近年來,坊間不乏有關零信任的定義,你一定聽到過諸如原則、支柱、基本原理和宗旨之類的術語。雖然對零信任還沒有一個統(tǒng)一的定義,但是業(yè)界對于一個概念有共同的理解還是很有必要的。為此,NIST(美國國家標準與技術研究院)發(fā)布了NIST SP 800-207零信任架構,描述了以下關于零信任的七大原則:
01
所有數據源和計算服務都被視為資源
僅將終端用戶設備或服務器視為資源的時代早已過去了。今天的網絡包括一系列層出不窮的設備,從服務器和端點設備等傳統(tǒng)設備,到FaaS(函數即服務)等更動態(tài)的云計算服務,不一而足,它們可能需要對你環(huán)境中的其他資源擁有特定的訪問權限才能執(zhí)行。
對于你環(huán)境中的所有數據和計算資源而言,除了最低權限訪問控制措施外,你還必須確保已經實施了基本的驗證控制措施,必要時還要實施高級的驗證控制措施。與后幾條原則密切相關的是,所有這些資源在某種程度上相互關聯,可以提供信號上下文,以幫助推動零信任中的架構組件做出決策,這將在第七個原則中進行討論。
02
無論網絡位置如何,所有通信都是安全的
零信任環(huán)境中落實了ZTNA(零信任網絡訪問)這個概念。這與傳統(tǒng)的遠程訪問模式形成了對比;在傳統(tǒng)的遠程訪問模式中,用戶完成身份驗證連接至VPN,然后在網絡內/網絡上可以不受限制地訪問。
在ZTNA環(huán)境中,訪問策略是默認拒絕訪問,必須對特定資源授予明確的訪問權。此外,在ZTNA環(huán)境中操作的用戶如果沒有明確的訪問授權,甚至不會意識到環(huán)境中存在的應用程序和服務。你很難把注意力轉移到你不知道存在的東西上。
如今,地理位置分散的員工們因為新冠肺炎疫情而更加分散,這使得第二條原則對企業(yè)來說更重要,現在企業(yè)中有很大一部分勞動力要從許多不同的地方和設備訪問內部資源。
03
基于每個會話授予訪問單個企業(yè)資源的權限
“就像季節(jié)一樣,人也在變化”。這句話對于數字化身份來說更是如此。面對具有動態(tài)性的分布式計算環(huán)境、云原生架構以及不斷暴露在一連串威脅面前的分布式員工隊伍,信任應該僅限于單一會話。
你在前一次會話中信任一個設備或身份,并不意味著你在后面的會話中能繼續(xù)信任他們。每次會話都需要同樣嚴謹地確定設備和身份對你的環(huán)境構成的威脅。與用戶相關的異常行為或設備安全態(tài)勢方面的變化都可能會發(fā)生,應該與每個會話結合起來,以決定訪問和訪問程度。
04
對資源的訪問取決于動態(tài)策略(包括客戶身份、應用程序/服務和所請求資產的可觀察狀態(tài)),可能包括其他行為屬性和環(huán)境屬性
現代計算環(huán)境很復雜,遠遠超出了企業(yè)的傳統(tǒng)邊界。應對這種現狀的方法之一是,利用所謂的“信號”,在你的環(huán)境中做出訪問控制決策。
直觀顯示信號的一種方法是借助微軟的Conditional Access(條件訪問)圖。訪問和授權決策應該考慮到信號,信號可以是諸如此類的信息:用戶及位置、設備及相關的安全態(tài)勢、實時風險以及應用程序上下文。這些信號應支持決策過程,比如授予全面訪問、有限訪問或根本不允許訪問。你還可以根據信號采取額外的措施,以請求更高級別的驗證保證,比如MFA(多因子驗證),并根據這些信號限制授予的訪問級別。
作者:Chris Hughes。Chris Hughes在IT/網絡安全行業(yè)有近15年的從業(yè)經驗,除了在私營部門擔任顧問外,還曾在美國空軍服過役,并在美國海軍和GSA(總務管理局)下設的FedRAMP(聯邦風險和授權管理項目)任職公務員。
原文網址:
https://www.csoonline.com/article/3626432/7-tenets-of-zero-trust-explained.html
編譯:沈建苗
微信排版:沈青初
排版審核:劉沙