往期博客已经介绍了有关零信任安全框架的基本概念和相关应用,本期将从行业的角度介绍零信任的由来、现状和未来展望。
1. 前零信任时代
过去十年,信息安全行业经历了三大趋势:移动化、上云和软件即服务(SaaS)。这三大趋势重新定义了工作、业务开展和信息消费的方式。据 Gartner 预测,到 2022 年,全球终端用户的公有云服务开支将超过4800亿美元,同比增长21.7%。朝九晚五的现场办公模式早已被远程办公逐渐取代,员工在家或在路上就可以连接企业网络。新冠疫情的爆发迫使人们居家隔离,进一步加速了远程办公的普及。一夜之间,科技行业最核心员工之外的所有员工都开始了全远程办公。
同时,越来越多企业采用混合 IT 环境,对企业的网络安全提出了新的复杂要求。以往,企业都使用数据中心运行核心应用并存储敏感数据,现在有不少大型企业都开始购买云服务,将资源从本地硬件迁移到公有云,目的是降低成本,提高资源的可扩展性。而为了更快获取投资回报,进一步降低总拥有成本(TCO),很多企业都选择 SaaS 应用,而不是传统的自托管企业应用或企业自建的解决方案。
然而,上述三大趋势给企业的网络安全和用户体验都带来了巨大挑战:
传统的网络安全基础架构如同护城河,企业资源由具有网络安全设备的企业网络边界保护,这些设备包括杀毒软件、防火墙、URL 过滤、数据丢失防护、拒绝服务攻击保护和沙盒。为了适应远程办公和移动办公的趋势,企业在原有架构上添加了虚拟专用网络(VPN),在企业网络和远程员工之间形成安全通道。但是,VPN 会过度授予用户对企业网络和资源的访问权限,用户达到一定数量时经常会遇到连接速度慢的问题。
在保障远程访问 SaaS 应用安全的问题上,传统方法类似于“创可贴”,将所有流量路由到总数据中心,在数据中心可以从集中位置访问资源。不过由于流量路由效率低、扩展能力有限、各类隐形成本和安全性不佳,传统方法很难顺利实现。
与传统方法相比,云迁移的初始设置成本较低、维护要求少,工作负载同时具有可扩展性和灵活性。只是,许多资源被企业的数据中心和公有云厂商隔离。此外,动态、短期且相互依赖的云原生工作负载还需要云原生的安全防护功能。
2. 进入零信任时代
过去,企业网络安全的定义侧重于使用网络防护方法支持网络连接、监控和检测。如今,基于位置的传统网络边界方法已被淘汰。身份开始在全新的现代化安全框架中发挥核心作用,这种以身份为中心的安全框架称为零信任。零信任的概念基于以下原则:“永不信任,始终验证”。该模型将根据静态位置信息推断出的隐式信任替换为基于动态情境数据的显式信任。情境数据的来源包括用户身份、应用程序和属性、端点状态、网络健康状态和企业安全策略。
零信任网络访问(ZTNA)用于保障专用网络安全,只能有经过验证的请求才能进行条件访问。零信任代理在授予或拒绝访问之前会不断验证请求的身份、情境和策略。ZTNA 确保应用不再对所有人可见,大幅减少了攻击面。由于 ZTNA 的可用性和可扩展性优势,作为 VPN 的替代方案推出后就迅速取得了业内关注。此外,ZTNA 提供的基于身份和情境的micro-segmentation 微隔离(微分段)也支持细粒度的安全控制,与基于网络的传统分割方法相比,微隔离(微分段)能更有效地在防止横向移动攻击。
也正是因为传统网络边界模型已无法继续满足现代企业的安全需求和性能要求,越来越多的公司开始对零信任策略感兴趣。2019 年,Gartner 结合了网络连接与网络安全概念创建了安全访问服务边缘(SASE)模型。在该模型下,企业可以使用以身份为中心的网络访问云服务以及安全 Web 网关(SWG)和云访问安全代理(CASB)替换原有的中心辐射型网络基础架构,以提升效率和安全性。还有一种方案是使用软件定义的广域网 (SD-WAN) 、身份和访问管理(IAM) 、SWG 和 CASB 来减少或替换现有的多协议标签交换(MPLS)。
3. 展望零信任的未来
1)零信任在数据平面和控制平面取得的进展
零信任开发和采用的最佳可视化方式就是探索理想的零信任架构。为此,可以将零信任框架的实现抽象为数据平面和控制平面的组合。数据平面提供对资源的访问,而控制平面对资源的访问权限做出持续的实时决策。
理想的零信任框架应该具有最高效的数据平面和最有效的控制平面。
零信任框架的数据平面基于整体的安全专用网络,通过数据平面可以统一处理人员、应用、工作负载和数据连接,比起分开处理更加安全高效。
在这种情况下,零信任的安全专用网状网络可以使用任何类型的网络基础架构连接来自任何资源、设备和用户的流量,覆盖底层物理网络基础架构,如宽带、光纤、4G/5G 或 WiFi,将企业 IT 和安全全景从物理拓扑中抽象出来,此外还能基于企业 IT 安全需求使用身份、情境和策略在人员、应用和资源之间建立逻辑关系。
零信任框架的控制平面是指零信任的编排,包括观察、监控、检查、分析和采取行动。零信任编排和安全网状网络之间的交互可控制反馈回路。
本质上来说,零信任编排的三个关键特性分别是集成性、双向性和连续性:
-
集成性:零信任编排集成了各种安全信号并转化为情境数据。这些信号可能来自用户、设备、应用、工作负载和数据等各种身份类型,可能来自网络流量、终端设备、工作负载、应用和邮件等状态数据列表,还可能来自用户行为和威胁情报。此外,零信任编排还将访问策略纳入验证授权、会话管理或资源撤销的决策中。
-
双向性:零信任编排与身份提供程序、网络、终端和应用等安全组件进行双向的信息交换:通过监听事件流或关联来自安全信号的历史输入收集数据,随后使用机器学习和基于规则的方法整合信息,最后将指示发送回安全组件以采取行动。
-
持续性:零信任编排支持持续安全管理,即在整个网络连接的生命周期内实现近乎实时的安全执行,而不只是在连接点或访问点采取安全控制。例如,当零信任编排检测到恶意活动或禁用的用户账号时,可以立即请求身份提供程序撤销令牌刷新或会话刷新,建议网络与资源断开连接,必要时要求应用重新验证用户身份。
2)零信任和身份系统如何协同工作
身份是零信任框架的基石。我们需要身份来描述和管控几乎所有内容,包括员工、客户、承包商、本地应用、SasS 应用、API、服务器、虚拟机、容器、无服务器、物联网(IoT)、机器人、数据集、甚至是非同质化代币(NFT)。而在身份之间建立联系就需要 IAM、特权访问管理(PAM)、身份治理和管理(IGA)以及身份验证等方法。零信任安全就是利用身份优化用户体验,增强安全态势的最佳示例之一。
3)呼吁安全行业内部合作
从行业内部研发和并购的角度来看,零信任作为保障企业网络安全的现代化方式可以推动行业整合。目前安全行业的大量投资都涌入了零信任板块,数十家公司也都于近期推出了零信任产品。然而,任何安全行业厂商,甚至是大厂,都无法独立提供一整套零信任产品。这是因为在网络安全中,足够安全是远远不够的,在构建安全基础架构时将所有鸡蛋放在一个篮子里是非常危险的。而更好的方法就是与多家安全厂商建立深度战略合作关系,采用最佳产品组合以抵御潜在的网络攻击。此外,在应用之外添加单独的安全程序也能提供额外防护。
当下的安全行业受到了内部割裂的负面影响,当务之急是考虑增进协作,协作可以推动技术进步,让每个用户和企业都可以随时随地安全使用任何技术。在零信任时代,协作变得更加重要。在安全信号共享领域已有初步探索,OpenID 基金会的共享信号和事件工作组就是很好的例子。未来,希望整个安全行业都能齐心协力,合作共赢。