(hù)流量。

2. VPN設(shè)備的一大問(wèn)題，在于需要匹配專(zhuān)有軟件/操作系統(tǒng)配置——這類(lèi)配置正是阻礙自動(dòng)修復(fù)程序的元兇，而零信任架構(gòu)可以選擇的OpenSSH安全記錄要好得多，自2003年以來(lái)，OpenSSH從未因默認(rèn)配置中的漏洞而遭遇未經(jīng)授權(quán)的遠(yuǎn)程訪(fǎng)問(wèn)。細(xì)粒度的應(yīng)用與流量監(jiān)控和微分段，使得攻擊者即使成功侵入網(wǎng)絡(luò)入口點(diǎn)位置，其實(shí)也沒(méi)有什么后續(xù)空間可以利用。

3. 與VPN一旦用戶(hù)登錄就獲得完全授信不同，零信任的主機(jī)保護(hù)解決方案會(huì)對(duì)每個(gè)應(yīng)用程序進(jìn)行嚴(yán)密監(jiān)控，記錄應(yīng)用的所有活動(dòng)并執(zhí)行流量過(guò)濾。如此一來(lái)，即使攻擊者成功侵入私有云VPC網(wǎng)絡(luò)入口點(diǎn)位置，其實(shí)也沒(méi)有什么后續(xù)空間可以利用。

但是對(duì)于零信任取代VPN，安全牛的讀者們看法不一，有人認(rèn)為Sullivan對(duì)VPN橋接和流量劫持的說(shuō)法不準(zhǔn)確，指出：

IPSec支持IP載荷直接傳輸?shù)姆菢蚪幽Ｊ?。該協(xié)議是經(jīng)過(guò)大量安全研究者分析過(guò)的，其他協(xié)議不說(shuō)實(shí)現(xiàn)，本身協(xié)議安不安全就是個(gè)問(wèn)題。而且協(xié)議問(wèn)題的發(fā)現(xiàn)需要時(shí)間。

也有讀者支持Sullivan的觀(guān)點(diǎn)，認(rèn)為：

現(xiàn)有的VPN方案確實(shí)都垃圾，IPsec (基于strongSwan) 算好的了，但I(xiàn)Psec本身的復(fù)雜度讓配置變得麻煩，而且不同客戶(hù)端的支持也有管理成本。OpenVPN性能比較差。而商業(yè)的要特定的客戶(hù)端……

為什么是零信任？

零信任不是產(chǎn)品或服務(wù)，當(dāng)然也不僅僅是流行語(yǔ)。相反，它是網(wǎng)絡(luò)安全的一種特殊方法。它的意思正如其名——不是“先驗(yàn)證，然后信任”，而是“永遠(yuǎn)不要信任，永遠(yuǎn)要驗(yàn)證”。

本質(zhì)上，零信任關(guān)系到通過(guò)限制對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)來(lái)保護(hù)數(shù)據(jù)。企業(yè)不會(huì)自動(dòng)信任任何人或任何東西，無(wú)論是在企業(yè)網(wǎng)絡(luò)安全邊界范圍之內(nèi)還是之外。相反，零信任方法要求在授予訪(fǎng)問(wèn)權(quán)限之前，對(duì)試圖連接到企業(yè)內(nèi)網(wǎng)的應(yīng)用程序或系統(tǒng)的每個(gè)人、設(shè)備、帳戶(hù)等進(jìn)行驗(yàn)證。

可是等等，傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)不就是實(shí)現(xiàn)這種安全控制嗎？難道零信任僅僅是一種錦上添花的技術(shù)？回想一下微盟刪庫(kù)事件的情節(jié)——微盟的一位核心運(yùn)維人員通過(guò)VPN登錄堡壘機(jī)然后進(jìn)入生產(chǎn)環(huán)境上演“電鋸狂人”，傳統(tǒng)網(wǎng)絡(luò)安全工具和控制形同虛設(shè)，雖然微盟刪庫(kù)事件有其特殊性，且問(wèn)題的根源主要是缺乏內(nèi)部威脅的預(yù)案和安全管理策略，但也從一定程度上暴露出了包括VPN、堡壘機(jī)、防火墻之類(lèi)的傳統(tǒng)安全防御工具和方法的“二哈”屬性。

其實(shí)，零信任框架也并非空中樓閣，包括許多企業(yè)已廣泛使用的安全技術(shù)來(lái)保護(hù)其數(shù)據(jù)。但是，零信任的價(jià)值在于，它代表了一種全新的網(wǎng)絡(luò)安全防御方法和體系，不僅可以保護(hù)整個(gè)企業(yè)范圍內(nèi)的總體邊界，還可以將企業(yè)的安全邊界移動(dòng)到組織內(nèi)外的每個(gè)網(wǎng)絡(luò)、系統(tǒng)、用戶(hù)和設(shè)備。強(qiáng)調(diào)身份、多因素身份驗(yàn)證、受信任的端點(diǎn)、網(wǎng)絡(luò)分段、訪(fǎng)問(wèn)控制和用戶(hù)歸因來(lái)分隔和規(guī)范對(duì)敏感數(shù)據(jù)和系統(tǒng)的訪(fǎng)問(wèn)，從而使更細(xì)粒度和更高效的安全訪(fǎng)問(wèn)控制成為可能。

簡(jiǎn)而言之，零信任是一種新的思考網(wǎng)絡(luò)安全的方法，可幫助組織在當(dāng)今瞬息萬(wàn)變的威脅形勢(shì)下保護(hù)其數(shù)據(jù)，客戶(hù)和自己的競(jìng)爭(zhēng)優(yōu)勢(shì)。

現(xiàn)在部署零信任是不是太早了點(diǎn)？

數(shù)據(jù)安全是2020年企業(yè)高管和CISO們的頭號(hào)任務(wù)，幾乎所有企業(yè)高管都已經(jīng)感受到保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)的壓力。投資者和“數(shù)據(jù)主體”（客戶(hù)和消費(fèi)者）也迫切需要更好的數(shù)據(jù)安全保障。

尤其是當(dāng)部分?jǐn)?shù)據(jù)和應(yīng)用程序在本地部署，而另外一些在云中時(shí)（混合云模式），安全問(wèn)題將變得尤為復(fù)雜——從員工到承包商和合作伙伴的每一方都使用來(lái)自多個(gè)位置的各種設(shè)備來(lái)訪(fǎng)問(wèn)這些應(yīng)用程序。同時(shí)，各國(guó)政府和行業(yè)法規(guī)正在提高保護(hù)重要數(shù)據(jù)的標(biāo)準(zhǔn)和要求，零信任度可以幫助企業(yè)更好地合規(guī)。

對(duì)于企業(yè)來(lái)說(shuō)，目前部署零信任最大的顧慮無(wú)疑是方法和技術(shù)的成熟度以及成本問(wèn)題，沒(méi)有人想做小白鼠，也沒(méi)有人去貿(mào)然嘗試尚處于“臨床測(cè)試”階段的“方子”。目前市場(chǎng)上已經(jīng)有大量經(jīng)過(guò)生產(chǎn)環(huán)境驗(yàn)證的零信任應(yīng)用方案/供應(yīng)商和技術(shù)框架（包括谷歌和微軟等大型企業(yè)用例）。

根據(jù)Forester 2019年四季度的市場(chǎng)報(bào)告，目前市場(chǎng)上的零信任代表性廠(chǎng)商如下：

但是值得注意的是，正如以下我們將要介紹的，零信任架構(gòu)的本質(zhì)是一次安全范型的轉(zhuǎn)移或者變革，因此成功實(shí)施零信任架構(gòu)的決定性因素并非廠(chǎng)商或產(chǎn)品，而是企業(yè)CISO自身對(duì)零信任架構(gòu)的理解、實(shí)踐方法、策略和路徑。因此在實(shí)施零信任架構(gòu)的過(guò)程中，對(duì)于國(guó)內(nèi)企業(yè)用戶(hù)來(lái)說(shuō)，包括安恒信息、奇安信、青藤云安全、締盟云安全、深信服等眾多對(duì)零信任有一定積累的網(wǎng)安企業(yè)基于各自產(chǎn)品和不同標(biāo)準(zhǔn)框架的零信任方案并沒(méi)有一個(gè)唯一的評(píng)判標(biāo)準(zhǔn)，最合適的才是最好的。

以下，我們簡(jiǎn)要介紹幾種目前已經(jīng)比較成熟的零信任框架和實(shí)踐路徑。

零信任網(wǎng)絡(luò)的三種實(shí)現(xiàn)方法

支持零信任的網(wǎng)絡(luò)安全技術(shù)近年來(lái)正在迅速發(fā)展，為零信任的落地提供了豐富而實(shí)用的工具、框架和方法。目前，沒(méi)有實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全框架的單一方法或者技術(shù)，換而言之就是對(duì)于不同的企業(yè)來(lái)說(shuō)，并沒(méi)有唯一的標(biāo)準(zhǔn)答案，可謂條條大路通羅馬?？傊?，你要做的就是將各種技術(shù)模塊、方法整合在一起確保只有經(jīng)過(guò)安全驗(yàn)證的用戶(hù)和設(shè)備才能訪(fǎng)問(wèn)目標(biāo)應(yīng)用程序和數(shù)據(jù)。

例如，最小化訪(fǎng)問(wèn)權(quán)限原則，僅為用戶(hù)提供完成工作所需的數(shù)據(jù)和權(quán)限。這包括實(shí)施到期特權(quán)和一次性憑證，這些憑證在不需要訪(fǎng)問(wèn)后會(huì)自動(dòng)作廢。此外，還需實(shí)施連續(xù)檢查和流量記錄，并限制訪(fǎng)問(wèn)范圍，以防止數(shù)據(jù)在系統(tǒng)和網(wǎng)絡(luò)之間未經(jīng)授權(quán)的橫向移動(dòng)。

零信任框架使用多種安全技術(shù)來(lái)增加對(duì)敏感數(shù)據(jù)和系統(tǒng)的訪(fǎng)問(wèn)粒度。例如身份和訪(fǎng)問(wèn)管理（IAM）、基于角色的訪(fǎng)問(wèn)控制（RBAC）、網(wǎng)絡(luò)訪(fǎng)問(wèn)控制（NAC）、多因素身份驗(yàn)證（MFA）、加密、策略執(zhí)行引擎、策略編排、日志記錄、分析以及評(píng)分和文件系統(tǒng)權(quán)限等。

同樣，你也可以使用技術(shù)標(biāo)準(zhǔn)和協(xié)議來(lái)實(shí)現(xiàn)零信任方法。云安全聯(lián)盟（CSA）開(kāi)發(fā)了一種稱(chēng)為軟件定義邊界（SDP）的安全框架，該框架已用于某些零信任案例的實(shí)施中?；ヂ?lián)網(wǎng)工程任務(wù)組（IETF）通過(guò)批準(zhǔn)主機(jī)標(biāo)識(shí)協(xié)議（HIP）為零信任安全模型做出了貢獻(xiàn)，該協(xié)議代表了OSI堆棧中的新安全網(wǎng)絡(luò)層。許多網(wǎng)絡(luò)安全供應(yīng)商都在這些技術(shù)的基礎(chǔ)上將零信任解決方案推向市場(chǎng)。

基于這些技術(shù)，標(biāo)準(zhǔn)和協(xié)議，組織可以使用三種不同的方法來(lái)實(shí)現(xiàn)零信任安全性：

1

網(wǎng)絡(luò)微分段（微隔離）

將網(wǎng)絡(luò)雕刻到小的粒度節(jié)點(diǎn)，一直到單個(gè)機(jī)器或應(yīng)用程序。安全協(xié)議和服務(wù)交付模型是為每個(gè)唯一的細(xì)分市場(chǎng)設(shè)計(jì)的。

2

SDP

基于一種需要了解的策略，其中在授予對(duì)應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的訪(fǎng)問(wèn)權(quán)限之前，先驗(yàn)證設(shè)備的狀態(tài)和身份。

3

零信任代理

可充當(dāng)客戶(hù)端和服務(wù)器之間的中繼，有助于防止攻擊者入侵專(zhuān)用網(wǎng)絡(luò)。

哪種方法最適合取決于您所在企業(yè)的應(yīng)用場(chǎng)景和需求——所保護(hù)的應(yīng)用程序、當(dāng)前存在的基礎(chǔ)結(jié)構(gòu)、實(shí)施是未開(kāi)發(fā)的環(huán)境還是涵蓋舊有環(huán)境以及其他因素。

構(gòu)建零信任環(huán)境的五個(gè)步驟

建立零信任框架并不一定意味著一整套的技術(shù)轉(zhuǎn)型。企業(yè)可以采用循序漸進(jìn)的方法，以受控的迭代方式進(jìn)行，從而幫助確保最佳結(jié)果，同時(shí)對(duì)用戶(hù)和操作的干擾降到最低。

1

定義保護(hù)面

零信任體系中，你的關(guān)注重點(diǎn)不是攻擊面而是保護(hù)面。所謂保護(hù)面就是對(duì)公司最有價(jià)值的關(guān)鍵數(shù)據(jù)、應(yīng)用程序、資產(chǎn)和服務(wù)（DAAS）。保護(hù)面的實(shí)例包括信用卡信息、受保護(hù)的健康信息（PHI）、個(gè)人身份信息（PII）、知識(shí)產(chǎn)權(quán)（IP）、應(yīng)用程序（現(xiàn)成的或定制的軟件）、SCADA控件、銷(xiāo)售點(diǎn)終端、醫(yī)療設(shè)備、制造資產(chǎn)和IoT設(shè)備等資產(chǎn)以及DNS、DHCP和Active Directory等服務(wù)。

定義保護(hù)面后，你可以實(shí)施緊密的控制，使用簡(jiǎn)潔、精確和可理解的策略聲明來(lái)創(chuàng)建一個(gè)微邊界（或分隔的微邊界）。

2

映射交易流

流量在網(wǎng)絡(luò)中的移動(dòng)方式?jīng)Q定了其保護(hù)方式。因此，您需要獲得有關(guān)DAAS相互依賴(lài)關(guān)系的上下文信息。記錄特定資源的交互方式可以幫你確定合適的安全控制并提供有價(jià)值的上下文，以確保在提供最佳網(wǎng)絡(luò)安全防護(hù)的同時(shí)，對(duì)用戶(hù)和業(yè)務(wù)運(yùn)營(yíng)的干擾降到最低。

3

構(gòu)建零信任IT網(wǎng)絡(luò)架構(gòu)

零信任度網(wǎng)絡(luò)是完全自定義的，并沒(méi)有唯一的標(biāo)準(zhǔn)和設(shè)計(jì)參考?？偟脑瓌t是，零信任體系架構(gòu)應(yīng)當(dāng)圍繞保護(hù)面（資產(chǎn)、數(shù)據(jù)、應(yīng)用和服務(wù)等）構(gòu)建。一旦定義了保護(hù)面并根據(jù)業(yè)務(wù)需求映射了業(yè)務(wù)流程，就可以從下一代防火墻開(kāi)始設(shè)計(jì)零信任架構(gòu)。下一代防火墻可以充當(dāng)分段網(wǎng)關(guān)，在保護(hù)面周?chē)鷦?chuàng)建一個(gè)微邊界。使用分段網(wǎng)關(guān)，您可以強(qiáng)制執(zhí)行附加的檢查和訪(fǎng)問(wèn)控制層，一直延伸到第7層，管控任何嘗試訪(fǎng)問(wèn)保護(hù)面內(nèi)部資源的訪(fǎng)問(wèn)。

4

創(chuàng)建零信任安全策略

完成零信任網(wǎng)絡(luò)架構(gòu)的構(gòu)建后，你將需要?jiǎng)?chuàng)建零信任策略來(lái)確定訪(fǎng)問(wèn)規(guī)則，你需要知道您的用戶(hù)是誰(shuí)，他們需要訪(fǎng)問(wèn)哪些應(yīng)用程序，為什么他們需要訪(fǎng)問(wèn)，他們傾向于如何連接到這些應(yīng)用程序，以及可以使用哪些控件來(lái)保護(hù)該訪(fǎng)問(wèn)。

通過(guò)實(shí)施這種精細(xì)粒度的策略，可以確保僅允許合法應(yīng)用或者流量的進(jìn)行通訊。

5

監(jiān)控和維護(hù)零信任網(wǎng)絡(luò)

這最后一步包括檢查內(nèi)部和外部的所有日志，側(cè)重于零信任的運(yùn)維方面。由于零信任是一個(gè)反復(fù)迭代的過(guò)程，因此檢查和記錄所有流量將提供寶貴的見(jiàn)解，以了解如何隨著時(shí)間的推移持續(xù)改進(jìn)零信任網(wǎng)絡(luò)。

其他注意事項(xiàng)和最佳做法

對(duì)于考慮采用零信任安全模型的組織，以下是一些有助于確保成功的最佳實(shí)踐：

選擇架構(gòu)或技術(shù)之前，請(qǐng)確保您具有正確的策略。零信任是以數(shù)據(jù)為中心的，因此，重要的是考慮數(shù)據(jù)的位置，需要訪(fǎng)問(wèn)的人以及可以使用哪種方法來(lái)保護(hù)數(shù)據(jù)。Forrester建議將數(shù)據(jù)分為三類(lèi)-公開(kāi)，內(nèi)部和機(jī)密-每個(gè)“數(shù)據(jù)塊”都應(yīng)當(dāng)有自己的微邊界。

從小處著手以獲得經(jīng)驗(yàn)。為整個(gè)企業(yè)實(shí)施零信任架構(gòu)的規(guī)模和范圍可能是巨大的。例如，谷歌花了七年時(shí)間才完成BeyondCorp項(xiàng)目的實(shí)施。

考慮用戶(hù)體驗(yàn)。零信任框架不必也不應(yīng)該破壞員工的正常工作流程/體驗(yàn)，即使他們（及其設(shè)備）正受到訪(fǎng)問(wèn)權(quán)限驗(yàn)證的審查。零信任的部分認(rèn)證和授權(quán)流程應(yīng)當(dāng)盡量“透明化”，在用戶(hù)根本覺(jué)察不到的后臺(tái)進(jìn)行。

對(duì)用戶(hù)和設(shè)備身份驗(yàn)證實(shí)施強(qiáng)有力的措施。零信任的根基是，在沒(méi)有驗(yàn)證獲得完全授權(quán)之前，沒(méi)有任何人或任何設(shè)備可以信賴(lài)。因此，基于強(qiáng)身份、嚴(yán)格的身份驗(yàn)證和非永久權(quán)限的企業(yè)范圍的IAM系統(tǒng)是零信任框架的關(guān)鍵構(gòu)建塊。

將零信任框架納入數(shù)字化轉(zhuǎn)型項(xiàng)目。為零信任網(wǎng)絡(luò)重新設(shè)計(jì)工作流程時(shí)，還可以借此機(jī)會(huì)完成企業(yè)安全模型的轉(zhuǎn)型。

總結(jié)

2020年，企業(yè)迎來(lái)實(shí)施零信任架構(gòu)的最佳時(shí)機(jī)，萬(wàn)事俱備，技術(shù)已經(jīng)成熟，協(xié)議和標(biāo)準(zhǔn)已經(jīng)就緒，與此同時(shí)新的安全威脅、挑戰(zhàn)和期望也都使得零信任架構(gòu)成為未來(lái)一段時(shí)間企業(yè)安全投資和戰(zhàn)略有效性的最佳保障。