零信任實戰架構總結
一、零信任認識
零信任解決的是由于傳統邊界模型過度信任造成的安全問題,重點是Trust Area 內過度信任的問題,零信任打破了信任和網絡位置默認的綁定關系,不像傳統信任關系是靜態不變的,而是動態持續監測各參與對象的安全狀態、并對其重建信任評估,然后進行動態調整權限、降權、阻斷等強管控手段。我自己認為,動態持續監控、根據對象安全狀態進行調整權限,這個是零信任非常重要的功能,也是傳統邊界模型做不到的。
二、零信任實現架構
目前有零信任實踐的公司,大多都是采用SDP架構(software define perimeter),SDP架構主要包括三大組件:SDP控制器(SDP Controler)、SDP發起客戶端、 SDP服務提供者。
控制層與數據層保持分離,以便實現完全可擴展。
三、零信任實現方案
有兩種實現方案,一是用戶對資源訪問的方案,如辦公網訪問公司應用,大多數采用此種對零信任架構進行實踐摸索;二是生產服務之間相互調用的方案,由于涉及生產、
及各種復雜訪問關系,很少有公司對此種進行實踐。
3.1、用戶對資源訪問模式方案
此種方案涉及到的對象有:用戶、終端、資源、鏈路。
此方案,對架構進行抽象后的架構示意圖如下:
認證不再只是人的認證,授權、信任不再是靜態不變,而是:人(雙因素、OTP)+終端(是否符合安全基線,安全狀態是否符合)+軟件(是否有漏洞)=認證(持續動態認證)—→認證通過—-→授權(基于對各對象動態安全監測和信任評估,動態授權、降權、阻斷等)——-→資源
零信任在技術實現分類上,根據零信任網關的類型總結為兩種:
3.1.1、反向代理/應用層web協議網關:
應用層代理模式指的是在零信任網關實現上,通過七層應用代理方式,將對后端應用的訪問通過本地應用 ,層代理配置,將應用層請求發至應用層代理網關中,
由應用層代理網關進行攔截、轉發,架構如下圖:
實現原理如下圖:
該模式下的簡化訪問過程如下(有agent):
a)用戶通過零信任終端Agent進行設備注冊和授權;
b)終端Agent進行安全基線加固,以及上傳終端設備安全狀態;
c)用戶通過零信任終端Agent(或可信集成的瀏覽器),來設置本地應用層代理配置,指定特定資源的訪
問由應用層代理發至應用層代理網關中;
d)應用層代理網關通過安全控制中心,進行認證和鑒權;
e)應用層代理網關鑒權通過后,將請求轉發給應用系統,獲取請求資源;
f)應用層代理網關將資源轉發給零信任終端,完成資源請求。
優點:由于是應用層代理,因此可以基于應用進行細顆粒的授權控制,可以深入到對特定應用,特定資源的 控制;
缺點:對于非HTTP的業務,部分開放設置能力的CS應用客戶端可以支持配置,大部分CS架構的客戶端都是 不支持的,滿足不了全場景的辦公需求。
3.1.2、流量代理網關方式,即四層代理方式
流量代理方式在實現上,終端有agengt情況下,可通過hook、虛擬網卡、網絡過濾驅動等方式,將本地流 量轉發給零信任網關,零信任網關負責流量的攔截和轉發,如下圖:
如果終端沒有agent,只要零信任流量代理網關部署在網絡鏈路中,能夠劫持流量即可充當代理網關。
優點:
a)由于是四層流量代理,因此可以實現全局代理,無論是B/S應用,還是C/S應用都可以通過流量代理網 關進行控制和授權。支持全辦公場景;
b)此外該模式下,C/S應用不需要改造,可以直接接入進零信任體系中,對業務干擾較小;
缺點:
a)由于是四層流量代理,因此對于加密的請求,解密成本較高。
b) 不易實現精細化的權限控制,例如 針對垂直的WEB流量,不能基于HTTP協議層做對應更加細化的訪問控制,需要額外用垂直的WEB流量網關,。
c)另外全流量代理模式下,容易出現和其他安全類流量劫持軟件沖突,需要對應修復支持工具
3.1.3、混合網關方式
單一的實現方式都有其弊端和優勢,例如用了全流量代理可能導致無法識 別內容,無法對特定應用進行解析和精細的權限控制,因此也可以將技術實現方式進行融合,融合點主要是在網關對上述多個能力進行整合,用全流量代理網關作為統一入口,對特定應用的控制由應用代理模塊進行控 制,在實現上同時擁有全流量代理、Web應用反向代理、應用層代理(其他RDP、SSH、IOT等)能力,
如下 圖:
該模式下的簡化訪問過程如下:
a)用戶在訪問資源時,根據所訪問的資源類型,將請求轉發到流量代理網關上;
b)流量代理網關通過安全控制中心對用戶進行認證和鑒權;
c)流量網關根據請求的資源類型,鑒權通過后將請求轉發,向后轉發中分為以下情景:
直接轉發:如果沒有特定應用代理模塊,請求將直接轉發到應用中,例如C/S應用;
轉發到應用代理模塊:有特定應用控制的模塊時,將請求轉發到應用代理模塊中,由應用代理模塊進
一步進行更細粒度的鑒權,例如對SSH服務進行零信任控制和授權,對Web應用進行零信任控制和授
權,或是更特定業務協議的場景,IOT的零信任控制授權。
d)流量代理網關將資源轉發給終端,完成資源請求響應。
混合實踐舉例:有Agent和無Agent的場景,滿足不同的權限控制需要:
a)提供一套流量網關服務器和Agent,提供給企業內部職員終端安全訪問,實現強終端安全防護和管控目 標;
b)同時部署一套對外提供反向代理網關,通過DNS解析將部分業務代理出去,提供給合作商,針對一些 敏感數據泄漏風險較低的系統,用戶可以不用安裝客戶端直接由WEB Portal方式,經身份認證鑒權后訪問。
優點:
a) 由于混合代理方式,如果業務要求全部場景,可以使用全流量代理模式,處理C/S和B/S系統的終端應 用;
b) 如業務方需要對特定業務實現更精細對權限控制,可以使用應用代理的應用解析能力,因此可以基于應用進行細顆粒的授權控制;
缺點:混合模式架構較為復雜,實現起來較為麻煩
3.1.4、部署方式
在用戶對資源訪問的零信任實現上,具體到落地部署中,可以根據企業特點有多種部署方式,下面列舉常 見的幾類部署模式:
1)企業內部部署 (辦公場景)
在企業內部部署模式中,零信任網關主要用于企業內部服務保護,因此部署位置將零信任網關放置到服務 器網絡前,
如下圖:
此種,通過零信任系統提供統一的業務安全訪問通道,關閉職場內部終端直連內部業務系統的網絡策略,盡可能 避免企業內部服務全部暴露在辦公網絡(內網中過多的默認信任)。所有的終端訪問都要進過終端身份校驗(人的安全可信),終端/系統/應用的可信確認(終端設備的安全 可信),還有細粒度的權限訪問校驗,然后才可以通過加密安全網關訪問具體的業務(鏈路的安全可信),這 樣能極大的降低和減少內部業務資產被惡意掃描和攻擊的行為。
2) 集團多分支部署
集團公司,其全國/全球的多個分支子公司、辦事處、并購公司、外部合作(協作)公司等員工需要安全 訪問集團內部系統,該需求模式下可以采用以下部署模式,實現多分支的訪問:
該部署模式中可以針對集團、子公司的組織架構(用戶群組)或者具體人員(用戶)設置訪問策略,員工
訪問可達的集體內部系統僅限于指定的業務(細粒度授權),不可越界。應保障訪問過來的人員身份、設備、鏈路的安全,同時子公司的終端或者賬戶如果有異常可以及時阻斷訪問。
3.2 、 生產服務之間相互調用的零信任方案
此種方案有幾個核心元素:
a)工作負載:workload,承載業務的主機,可以是物理服務器、虛擬機或容器。
b)訪問者:發起訪問一方的工作負載。
c)提供者:提供服務一方的工作負載。在數據中心中,任意一個工作負載都可能本身即是提供者,也是 其他工作負載的訪問者
d) 服務:即根據業務需要所開放的供其他工作負載或用戶訪問的服務
基于工作負載的零信任架構:
由于很少有公司在生產服務之間嘗試零信任架構,此種方式不過多介紹
四、零信任應用場景
4.1、辦公安全(目前實踐較多的)
包含遠程辦公需求、集團性多分支機構辦公安全、傳統網絡架構,無非就是通過vp,專線直接訪問公司或者集團資源。總結來說零信任架構從安全層面不在區分內外網、是否為遠程、是否為分支,統一通過零信任網關接入、零信任網關代理、隱藏后端服務
只不過辦公區可以通過內網訪問零信任網關、遠程用戶、分支機構,可通過公網、專線等訪問零信任網關,無論哪種方式,都要經過,認證、鑒權/授權、這一套流程。
辦公安全零信任架構:
遠程辦公需求零信任實現:
遠程辦公場景下正確的實施零信任方案后可以帶來如下好處:
a)可快速擴容:零信任網關可以通過負載均衡實現快速的橫向擴展,來滿足突發的遠程辦公需求;
b)安全控制能力強:零信任把安全架構延伸到用戶終端上,有更強的控制和感知能力;
c)安全攻擊面小:零信任遠程辦公方案中,唯一可被訪問的只有零信任網關,所有內部資源全部被隱藏 在網關后,即便資源存在0day也難以被攻擊到;
d)易使用:用戶一旦完成認證后,整個使用過程對用戶不會有打擾,用戶和在公司內部的權限維持一 致,有較好用戶體驗
4.2、數據中心內部訪問
基本都是采用微隔離架構進行網絡層、主機層、應用層的細粒度隔離,此種方式不過多介紹
五、零信任落地經驗
零信任安全理念在企業的落地不會是一蹴而就,也絕非僅靠采購一些零信任安全產品或者部署一些零信任
安全組件就能夠簡單實現。需要企業根據自身業務系統建設階段、人員和設備管理情況、現有網絡環境、企業
網絡安全威脅、現有安全機制、預算情況、安全團隊人員能力等因素綜合考慮,制定零信任安全目標和實施計
劃,分階段的逐步落地,持續提升企業零信任安全能力,是一個不斷完善、持續優化的過程。
落地建設可分為:全新建設零信任架構網絡、在已有網絡架構上改造升級,兩種情況。
無論是全新搭建還是已有網絡架構升級,實施過程應考慮以下因素:
1)有專門的安全團隊和人員牽頭和推進實施;
2)領導的重視(往往決定了落地的難易程度);
3)有明確的安全目標(以及階段性目標);
4)有適配達到安全目標的足夠預算;
5)業務團隊的充分理解和配合;
6)第三方廠商的配合
無論是全新搭建還是已有網絡架構升級,實施過程可以參考以下方法和步驟:
1)明確范圍
全面梳理和確認過程中涉及的人員、設備、業務系統、數據資產等保護對象,并考慮到實施過程中可能涉
及的網絡位置(集團總部、分支機構、云環境等)等因素。從應用場景進行梳理可能是比較好的一種方式。
2)確定安全目標
根據零信任網絡保護對象的重要程度,以及企業可能面臨的安全風險、企業安全現狀、團隊能力、可投入的資源等因素,確定零信任網絡需要建設的安全能力,以及能力實現的強弱程度(并非一定要把所有最高級別的安全能力手段都加于企業身上,而是應根據企業實際需求適配,但需要保障零信任基本能力的建設)。
3)制定實施計劃
根據已確定的安全目標、企業現狀,制定實施計劃,明確各實施階段的實施目標和里程碑標志(能夠驗證
目標已達成的事項)
4)分階段實施
根據制定的實施計劃,推動相關人員實施。并按照項目管理的模式,按時推進,跟蹤進展,適時調整,逐 個階段的實現。
5)持續完善和優化
在完成零信任網絡的基本建設后,應該不斷和提升豐富企業的零信任安全能力(包括持續加強零信任組件的自身安全防護、持續提升企業的零信任網絡安全運營能力等),最終從安全技術、安全意識、安全運營、組織建設等方面持續完善和優化
六、零信任和現有安全產品的關系
自認為零信任只是一種新的安全理念,也不過只是一種新的安全架構,并不能取代現有安全產品,不過在零信任架構中,可以把現有安全產品更緊密結合在一起,
形成更立體聯動的效應,比如現有的一些檢測告警類、防護類安全產品可以輔助實現零信任架構中 “動態持續檢測各對象安全狀態,動態調整權限、降級、甚至阻斷”這一特點
解決傳統一些架構中,弱管控、動態處置效率不高等缺點,真正實現全過程持續“零信任”。
