技術(shù)
導(dǎo)讀:一種早在10年前就提出,一直在蓄勢(shì)發(fā)展的“零信任安全”,成為當(dāng)下可供企業(yè)網(wǎng)絡(luò)安全選擇的新架構(gòu)。
2020年注定要和一個(gè)詞緊緊聯(lián)系在一起,那就是安全。
新冠疫情全球蔓延,幾乎讓所有人都開始謹(jǐn)慎地減少外出,與他人保持社交距離。與之對(duì)應(yīng)的是,人們有了更多的時(shí)間花費(fèi)在電子設(shè)備和網(wǎng)絡(luò)世界當(dāng)中。
相比較于病毒肆虐所造成的人身健康的威脅,網(wǎng)絡(luò)世界的安全威脅則顯得更難以察覺。但隨著企業(yè)和個(gè)人越來越多地將自身最重要的數(shù)據(jù)資產(chǎn)存放在網(wǎng)絡(luò)端和云端,網(wǎng)絡(luò)安全的威脅也正在變得棘手和嚴(yán)重起來。
2月底,SaaS服務(wù)商微盟的業(yè)務(wù)數(shù)據(jù)遭到內(nèi)部員工故意刪庫(kù),導(dǎo)致300萬個(gè)平臺(tái)商家的小程序全部宕機(jī),眾多商家損失慘重,同時(shí)微盟市值大幅縮水。這一事件被業(yè)內(nèi)視為企業(yè)數(shù)據(jù)安全的拐點(diǎn)性事件。
4月初,受疫情影響而出現(xiàn)用戶量暴增的遠(yuǎn)程視頻軟件Zoom,卻被曝出重大安全漏洞,引發(fā)股東集體訴訟。漏屋偏逢連夜雨,最近Zoom又被曝出53萬條用戶網(wǎng)絡(luò)憑證掛在暗網(wǎng)低價(jià)出售。盡管Zoom數(shù)據(jù)泄露原因被指向是黑客的撞庫(kù)攻擊,但由于Zoom這一視頻會(huì)議軟件會(huì)涉及會(huì)議內(nèi)容、攝像頭、遠(yuǎn)程桌面等隱私問題,此次數(shù)據(jù)泄露再次引發(fā)媒體和眾多企業(yè)組織的抵制和禁用。
結(jié)合之前眾多國(guó)內(nèi)企業(yè)在用戶數(shù)據(jù)安全、隱私保護(hù)上的暴露出的種種問題,我們會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)安全仍然是企業(yè)在產(chǎn)品開發(fā)和運(yùn)營(yíng)當(dāng)中的一大短板。
而現(xiàn)在,遠(yuǎn)程協(xié)同辦公的興起也讓企業(yè)內(nèi)網(wǎng)正在面臨著新的安全威脅,由傳統(tǒng)的VPN和防火墻構(gòu)成的網(wǎng)絡(luò)安全架構(gòu),已經(jīng)難以滿足企業(yè)員工的大量外網(wǎng)的接入需要。
一種早在10年前就提出,一直在蓄勢(shì)發(fā)展的“零信任安全”,成為當(dāng)下可供企業(yè)網(wǎng)絡(luò)安全選擇的新架構(gòu)。
不信任,才是邁向最佳安全性的第一步?
關(guān)于信任的一場(chǎng)安全危機(jī),最早可能就來自于古希臘神話中的“特洛伊木馬”。希臘人制定的木馬計(jì)劃,騙取了特洛伊人的信任。木馬被他們自己迎接進(jìn)了特洛伊城,而希臘人則從內(nèi)部將其攻破。這一經(jīng)典戰(zhàn)術(shù)啟發(fā)了互聯(lián)網(wǎng)時(shí)代最猖狂的網(wǎng)絡(luò)攻擊,通過在正常的程序中植入木馬程序,就可以實(shí)現(xiàn)對(duì)被感染計(jì)算機(jī)的遠(yuǎn)程控制。
對(duì)現(xiàn)在很多企業(yè)的數(shù)據(jù)中心,傳統(tǒng)意義上的網(wǎng)絡(luò)安全就是通過一系列防火墻或者殺毒軟件的手段來防御這些外部威脅。但是如果是具有正當(dāng)憑證以及權(quán)限的用戶進(jìn)入系統(tǒng),這些外圍防御系統(tǒng)就會(huì)自動(dòng)放過,而系統(tǒng)內(nèi)部則隱含著對(duì)他們的信任關(guān)系,也就很難阻止這些用戶的不良行為。
一種是用戶賬戶被盜取后的黑客侵害行為;一種是用戶本人的侵害行為,就如微盟內(nèi)部員工的“刪庫(kù)”,而這樣的內(nèi)部損害也可能更為嚴(yán)重。
真正能夠做到系統(tǒng)內(nèi)部的數(shù)據(jù)保護(hù),目前最可行的一種方式就是零信任網(wǎng)絡(luò)訪問的模式。這一安全架構(gòu)將改變企業(yè)數(shù)據(jù)保護(hù)的現(xiàn)有規(guī)則。
所謂零信任網(wǎng)絡(luò)訪問(Zero-Trust Network Access,簡(jiǎn)稱“ZTNA)”),是在2010年由研究機(jī)構(gòu)Forrester副總裁兼首席分析師約翰·金德瓦格(John Kindervag)提出。意思是:不能信任出入網(wǎng)絡(luò)的任何內(nèi)容。應(yīng)通過強(qiáng)身份驗(yàn)證技術(shù)保護(hù)數(shù)據(jù),創(chuàng)建一種以數(shù)據(jù)為中心的全新邊界。簡(jiǎn)單說就是“從不信任,總是驗(yàn)證”。
為什么企業(yè)需要進(jìn)行零信任網(wǎng)絡(luò)訪問呢?
首先是全球經(jīng)濟(jì)因?yàn)榫W(wǎng)絡(luò)安全問題導(dǎo)致的損失在逐年增加,預(yù)計(jì)到2021年因網(wǎng)絡(luò)網(wǎng)絡(luò)犯罪所致全球經(jīng)濟(jì)損失總額將達(dá)6萬億美元。而世界上重大的數(shù)據(jù)泄露事件都是由于黑客攻破企業(yè)防火墻之后,在內(nèi)部網(wǎng)絡(luò)擁有全部訪問權(quán)限而暢通無阻造成的。
盡管企業(yè)的信息網(wǎng)絡(luò)安全的支出每年都在增加,但是傳統(tǒng)的安全方法難以應(yīng)對(duì)日趨嚴(yán)峻的安全威脅態(tài)勢(shì),轉(zhuǎn)變舊的安全邊界的防護(hù)思維和方法成為破題之策。
另外,最重要的一個(gè)變化就是企業(yè)的安全邊界正在模糊。受到企業(yè)數(shù)字化轉(zhuǎn)型和云計(jì)算業(yè)務(wù)增長(zhǎng)的影響,以防火墻和VPN為代表的傳統(tǒng)安全技術(shù)構(gòu)建的企業(yè)邊界正在被云業(yè)務(wù)的場(chǎng)景模式給瓦解。眾多的外部訪問擴(kuò)大了向企業(yè)內(nèi)部滲透的攻擊威脅。
這樣“內(nèi)部等于可信任”和“外部等于不可信任”的傳統(tǒng)網(wǎng)絡(luò)安全觀念就需要打破,而零信任網(wǎng)絡(luò)訪問的“驗(yàn)證才信任”的優(yōu)勢(shì)也就突顯出來了。
如何實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全?
零信任網(wǎng)絡(luò)訪問,需要企業(yè)根據(jù)用戶、所處位置和其他數(shù)據(jù)等條件,建立微隔離和細(xì)粒度邊界規(guī)則,來確定是否可以信任向企業(yè)特定范圍訪問權(quán)限發(fā)起請(qǐng)求的用戶、主機(jī)或者是應(yīng)用。實(shí)現(xiàn)零信任網(wǎng)絡(luò)訪問,要做到:第一,要確認(rèn)用戶身份,通過交叉驗(yàn)證確保是用戶本人的登錄操作;第二,要保證用戶所用終端是否安全;第三,建立條件限制策略,明確訪問權(quán)限。第四、訪問控制需要符合最小權(quán)限原則進(jìn)行細(xì)粒度授權(quán),基于盡量多的屬性進(jìn)行信任和風(fēng)險(xiǎn)度量,實(shí)現(xiàn)動(dòng)態(tài)自適應(yīng)訪問控制。
零信任網(wǎng)絡(luò)訪問需要依靠多因子身份認(rèn)證、身份與訪問管理、編排、分析、加密、安全評(píng)級(jí)和文件系統(tǒng)權(quán)限等技術(shù)來做上述工作。
眾多企業(yè)的IT部門已經(jīng)在其網(wǎng)絡(luò)環(huán)境中部署了多因子身份驗(yàn)證、身份與訪問管理和權(quán)限管理通,常會(huì)采取軟件定義邊界(SDP)和微隔離技術(shù),來有效阻隔服務(wù)器或者網(wǎng)段之間的訪問權(quán)限。
軟件定義邊界憑借更細(xì)粒度的控制、更靈活的擴(kuò)展、更高的可靠性,正在改變傳統(tǒng)的遠(yuǎn)程連接方式。而網(wǎng)絡(luò)微隔離是在傳統(tǒng)的區(qū)域架構(gòu)下,進(jìn)一步細(xì)分區(qū)域內(nèi)的網(wǎng)絡(luò)以增強(qiáng)安全性。微隔離常用于數(shù)據(jù)中心網(wǎng)絡(luò)中,以細(xì)分區(qū)域內(nèi)的應(yīng)用程序,可以實(shí)現(xiàn)對(duì)工作流級(jí)別的細(xì)粒度隔離和可視化管理,正在成為虛擬化環(huán)境下網(wǎng)絡(luò)隔離優(yōu)選方案。
當(dāng)然,建立零信任安全環(huán)境,不僅僅是實(shí)現(xiàn)這一單點(diǎn)技術(shù),而是要在這些技術(shù)的應(yīng)用中始終貫徹“無驗(yàn)證即不信任”的理念。
零信任作為一種全新的安全理念,應(yīng)該成為企業(yè)決策者未來堅(jiān)持推行的舉措。據(jù)舊金山計(jì)算機(jī)安全研究所的統(tǒng)計(jì),60%到80%的網(wǎng)絡(luò)濫用事件來自內(nèi)部網(wǎng)絡(luò),對(duì)內(nèi)部人的信任所造成的危害程度,遠(yuǎn)遠(yuǎn)超過黑客攻擊和病毒造成的損失。企業(yè)需要調(diào)整思維方式,讓零信任理念也成為管理者和員工自覺遵守的行為準(zhǔn)則。
實(shí)際上,零信任架構(gòu)更適合于企業(yè)在向云端遷移的環(huán)境中搭建。而那些有著復(fù)雜IT環(huán)境和大量舊系統(tǒng)的大型企業(yè),需要把零信任架構(gòu)遷移看做是多階段、長(zhǎng)時(shí)間的一項(xiàng)整體工程來對(duì)待。零信任架構(gòu)作為企業(yè)整體數(shù)字轉(zhuǎn)型戰(zhàn)略的一部分,實(shí)現(xiàn)那些有助于在云遷移過程中達(dá)成零信任的技術(shù),然后淘汰掉那些老舊的遺留系統(tǒng)。
也就是先有整體設(shè)計(jì),再采取相應(yīng)技術(shù)。
零信任網(wǎng)絡(luò)安全的應(yīng)用實(shí)踐
2018年,Gartner 提出零信任是進(jìn)行持續(xù)自適應(yīng)的風(fēng)險(xiǎn)和信任評(píng)估(CARTA)的第一步。零信任要按照需要對(duì)不同身份(設(shè)備、用戶和網(wǎng)絡(luò)流量)授予區(qū)別化和最小化的訪問權(quán)限,并通過持續(xù)認(rèn)證改變“通過認(rèn)證即被信任”的防護(hù)模式。
國(guó)內(nèi)外企業(yè)基于對(duì)零信任安全框架的理解,開展了技術(shù)探索和布局。
在軟件定義邊界上,谷歌的Beyond Corp基于設(shè)備、用戶、動(dòng)態(tài)訪問控制和行為感知策略實(shí)現(xiàn)其零信任構(gòu)想,所有流量通過統(tǒng)一的訪問代理來實(shí)現(xiàn)認(rèn)證和授權(quán),實(shí)時(shí)更新信息庫(kù)中的用戶、設(shè)備、狀態(tài)、歷史用戶行為可信度等相關(guān)信息,利用動(dòng)態(tài)的多輪打分機(jī)制對(duì)請(qǐng)求來源進(jìn)行信任層級(jí)劃分,從而進(jìn)一步實(shí)現(xiàn)層級(jí)內(nèi)的最小權(quán)限控制。
筆者這里就有一個(gè)比較慘痛的教訓(xùn)。我一直在嘗試找回一個(gè)十多年前注冊(cè)的Gmail賬戶,但因?yàn)槭褂玫氖謾C(jī)號(hào)碼已經(jīng)注銷,因此通過其他任何方式驗(yàn)證,我也始終無法再找回該賬戶。這可能也意味著谷歌的零信任驗(yàn)證實(shí)在是過于謹(jǐn)慎了。
此外,像思科、Verizon以及國(guó)內(nèi)的云深互聯(lián)等企業(yè)都推出了基于零信任的SDP服務(wù)方案。
在微隔離技術(shù)上,網(wǎng)絡(luò)安全初創(chuàng)企業(yè)Illumio的自適應(yīng)安全平臺(tái)以微隔離技術(shù)為基礎(chǔ),在分隔策略配置方面,應(yīng)用人工智能學(xué)習(xí)網(wǎng)絡(luò)流量模式,提供多種便捷配置模式和可視化展示。國(guó)內(nèi)的薔薇靈動(dòng)、山石網(wǎng)科等企業(yè)也在微隔離、可視化安全解決方案上進(jìn)行積極探索。
根據(jù)Gartner在《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》做出的戰(zhàn)略規(guī)劃假設(shè),到2022年,80%向生態(tài)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用將通過零信任網(wǎng)絡(luò)訪問接入;到2023年,將有60%的企業(yè)將淘汰大部分的VPN,而使用零信任網(wǎng)絡(luò)訪問。
當(dāng)前,在我國(guó)企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)上云等趨勢(shì)的推動(dòng)下,業(yè)務(wù)模式轉(zhuǎn)換和遷移上云將為零信任網(wǎng)絡(luò)安全提供實(shí)踐的平臺(tái),進(jìn)而可以充分利用內(nèi)部業(yè)務(wù)、數(shù)據(jù)、設(shè)備等信息,形成持續(xù)、動(dòng)態(tài)和細(xì)粒度的零信任安全防護(hù)方案。
同時(shí)對(duì)于傳統(tǒng)的安全廠商而言,積極推動(dòng)全新的網(wǎng)絡(luò)安全技術(shù)和安全理念的變革,將零信任理念與傳統(tǒng)身份管理與訪問控制等技術(shù)融合,發(fā)揮傳統(tǒng)安全廠商在身份管理領(lǐng)域的深耕優(yōu)勢(shì),推動(dòng)零信任理念與傳統(tǒng)技術(shù)的深度融合,這樣基于零信任的動(dòng)態(tài)身份管理和訪問權(quán)限控制解決方案才有望加速落地。
正如前面微盟、Zoom案例所體現(xiàn)的,如果企業(yè)在網(wǎng)絡(luò)安全上沒有給予足夠的重視,在網(wǎng)絡(luò)安全意識(shí)和理念上仍然沿用傳統(tǒng)的技術(shù)思路,就會(huì)因?yàn)橐淮蔚氖д`而引發(fā)極為嚴(yán)重的安全危機(jī)和巨大的經(jīng)營(yíng)風(fēng)險(xiǎn)。
在事關(guān)企業(yè)的生存與發(fā)展大事面前,將網(wǎng)絡(luò)安全當(dāng)作企業(yè)的生命線也不為過,而推動(dòng)零信任模式的網(wǎng)絡(luò)安全體系升級(jí)也就必須提上眾多企業(yè)的議事日程了。