零信任架構:后邊界時代的信任
2020 年 2 月 12 日,NIST(美國國家標準與技術研究院)發布《零信任架構》標準草案第 2 版,與之前 2019 年 9 月發布的NIST《零信任架構》草案第一版相比,此版本對零信任的定義進行了細節性和針對性的修改, 這表明零信任架構的標準化進程正在加速推進中,美國政府希望能夠盡快采用并過渡到零信任架構。
當前,全球已進入數字化轉型時期。在此過程中,現實世界與網絡空間的邊界消弭,網絡空間的安全問題會直接投射現實世界中,以邊界為核心的網絡安全保護已經難以應對復雜多變的網絡安全形式,企業當下更加緊要的目標是保護有價值的核心數據和關鍵業務,以往“創可貼”式的安全將難以達到新形勢下的網絡安全要求。同時,網絡和網絡安全體系的不足已經逐漸凸顯出來,我們需要在整體架構層面上進行設計和優化。面對新的安全形勢和安全環境,以“零信任”為代表的新型安全架構應運而生, 推動網絡安全領域乃至軍事領域新發展。
一 網絡安全領域新態勢
數字化轉型的時代浪潮推動著信息技術的快速演進,云計算、大數據、物聯網、移動互聯等新興 IT 技術為網絡安全領域帶來了新的生產力,以“零信任”為代表的安全架構出現,傳統網絡安全邊界正在逐漸瓦解,基于邊界的網絡安全架構和解決方案難以適應現代企業網絡基礎設施等,網絡安全領域呈現新的發展格局。
1、傳統網絡安全在數據安全時代開始失效
日益普及的互聯網業務和肆意泛濫的社交網絡,從網絡安全到數據安全轉變的根本原因是數據價值的無限提高。在很多機構,數據已經成為其核心財富甚至是最大財富,甚至有“搶銀行不如搶數據”的說法。在數據財富無限快速放大的過程中,數據財富的管理并沒有發生本質的變化,基本處于裸奔狀態。因此,那些缺乏保護的數據財富在不斷誘惑企業的員工、合作伙伴犯錯,不斷誘惑黑客來攫取。隨著數據價值的凸顯,特別是人工智能的興起,我們正在把現實社會發生的一切進行數字化和數據化。可以預見,在不遠的將來,數據世界很快就會成為現實世界的一個投影或鏡像, 現實生活中的搶劫、殺人等犯罪行為會映射為數字世界中的“數據破壞”。
2、網絡安全面臨的“四化”挑戰
在云計算更加普及的數字化轉型時代,網絡安全也將面臨新的挑戰。對手組織化:對手從普通的網絡犯罪變成了組織化的攻擊,攻擊方式從通用攻擊轉向了專門定向攻擊,邊界防御思想已經被完全打破,難以應對,體系化防御勢在必行。
環境“云化”:新一代信息技術的全面應用,帶來了信息化和信息系統的“云化”,典型特征是終端智能、應用系統、IT 設施的全面云化,集中化的IT 系統對攻擊者具有更大的吸引力。
目標數據化:新一代信息化建設以數據共享為基礎,“數據”在經濟社會中的價值越來越高,數據和業務應用成為網絡攻擊的重要目標。
戰法實戰化:面對新的安全形勢和安全環境,安全防護體系建設從合規導向轉向能力導向,網絡安全防護和監管都轉向關注實戰化,實網攻防演習成為常態化手段。
3、從物理邊界防護向零信任安全轉變
網絡安全正在從傳統的物理邊界防護向零信任安全轉變。伴隨著云計算、移動互聯網、物聯網、5G 等新技術的崛起,萬物互聯的數字經濟時代已經到來,各行各業開始向數字化智能化轉型。業務上云、數據互聯互通, 給企業帶來深刻變革的同時,也讓企業 IT 架構發生了翻天覆地的變化,一場關于網絡安全架構的技術革命正在發生并被越來越多的專家和企業所關注和認可。同時,零信任安全從概念走向落地,國內外企業基于對零信任安全框架的理解,開展了技術探索和布局,目前多用于解決身份管理和訪問控制的問題,聚焦于軟件定義邊界(SDP)、微隔離等方向。軟件定義邊界憑借更細粒度的控制、更靈活的擴展、更高的可靠性,正在改變傳統的遠程連接方式。
二 零信任特點及架構風險
1、零信任內涵及特點
零信任(或零信任網絡、零信任架構、零信任安全)最早由研究機構Forrester 的首席分析師約翰·金德維格(John Kindervag)在 2010 年提出, 簡而言之,零信任的核心思想就是:默認情況下不應該信任網絡內部和外部的任何人/設備/系統,需要基于認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了范式上的顛覆,引導安全體系架構從網絡中心化走向身份中心化,其本質訴求是以身份為中心進行訪問控制。
圖 1 零信任內涵圖
當前,零信任的各種不同維度的觀點也在持續發展、融合,并最終表現出較強的一致性。隨著零信任的持續演進,以身份為基石的架構體系逐漸得到業界主流的認可,這種架構體系的轉變與移動計算、云計算的大幅采用密不可分。在其不斷發展過程中,我們要認清它的特點:
1)零信任是一個演進式的框架,而不是革命性的方法
它建立在現有的安全概念之上,并沒有引入一種全新的網絡安全方法。與大多數安全概念一樣,零信任依賴于對組織的服務、數據、用戶、端點的基本理解。關于前期資源投資, 沒有“免費午餐”。策略定義、部署概念、信任確定(和衰退)、執行機制、日志聚合等,都需要在部署解決方案之前考慮。也就是說,許多大型機構(如谷歌、Akamai 和Purdue)都已進行了投資,顯示出安全投資的真正回報。
2)零信任本身并不是一項技術,而是網絡安全設計方法的轉變
當網絡設計將多個供應商的產品集成到一個全面的解決方案中時,當前的解決方案領域顯示出非常成熟且經過驗證的解決方案。無論是尋求零信任網絡的解決方案是什么,諸如軟件定義的網絡和身份、憑證和訪問管理(ICAM)等要素,都是成功的長期零信任策略的重要組成部分。零信任可以增強和補充其他網絡安全工具和實踐,而不是取代它們。威脅情報、持續監視、紅隊演習仍然是零信任網絡環境和全面安全方法的重要組成部分。
3)零信任不是萬能的,但它可以改善網絡安全態勢
許多聯邦機構面臨復雜的數據和服務與其他組織的相互依賴性的挑戰, 在將零信任擴展到關鍵任務、多組織的工作流之前,必須仔細考慮這些依 賴關系。零信任是一個成熟的策略,可以提供積極的網絡安全投資回報, 但它可能需要前期投資,這取決于機構有哪些已經到位。
2、零信任安全架構風險
Gartner 認為當前網絡和網絡安全體系架構是針對一個正在逝去的時代而設計的,很難滿足數字化轉型企業對移動設備、云計算、邊緣計算、物聯網環境中動態安全訪問的需求。面對外部威脅、內部威脅和 IT 新環境下邊界瓦解的現狀,零信任安全所倡導的全新安全思路,已然成為企業數字化轉型過程中應對安全挑戰的主流架構之一,所有參與零信任架構的實踐者們正接受著全新的挑戰,但更滿懷信心地迎接著值得期待的嶄新未來。
從目前落地零信任概念 Google BeyondCorp、Google ALTS、Azure Zero Trust Framework 等可以看出,零信任架構(ZTA)可以減少整體風險暴露和保護共同威脅。不過,ZTA 也存在一些獨特的威脅風險。
1)ZTA 決策過程的受損
在ZTA 中,策略引擎(PE)和策略管理器(PA)組件是整個企業的關鍵組件。企業資源之間不會發生連接,除非經過 PE 和 PA 批準和可能的配置。這意味著必須正確配置和維護這些組件。任何具有 PE 規則的配置訪問權限的企業管理員,都可以執行未經批準的更改(或誤操作),這些更改可能會中斷企業運行。同樣,失陷的 PA 可能允許訪問未經批準的資源(例如, 受損的個人擁有設備)。要緩解相關風險,必須正確配置和監控 PE 和 PA 組件,并且必須記錄任何配置更改并接受審計。
2)拒絕服務或網絡中斷
在ZTA 中,PA 是資源訪問的關鍵組件。未經 PA 的許可和可能的配置操作,企業資源不能相互連接。如果攻擊者中斷或拒絕對策略執行點(PEP) 或 PA 的訪問(即拒絕服務攻擊),則可能對企業操作造成不利影響。大多 數企業可通過將策略強制駐留在云中或按照網絡彈性指南在多個位置備份, 來緩解此威脅。
3)內部威脅
正確實施 ZTA 策略、信息安全和彈性策略、最佳實踐,可以降低內部攻擊的風險。ZTA 確實可以防止失陷的賬戶或系統,訪問其正常權限之外或正常訪問模式之外的資源。為網絡訪問實施多因素認證(MFA)還可以降低對失陷賬戶訪問的風險。但是,與傳統企業一樣,具有有效憑證的攻擊者(或惡意內部人員)可能仍然能夠訪問已授予賬戶訪問權限的資源。
4)網絡可見性
ZTA 需要檢查并記錄網絡上的所有流量,并對其進行分析,以識別和應對針對企業的潛在攻擊。然而,如前所述,企業網絡上的一些(可能是大多數)流量對于網絡分析工具來說可能是不透明的。此流量可能來自非企業所有的系統(例如,使用企業基礎設施訪問 Internet 的外包服務)或抗被動監視的應用程序。企業無法執行深度數據包檢查(DPI)或檢查加密的通信,必須使用其他方法評估網絡上可能的攻擊者。這并不意味著企業無法分析它在網絡上看到的加密流量。企業可以收集有關加密流量的元數據, 并使用這些元數據檢測網絡上可能存在的惡意軟件通信或活動攻擊者。機器學習技術可用于分析無法解密和檢查的流量。采用這種類型的機器學習, 將允許企業將流量分類為有效的,或可能惡意并需要補救的。在 ZTA 部署中,只需要檢查來自非企業所有系統的流量,因為所有企業流量都經過了PA(通過 PEP)的分析。
5)網絡信息的存儲
網絡流量分析的一個相關威脅是分析組件本身。如果存儲網絡流量和元數據以進行進一步分析,則該數據將成為攻擊者的目標。與網絡拓撲、配置文件和其他各種網絡架構文檔一樣,這些資源也應該受到保護。如果攻擊者能夠成功地訪問存儲的流量信息,則他們可能能夠深入了解網絡架構并識別資產以進行進一步的偵察和攻擊。零信任網絡上攻擊者的另一個偵察信息來源是用于編碼訪問策略的管理工具。與存儲的通信流量一樣, 此組件包含對資源的訪問策略,可以向攻擊者提供最有價值的賬戶信息(例如,可以訪問所需數據資源的賬戶)。與所有有價值的企業數據一樣,應提供足夠的保護,以防止未經授權的訪問和訪問嘗試。由于這些資源對安全至關重要,因此它們應該具有最嚴格的訪問策略,并且只能從指定(或專用)管理員賬戶進行訪問。
6)對專有數據格式的依賴
ZTA 依賴多個不同的數據源來做出訪問決策,包括關于請求用戶的信息、使用的系統、企業和外部情報、威脅分析等。通常,用于存儲和處理這些信息的系統在如何交互和交換信息方面沒有一個通用的、開放的標準。
與 DoS 攻擊一樣,這種風險并非 ZTA 獨有,但由于 ZTA 嚴重依賴信息的動態訪問(企業和服務提供商雙方),中斷可能會影響企業的核心業務功能。為降低相關風險,企業應綜合考慮供應商安全控制、企業轉換成本、供應鏈風險管理等因素,對服務提供商進行評估。
7)ZTA 管理中非個人實體(NPE)的使用
人工智能和其他基于軟件的代理正在部署,以管理企業網絡上的安全問題。這些組件需要與 ZTA 的管理組件(例如,PE、PA 等)交互,有時代替了人工管理員。在實施 ZTA 策略的企業中,這些組件如何對自己進行身份驗證是一個開放性問題。假設大多數自動化技術系統在使用到資源組件的一個 API 時,將使用某種方式進行身份驗證。相關的風險是,攻擊者將能夠誘導或強制非人員實體(NPE)代理執行某些攻擊者無權執行的任務。與人類用戶相比,軟件代理可能具有較低的認證標準(例如,應用程序接口密鑰與多因子身份驗證),以執行管理或安全相關任務。還有一個潛在的風險是,攻擊者可以在執行任務時訪問到軟件代理的憑證并模擬該代理。
三 零信任產業格局
2019 年的 RSAC 帶動了“零信任”的又一波新高潮,越來越多的企業意識到需要在企業內部和外部生態環境中營造信任。下一代互聯網訪問,零信任已成必然趨勢。
1、整體概況
Gartner 行業報告《Market Guide for Zero-Trust Network Access》做了如下預測:到 2022 年,面向生態系統合作伙伴開放的 80%的新數字業務應用程序將通過零信任網絡(ZTNA)進行訪問。到 2023 年,60%的企業將淘汰大部分遠程訪問虛擬專用網絡( VPN ), 轉而使用 ZTNA 。在Cybersecurity Insiders 聯合 Zscaler 發布的《2019 零信任安全市場普及行業報告》中指出,零信任作為一種基于上下文控制(用戶、設備、應用程序等)提供對私有應用程序最低權限訪問的新安全模型正迅速流行起來。許多 IT 團隊正在優先規劃采用現代的云安全技術,取代傳統的基礎設施如VPN 和 DMZ。同時報告指出在接下來一年時間內,59%的 IT 安全團隊計劃采用零信任網絡訪問(ZTNA)服務;而 10%的企業將在近 3 個月內就采用零信任 ZTNA 建設方案。
當前包括Microsoft、Google、Cisco、Symantec 等在內的國際巨頭均在進軍此領域,而 Zscaler 和Okta 作為創業公司,憑借其在零信任安全領域的技術創新已經在納斯達克上市,市值在短時間內從20 億美金飛速發展到100 億美金以上。
2、產業格局
隨著云計算、大數據、移動網絡、5G 等趨勢的推動,零信任安全的市場需求正在呈現爆發式增長,零信任的浪潮已經到來。
1)行業領頭羊沖鋒在前
這一類廠商代表企業自身經過漫長的實踐后對外推出解決方案,既體現一種勢在必行的決心,也為終端用戶增加了一份信任。自己做出的產品, 要自己首先來使用,才能真真正正的從一個用戶的角度來發現問題,以Google、Akamai 為代表。最近,Google 基于 Beyond Corp 安全模型,推出了“企業情境感知訪問(Context-Aware Access for Enterprise)”的平臺,面向企業用戶,提供更簡單的權限訪問,并實施精細的控制。情境感知訪問權限建立在Google Cloud 全球基礎架構之上,與 Google 身份即服務(IDaaS) 解決方案 Cloud Identity、Cloud Armor(DDoS 防護)集成。Akamai 針對企業終端用戶推出的Enterprise Application Access 2019 年被Forrester wave 列入零信任廠商領導者象限。
2)巨頭廠商提前布局
對于零信任安全訪問的未來,不是所有公司都有 Google 和 Akamai 這樣的實力與決心,但并不影響各安全巨頭用自己的方式開始布局,事實上他們已經走在前列。例如:思科、派拓、賽門鐵克、Unisys、Proofpoint 這樣的巨頭玩家,多以收購的方式實現在零信任網絡訪問的縱深和業務的橫向布局。
作為網絡領域的佼佼者,思科在安全類目上一直鮮有明星產品。近年來,一系列的零信任布局收購:Duo Beyond、Tetration、SD-Access,讓我們看到了其在安全領域卷土重來的決心。尤其是對 Duo 的收購:Duo 的優勢在于強大的身份驗證和易操作性,通過收購 Duo,大大增強了思科安全產品的功能。此外,結合思科的網絡和設備工具,針對分析和云負載的新產品以及 Duo 對用戶和端點的關注,支持多組件、部署和易用性成為了整個產品組合的特點。
賽門鐵克收購Luminate Security 后推出 Symantec Secure Access Cloud, 平臺中針對“零信任”的最有趣的功能是對風險結構系統的更新。這包括分析上下文以及在問題映射到行為和威脅活動時糾正問題的能力。
Unisys 是一家非常特殊的零信任廠商,主要為美國聯邦政府內某些受高度保護的機密組織提供零信任網絡訪問服務。一定程度上,也證明了本身的實力。代表產品有 Stealth。此外,Unisys 在協議級別設計并構建自己的創新專有產品,實現了微隔離和零信任。
還有比較值得關注的一起零信任收購案例來自老牌網絡安全公司Proofpoint,它于 2019 年 5 月以 1.1 億美元現金收購零信任創業公司 Meta Networks。Meta Networks 利用云原生的全球骨干網,以用戶為中心取代以站點為中心的網絡安全,幫助企業實現人員、應用程序、云、數據中心和辦公室的快速連接。通過收購,Meta Networks 的 ZTNA 技術將與 Proofpoint 的CASB 和 Web 隔離產品線集成,幫助其云安全產品和自適應控制得到進一步發展。
同時,派拓也進行了多次收購,例如:PureSec, RedLock, Twistlock, 以實現從網絡到云和負載的拓展,并與思科、Akamai 一起入圍 Forrester Wave 零信任供應商的領導者。
3)獨角獸創業公司不斷涌現
從表 1 近年零信任獨角獸創業公司看出,這些企業在以下領域曾有特定的積累:
CASB:CASB 的供應商,平臺根植于云,員工/合作伙伴可以方便遠程登錄使用企業各種網絡服務,不會導致企業的敏感信息泄露。有著天然的優勢轉型零信任。
WAF: WEB 應用程序通過基于反向代理的 WAF 來提供服務,進行流量檢查,同樣具備演變零信任架構的基礎。
表 1 近年零信任獨角獸創業公司
4)初創公司展露鋒芒
Gartner2019 發布的Hype Cycle for Cloud Security 指出:零信任網絡訪問距離進入成熟的平臺期依舊有 5 年左右的時間。對于初創公司,要在這
個賽道沖出重圍,機會窗口依舊存在。由表 2 零信任初創公司看出,目前
也有一些細分賽道的初創公司展露鋒芒。
表 2 近年零信任初創公司
四 零信任安全軍事領域新發展
隨著越來越多的用戶和終端接入網絡,網絡攻擊面增加,現有網絡安全設備正面臨嚴峻考驗。美國防部網絡安全形勢正處于關鍵時刻,網絡規模和復雜性都在不斷增長,需要進行大量的快速數據傳輸,以保持對網絡和物理戰場的態勢感知能力。美政府、軍隊和商業部門正在重新評估目前基于“邊界”的網絡安全架構,并正在考慮采用零信任新架構以提高網絡安全性。
1、零信任架構越來越受到美軍的重視
美國國防部不斷加強的身份與訪問管理(IdAM)實踐,已經充分展示了美國國防部對身份邊界的重視,越來越明確地表明美國國防部要向零信任架構演進。
2019 年 10 月 27 日國防創新委員會(DIB)發布的《零信任架構(ZTA) 建議》報告中,第一條建議就是:國防部應將零信任實施列為最高優先事項,并在整個國防部內迅速采取行動,因為國防部目前的安全架構是不可持續的。
2019 年 7 月發布的《美國國防部數字現代化戰略:國防部信息資源管理戰略計劃 FY19-23》中,提及了國防部向零信任發展的明確方向,并指出:零信任是一種網絡安全策略,它將安全嵌入到整個體系結構中,以阻止數據泄露。零信任這種以數據為中心的安全模型,消除了受信任或不受信任的網絡、設備、角色或進程的概念,并轉變為基于多屬性的信任級別, 使身份驗證和授權策略在最低特權訪問概念下得以實現。
2019 年 7 月發布的《國防信息系統局(DISA)戰略計劃 2019-2022 》中,給出了 DISA 技術路線圖。可見,以身份和訪問管理(ICAM)、持續多因素認證、移動持續多因素認證為代表的零信任架構,是美國國防部安全建設的重中之重。
2019 年 4 月發布的《5G 生態系統:對美國國防部的風險與機遇》稱: “國防部必須采用?零信任網絡模式’。邊界防御模型已經被證明是無效的, 5G 只會加劇這個問題,因為更多的系統被連接到一個共同的網絡。不應僅僅通過連接到特定網絡來授予信息訪問權限,而應通過網絡內的各種安全檢查授予信息訪問權限。”
2、美軍開始零信任架構的實踐探索
為響應美國防部正在推動的“零信任”網絡安全戰略,國防信息系統局、美國安局和網絡司令部在去年初便已啟動一個針對“零信任”技術的試點項目,目前這幾家機構正在總結試點項目已取得的成果,探討如何將“零信任” 技術融入到美國防部體系中。
2019 年 8 月 7 日,美國啟動“零信任試點項目”以加強五角大樓網絡安全。美國國防信息系統局(DISA)、網絡司令部正在啟動一個“零信任試點項目(Zero-Trust Pilot Program)”,該項目將重點放在三個關鍵領域:創建一個框架,用于持續監控和檢查網絡不同層的訪問;構建管理身份和訪問的工具;在五角大樓內推出這些解決方案。他說,根據調查結果,五角大樓可能會調整現有的政策和工具,以提高安全。國防部已經確定了未來幾年支持試點項目的資金。
2019 年 7 月,美國防創新委員會敦促國防部實施零信任架構,提高網絡安全性。在美國防創新委員會(DIB)通過《通往零信任安全之路》白皮書中,敦促軍方盡快實施零信任架構(ZTA)。白皮書描述了零信任安全架構所涉及的內容,對傳統邊界安全架構與零信任安全架構進行對比,探討國防部如何實施該技術,并提出一系列問題以了解技術實施是否有效。傳統邊界安全架構與零信任安全架構。
3、美軍加速推進零信任架構的應用
2019 年 10 月 24 日,美國國防創新委員會(DIB)發布報告《零信任架構(ZTA)建議》(Zero Trust Architecture (ZTA) Recommendations),主要提供了關于國防部零信任實施層面的建議。
2019 年9 月 發 布 的NIST 《 零 信 任 架 構 》 草 案(《NIST.SP.800-207-draft-Zero Trust Architecture》)。2020 年 2 月 12 日,NIST發布《零信任架構》標準草案第 2 版(《NIST.SP.800-207-draft2 Zero Trust Architecture》)。近期零信任標準兩次的修訂,表明零信任架構的標準化進程正在加速推進中,美政府及軍隊希望能夠盡快采用并過渡到零信任架構。
五 結束語
零信任架構對傳統的邊界安全架構思想重新進行了評估和審視, 它是一種全新的安全理念和架構,不僅僅在企業網絡邊界上進行粗粒度的訪問控制,而是應該對企業的人員、設備、業務應用、數據資產之間的所有訪問請求進行細粒度的訪問控制,并且訪問控制策略需要基于對請求上下文的信任評估進行動態調整,是一種應對新型 IT 環境下已知和未知威脅的“內生安全”機制。面對外部威脅、內部威脅和 IT 新環境下邊界瓦解的現狀,零信任安全所倡導的全新安全思路,已然成為企業數字化轉型過程中應對安全挑戰的主流架構之一,所有參與零信任架構的實踐者們正接受著全新的挑戰,但更要滿懷信心地迎接著值得期待的嶄新未來。
