零信任初学
什么是零信任
零信任安全(或零信任网络、零信任架构、零信任)最早由约翰·金德维格(John Kindervag)在2010年提出。
零信任不是一项技术或产品。它是一种保护关键业务资产免受窥探和恶意软件攻击的方法。零信任是通过诸如新一代防火墙 (NGFW)、多因素身份验证以及微分段和最小特权原则实现的。
“永不信任,始终验证”。零信任的核心原则是摒弃网络内任何内容都是安全的过时理念。由于员工队伍性质的变化、基于微服务应用的采用(实际上可能在任何地方都有组件),以及业务流程的协作性质日益增强,因此不再存在安全边界。远程员工甚至是通过 VPN 连接的员工都不再位于防火墙后面。没有任何设备是安全的。毫无疑问,没有任何智能手机、任何台式机是安全的。
零信任的四大原则
- 灯下黑
不会被发现就意味着不会被攻击,纵然我们的业务和系统充满着各种各样的安全漏洞。比如隐形战机的速度慢、防御差,但是受到攻击的几率不高。灯下黑放弃了传统的对抗思路,让我们在黑客扫荡式的互联网攻击中免疫。 - 与狼共舞、带毒生存
在网络边界模糊的今天,假定我们的网络总是被攻破,网络内部总是存在“坏人”,我们需要在一个充满“坏人”的网络环境中确保关键资产不会受到破坏和泄露,确保关键业务不会受到影响。 - 不阻断、无安全
入侵者或破坏者往往只需几秒到几分钟就可以对关键资产和关键业务造成破坏和影响。除了极个别专业机构之外,绝大部分机构都无法对入侵做出快速响应。即使机构具有这个快速响应能力,其巨大的快速响应成本也是绝大部分机构所无法承受的。我们需要在事件发生之前阻断事件的发生,在无须部署快速响应能力之下做到最大安全。 - 知白守黑
如何识别“坏人”一直是传统网络安全的核心命题,我们通过日积月累的“坏人库”来勾画各种“坏人”的特征。遗憾的是海量的“坏人”特征依然无法更好地帮助我们识别出可能的“坏人”。知白守黑从另一个角度去看待“坏人”,我们不去勾画“坏人”的特征,而是去勾画“好人”的特征,不符合“好人”特征的就是“坏人”。从业务的角度来看,“坏人”的特征是无法穷尽的,而“好人”的特征在特定场景下是可以穷尽的,知白守黑可以更好地保障数据安全和业务安全。
为什么选择零信任网络
从企业数字化转型和IT环境的演变来看,云计算、移动互联的快速发展导致传统内外网边界模糊,企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势。
云技术的崛起打破了传统网络架构
随着技术发展大部分是网络边界已经不存在了,纯内部系统组成的企业数据中心不再存在,企业应用一部分在办公楼里,一部分在云端—-分布各地的雇员、合作伙伴和客户通过各种各样的设备访问云端应用。根本原因是云技术近几年的大力发展初显成效,云防火墙技术逐渐成熟、云计算的算力不断提升导致云服务器几乎成为了每家企业的必要设备。而随着云技术的不断深入可能导致各种人员通过不同方式接入企业网络,对原有的企业内网架构造成冲击,到时候内网可能回和外网一样透明,毫无隐私而言,这一点与当初架构的设计理念可以说是大相径庭,因此我们必须寻求一种能适应云服务的全新架构,而“零信任架构“也能满足这个需求。综上所述,由于种种宏观变化,都推动了“零信任网络“的发展与流行,面对工作更加移动化和云端化,曾经给过我们无数安全感的**”防火墙“不得不逐步退后**,割舍自己曾经”主导的阵地“,一直后退到需要保护的资产身边。这也恰恰是“零信任网络”所追求的场景。
网络安全形势日趋严峻
网络犯罪导致的经济损失越来越多,数据泄露事件的规模不断提升,企业越来越意识到如果仅仅依靠现有安全方法并不足以应对愈趋严峻的安全态势,他们需要更好的东西,而零信任模型恰好就能得到最好的结果。
零信任模型”基本上打破了旧式边界防护思维,旧式思维专注防御边界,假定已经在边界内的任何事物都不会造成威胁,因而边界内部事务基本畅通无阻,全部拥有访问权限。但越来越多的安全专家和技术专家并不认同边界防御的效果。尤其是最近几起严重的数据泄露事件都是因为黑客突破了外部防御后,便潜伏于企业内网,利用内部系统漏洞和管理缺陷逐步获得更高级权限,而黑客在公司内网下的横向移动过程中几乎没遇到什么阻碍。这也证明曾经大多数人主张的**“内部网络是安全的”这一论点从根本上就是错误的。**
那么我们要放弃传统安全架构吗
传统的安全模型是以边界模型为基础而逐步完善的,传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护。它的核心思想是分区、分层(加强纵深防御)。 边界模型专注防御边界,将攻击者尽可能挡在外面,假定已经在边界内的任何事物都不会造成威胁,因此边界内部基本畅通无阻。而反观“零信任架构”,“零信任网络“强调的是永不信任和始终验证,不信任任何人、事、物。
那么我们是否可以彻底舍弃城墙,完全转为这种灵活的安全策略呢?答案显然是否定的,传统防火墙至今仍可以抵御80%以上的攻击,如果完全舍弃防火墙一类的传统安全产品全部使用“零信任“的策略,由于 “零信任”需要足够强的带宽来支撑大量的访问控制请求 ,那么势必会消耗大量的网络资源,造成卡顿,请求超时等等后果还有可能影响业务功能的正常使用。所以在传统边界防护的基础上搭建”零信任架构“才是最好的选择。
零信任的关键技术
身份访问与管理技术
身份与访问管理技术主要包括**身份、认证、授权,**通过围绕身份、权限、环境、活动等关键数据进行管理与治理的方式,确保正确的身份、在正确的访问环境下、基于正当的理由访问正确的资源。现代身份与访问管理技术主要包括身份鉴别、授权、管理、分析和审计等,是支撑企业业务和数据安全的重要基础设施。
软件定义边界技术
SDP技术旨在通过软件的方式,在“移动+云”的时代背景下,为企业构建起虚拟边界,利用基于身份的访问控制以及完备的权限认证机制,为企业应用和服务提供隐身保护,使网络黑客因看不到目标而无法对企业的资源发动攻击,有效保护企业的数据安全。
微隔离技术
微隔离最早由Gartne在其软件定义的数据中心相关技术体系中提出。对数据中心而言,主要有南北向流量和东西向流量:南北向流量是指通过网关进出数据中心的流量;东西向流量是指数据中心内部服务器彼此相互访问的内部流量。传统防护模式通常采用防火墙作为南北向流量的安全防护手段,一旦攻击者突破防护边界,缺少有效的安全控制手段用来阻止东西向流量之间的随意访问。随着东西向流量占比越来越大,微隔离技术应运而生,其作为一种网络安全技术,重点用于阻止攻击者在进入企业数据中心网络内部后的东西向移动访问。
从广义上讲,微隔离就是一种更细粒度的网络隔离技术,使用策略驱动的防火墙技术(通常是基于软件的)或者网络加密技术来隔离
数据中心、公共云IaaS和容器,在逻辑上将数据中心划分为不同的安全段,每个段包含混合场景中的不同工作负载、应用和进程,可以为每个段定义安全控制和所提供的服务。此外,数据中心往往包括海量的节点,频繁变化带来的工作量不可预估,传统的人工配置模式已无法满足管理的需求,自动适应业务变化的策略计算引擎是微隔离成功的关键。
零信任防护方案
- 建立身份标识
以身份为核心,支持用户、应用、终端、设备等实体身份化,为实体建立数字身份标识已完成身份安全治理。 - 动态信任评估
采用多因子认证,综合评估量化主题访问风险,持续对业务访问环境、设备、应用进行动态信任评估。 - 持续风险监测
通过安全大数据分析、安全管理中心统一管理等手段构建持续、动态的安全风险决策控制体系。 - 注重业务/数据安全
支持在零信任架构下所有业务/数据访问请求的安全保护,业务应用访问均认证、授权和加密,数据交换业务的责任主体、应用、数据均被验证和审计。
零信任的应用
一、分支机构访问总部业务系统
二、企业多云战略
三、临时工、外包员工访问业务系统
四、跨企业协同
五、提供面向公众或面向客户的服务的企业
六、员工访问互联网资源
七、企业内的服务器间通信
八、建立企业资源的信任级别
信任评估算法
信任评估算法是零信任网络的大脑,维护整个零信任网络的正常运转。信任算法的输入包括用户信息、设备状态、访问信息、行为属性、访问策略以及外部威胁情报等。用户信息包括用户ID、用户凭证、用户属性和角色等。设备信息包括设备ID号、设备所处位置等。设备状态包括已安装的操作系统及应用软件版本、补丁修补情况和网络位置等。访问信息包括待访问资源的属性、类别和级别等。行为属性包括用户访问业务的行为、操作习惯、访问时间、设备分析、来源IP地址、来源地理位置、访问频度以及使用模式偏差等。外部威胁情报包括监测到的恶意攻击、已知漏洞等。信任评估算法模型。
零信任下的应用安全网关建设思路
- 应用层面的零信任建设相对于主机与网络更容易落地及切入用户。应用层零信任建设从实施周期、业务影响、建设效果等多个方面相比主机与网络,短期效果会更直接,更容易起步。
- 应用层零信任建设主要包含应用安全网关系统、用户管理系统两大系统(可以将系统中的模块拆分,因产品及项目而异)。
- 应用安全网关系统包括:访问控制、反向代理、负载均衡、统一接入、安全防护(主要为WAF相关功能)、访问审计(审计4-7层流量)、HTTPS支持等。
- 用户管理系统:身份认证、动态授权、SSO、用户管理、信任评估等。
实际过程中会将身份认证、动态授权等功能抽离成独立系统。因为需要考虑网络与主机层面的认证与授权等操作,所以抽离后的身份认证和动态授权会提供主机、网络、应用三个层面的相关服务。 具体需要因产品及项目而异。
目前业界应用应用安全网关基本是基于自有安全产品基础上进行的开发,有的基于WAF,有的基于VPN、有的基于下一代墙,但是功能基本都有限。
应用安全网关的选择可基于开源JanusecWAF网关进行二次开发。Janusec是基于Golang打造的应用安全网关,支持HTTP2和HTTPS,私钥加密存在数据库中,提供负载均衡的统一的WEB管理。
基于Janusec架构的设计重点
应用网关:统一HTTPS接入,统一管理证书和秘钥;
安全防护:网关内置WEB应用防火墙、CC防护;
数据保护:对私钥采取加密措施;
负载均衡:前端负载均衡与后端负载均衡;
4-7层审计:审计留痕是应用安全网关应具有的功能,在提供安全防护的同时,记录4-7层数据信息,方便异常问题时的回溯分析。如采用了网络流量采集设备(如科来等),可不需进行审计。
应用访问控制:需要依托高性能的规则引擎机制,主要从应用提取相应规则固化至规则引擎系统中,通过对规则评判实现业务访问控制。可基于开源较为活跃的Drools等。
可开发性:基于Golang的开源系统,可实现与用户管理结合。如身份认证、信任评估与应用访问控制结合等。
1045
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
