2019年7月12日,美國國防部發布《國防部數字現代化戰略》。《戰略》主要由美國國防部首席信息官(DoD CIO)牽頭制定,旨在確保國防部以更高效、更有效的方式執行任務,為美國國防部IT現代化領域一系列其他戰略文件提供頂層指導。在《戰略》附錄中列出的在國防領域有應用前景的技術中,將零信任安全(Zero Trust Security)作為了美國國防部優先發展的技術之一。 零信任是一種網絡安全策略,它在整個架構中嵌入安全性,以阻止數據泄露。此安全模型消除了信任或不信任的網絡、設備、角色或進程的概念,并轉變為基于多屬性的置信級別,從而在最低特權訪問概念下啟用身份驗證和授權策略。
1
零信任安全模式從何而來?
在網絡監控無處不在的時代,很難確定誰是值得信任的。我們能相信互聯網流量沒有被監聽嗎?當然不能!我們既無法信任提供光纖租用的互聯網服務商,也無法信任昨天在數據中心布線的合同工。“數據中心內部的系統和網絡流量是可信的”這一假設是不正確的。現代的網絡設計和應用模式,已經使得傳統的、基于網絡邊界的安全防護模式逐漸失去原有的價值。因此,網絡邊界的安全防護一旦被突破,即使只有一臺計算機被攻陷,攻擊者也能夠在“安全的”數據中心內部自由移動。零信任模型旨在解決“基于網絡邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網絡位置建立信任,而是在不依賴網絡傳輸層物理安全機制的前提下,有效地保護網絡通信和業務訪問。
據有關機構調查分析,內部人員威脅是造成企業數據泄露的第二大原因。企業員工、外包人員等內部用戶通常擁有特定業務和數據的合法訪問權限,一旦出現憑證丟失、權限濫用或非授權訪問等問題,往往會導致企業的數據泄漏。外部黑客攻擊是造成企業數據泄露的第一大原因。美國Verizon 公司《2017 年數據泄露報告》分析指出,攻擊者滲透進企業的內網之后,并沒有采用什么高明的手段竊取數據,81% 的攻擊者只是利用偷來的憑證或者“爆破”得到的弱口令,就輕而易舉地獲得了系統和數據的訪問權限。造成數據泄露的兩大原因值得我們深入思考:企業的安全意識在不斷提高,網絡安全防護體系建設的投入也在不斷加大,為什么類似數據泄露這樣的安全事件并沒有得到很好的遏制,反而有愈演愈烈的趨勢?我們在企業網絡安全體系建設上忽視了什么?提到網絡安全防護,人們第一時間會考慮如何對抗具體的威脅。例如,通過消費威脅情報構建積極防御能力,對抗高級威脅、APT 攻擊等。這些防護措施當然必不可少,而且必須隨著威脅的升級持續演進。但是,在企業構建網絡安全體系的過程中,人們往往忽視最基礎的架構安全能力建設。網絡安全架構往往伴隨IT 技術架構的變革不斷演進,而數字化轉型的技術本質恰恰是IT 技術架構的劇烈變革。在新的IT 技術架構下,傳統的網絡安全架構理念如果不能隨需應變,自然會成為木桶最短的那塊木板。
傳統的網絡安全架構理念是基于邊界的安全架構。企業構建網絡安全體系時,首先尋找安全邊界,把網絡劃分為外網、內網、隔離區(DMZ)等不同的區域,然后在邊界上通過部署防火墻、WAF、IPS 等網絡安全產品/ 方案進行重重防護,構筑企業業務的數字護城河。這種網絡安全架構假設或默認了內網比外網更安全,在某種程度上預設了對內網中的人、設備和系統的信任,從而忽視內網安全措施的加強。于是,攻擊者一旦突破企業的網絡安全邊界進入內網,常常會如入無人之境。此外,云計算等的快速發展導致傳統的內外網邊界模糊,很難找到物理上的安全邊界。企業自然無法基于傳統的安全架構理念構筑安全基礎設施,只能訴諸于更靈活的技術手段對動態變化的人、設備、系統進行識別、認證、訪問控制和審計,以身份為中心的訪問控制成為數字時代架構安全的第一道關口。零信任安全架構正是擁抱了這種技術趨勢,從而成為數字時代網絡安全架構演進的必然選擇。
2
什么是零信任安全
零信任網絡的概念建立在以下5個基本假定之上。
* 網絡無時無刻不處于危險的環境中。
* 網絡中自始至終存在外部或內部威脅。
* 網絡的位置不足以決定網絡的可信程度。
* 所有的設備、用戶和網絡流量都應當經過認證和授權。
* 所有的設備、用戶和網絡流量都應當經過認證和授權。
* 安全策略必須是動態的,并基于盡可能多的數據源計算而來。
傳統的網絡安全結構把不同的網絡(或者單個網絡的一部分)劃分為不同的區域,不同區域之間使用防火墻進行隔離。每個區域都被授予某種程度的信任,它決定了哪些網絡資源允許被訪問。這種安全模型提供了非常強大的縱深防御能力。比如,互聯網可訪問的Web服務器等高風險的網絡資源,被部署在特定的區域(一般稱為“隔離區”,DMZ),該區域的網絡流量被嚴密監控和嚴格控制。這是一種常見的網絡安全架構,如圖1所示。
圖1 傳統的網絡安全架構
零信任模型徹底改變了這種安全架構。傳統的網絡分區與隔離安全模型在過去發揮了積極作用,但是現在卻疲于應對高級的網絡攻擊。傳統的安全模型主要有以下缺點。
* 缺乏網絡內部的流量檢查。
* 主機部署缺乏物理及邏輯上的靈活性。
* 存在單點故障。
需要關注的是,如果基于網絡位置劃分區域的需求消失了,那么對VPN的需求也就消失了。VPN的作用是對用戶進行身份認證并分配IP地址,然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸到遠程網絡,然后進行數據包的解封裝和路由。或許人們從來沒有想過,在某種程度上,VPN是一種不會遭人懷疑的后門。
如果網絡的位置對于網絡安全失去價值,那么諸如VPN等網絡安全設備也會失去其原有的價值。當然,這也迫使我們把安全控制的實施點盡可能地前推到網絡邊緣,這同時也減輕了網絡核心設備的安全責任。此外,大多數主流的操作系統都支持狀態防火墻,交換和路由技術的進展也為在網絡邊緣部署高級功能創造了機會。將所有這些改變帶來的收益匯集在一起,得出一個結論:是時候進行網絡安全架構的范式轉換了。利用分布式策略實施和應用零信任原則,可以構建如圖2所示的網絡安全架構。
圖2 零信任網絡安全架構
3
零信任的技術方案與實踐特點
零信任架構重新評估和審視了傳統的邊界安全架構,并給出了新思路:應該假設網絡自始至終充滿外部和內部威脅,不能僅憑網絡位置來評估信任;默認情況下不應該信任網絡內部或外部的任何人、設備、系統,需要基于認證和授權重構訪問控制的信任基礎;并且訪問控制策略應該是動態的,基于設備和用戶的多源環境數據計算得來。零信任對訪問控制進行了范式上的顛覆,引導網絡安全架構從“網絡中心化”走向“身份中心化”。從技術方案層面來看,零信任安全架構是借助現代身份管理技術實現對人、設備和系統的全面、動態、智能的訪問控制。
零信任架構的技術方案包含:業務訪問主體、業務訪問代理和智能身份安全平臺,三者之間的關系如下圖3所示。
圖3 零信任架構的技術方案
業務訪問主體:是業務請求的發起者,一般包括用戶、設備和應用程序三類實體。在傳統的安全方案中,這些實體一般單獨進行認證和授權,但在零信任架構中,授權策略需要將這三類實體作為一個密不可分的整體來對待,這樣可以極大地緩解憑證竊取等安全威脅。零信任架構落地實踐中,常常將其簡化為用戶和設備的綁定關系。
業務訪問代理:是業務訪問數據平面的實際控制點,是強制訪問控制的策略執行器。所有業務都隱藏在業務訪問代理之后,只有完成設備和用戶的認證,并且業務訪問主體具備足夠的權限,業務訪問代理才對其開放業務資源,并建立起加密的業務訪問數據通道。
智能身份平臺:是零信任架構的安全控制平面。業務訪問主體和業務訪問代理分別通過與智能身份安全平臺的交互,完成信任的評估和授權過程,并協商數據平面的安全配置參數。現代身份管理平臺非常適合承擔這一角色,完成身份認證、身份治理、動態授權和智能分析等任務。
4
零信任架構的技術實踐具有以下特點
以身份為中心:零信任的本質是以身份為中心進行動態訪問控制,全面身份化是實現零信任的前提和基石。基于全面身份化,為用戶、設備、應用程序、業務系統等物理實體建立統一的數字身份標識和治理流程,并進一步構筑動態訪問控制體系,將安全邊界延伸至身份實體。
持續身份認證:零信任架構認為一次性的身份認證無法確保身份的持續合法性,即便是采用了強度較高的多因子認證,也需要通過持續認證進行信任評估。例如,通過持續地對用戶訪問業務的行為、操作習慣等進行分析、識別和驗證,動態評估用戶的信任度。動態訪問控制:傳統的訪問控制機制是宏觀的二值邏輯,大多基于靜態的授權規則、黑白名單等技術手段進行一次性的評估。零信任架構下的訪問控制基于持續度量的思想,是一種微觀判定邏輯,通過對業務訪問主體的信任度、環境的風險進行持續度量并動態判定是否授權。主體的信任度評估可以依據采用的認證手段、設備的健康度、應用程序是否企業分發等等;環境的評估則可能包括訪問時間、來源IP 地址、來源地理位置、訪問頻度、設備相似性等各種時空因素。
智能身份分析:零信任架構提倡的持續認證、動態訪問控制等特性會顯著地增加管理開銷,只有引入智能身份分析,提升管理的自動化水平,才能更好地實現零信任架構的落地。智能身份分析可以幫助我們實現自適應的訪問控制,還能夠對當前系統的權限、策略、角色進行分析,發現潛在的策略違規并觸發工作流引擎進行自動或人工干預的策略調整,實現治理的閉環。
5
結 語
基于零信任推動企業網絡安全架構的重構應該上升到企業數字化轉型的戰略層面,與業務規劃同步進行,并明確愿景和路線圖,成立專門的組織,指派具有足夠權限的負責人,才能保障零信任安全的落地和逐步實施。數字時代,零信任架構必將成為企業網絡安全的新范式。企業機構應當開放心態,積極擁抱這種理念的變化,務實推動零信任架構的落地實踐,為數字時代的企業網絡安全保駕護航。
