【零信任】一文看懂零信任
2021-04-21
作者:奔跑的老村长
来源:村长的池塘
导语:
近两年来,零信任(Zero Trust)和ATT&CK在安全圈着实火热,特别是前者,大厂摇旗呐喊,小厂也擂鼓助威,都说自己是零信任理念的先行者, IAM相关厂商说零信任架构里面,身份是新边界;NAC和防火墙厂商说策略检查点是零信任的关键部件;VPN厂商说他们除了加密也支持多因素认证,符合零信任的特征;数据安全公司说他们保护的就是敏感数据,和零信任的目标完全一致。总之,不扯上点关系都不好意思。
著名咨询机构Gartner曾在《零信任网络访问市场指南》中预测2023年将有60%的组织采用ZTNA(SDP)取代VPN技术。VPN一直是远程接入的首选方式,而本次新冠疫情催生的远程办公的热潮中,VPN资源消耗和“卡顿”问题被成倍放大,某国内著名公司 SSL VPN 设备被曝存在漏洞,被APT组织Darkhotel(APT-C-06)利用而发起针对我国多驻外机构发起攻击的事件也被爆出,VPN真如风烛残年的老人一般,尽显老态吗?有安全媒体甚至断言:如果新冠疫情发展成持久战,VPN与零信任架构的“决胜局”势必将提前上演。
那么,当我们谈零信任的时候,需要了解哪些主要东西呢?本文将试图提炼出要点。
一、零信任的起源
现有TCP/IP协议和互联网是为互联互通而设计,没有考虑太多的安全控制,任何主机之间可以相互通信,黑客可以探测互联网络中的任意目标,而在现实中,我们要约见相关的人或去某些单位不但要认证身份,甚至需要提前预约和审批。
即使有了防火墙将外网的攻击进行阻挡,整个内网的机器之间也是可以相互访问。
零信任的出现主要基于两项原因:
●云大物移技术的发展和数字化转型让边界更加模糊,传统城堡式防御模型面临巨大挑战,甚至不再奏效。
●内部人员的威胁和APT攻击让内网和互联网一样充满风险,默认和静态的信任模型需要革新。
零信任发展中有较大影响的机构和历程如下:
二、主要流派
(一)Forrester
提到零信任,首先需要提及的就是Forrester这家咨询机构。
但梳理零信任的发展历史和主要流派可以看出,尽管最早提出Zero Trust一词的是Forrester分析师约翰。金德维格,但零信任并不是凭空才出现的,很早就有了雏形,包括美国国防部的黑核项目,就是希望解决传统默认、静态的网络信任隐藏着巨大风险的问题。
金德维格认为传统基于边界的网络安全架构存在风险,可信的内部网络充满威胁,信任是致命的风险。并提到了三个核心观点:
●不再以一个清晰的边界,来划分信任或不信任的设备;
●不再有信任或不信任的网络;
●不再有信任或不信任的用户。
有意思的是,这哥们提完这个概念没几年,就去Palo Alto Networks实践去了,直到另外一位分析师坎宁安继续在Forrester扛起了零信任的大旗,他在Forrester的主页上介绍自己是零信任的一个huge fans,并于2018年提出ZTX(零信任扩展),将零信任的范围从网络扩展到设备、用户和工作负载,将能力从微隔离扩展到可视化与分析、自动化与编排,并提出身份不仅仅针对用户,还包括IP地址、MAC 地址、操作系统等,也就是说具有身份的任何实体包括用户、设备、云资产、网络分段都必须在零信任架构下进行识别、认证和管理。
微分段是零信任的一个关键能力,不仅仅包括网络、用户,还包括设备、容器、微服务、甚至进程等,可见零信任的概念和范畴已经得到极大的延伸和扩展。(有空再专门介绍ZTX)
(二)Google
真正引起业界对零信任极大兴趣的,当属Google在2014年陆续发布6篇关于其自身实践零信任的论文。2011-2017年期间,Google Beyond Corp项目实施落地,实现不区分内外网,让员工不借助VPN安全地在任何地方开展工作,将访问权限从网络边界转移到设备、用户和应用。Beyond Corp的核心思想是组织不应该信任任何实体,无论该实体是在边界内还是在边界外,应该遵循“永不信任,始终验证”的原则。有传谷歌开展这个项目与2009年遭受极光行动导致Gmail邮箱和源代码被APT组织入侵有关,但没有官方的说法。
关于Beyond Corp的介绍资料非常多,论文也可以找到,就不再详述,这是谷歌员工从任何地方登陆访问内部业务的界面:
最近Google也发布了 BeyondProd白皮书,详细介绍了容器化的云原生安全模型。该模型超越了传统的基于边界的安全模型,而是利用代码来源和服务身份标识作为安全基石。同时,Google还提供了一份可用于实现其安全模型的开源软件列表,解决容器、微服务等云原生安全。
(三)Gartner
作为安全规划和咨询领域最权威机构的Gartner,在2017年安全与风险管理峰会上发布CARTA模型并提出零信任是实现CARTA宏图的初始步骤,后续又发布ZTNA市场指南(注:SDP被Gartner称为ZTNA,即零信任网络访问)。CARTA 是自适应安全架构的3.0版本,英文Continuous Adaptive Risk and Trust Assessment的缩写, 强调通过持续监控和审计来判断安全状况,没有绝对的安全和100%的信任,寻求一种0和1之间的风险与信任的平衡,并提出完整的保护=阻止+检测与响应、完整的访问保护=运行访问+验证等观点。
Gartner的CARTA模型将零信任和攻击防护相结合,形成了持续的风险和信任评估,由于该模型比较庞大和复杂,在此就不详述。
(四)CSA
国际云安全联盟于2013年成立SDP(Software Defined Perimeter,软件定义边界)工作组,由美国中央情报局(CIA) CTO Bob 担任工作组组长,并于2014年发布SPEC 1.0等多项研究成果。SDP作为新一代网络安全解决理念,其整个中心思想是通过软件的方式,在移动和云化的时代,构建一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的粗粒度控制问题,以此达到保护企业数据安全的目的。经过多年发展,SDP技术越来越被广泛应用,成为零信任最成熟的商业解决方案,Zscaler、Akamai等国外著名云安全厂商和一些国内公司如联软科技、云深互联等都有相关产品和解决方案。
(五)NIST
熟悉网络安全的都知道,美国国家标准与技术研究院NIST出台了很多网络安全相关的标准和规范,在网络安全的标准化方面发挥着重要的作用,如著名的SP800系列。2020年2月,NIST发布SP800-207:Zero Trust Architecture 草案第二版本。
草案对零信任架构ZTA的定义如下:利用零信任的企业网络安全规划,包括概念、思路和组件关系的集合、旨在消除在信息系统和服务中实施精准访问策略的不确定性。
该标准强调安全防护应该围绕着资源(数据、负载、应用等),零信任适用于一个组织内部或与合作伙伴协助完成的工作环境,并非常详细地描述了零信任架构的逻辑组件。
各主要部件的介绍如下:
策略引擎(Policy Engine):该组件通过获取多方数据(如CDM、威胁情报)来最终决定是否允许指定的主体可以对资源进行访问。
策略管理器(Policy Administrator):该组件负责建立或关闭主体与资源之间的连接。它将生成客户端用来访问企业资源的任何身份验证,令牌或凭据。它与策略引擎紧密相关,并依赖于策略引擎决定最终允许还是拒绝连接。
策略执行点(Policy Enforcement Point):此系统负责启用,监视并最终终止主体与企业资源之间的连接。这是ZTA中的单个逻辑组件,但可以分为两个不同的组件:客户端和资源端。
持续性诊断和缓解(Continuous and Diagnostics and Mitigation):该系统收集有关企业资产当前状态的信息,常见的CDM如终端安全管理系统,可将访问终端的漏洞和补丁情况提供给策略引擎做决策。
行业合规系统:此系统可确保企业遵守其可能受到的任何监管制度(例如FISMA,GDPR等),包括企业为确保合规性而开发的所有策略规则。
威胁情报源:此系统从内部或外部来源提供信息,以帮助策略引擎做出访问决策。这些服务从内部或多个外部源获取有关新发现的攻击或漏洞的信息。
数据访问策略:这是访问企业资源的规则和策略的集合。可以在策略引擎中实现录入或动态生成,比如销售人员只能访问CRM系统而不可以访问财务系统等。
PKI系统:此系统负责生成和记录企业颁发给资源、主体和应用程序的证书。
ID管理系统:此系统负责创建,存储和管理企业用户帐户和身份记录(如LDAP、4A、IAM)。
安全事件和事件管理(SIEM)系统:该系统收集和分析各种系统产生的安全事件、日志、流量,这些数据将用于完善策略并警告可能对企业资产的攻击。
从上述组件可以看出,零信任架构中的众多组件并不是新的技术或产品,而是按照零信任理念形成的一个面向用户、设备和应用的完整端对端安全解决方案。
三、真正价值
美国军队和政府一直通过一些列工程或行动提升重要机构网络安全能力,包括2006年开始的大型攻防演习“CyberStorm”、爱因斯坦工程(已多期)、CDM(持续监测与诊断计划)等,这些安全项目无穷无尽但并不能让用户知道方向在哪里,美国联邦首席信息官Kent曾说:“一直以来,我们希望有一个视角,使得各个政府机构在实施自己的安全计划时,能够考虑到一个长期的愿景。而现在达成的共识是:零信任正是这个愿景。”
美国国防部2019年发布的《数字现代化战略规划》中明确提出将零信任实施列为最高优先事项,足见美国政府和军队对零信任的重视。
四、未来展望
可以看到,近年来零信任的内涵和外延在不断发展、快速演变中,作为一种理念和新架构,ZTA能很好地指导我们进行安全规划和访问控制,实现对重要数据和应用的高强度安全保护。
开发能力强的一些甲方开始在新的业务场景和面向云的环境中开始实践和落地零信任,其中SDP成为零信任领域相对更成熟的商业解决方案。本质上,零信任是一种基于用户、设备、用户和数据的端对端的安全解决方案,在这种模式下,网络逐渐成为一个加密的通道,端点和云端的重要性愈发凸显。
零信任是万能的吗?答案是:安全没有银弹,零信任并不能解决所有的安全问题,比如面向公众互联网匿名访问的场景就难以应用零信任方案。另外,新的解决方案一定会带来新的安全问题,比如AI的污染问题,零信任架构下,网关或策略控制器成为架构的核心,其自身可靠性、扩展性和安全性至关重要,同时所有的部件也是软件实现的,自身的漏洞和缺陷难以避免。
既然零信任构建的是基于身份的新边界,那么传统边界防御模型并不需要了吗?答案也是否定的,传统防御手段和边界防御模型依然有效,身份只不过是在边界模型基础上构建的更细粒度和动态的边界,是原有防御基础上的一道新防线。
另外,可以看到,零信任是一个大的架构,没有一家公司可以提供完整的解决方案,生态体系的建设非常重要,对用户来讲,选择零信任供应商需要考虑很多因素(另文讨论)。每家希望实施零信任架构的公司都处于发展的不同阶段,零信任领域的一大玩家微软最近宣布将推出零信任评估工具,针对零信任的六个基本要素(即身份、设备、应用程序、数据、基础架构和网络)帮助用户判断他们自己的位置,评估工具还能为组织提供有关如何进入到下一阶段的建议。
Kent说:在充满挑战的安全建设这条隧道的尽头,出现了一道众所周知的亮光,它把许多安全项目和工程整合在一起,给了人们希望,零信任正是隧道尽头的光明。
当然,也许是漫长之路。
村长有话说:
零信任这个词汇翻译成中文后比较抽象,容易误解,并不像计算机世界里的0和1那么简单,如果是真正的零信任,那么主体和客体之间的初始连接关系如何建立?零信任只是摒弃默认的信任,先认证后连接,基于最小权限原则而已。
同时,从前面分析可以看到,零信任架构中的众多组件并不是新的技术或产品,但零信任是新的理念和安全规划的方法,随着SP800-207等标准的出台,零信任架构将真正从概念走向工程化、标准化。