为了确定零信任网络的实现范围,我们有必要将本书前面章节描述的零信任网络特性排出一个优先级列表。本书给出如下RFC-格式的优先级建议。
基于上述零信任网络的设计需求优先级列表,下面将深入探讨为这些设计需求设定这样的优先级的原因。
在零信任网络中,系统接收到的所有数据包都是不可信的,因此在处理封装于数据包中的数据之前必须严格检查这些数据包,强认证机制是完成该项检查的首选方案。
很显然,网络数据的来源必须经过认证才能获得信任。零信任网络的核心思想是不信任网络内部以及外部的任何人、设备和系统,如果没有认证机制,那么系统将被迫信任接收到的网络流量,处理它们传输的数据、执行请求,而这与零信任的基本原则相矛盾。从这一点来看,认证也许应该是实现零信任的重要组件。
本书主张的一个重要观点就是,任何系统间的网络连接都是不可靠的,不能将其用于安全地传输数据和信号。主要原因有以下两点:首先,只要攻击者和攻击目标之间物理网络可达,要攻陷目标就并非难事;其次,即便是物理上安全隔离的网络,攻击者仍然可以通过渗透攻击和被动嗅探的方式获取高价值的数据。
在通过网络传输数据之前,由端点设备对数据进行加密,就可以将网络通信的攻击面收缩到端点设备的可信度上,也就是应用和物理设备的安全性层面。
零信任网络认识到,完全信任网络连接会对系统的安全性造成威胁,因此建立应用层端点系统之间的安全通信是非常重要的,但是在网络中额外增加负责认证加密的中间组件(如VPN设备或者支持TLS的负载均衡设备)会使其到端点系统的上行流量暴露于物理和虚拟威胁之下。
因此,零信任网络必须在网络中每个应用层的端点系统上部署认证和加密模块。
零信任网络的访问控制依赖于定义网络预期特征的数据,因此界定每一个预期的网络流量对于保证网络安全相当重要。如果没有预期的网络流量列表,那么系统就无法知道哪些流量需要管理员仔细检查以及哪些流量需要拒绝,也就无法保证网络的安全。
值得注意的是,枚举网络流量并不需要通过变更控制流程来体现其价值所在,定义预期网络流量的简单过程就可以给网络策略强制执行和变更审计带来巨大价值。
强烈建议不要拖延枚举网络流量这项工作,否则会导致累积的工作无法完成。为了保证预期网络流量数据库的实时更新,较好的办法就是将定义预期网络流量的职责分配给组织内部的各个部门来承担,但是一旦将该职责下放给组织内部的各个部门,系统就会存在遭受内部攻击的可能性。如果允许内部人员在没有任何监督的情况下更新预期网络流量数据库,那么可能就会带来内部威胁。在这种情况下,只需要部署简单的审核系统,就可以应对这种威胁。因此,在组织内部分发该职责时,应该用变更管理的最佳实践准则来培训负责这些任务的小组成员,从而保证系统免遭内部攻击威胁。
将网络流量数据作为信任源
构建预期网络流量数据库的较好办法就是将其作为访问请求授权时的数据源。通过建立这种关联性(并且禁止外部修改),网络流量数据库将会与实际的授权访问保持一致。
以下准则将会提高网络流量抓包的数据质量。
抓取与访问控制策略有关的网络流量(如负载均衡设备的访问流量——从负载均衡设备到Web应用程序的网络流量)。
抓取精确限定范围的网络流量。
零信任网络假定所有的网络环境都不安全,因此强认证和加密套件是保证零信任网络安全性的重要组件。
随着时间的推移,密码算法套件的安全强度也会发生改变,因此本书并不能给出经得起时间考验的选择。可以参考诸如NIST(美国国家标准技术研究院)的相关加密技术指南,选择安全强度更高的密码算法套件。
设备和应用的计算能力会限制可选择的密码算法套件种类,但是系统管理员应当始终以尽可能选择安全强度更高的密码算法套件为目标,并且意识到安全强度较低的密码算法套件会损害网络的安全性。
6.认证不应当依赖公共PKI供应商,而应当使用私有PKI系统
公共PKI系统可以在安全的通信中为非受控的端点系统提供信任保证,证书颁发机构为通信双方签发证书以建立安全的通信。端点系统接收到经过签名的证书后,将它的签名信息和系统中已经预置的可信证书颁发机构列表进行比对,就可以验证该证书是否有效。通过在系统中预置可信证书颁发机构列表的方式,端点系统就可以和之前从来没有通信过的未知系统建立安全信道。
公共PKI系统为建立安全通信提供了很多便利,然而对于零信任来说信任第三方机构(公共PKI系统的认证中心)将会增加系统的风险,因为零信任的核心是不信任任何人、设备和系统,因此零信任的认证应当依赖于私有PKI。此外,公共PKI系统还会给零信任网络带来其他威胁,下面列举了其中两点。
首先,可信任的公共认证中心的数量会增加带来的威胁。随着互联网应用的发展,可信CA中心的数量也在增多。每一个CA中心都有能力和可能性为攻击者签发证书,从而使得恶意系统能够利用CA中心签发的证书来证明其可信度。为了减少这种威胁,我们可以使用证书锁定技术。证书锁定技术能够提前将特定证书信息保存在端点系统上,当其他请求连接的端点系统所提供的证书和保存的信息一致时才会建立这两个端点系统之间的连接。但是,采用证书锁定技术需要确保端点系统提前获得相关的证书信息,这也会使端点系统面临新的挑战。
其次,使用公共PKI系统还存在CA认证中心的可信度问题。通常情况下,政府会利用法律手段主导或干预这些CA认证中心的建设,这种干预会导致公共CA认证中心无法确保中立的可信第三方机构的地位,违背应该给客户提供的信任保证。这些干预行为通常都不会公开,这使得公共CA认证中心签发的证书变得不可靠。鉴于政府部门的这种做法,当他们能够利用公共CA认证中心干预零信任网络的信任机制时,应该暂停管理员对系统的任何操作。
考虑到以上威胁,零信任网络倾向于使用私有PKI系统,端点系统也应该被配置为只认证私有PKI系统签发的证书。本书第2章详细讨论了PKI系统。
本书第5章已经详细阐述了设备安全对于建立零信任网络的重要性。管理员构建零信任网络时,需要假设网络中的可信设备存在已经被攻陷的风险,因此需要在设备管理中建立防御机制以减少这种威胁造成的损害。设备的防御机制主要包括以下3个方面:定期扫描、安装补丁和定期轮换。
- 定期扫描设备以获得某一时间点该设备运行或安装的软件信息。设备扫描的主要目的是发现和预防恶意软件带来的危害,这一工作通常由设备上运行的恶意软件防护工具(如防病毒软件)来完成。但是,恶意软件防护工具并不是万能的,它们不可能发现所有恶意软件,因此系统管理员不应该完全依赖这些工具来阻止恶意软件对系统的破坏,而是需要更多地关注如何提高分析调查能力,从而及时发现无法避免的恶意软件攻击并采取补救措施。
- 保证设备的定期更新。系统管理员应该有计划地定期安装最新的安全补丁。
- 有规律的设备轮换政策有助于确保设备不会积累恶意软件或者其他一些冗余软件,以避免对系统安全性的损害。
使用定期系统恢复代替长期扫描和安装补丁
设备遭受损害的风险会随着时间逐渐增加,其可信度也会降低。虽然定期进行设备的系统恢复可能会造成某些系统运行的中断,但是却可以保证将设备的可信度维持在一定水平,从而确保系统的安全性。建议一个季度对服务器进行一次系统恢复,每两年对个人设备进行一次系统恢复。
零信任网络 在不可信网络中构建安全系统
- 全面解析零信息网络技术系统
- 介绍构建零信息网络的方方面面
- 国内零信息专业团队翻译,保证图书内容准确性
保护网络的边界安全防御措施并不如人们想象中那么牢不可破。防火墙保护之下的网络主机自身的安全防护非常弱,一旦“可信”网络中的某个主机被攻陷,那么攻击者很快就能以此为跳板,侵入数据中心。为解决传统边界安全模型固有的缺陷,本书为读者介绍了零信任模型,该模型认为整个网络无论内外都是不安全的,“可信”内网中的主机面临着与互联网上的主机相同的安全威胁。
关于作者:
作者埃文·吉尔曼(Evan Gilman)和道格·巴特(Doug Barth)揭示了零信任模型如何聚焦于构建覆盖全网的强认证和加密系统,如何实现动态访问控制并保持系统运营的敏捷性。通过阅读学习本书,读者可以掌握零信任网络的体系架构,并学会如何利用现有的技术逐步构建一个零信任网络。
- 理解零信任模型是如何把安全内嵌入系统的运营管理,而不是建立在系统之上。
- 掌握零信任网络中主要组件的基本概念,包括网络代理和信任引擎。
- 使用现有的技术在网络参与者之间建立信任。
- 学习如何把基于边界安全模型的网络迁移到零信任网络。
分析零信任模型的实践案例,包括Google在客户端的实践和PagerDuty在服务端的实践。
埃文·吉尔曼(Evan Gilman)是一名计算机网络工程师,目前为互联网公共社区工作。Evan的整个职业生涯都致力于研究如何在危险的网络环境中构建和运营安全系统。
道格·巴特(Doug Barth)是一名软件工程师,曾服务于Orbitz、PagerDuty等不同规模的公司。他在构建监控系统、无线自组网(Mesh Network)、故障注入等技术方向有丰富的实践经验。
专业人士推荐
“这本书为我们展示了一个理想的现代安全模型的框架,并包含了大量高价值的实战经验。如果您正在考虑如何在公有云或者办公机构分布全球的环境下构建安全防护措施,那么建议您仔细阅读并遵循这本书中的建议和指导。”
——Bryan Berg,Stripe公司基础设施工程师
“Evan和Doug对于零信任网络有着深刻的理解和丰富的实践经验,这本书是非常出色的实用手册,可以作为各种网络部署实施现代安全架构的参考指南。”
——Ryan Huber,Slack公司安全运营经理
205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
