零信任的行業應用場景分析研究
數字化在為企業提質降本增效的同時,也為企業 IT 架構帶來新的安全挑戰。零信任安全理念及架構能夠有效應對企業數字化轉型過程中的安全痛點。在企業人員訪問、企業組織機構運營、新技術新模式等諸多場景,零信行業應用正在不斷拓展。
一、零信任的行業應用逐漸加深
零信任理念自 2010 年由 Forrester 公開提出之后,發展形態逐步成熟,基本原則逐步清晰,包括默認一切參與因素不受信、最小權限原則、持續信任評估、動態訪問控制四大原則,涉及身份安全、網絡安全、終端安全、工作負載安全、數據保護、安全管理六大核心能力。
中國信通院調查分析了供應商零信任產品在各行業的應用實施情況,如圖 1 所示。政府機關、信息技術服務業、金融業、制造業作為排頭兵,零信任應用試點占比靠前,總占比達 53%。其原因在于,一方面,信息技術服務業是新一代信息技術發展的最大推手,作為原生數字化企業,對零信任等新理念、技術的接受程度高;另一方面,政務、金融、制造業進入數字化轉型加速階段,云計算等新技術應用程度深,安全需求較為迫切,也積極擁抱零信任安全。
不同行業在零信任的應用上有著不同的關注點。對政府機構,一是關注零信任的實施改造與合規要求之間的協調性;二是因存儲大量關系國計民生的重要數據,通過零信任實現數據安全防護也是政務行業的重點。對信息技術服務業,一是涉及大量開發運維工作,且外包人員眾多,遠程辦公、遠程運維是零信任實施的重要場景;二是大型企業探索業務出海,分支機構分布于全球,多分支機構的零信任接入體驗是行業關注的重要方向。對金融業,因受較強的監督管理,更加關注零信任在實現行業合規要求方面的意義和作用。對制造業,信息化設備尤其是物聯網設備眾多,用戶希望通過零信任對各類設備進行統一安全管理。
圖1 零信任行業應用情況分布
二、零信任的行業需求與應用場景分析
中國信通院分析了零信任十一個主要應用場景的供應情況,分布如圖 2 所示。可以看出,遠程訪問是當前企業實施零信任的主要驅動和優先選擇,供應商的產品也更聚焦在該領域,遠程辦公、遠程分支機構接入、遠程運維三大場景占比居于前三,總占比達 46%。
圖2 零信任應用場景供應情況分布
(一)企業員工遠程訪問需求與應用場景
企業員工訪問需求可劃分為辦公和開發運維兩大類場景。
遠程辦公場景。員工通過遠程接入方式,訪問公司的內部辦公、生產系統,面臨的風險主要有三個方面。一是接入地點和時間復雜化。員工訪問行為不局限于企業內網,接入地方范圍擴大,內部資源的安全邊界被打破。二是自帶辦公設備增多。接入設備不局限于企業資產,設備的安全狀況參差不齊。三是數據難以管控。企業數據在不同設備、內外網之間頻繁流動,也需要在個人終端留存,大大增加了數據泄露的風險。零信任安全能夠有效應對上述風險,一方面,不再根據網絡位置來驗證身份和提供權限,對內網和外網的一切設備默認均不可信,基于多源數據進行權限判定,保證只有安全合法的訪問行為被放行;另一方面,強調按需分配和最小權限原則,大大降低了資源的可見性,減少遠程攻擊。
遠程運維場景。為了提供良好的用戶體驗、滿足不同區域的合規性要求,大型企業往往采用就近部署服務的方式,遠程運維成為基本需求。同時,在新冠疫情沖擊下,依托內網運維的企業,也不得不通過遠程接入運維管理平臺進行日常維護操作。在傳統遠程運維模式中,通過虛擬專用網絡(VPN)和堡壘機進行各類資源和應用的統一管控,主要存在兩大問題。一是涉及較多高權限賬號的訪問和操作行為,隱秘性強、可執行權限高、影響范圍廣,存在身份冒用、權限管理混亂、審計薄弱等安全風險。二是多環境平臺運維不便,若涉及公有云、私有云、混合云等多個環境的運維,需要切換 VPN連接,效率低、體驗差。零信任安全以運維訪問中的人和設備組合狀態構建訪問主體,為其設定滿足需求的最小資源和最小權限,統一安全網關,在動態風險感知和安全控制下,高效地解決運維場景下面臨的安全問題。
(二)企業運營需求與應用場景
企業運營應用場景主要包括遠程分支機構接入場景和第三方協作場景。
遠程分支機構接入場景。為了適應企業業務發展,多分支機構成為常見的組織形式。分支機構體量增大,專線或公網 VPN 無法滿足當下訪問需求。一是搭設專線價格昂貴,若分支機構規模較小、訪問集團資源的需求不頻繁,專線方式將導致資源浪費,無論自建或托管均耗費較高成本。二是連接穩定性不夠好,尤其對于跨國訪問的場景,丟包率高,訪問體驗差,同時 VPN 性能擴展存在瓶頸,難以適應大規模的異地接入。零信任比傳統 VPN 有更好的訪問速度和穩定性體驗,提供鏈路加密與全球接入點部署加速,滿足弱網絡、跨境接入網絡延遲等問題,解決頻繁斷線重連問題,提升訪問體驗。
第三方協作場景。企業運營中,面臨大量的第三方人員訪問和第三方系統連接企業內部資源的需求。第三方接入面臨更高風險。一是各企業管理機制和能力有差異,安全能力不對等,難以保證第三方的身份與權限管理水平與企業自身要求相匹配。二是接入設備和系統的安全能力參差不齊,漏洞、木馬等為黑客帶來可乘之機。在零信任安全中,一方面,限制最小訪問權限,訪問主體僅能訪問權限內的資源,有效防止主體的越權訪問,將風險影響限制到最小范圍。另一方面,終端安全建立統一的安全基線,僅在第三方設備滿足基線要求下才允許接入企業內部資源,降低接入設備可能引入的安全風險。
(三)新技術新模式需求與應用場景
新技術新模式應用場景主要包括自動化開發運維(DevOps)場景、應用程序編程接口(API)安全防護場景、多數據中心跨域場景和物聯網場景。
DevOps 場景。企業在 DevOps 模式下,通過容器化部署、微服務應用開發有效提升應用迭代速度和質量。但也帶來了新的安全挑戰。一是資源粒度不斷細化,安全策略應隨資源變化而變化。二是資源和應用變化頻繁,訪問控制策略在資源部署和應用上線時難以自動化創建,手工配置、更新的運維成本高,安全管控的延遲大。零信任安全在其中,能夠更加有效的構建安全的開發、部署和運維體系。一方面,在工作負載構建后即可標定資產身份、角色、訪問需求等,自動化生成對應的安全策略;另一方面,通過微隔離等技術進行不同層級安全隔離,實現工作負載的安全防護。
API 安全防護場景。API 安全風險主要包括:一是數據泄露,被爬蟲、撞庫等惡意手段獲取商業和隱私信息;二是內容篡改,被批量發布垃圾內容、違法違規內容;三是管理難,微服務架構下企業 API 數量多,難以進行 API 資源盤點、API 調用追溯等。零信任安全中,可對 API 級的訪問和調用進行鑒權和訪問控制,減少 API 攻擊和濫用。
多云/多數據中心接入場景。企業通常采用多云、混合云或多數據中心架構,在不同的云和數據中心上部署不同的業務,此情況下,一是多云/多數據中心邊界模糊,邊界訪問控制列表的訪問控制模式遭遇瓶頸。二是用戶訪問分布于多云/多數據中心的業務時,需同時連接和統一權限控制。三是各云和數據中心內部的工作負載有頻繁、普遍的跨域通信需求,但資產和策略信息難以統一和同步。在零信任安全中,以身份而不是網絡為中心,具備統一接入、統一訪問控制和權限體系,提供一致的訪問體驗。
物聯網場景。物聯網設備數量/種類眾多,一方面,在計算能力、網絡拓撲等方面差異性大,異構問題嚴重,每類業務或終端部署獨立的安全接入方式會導致接入系統數量多,給企業管理造成困難。另一方面,物聯網終端可能多代設備并存,很多遺留設備未考慮安全防護或安全防護不到位。在零信任安全中,通過采用物聯網安全代理的模式,隔離物聯網終端到后臺系統的訪問,終端監測和安全加強可以在物聯網代理中實現,物聯網代理以軟件模塊的形式部署在邊緣側,可依據安全需求動態升級。
(四)專項安全防護需求與應用場景
專項安全防護需求主要包括數據安全防護場景、密碼應用場景和安全攻防演練場景。
數據安全防護場景。數據安全關乎國家安全,成為企業安全經營的生命線。數據安全的風險主要來自兩方面,一是人員安全意識薄弱或惡意行為所帶來的數據泄露風險,二是訪問終端或 IT 資源因存在脆弱性所導致的數據竊取、數據丟失等事件。零信任安全從數據層面進行細粒度的訪問控制,基于數據屬性和訪問主體屬性,構建動態策略管控體系,進行持續的數據權限分析和策略運營,最小化授權數據訪問和使用,提升數據安全性。
安全攻防演練場景。安全攻防演練通過模擬真實的網絡攻擊對政企單位的安全體系開展全面檢驗,企業在安全攻防中存在諸多痛點。一是大量業務暴露在互聯網中,梳理暴露資產的工作繁復。二是訪問憑據易被爆破和竊取,非法用戶監控手段有限。三是缺乏內部流量管控,被滲透后橫向側移難以被遏制。零信任安全能夠有效緩解上述痛點。一是業務隱藏在安全網關之后,攻擊方無法掃描端口和漏洞,無從發起針對性攻擊。二是多維信息評估,基于設備指紋等多種信息進行認證與授權,保障連接、設備及訪問環境等的安全。三是對內部流量進行隔離和訪問控制,通過精細化的白名單策略,實現內部暴露面大幅縮減的安全目的;可深入洞察內部東西向流量,及時發現并阻斷攻擊方在侵入系統后發起的橫向側移行為。同時,零信任安全還可以保證實戰化演習或網絡安全重保等特殊時期,與日常使用保持一致、連續的安全策略。
密碼應用場景。《密碼法》中明確規定要對密碼進行分類管理,對于不同密級數據使用不同密級密碼保護。某些重點行業為實現相應密級保護,需要更換密碼算法,然而密碼算法的替換涉及業務的大量改造。為降低改造難度,可采用基于零信任安全網關進行加解密的方案,通過在終端部署代理,在服務器前端部署零信任安全網關,終端業務通過調用代理實現報文加密及通道加密,服務端通過網關進行解密,以減少業務系統改造的工作量。
三、零信任未來發展趨勢
我國零信任相關標準建設已初步成型,但零信任未來的發展更多將聚焦于落地實施層面,這與企業整體的業務、經濟、規劃、發展等方面強相關,是一個分步實施并持續優化的過程,單憑標準企業難以具象零信任理念,需要落地性指南提供細化幫助。零信任安全供應側廠商與第三方機構應攜手針對零信任安全能力落地提供更加細化的實施指南。同時,零信任安全能力應更加聚焦行業,結合行業安全需求精細化發展。
(本文刊登于《中國信息安全》雜志2022年第2期)
