【零信任】零信任将成为数字时代主流的网络安全架构
2021-04-21
来源:计算机与网络安全
数字时代下,云大物移等新兴技术的融合与发展使得传统边界安全防护理念逐渐失效,而零信任安全建立以身份为中心进行动态访问控制,必将成为数字时代下主流的网络安全架构。
1、零信任将成为数字时代主流的网络安全架构(1)零信任是面向数字时代的新型安全防护理念零信任是一种以资源保护为核心的网络安全范式。
零信任安全简要归纳和概况:1)网络无时无刻不处于危险的环境中;2)网络中自始至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。
因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基于认证和授权重构访问控制的信任基础。零信任的雏形最早源于 2004 年耶利哥论坛提出的去边界化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的术语。经过近十年的探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。
数字时代下,旧式边界安全防护逐渐失效。传统的安全防护是以边界为核心的,基于边界构建的网络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM 及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。这种建设方式一定程度上默认内网是安全的,而目前我国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网络攻防对抗中也暴露出弊端。而云大物移智等新兴技术的应用使得 IT 基础架构发生根本性变化,可扩展的混合 IT 环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。面对日益复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。
(2)“SIM”为零信任架构的三大关键技术
零信任的本质是以身份为中心进行动态访问控制。零信任对访问主体与访问客体之间的数据访问和认证验证进行处理,其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。访问主体通过控制平面发起访问请求,经由信任评估引擎、访问控制引擎实施身份认证及授权,获得许可后系统动态数据平面,访问代理接受来自主体的数据,从而建立一次可信的安全访问链接。过程中,信任评估引擎将持续进行信任评估工作,访问控制引擎对评估数据进行零信任策略决策运算,来判断访问控制策略是否需要作出改变,若需要作出改变时,将及时通过访问代理中断此前连接,从而有效实现对资源的保护。综上,可将零信任架构原则归纳为以下五个:
将身份作为访问控制的基础:零信任架构对网络、设备、应用、用户等所有对象赋予数字身 份,基于身份来构建访问控制体系;最小权限原则:零信任架构中强调资源按需分配使用,授予的是执行任务所需的最小特权, 并限制资源的可见性;实时计算访问控制策略:零信任的授权决策根据访问主体的身份、权限等信息进行实时计算, 形成访问控制策略,一旦授权决策依据发生变化,将重新进行计算,必要时将即时变更授权 决策;资源受控安全访问:零信任架构对所有业务场景及资源的每一个访问请求都进行强制身份识 别和授权判定,符合安全策略才予以放行,实现会话级别的细粒度访问控制,同时所有的访 问连接均须加密;基于多源数据进行信任等级持续评估:零信任架构中访问主体的信任等级是根据实时多源数 据(如身份、权限、访问日志等)计算得出,人工智能技术提高了信任评估策略的计算效率, 实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。
“SIM”,即 SDP(软件定义边界)、IAM(身份与访问管理)、MSG(微隔离)是实现零信任 架构的三大关键技术。NIST(美国国家标准委员会)在 2019 年发布的《零信任架构 ZTA》白皮书中,总结出实现零信任架构的三大核心技术“SIM”,分别是“S”,即 SDP(软件定义边界);“I”,即 IAM(身份与访问管理);“M”,即 MSG(微隔离)。
1) SDP(软件定义边界)
SDP 技术是通过软件的方式,在“移动+云”的背景下构建起虚拟 ,利用基于身份的访问控制及 完备的权限认证机制提供有效的隐身保护。SDP 是由云安全联盟(CSA)开发的一个安全框架,其体系结构主要包括 SDP 客户端、SDP 控制器及 SDP 网关这三个组件,其中客户端主要负责验证用户身份,将访问请求转发给网关,控制器负责身份认证及配置策略,管控全过程,网关主要保护业务系统,防护各类网络攻击,只允许来自合法客户端的流量通过。SDP 可将所有应用程序隐藏,访问者不知应用的具体位置,同时所有访问流量均通过加密方式传输,并在访问端与被访问端之间点对点传输,其具备的持续认证、细粒度的上下文访问控制、信令分离等防御理念可有效解决企业业务拓展中的安全问题,成为了零信任理念的最佳践行之一。
2)IAM(身份与访问管理)
全面身份化是零信任架构的基石,零信任所需的 IAM 技术通过围绕身份、权限、环境等信息进行有效管控与治理,从而保证正确的身份在正确的访问环境下,基于正当理由访问正确的资源。随着 数字化转型的不断深入,业务的云化、终端的激增均使得企业 IT 环境变得更加复杂,传统静态且封闭的身份与访问管理机制已不能适应这种变化,因此零信任中的 IAM 将更加敏捷、灵活且智能, 需要适应各种新兴的业务场景,能够采用动态的策略实现自主完善,可以不断调整以满足实际的安全需求。
3)MSG(微隔离)
微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。当前微隔离方案主要有三种技术路线,分别是云原生微隔离、API 对接微隔离以及主机代理微隔离,其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。
(3)零信任安全应用场景丰富
今年在疫情及新基建的双重刺激下,远程办公、云计算得到快速发展,政府大数据快速推进,对于零信任安全建设的必要性亦大大增强。而基于零信任的安全架构可以很好地兼容云计算、大数据、物联网等各类新兴应用场景,支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构。如适用于远程办公的零信任安全架构,不再区分内外网,在人员、设备及业务之间构建虚拟的、基于身份的逻辑边界,实现一体化的动态访问控制体系,不仅可以减少攻击暴露面,增强对企业应用和数据的保护,还可通过现有工具的集成大幅降低零信任潜在建设成本。在大数据中心的应用场景中,东西向流量大幅增加,传统以南北向业务模型为基础研发的安全产品已不适用,零信任架构可通过微隔离技术实现有效防护。
零信任架构具备多种灵活的实现部署方式,适应多场景。现代 IT 环境下,业务场景呈现多样化趋势,根据访问主客体、流量模型以及业务架构可将这些场景归纳为三大类:业务访问、数据交换以及服务网格场景。其中业务访问场景是指用户访问业务应用的场景,是零信任架构的主要应用场景,包含移动办公、PC 办公等各类子场景,成功的零信任解决方案能够满足不同访问主体(如内部员工、临时员工以及外部人员等)、不同设备对各种应用协议的业务访问需求,在保持整体相同架构情况下具有高度适应性。大数据时代下数据交换场景变得更加频繁,相应的零信任解决方案需要有效应对接口多样化、运行环境多样化等挑战。服务网格场景,即数据中心内部服务器间的多方交互场景,是对业务架构嵌入最深的场景,由于节点数量较多,对零信任架构中的动态访问控制引擎及信任评估引擎要求更高。
2、零信任已从概念走向落地,迎来强劲风口
(1)中美双双加码零信任安全
2019 年起美国相关组织陆续发布了多项零信任相关的报告或标准。2019 年 4 月,ACT-IAC(美国技术委员会—行业咨询委员会)发布了《零信任网络安全当前趋势》,对当前零信任的技术成熟度及可用性进行评估,随后 DIB(国防创新委员会)、NIST(美国国家标准委员会)均发表了零信任相关 的报告或标准,其中《零信任架构》标准正式版也于今年 8 月 11 日发布,此外,Forrester 在《 2019 年度预 测:转型走向务实》中明确指出零信任将在美国某些特定的领域成为标准的、阶段性的网络安全架构。
值得注意的是,美国国防部已明确将零信任实施列为最高优先事项。无论是 DIB(国防创新委员会) 提出的《零信任架构(ZTA)建议》还是 2019 年美国的《国防部数字现代化战略》中,均将零信任实施列为最高优先事项,侧面反映出美国政府及军队对于零信任架构的深刻认知和重视。
我国零信任亦紧锣密鼓地展开,标准及应用案例逐渐落地。2019 年 9 月,工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中将“零信任安全”列入需要“着力突破的网络安全关键技术”。2019 年 7 月腾讯牵头提交的《零信任安全技术—参考框架》行业标准通过评审,成为我国首个立项的零信任安全技术行业标准。此外,奇安信发起的零信任首个国家标准《信息安全技术零信任参考体系架构》已成功立项。同时,自 2019 年起国内部分机构也开始将零信任作为新建 IT 基础设施的安全架构,能源、银行、通信等行业也针对新型业务场景开展零信任技术的研究及试点工作。
(2)零信任安全正在普及应用
零信任架构成为企业 IT 安全建设的必然选择。2019 年底,Cybersecurity Insiders 联合 Zscaler 发布 的《2019 零信任安全市场普及行业报告》指出,62%的受访者表示目前最大的应用程序安全挑战是确保对分布在数据中心和云环境中的私有应用程序的访问安全,对此企业所采用的安全措施主要是身份和访问管理(72%)、数据丢失预防(51%)、BYOD/移动安全(50%)等,这些措施均与零信任相关。报告指出,78%的 IT 安全团队希望在未来应用零信任架构,19%的受访者正积极实施零信任,而 15%的受访者已经实施了零信任,零信任安全正迅速流行起来。
此外,受访者表示零信任被看重的优点在于零信任安全访问能够提供最低权限的访问来保护私有应用程序(66%)、应用程序不再暴露给未经授权的用户或互联网(55%)以及访问私有应用程序不再需要网络访问(44%)。而通过落地的零信任应用领域看,主要集中在安全访问运行在混合和公共云环境中的私有应用程序(37%)、使用现代远程访问服务取代 VPN(33%),以及控制对私有应用程序的第三方访问(18%)。
零信任作为全新的安全理念,需要基于业务需求、安全运营现状、技术发展趋势等对零信任能力进行持续完善和演进。零信任的迁移并不是一蹴而就,需要结合企业现状、同一目标和愿景进行妥善规划和分布建设。Gartner 的《零信任访问指南》认为到 2022 年,在向生态合作伙伴开放的新数字业务应用程序中,80%将通过零信任进行网络访问,到 2023 年,60%的企业将采用零信任替代大部分远程访问虚拟专用网(VPN)。
(3)海外零信任产业已初具规模,国内即将步入建设高峰海外零信任起步较早,目前已初具规模。Google、Microsoft 等巨头率先在企业内部实践零信任并推出了完整的解决方案;OKTA、Centrify、Ping Identity 等为代表的身份安全厂商推出“以身份为中心”的零信任方案;Cisco、Symantec、VMware、F5 等公司推出了偏重于网络实施方式的零信 任方案;此外 Vidder、Cryptzone、Zscaler、Illumio 等创业公司亦表现。根据 Forrester 在 2020 年二季度对于零信任产业的统计数据,按照零信任解决方案收入规模,市场的供应商可分为三类,其中零信任相关营收超过 1.9 亿美元的厂商已超过 10 家,海外零信任已经进入规模化产业发展阶段。
国内安全厂商积极布局零信任。尽管 Forrester Wave 的零信任扩展的生态系统平台提供商矩阵中未见国内安全厂商身影,但奇安信、深信服、启明星辰、绿盟科技等厂商始终关注国际网络安全技术发展趋势,均推出了相应的零信任整体解决方案。此外,山石网科、云深互联等厂商亦积极推动 SDP、微隔离等零信任技术方案的落地应用。在零信任快速普及的背景均有望迎来良好的发展机遇。
数字时代下,云大物移等新兴技术的融合与发展使得传统边界安全防护理念逐渐失效,而零信任安全建立以身份为中心进行动态访问控制,必将成为数字时代下主流的网络安全架构。当前海外零信任产业已进入规模化发展阶段,国内厂商已陆续推出自身的零信任产品或解决方案。在零信任安全逐渐普及的背景下,我们认为两类厂商最为受益:一是综合实力强劲并已有相应产品或解决方 案推出的网络安全公司;二是在 SDP、IAM、MSG 或是某一应用场景具备突出优势的厂商。