John Kindervag 在 Forrester 創(chuàng)立了“零信任”一詞。零信任后來成為一個術(shù)語,用來描述各種網(wǎng)絡(luò)安全解決方案。
我們要搞清楚零信任是不是就表示不信任,就要了解是誰不信任誰?在計算機(jī)網(wǎng)絡(luò)里的任何操作可以分為資源訪問者和資源提供者,按這里語義套進(jìn)去就是資源訪問者不信任資源提供者。那么問題來了,如果不信任那么資源提供者怎么把數(shù)據(jù)給資源訪問者呢,整個網(wǎng)絡(luò)就不存在了,是個悖論!
接下來,我們來討論一下零信任如何解決這個悖論。零信任的口號是“永不信任、持續(xù)認(rèn)證”,所以零信任的理念是初始假設(shè)網(wǎng)絡(luò)已經(jīng)淪陷,不管是企業(yè)內(nèi)網(wǎng)還是互聯(lián)網(wǎng),前提就是網(wǎng)絡(luò)不安全了,攻擊者已經(jīng)在網(wǎng)絡(luò)中存在,在這個假設(shè)前提下,我們該用什么樣的一個方法論來保護(hù)數(shù)據(jù)、資源、設(shè)備的安全。
怎么理解「永不信任」呢?
在傳統(tǒng)網(wǎng)絡(luò)里面就充滿了信任,比如:信任操作系統(tǒng)、數(shù)據(jù)庫、web服務(wù)器部署在操作系統(tǒng)之上,默認(rèn)認(rèn)為一般人進(jìn)不了操作系統(tǒng),進(jìn)入操作系統(tǒng)的是可信的人。就像是信任內(nèi)網(wǎng),一般情況下,企業(yè)外部出口部署了很多防護(hù)系統(tǒng),但在內(nèi)網(wǎng)環(huán)境下是完全不設(shè)防的;或者是信任靜態(tài)密碼,無論是多重要的系統(tǒng),多重要的賬號,依舊是一個密碼即可進(jìn)入系統(tǒng)之中。
零信任中的永不信任就是不能預(yù)設(shè)靜態(tài)信任,不能預(yù)設(shè)網(wǎng)絡(luò)是安全的、系統(tǒng)是安全的、人是安全的,不能預(yù)設(shè)上次是信任的就繼續(xù)信任;那么要怎么建立信任,信任是人、設(shè)備、網(wǎng)絡(luò)、上下文等等各種因素綜合評估的結(jié)果,是動態(tài)的隨著因素的變化信任評估也將發(fā)生變化;所以永不信任的概念就是不依賴靜態(tài)信任,信任的過程是動態(tài)。
那么為什么要「持續(xù)認(rèn)證」?
大多數(shù)系統(tǒng)都會采用入口大門先出示憑證,或增加二次強(qiáng)認(rèn)證來保證訪問系統(tǒng)的主體的合法性,一旦認(rèn)證通過將通行無阻,出現(xiàn)的惡意訪問、越權(quán)、非法操作將無法防護(hù)。
零信任中的持續(xù)認(rèn)證是細(xì)粒度到主體的每一次事務(wù)性的資源獲取或操作過程必須重新評估主體的信任,因為在復(fù)雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動態(tài)的在變化,那么就要進(jìn)行持續(xù)的認(rèn)證和風(fēng)險評估,才能做到最細(xì)粒度的風(fēng)險控制。
總而言之,零信任不是不信任,而是沒有默認(rèn)信任,不依賴以前的信任,不存在靜態(tài)信任;他是一個建立信任的過程;默認(rèn)認(rèn)為任何一次主體對客體的調(diào)用都是不信任的,必須進(jìn)行持續(xù)認(rèn)證后,建立信任并獲得當(dāng)前的操作權(quán)限。
從網(wǎng)絡(luò)安全角度出發(fā),到底什么樣的架構(gòu)才能落地零信任理念?
派拉零信任架構(gòu)設(shè)想
圖示:零信任架構(gòu)設(shè)想
SDP 軟件定義邊界
SDP:主要是用于定義訪問的邊界,保護(hù)南北向流量安全;
企業(yè)安全瀏覽器:支持chrome和IE雙內(nèi)核的瀏覽器,作為Web應(yīng)用的沙箱,可以以有效方式避免終端環(huán)境本身不安全問題;安全瀏覽器自動與網(wǎng)關(guān)建立加密的安全隧道,保障通訊數(shù)據(jù)的安全性,發(fā)布的后端應(yīng)用只能在安全瀏覽器中訪問,并能支持國密化方案;
Agent:在無安全瀏覽器或CS應(yīng)用的TCP通訊場景下,需要一個獨立的客戶端服務(wù)來建立可信的mTLS安全隧道,同時還要負(fù)責(zé)終端的安全評估、設(shè)備的上下文獲取、終端的安全基線建立,保證在發(fā)起認(rèn)證前的終端環(huán)境的安全;
控制器:SDP控制器提供一個單向端口,接受終端的認(rèn)證請求,對終端的設(shè)備狀態(tài)、身份憑據(jù)、行為上下文進(jìn)行判斷;只有認(rèn)證通過的認(rèn)證的訪問請求,控制器才會通知安全網(wǎng)關(guān)臨時開放訪問端口,接受終端的訪問請求,并在訪問過程中持續(xù)監(jiān)控終端狀態(tài),發(fā)生訪問或設(shè)備風(fēng)險時進(jìn)行實施阻斷網(wǎng)關(guān)端口的關(guān)閉操作;
安全網(wǎng)關(guān):提供可信的mTLS安全隧道服務(wù),隧道聯(lián)通后分發(fā)到應(yīng)用網(wǎng)關(guān)、API網(wǎng)關(guān)、應(yīng)用網(wǎng)關(guān),滿足不同場景下不同應(yīng)用的代理訪問能力,對于終端只能與安全網(wǎng)關(guān)進(jìn)行連接,不與實際資源直接交互,所有流量都通過3個業(yè)務(wù)網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā),在轉(zhuǎn)發(fā)過程中進(jìn)行實施的細(xì)粒度權(quán)限控制;
IAM 增強(qiáng)型身份設(shè)施
SSO:單點登錄組件,提供身份驗證、授權(quán);用于零信任架構(gòu)中所有組件的認(rèn)證功能;作為一個IDP支持Oauth2、OIDC、SAML等認(rèn)證中心;
MFA:多因素認(rèn)證中心,結(jié)合SSO和UEBA在用戶認(rèn)證階段提供強(qiáng)認(rèn)證能力,標(biāo)準(zhǔn)的OTP、短信認(rèn)證、二維碼掃描、生物認(rèn)證、第三方互聯(lián)網(wǎng)認(rèn)證能力;
UEBA:持續(xù)用戶行為風(fēng)險分析能力,在零信任架構(gòu)中解決持續(xù)認(rèn)證的有效架構(gòu),實施的根據(jù)終端狀態(tài) 、訪問行為、數(shù)據(jù)流量、資源狀態(tài)綜合分析,可以通過學(xué)習(xí)算法和模型進(jìn)行風(fēng)險判斷,并通過MFA能力進(jìn)行風(fēng)險緩解的操作;
IDM:身份控制和管理,統(tǒng)一身份源的建立、角色身份的供給、權(quán)限的細(xì)粒度控制、資源應(yīng)用的身份同步能力;有效的整合企業(yè)內(nèi)部所有應(yīng)用的統(tǒng)一身份治理能力;
PKI:公鑰基礎(chǔ)設(shè)施,具有數(shù)字證書、認(rèn)證中心(CA)、證書資料庫、證書吊銷系統(tǒng)、密鑰備份及恢復(fù)系統(tǒng)等構(gòu)成部分;為數(shù)據(jù)通道m(xù)TLS的底層安全提供能力,為設(shè)備認(rèn)證和數(shù)據(jù)發(fā)送提供不可抵賴性保障;
控制中心:零信任架構(gòu)能控制大腦和配置中心,所有組件安裝部署配置、策略制定下發(fā)、終端網(wǎng)關(guān)資源的控制;
MSG 微隔離微分段
微隔離提供東西向數(shù)據(jù)安全保護(hù),即應(yīng)用程序之間不是人為發(fā)起的數(shù)據(jù)通信的安全保護(hù);
Istio對部署在容器的應(yīng)用集群進(jìn)行分類保護(hù),以業(yè)務(wù)系統(tǒng)為單位統(tǒng)一數(shù)據(jù)出口和入口;邏輯上將數(shù)據(jù)中心劃分為不同的安全段,一直到各個工作負(fù)載級別,然后為每個獨特的段定義安全控制和所提供的服務(wù)。多采用軟件方式,而不是安裝多個物理防火墻,微隔離可以在數(shù)據(jù)中心深處部署靈活的安全策略;
所有應(yīng)用程序間交互基于PKI系統(tǒng)提供的證書服務(wù),提供mTLS的雙向認(rèn)證,資源調(diào)用者和提供者必須基于證書體現(xiàn)才能進(jìn)行訪問 。
零信任是一種理念,不是一種技術(shù)也不是一個產(chǎn)品,它是一組不斷演進(jìn)的網(wǎng)絡(luò)安全方式,它將網(wǎng)絡(luò)防御范圍從靜態(tài)的基于網(wǎng)絡(luò)的邊界,轉(zhuǎn)移到關(guān)注終端、用戶和資產(chǎn),將傳統(tǒng)以網(wǎng)絡(luò)為基礎(chǔ)的信任變?yōu)橐陨矸轂樾湃蔚臋C(jī)制;
零信任不是不信任,是指從零開始建立信任的過程。需要基于業(yè)務(wù)需求 、安全運營現(xiàn)狀、技術(shù)發(fā)展趨勢等對零信任能力進(jìn)行持續(xù)完善和演進(jìn)。
企業(yè)實施零信任分如下步驟:
企業(yè)確定意愿
架構(gòu)規(guī)劃先行
分步建設(shè)
階段1:概念驗證
階段2:業(yè)務(wù)接入
階段3:能力演進(jìn)
下期我們還會對零信任作進(jìn)一步的介紹,及時關(guān)注喲~