序言
伴随着云计算、移动互联、物联网等新兴技术的发展、移动办公等需求的增加,互联网渗透到经济社会的方方面面,网络安全问题也愈演愈烈,网络安全事件带来的危害越来越大。传统的“纵深防御+边界防护”这类基于边界的安全防护体系因为边界的模糊而渐渐失效,难以适应企业的快速增长及业务的快速变化。聚焦资源保护,不允许隐式信任的零信任理念在过去几年里获得了众多政府及企业的认可。为了便于企业合理评估自身零信任安全建设实施进度并为企业后续相关安全能力建设发展提供指引及决策依据,本文引入了CISA发布的基于身份、设备、网络、应用程序工作负载和数据五大模块构建的零信任成熟度模型ZTCMM及零信任路线图,供组织机构评估自身建设情况并针对评估结果制定企业后续零信任安全能力建设发展规划。伴随着云原生、DevSecOps在企业内的成功落地,本文在SDP、IAM和微隔离(网络分段)的基础上额外讨论了和容器高度契合的服务网格、边缘计算和策略即代码技术与零信任架构融合的可行性。并从技术、文化、策略及监管措施多个领域分析解决方案影响,帮助行业利益相关方识别挑战和机遇。
摘要
企业利益相关者必须考虑与日俱增的实时系统复杂度所带来的挑战、新网络安全策略带来的需求,以及在复杂和混合世界中安全地运行系统所需的强大文化支持。零信任等新兴技术解决方案和方法对于满足美国总统拜登的第 14028 号行政令《改善国家网络安全》中的要求至关重要。本文探讨了新兴的、丰富的、多元化的解决方案格局的影响以及组织机构最终交付零信任架构(ZTA)的能力所面临的挑战。对行业如何改善关键利益相关者群体之间的协作以加速企业领导者和安全从业者在其环境中采用零信任提出了建议。
零信任背景
由于全球COVID疫情大流行,组织机构不得不迅速适应全球远程办公的方式。随着远程办公的不断扩张和云计算技术的采用,安全边界的定义也随之扩展,因此需要采用零信任 (ZT) 策略保护未来的工作。加上企业向更敏捷和更易规模化的多云、混合架构的不断转变,这些变化导致我们比以往任何时候都需要改善信息系统的安全性和风险管理。于是,IT组织现在有强大的驱动力将重点放在定义和采用适合其环境的独特的零信任架构(ZTA)上。最近颁布的(美国)总统行政命令要求改善国家网络安全 和实施联邦零信任战略 ,进一步促进了 ZTA零信任架构的采用。
随着基于边界和纵深防御方法让位于这种新的安全范式,企业正在寻求降低安全风险,尤其是当他们开始采用现代微服务、微隔离和软件定义架构提高远程生产力的时候更是如此。尽管得到IT供应商的广泛支持,ZTA的现实状态仍然是一个雄心勃勃的未来目标,因为组织机构才刚刚开始为其ZTA方案制定基线,而行业正在寻求洞察力,通过持续合作形成最佳实践或标准。
本文适合网络安全从业人员、工程师、架构师、商业领袖和IT业务相关者。虽然本文内容广泛且有价值,但主要代表美国政府的观点。因此,本文假定您已经熟悉NIST的SP 800 - 207 文档。
为什么选择零信任?
信息安全的零信任模型于 2003 年在Jericho项目上提出,当时人们已经认识到传统边界网络面临的安全挑战,随后在 2009 年( 2014 年公开可用)的谷歌BeyondCorp项目中实施了零信任模型,然后由Forrester Research在 2010 年予以定义。零信任模型“消除了可信网络的概念”并教导“在零信任(ZT)中,因为所有网络流量都是不可信的,所以安全专业人员必须验证和保护所有资源、限制并严格执行访问控制、检查和记录所有网络流量。”2019 年,NIST撰写了零信任架构特别出版物 (SP 800 - 207 ) ,该文章将零信任理念融入零信任架构(ZTA)的抽象定义,并提出了ZTA开发和实施的指导原则。
行业的变化推动了ZT零信任安全的新格局,包括急速上涨的安全成本、以及5 G 、云计算、物联网 (IoT) 和面向微服务的架构的广泛使用。这些因素重新定义了所有权边界和应用模式,导致了固定物理边界或软件定义的网络边界的消失。
随着组织机构不断将其全部或部分网络迁移到云,政府机构和商业企业的业务负责人必须以新的方式保护其私有、公共或专有云实例。尽管需求迫在眉睫,但安全格局的这种变化的实施需要时间和决心。组织机构将需要通过新技术栈、技能集和流程提高他们在云中保护系统的能力。这对开发新的安全治理和策略提出了挑战,要求基于持续验证、微分段、软件定义网络以及持续监控和持续可见性。为了实施和执行这些现代化策略,行业从业者需要设计和运营传统和现代访问控制和网络技术的复杂组合,并随着时间的推移进行适合自己环境的定制。常见的部署方法(如始终在线的VPN连接和将所有流量路由到企业网关),从成本和用户体验的角度看,变得低效或不再可行。
此外,许多网络安全方法都采用基于特征的概念,即安全工具寻找已知的不良行为“特征”,但根据定义,零日威胁并没有已知特征。零信任解决了这个问题,因为零信任架构不依赖基于特征或异常的技术帮助降低风险。在零信任中,实际的数据和功能无论何时何实例化,安全控制都将无处不在,并且正朝着更接近实际数据和功能的方向发展。然而,鉴于各组织机构的现代化速度和水平存在差异,关于如何保护这些现代化架构的行业指南的进展和成熟度已经落后,充其量也太不协调,无法最好地保护系统及其数据。
鉴于架构和市场的复杂性,零信任解决方案和路线图的成熟度才刚刚开始。例如,安全从业人员面临着在实时、多云环境中识别用户和自动化检测新网络威胁的挑战。鉴于当今复杂混合的环境,本文提出了零信任体系架构能力成熟度模型(ZTA-CMM)的基本要素,并使之与零信任路线图关联。持续与政府和产业的交流合作将有助于制定ZTA-CMM最佳实践,并评估如何将零信任原则应用于当前架构以及相应的零信任路线图,以缩小差距、提高风险管理和网络弹性。
评估当前的零信任成熟度
组织机构必须了解其零信任架构的当前成熟度水平,调研整个组织机构范围,进行彻底和有效的分析。该分析应涉及到目前与零信任所有模块相关的人员、流程和技术。虽然CISA联邦零信任战略^5 文件主要服务于联邦机构,但也可作为一个指南文件帮助理解对成功实施零信任架构至关重要的流程和技术。美国国家标准与技术研究院(NIST)和行业领导者^6 (如ACT-IAC^7 和Forrester^8 )正在定义概念模型和框架并不断改进;然而,应当指出,目前这些框架还没有结合在一起。CISA发布了零信任成熟度模型ZT CMM^9 ,由以下模块组成:身份、设备、网络、应用程序工作负载和数据。这五大模块共同组成了一个整体方案,指导了一个组织机构如何将资源用于开发零信任架构。
零信任架构成熟度模型ZTA-CMM提供了每个模块成熟度级别的洞察(如图 2所示)。深入了解每个领域有助于组织机构负责人了解环境中采用零信任架构方面的独特优势和差距。目前,组织机构并没有赋予一个普适的零信任成熟度模型执行零信任架构评估,这是行业指南中的一个空白,因此整个行业需要增强关于零信任成熟度ZTA-CMM的排名和评级合作。在此过渡期,个别组织可能会先执行初步评估,这些初步评估的结果将成为该组织的基线评估。
制定零信任路线图
随着组织机构对其零信任架构成熟度级别的当前状态有更多的了解,可以确定其所在级别并将新的解决方案纳入其架构,缩小差距并提高成熟度。例如,DHSCISA ZT CMM(DHS CISA)使用三个级别:传统、高级和最优
为了达到理想的零信任架构成熟度,组织需要评估自己当前的成熟度,并根据评估结果确认要优先建设的领域、需要的资源以及在一段时间内达到目标所需的预算。
相较于在安全和IT现代化建设处于起步阶段的组织,ZTA成熟度在已经实现了较好零信任的环境下更具相关性。为了满足ZTA路线图的要求,负责人需要更好地理解不断发展的前沿技术,这些技术为达到目标成熟度提供了先进的方式。首先,完成对组织零信任成熟度五大模块能力的评估。对于每个模块可以制定几个问题,以便负责人全面评估每个重点领域的成熟度水平。这些问题按照难度和范围递增,从而使零信任在该模块中更为成熟。完成调查问卷后,组织机构可以利用量化结果作为组织当前零信任架构ZTA成熟度的评估基线。组织架构的的当前成熟度水平和组织预期的成熟度水平目标可以按照量化规则图展现,量化规则图类似CMMC^10 建议的蜘蛛图表示方法 。
这种方法产生了一个零信任ZT的投资优先级路线图,如图 5 所示。投资优先级路线图应结合应用行业最佳实践和框架,如NIST特别出版物(SP) 800 系列,CSA云控制矩阵(Cloud Controls Matrix ,CCM), 或政府安全技术实施指南(Government Security Technical Implementation Guides, STIG)。这些最佳实践和框架适用于每个模块,有助于指导组织机构了解其当前状态中缺乏的详细流程和技术需求,以便在一到三年内达到预期的成熟度水平。这种方法只是一个示例,每个组织机构都可以根据自身情况量身定做。未来的工作组和组织可能会制定一套标准的规范性问题和图形描述采用ZTA零信任架构的整体能力成熟度水平。
采用零信任的考量因素
除了考量零信任成熟评估和路线图因素外,技术、组织文化、策略和监管要求这四个因素是建设零信任架构(ZTA)的重要考量因素。这些内外部因素影响一个组织机构在当前复杂和混合的环境中理解、设计及实施零信任架构的能力,帮助负责人确定哪些变量是当前零信任架构成熟度水平的关键障碍或加速因素,哪些变量最有助于推进其零信任架构之旅。
采用零信任架构的关键步骤之一是形成人员、流程技术、关键资产及安全控制措施清单。这是成功采用该架构的关键。NIST建议从单个流程入手不断推进架构部署。
组织机构应以 “速赢”为目标,并理解采用零信任架构是一项长期的、战略级的举措。因此,零信任需要管理层的支持,并在三到五年内持续考虑所有相关因素。能力成熟度模型可以引导组织机构了解现有及传统的能力,同时提出适当的问题并寻求答案。例如,问题可以包含:
1 .组织使用的传统技术是什么?
2 .它们使用什么类型的数据和服务?
3 .具体实施了哪些云服务?
4 .是否已经实施了云访问安全代理的解决方案?
5 .如何管理身份以及实施了哪些工具?
6 .组织机构处于云应用的哪个阶段?
然而,问题应当结合组织机构的特定业务和使命量身定制。每个问题应当解决与技术状态、组织文化、运营策略、运营所处的监管环境及组织所面临的云安全架构相关的组织业务愿景。对联邦机构而言,这部分内容在CISA的云安全技术参考架构中有详细说明 。
零信任技术
对技术的考虑至关重要。传统技术解决方案以向边界添加层为核心,但这种基于边界的方法无法遏制对IT系统种类和数量都在不断攀升的攻击。应用程序交付的计算单元已从集中式的大型服务器过渡到众多虚拟化服务器和服务,再到分布在不同云资源中的高度细粒度的容器。功能的原子化给零信任的应用带来了可移植性的挑战;然而,随着数字转型计划驱动云采用率的不断提高,零信任代表了预防和抵御网络攻击的下一代趋势和先进网络空间方案。组织机构在关键能力方面的技能水平,如身份和凭证访问管理(ICAM)、软件定义网络(SDN)、微分段环境、身份感知代理(IAP)以及持续监控系统的能力,将推动向零信任架构的演进。了解组织架构中的技术环境以及市场生态系统中的可用选项将有助于选择适合其环境的正确解决方案。
组织文化
组织文化是所有利益相关方考虑的另一个重要因素。事实证明,COVID- 19疫情是推动组织机构启用“居家办公模式”和安全团队向零信任战略迈进的一个催化剂。要采用零信任,组织机构必须愿意通过企业重构实现改变,并培养“永不信任”的思维。与传统环境相比,拥抱了可扩展云和混合模式的主动式组织更具优势,能够更轻松地采用“零信任思维”。了解组织文化和变革管理能力至关重要。
策略
除了文化,组织机构更新其策略的能力也至关重要。现代IT组织是一个复杂的私有部署和云托管架构交错的混合体,使组织机构的网络安全控制策略面临巨大挑战。策略变更的影响将渗透到组织的所有基础架构、应用程序和数据。对于每个组织机构来说,识别和制定基于零信任的新安全策略的能力将是一个重要因素,也是每个组织独有的。鉴于零信任架构的成熟度水平,组织可能面临识别、创建和规范这些策略的挑战。
监管环境
采用零信任的最后一个关键影响因素源于监管环境。美国政府有两个推动网络安全合规的主要框架:风险管理框架(RMF)^12 和网络安全框架(CSF),都由NIST管理。这两个框架为安全评估、实施、授权和监控提供指导。 2013 年 2 月 12日发布的《改善关键基础设施网络安全的总统第 13636 号行政令》 建立了一个减少网络安全对关键基础设施风险的基于现有标准、指南和实践的框架。
本指南是对 2014 年《网络安全增强法案》 的加强。尽管这些合规框架灵活,但并未专门或更好地促进零信任架构的实施。2021 年 5 月 12 日颁布的第 14028 号行政令(“改善国家网络安全”)要求组织机构应负责管理网络安全风险,并呼吁行政部门支持关键基础设施所有者和运营者及其供应链改善网络安全水平。这些努力值得肯定,并为更多策略创造了动力。比如国防部参照零信任架构理念搭建的零信任架构体系,需要引入零信任成熟度评估(ZTA-CMM)和带有时间表计划的零信任路线图,以实现安全层面的实质性提升。这些监管举措有助于激发必要的变革,以挫败新的网络攻击,增强网络弹性。新法规的出台,将鼓励行业服务提供商和相关利益方(如软硬件供应商、系统集成商、服务提供商、信息技术组织及更多将创新引入解决方案的机构)的参与。
零信任解决方案的全景图
为了提高组织机构的零信任成熟度,有必要审查和确定适用的技术和解决方案。例如,云计算的传统基础设施已经发展,其中包含现代组件,如容器和服务网格,需要与零信任核心组件集成(“策略引擎”[PE]、相关的“策略管理器”[PA]和各种“策略执行点”[PEP]).^16 管理零信任架构的这些新战略一定会出现,而下文中提及的技术领域和相关示例仅代表了向零信任架构演进过程中涉及的现代化安全环境解决方案的一小部分。本文探讨的代表性技术方法和其影响包括了软件定义架构组件、服务网格功能、边缘计算趋势和策略即代码可能性。
软件定义边界
举一个显而易见的例子,软件定义边界(SDP)和零信任原则同时演变,对安全行业全景图中蕴含的挑战、实现和变化作出可同样的响应。此外,鉴于SDP组件解决了零信任原则中的许多问题,因此这两个概念是完美融合的。如今,SDP已被业界视为实现零信任原则的软件定义架构的一个明确部分,NIST零信任架构白皮书将SDP作为零信任架构具体落地实现的方法之一。
Gartner Research将SDP描述为一种提供“对企业应用程序安全访问”的技术,强调设备认证和用户授权是一种“固有功能”,以及“建立多个加密隧道到不同目的地的能力”^18 。SDP仅在通过请求系统和应用程序基础设施之间的实时加密连接进行设备认证和身份验证后,才提供对应用程序基础设施的访问。 2019年,Gartner继续通过其零信任网络访问(ZTNA)模型支持SDP,^19 该模型围绕一个应用程序或一组应用程序创建基于身份和上下文的逻辑访问边界。这种情况下,应用程序隐藏起来无法发现,并且通过受信任的代理限制对一组命名实体的访问。这会将应用程序资产从公共可见性中移除并减少攻击面。
云安全联盟 (CSA) 在其 2020 年报告《软件定义边界》 (SDP) 和《零信任》 中也支持这一演变,将 SDP 视为“网络层零信任”。
网络分段
尽管软件定义边界(SDP)提供了一种实现零信任架构的方法,但必须同时进行如下工作:采取分段(在零信任文献中常称为微隔离)的方法,用默认拒绝模型减小攻击面并防止横向移动特征造成的数据泄露问题。网络分段功能允许访问之前强制执行身份验证和授权,而SDP正是该功能的一种进阶——在网络分段的基础上对共享网络链接使用密钥加密。另一种基于主机的分段方法则不需要使用密钥:通过控制主机防火墙建立认证信道,以在大规模异构计算系统平台(私有部署、公共和私有云、容器)上实施动态策略和分段控制,同时允许策略随工作负载变化。
为了保证安全性,使用网络分段时需要创建多个安全分区,这些安全分区根据服务类型及其通信关系、用户身份、每个分区的数据敏感程度定义^22 。传统的网络安全分区模式受到资源开销、防火墙规则管理的复杂性和集成风险的限制,从而导致可选用的安全分区数量受限且粒度较大,这与“减小攻击面/最小权限”的零信任准则相悖。此外,一些先进的组织机构采用了最新应用架构,其工作负载可能运行在虚拟机、容器、无状态服务器上,导致传统方法可能很难在应用了容器、无服务器和托管云服务等新兴技术的环境下有效分段。
软件定义网络(SDN)将管理流量的网络控制平台与转发平台分离,可以通过API编辑网络控制,允许更多的动态流量调整和微分段链路的分段控制。通过SDN实现的分段使人们可以创建更细粒度的安全分区。
一套完整的分段解决方案需要提供关于工作负载、设备/端点和用户识别信息的全面和统一的可视化集成。理想情况下,它还可以在预防性和响应性的安全事件场景中自动、协调地分段。随着零信任技术的成熟,合并元数据标签治理的功能将帮助实现分段的自动化与协调化。
云服务提供商(CSP)为许多IT组织提供安全、可扩展性、敏捷的计算以及存储业务,其地位至关重要,因此在零信任框架中普遍采用SDP和SDN的情况尤其值得关注。如今,云服务提供商使用SDN作为设计、搭建、运营全球范围IPv 4 和IPv 6 网络的零信任方法。这也反过来促使云服务商提升其安全性和本地服务的可用性,以便更好地支持庞大的客户与合作伙伴群体的零信任环境。每个组织需要考虑如何将本地资源和第三方服务提供商的作用发挥到最大程度,从而依照路线图稳步推进零信任架构的研发和部署工作。
服务网格
零信任框架的另一项重要技术考量是基于容器实现的服务网格——一种实现配置和管理集中化的架构技术。在现代云计算环境中,容器已经成为首选的应用架构。因为现有的容器已经能以很高的效率部署,所以很有可能在IT架构中大量增加端点数量。如果不使用服务网格技术,将很难实现在跨容器环境广泛部署安全策略的目标。
现在大多数新的容器环境都由Kubernetes,RedHat OpenShift,DockerSwarm,Nomad以及AWS的云容器服务等容器平台提供 。容器平台通常不支持容器内通信安全,而服务网格已经发展为支持容器环境下安全地管理、部署和实时业务流的一种解决方案。边车容器(Sidecar Container)或边车进程(SidecarProcess)是实现服务网格的主要方法。边车容器或进程常部署为策略执行点(PEP),为基于容器的工作负载提供前端安全性保证。Kubernetes集群中的策略执行点应具有高性能和安全代理的特点,用以承担策略执行和安全保护(如web应用防火墙)工作。集中化的配置管理服务可以作为网络安全规则的策略决策点(PDP),通常与访问控制和事件监测模块关联。这种Kubernetes内部架构应该与控制界面和企业的ICAM服务良好地集成,同时支持传统与新兴的认证标准。将零信任扩展到容器化的微服务端点的一个创新实践是实现一个ISTIO之类的服务网格。ISTIO是一种开源的服务网格搭建方案,提供一种为已部署的服务快捷建立服务网格的方法,对基于Kubernetes的容器化应用产品是透明的 。正如[美国国防部](http://github5.com/search?wd=%E7%BE%8E%E5%9B%BD%E5%9B%BD%E9%98%B2%E9%83%A8)一号平台(DepartmentofDefensePlatformOne)所证实的那样,它非常适合支持今天的DevSecOps环节 。ISTIO解决方案可以为容器环境提供与NIST零信任架构SP 800 - 207 标准草案一致的零信任架构解决方案。
边缘计算
基于Kubernetes的新式应用程序架构日渐普及的同时,企业持续将IT基础设施分散部署到多个云服务提供商,对多个部署位置的零信任架构ZTA进行管理的需求将会涌现(如在本地、多云、甚至在最接近用户的网络边缘)。“边缘”(Edge)计算是另一个不断发展的考虑要点,在未来几年,它对于机器人、自动驾驶汽车、增强现实(AR)等互联行业将变得越来越至关重要。由高度分布式应用程序组成的世界将需要现代堆栈中的所有组件。然而,对用户来说,安全且透明的边缘计算将引入加强安全性的需求,例如在分布式应用程序及其应用程序源(云端或本地)的“网格(Mesh)”上建立零信任架构ZTA的能力。这种分布式应用程序的概念可能认为是“边缘 2. 0 ”(Edge 2. 0 )^26 ,考虑到对处理本地遥测和/或双向数据交换请求的传统云基础设施的扩展日趋复杂,它将需要更成熟的ZTA设计。
策略即代码
本文最后的技术考虑要点是策略即代码(PolicyasCode)的重要性。策略即代码的目标是跨越不同的技术实现统一的策略执行(不局限于云原生)。这一目标通过CI/CD环节以及基于单声明策略的ABAC和RBAC中对合规性和配置自动实施。这使得它非常适合正在尝试零信任架构ZTA成熟化的混合和云环境。
策略即代码实现了一个声明性机制,以执行服务的合规验证和访问规则,通过对部署前检查/测试(企业和/或监管架构)进行标准化评估实现所需的状态运行时控制。这是零信任架构ZTA中包含的一种赋能的技术方法。因为策略是以代码的形式实现的,使用和源代码控制相同的方法,即创建文档化的审计轨迹,因此可根据应用程序和服务接口的严格要求,对定义操作性访问和服务依赖关系的规则进行标记或映射,实现了在云原生环节中编写策略实例化的框架。
开放策略代理(OPA)是一个于 2018 年启动的项目,并于 2021 年 2 月通过云原生计算基金会(CNCF)^27 完成,帮助定义和实践策略即代码。如图 6 所示,OPA实际上是一个准入控制器,也是一个PEP,通过声明性规则引擎和自动化在集成和部署环节中实施特定的需求和检查。OPA可以作为库或守护进程实现,与Kubernetes、API AuthZ和Linux PAM环境集成。在处理每个API请求时,需要执行该策略的应用程序或服务向OPA请求以获得PEP决策。因此,它通过强制访问和配置策略一致性增强ZTA
身份感知代理
策略即代码的一个例子是身份感知代理(IAP)。身份和上下文感知是零信任架构ZTA中访问控制的基石;身份、上下文和访问意图结合,也是IAP的基础。IAP要求使用可信的身份根认证用户及其设备,以及用户可以授权访问的内容,这就是身份感知访问。IAP使用代理层提供经认证和授权的对特定资源的安全访问,因此,IAP允许企业使用零信任改造传统网络,在应用程序之前放置一个智能代理执行企业安全策略。
IAP关注于应用层的身份和访问,依赖于访问控制,而不是防火墙规则。配置的策略反映了用户和访问意图,而不是端口和IP地址。此外,IAP基于最小特权访问原则建立了一个中央授权层,并基于每个单独的请求执行访问控制,为零信任提供了实践治理模型。使用IAP,任何访问请求都可被终止、检查或重新检查、修改和授权。
零信任对行业的影响
将从技术、文化、策略和监管举措等关键性影响方面简要分析解决方案格局的相关影响。尽管这些影响并非详尽无遗,但可以帮助行业利益相关者识别突出的挑战和机遇,需要在每个行业协作领域被持续关注。
技术
鉴于不断涌现的丰富多样的技术解决方案和功能,选择一个强大健壮的零信任架构ZTA是复杂、丰富并且可憧憬的。随着IT组织将这些演进的解决方案融合为其零信任架构ZTA的一部分,安全格局将从根本上反映出一种不同的、改进的网络安全方法,因此有可能弯曲成本曲线。这意味着,我们现在有一种潜在的方法,通过更全面的、持续的验证大幅度提高攻击者的成本,从而降低防御者成本。实施零信任架构ZTA 有初始成本,但随着时间的推移,其他技术考虑到其重复性,必要性将降低,甚至完全消除。随着零信任ZT标准的成熟,任何有关经济或商业影响的讨论都需要由行业成员辩论。如此复杂的环境还需要政府就NIST风险管理框架 (RMF) 如何帮助开发和实施提供持续的ZTA指导,如NIST出版的《零信任架构规划:管理员入门指南》 中所示,仍然需要其他行业指南帮助IT和安全专家了解如何评估、评估和统一现有的各种各样的零信任方法。
例如,对于SDP和SDN,为每个组织环境制定对应的SDP正确因素的挑战仍然很突出。例如,SDP的执行边界是在数据、应用程序、平台还是主机级别?在现实中可能会选择混合的解决方案。这种差距将需要更多的行业和政府合作,为组织领导者提供指导,帮助他们为其环境选择合适的因素。无论如何,确保 SDP 越来越成熟对于一个组织机构的零信任架构ZTA来说至关重要。
关于服务网格,未来的服务交付架构将变得更加分散和原子化。虽然Kubernetes 和服务网格架构通常与正在实施的组件(如容器和sidecar代理)无关,但鉴于当今混合环境中软件和硬件的多样性,将零信任架构ZTA正确应用于容器化应用程序环境,需要对最佳实践进行一定程度的行业标准化。
一座桥梁用于连接传统硬件或虚拟机基础架构(私有或云端部署)与本地容器环境上的运行组件将是必要的。行业面临的挑战将是如何允许零信任ZTA的核心组件驻留在本地相对较小运行态(如磁盘和RAM要求)的容器环境中。作为来自CISA和第三方云集成商的可信互联网连接策略(TIC)演进的一部分,这种开发模式可能值得考虑和指导。
组织文化
如本文开始所述,行业对于变革的主观倾向性对零信任原则落地来说至关重要。要改变业务和安全文化,需要更深入地了解各种角色。零信任ZT起初对管理员或开发人员来说可能看起来很吓人,会被认为进一步限制了他们的访问权限和执行工作的能力。组织机构将需要支持和培养他们的人才和资源,了解采用零信任ZT原则和技术的好处,以及评估其环境和实施既定路线图的行动。再一次,这将需要行政支持、明确的变更管理流程以及资本和资源投资来设计、评估和实施零信任架构ZTA,活动可能超出当前预算周期。
策略
在[互操作性](http://github5.com/search?wd=%E4%BA%92%E6%93%8D%E4%BD%9C%E6%80%A7)领域和动态云环境中的管理问题方面策略挑战将继续存在。可见性、上下文和控制对现代组织机构来说将对治理格局形成严峻挑战。值得庆幸的是,今天的零信任ZT原则、框架和架构可以帮助组织机构在这一挑战中的获得进展。首先,随着采用新的角色、流程和技术实现零信任架构ZTA,可能需要修改或制定全组织范围的策略。因为云支持跨组织的多租户,所以产生了新的策略挑战。简言之,有些策略无法在全球范围内实施。此外,随着访问策略和最佳实践的发展,策略逻辑将需要在它们保护的应用程序外部管理,但仍支持集中管理,这是实现管理经济性所必需的。在多租户/多系统所有者环境中,这个概念很复杂,在这种环境中,应用程序开发的演变因DevSecOps环境缓慢发展,烟囱心态占据了主导地位。作为 DevSecOps 流程的一部分,行业将受益于改进的、更自动化和更高效的策略管理解决方案的发展。
策略即代码越来越重要,行业也有很强的驱动力在整个软件供应链中开发和整合零信任架构ZTA实施方法。DevSecOps和CI/CD环节是应用程序和基础设施的新供应链,并且越来越多地利用容器技术。在软件供应链的CI/CD方法内部和整个过程中,ZTA的实施不容忽视。现代应用程序有时部分由第三方供应商和开源组件组成,这些组件通常称作“依赖项”。 因此,采用方组织可能对其供应商的供应链知之甚少,并且组织受到越来越多的不同法规的影响,增加了审核新范式(如ZTA)的成本。这可能会减慢采用速度。
即使在边缘计算中,网络安全策略也是通过核心操作系统、网络和云服务实施的。 在强制执行访问、授权和记账(AAA)方面需要有明确的责任。CDN和CSP等提供商严格执行 AAA记账是法规可审计和可验证的方式要求的。 这是“共享责任”的核心,应作为边缘计算环境中ZTA的问责模型继续存在,业界认可这一观点为最佳实践。
监管环境
目前尚不清楚政府当局是否可以监管安全,但政府策略可以培养对安全的关注并指导投资决策。最近的 14028 号总统行政令“改善国家的网络安全”^31 就是为了做到这一点。但是,必须制定政府策略促进和指导网络安全解决方案实施的整体观点的发展。如果不考虑可用的访问、网络和数据安全功能,就不能再将应用程序安全性内置到应用程序中。[互操作性](http://github5.com/search?wd=%E4%BA%92%E6%93%8D%E4%BD%9C%E6%80%A7)和可集成性必须是促进采用零信任ZT原则的策略的标志。从长远来看,仅仅关注解决用户交互,但不解决机器对机器通信的数据流将是不够的。供应链中促进技术烟囱策略只能导致在防御上产生漏洞。
更多零信任材料
CSA 实战零信任架构
奇安信 零信任数据动态授权能力建设桔皮书
CSA 2021中国零信任全景图
安全牛 现代企业零信任安全构建应用指南研究报告 2021
153
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
