由于社会发展,产生多种IT 环境、云环境或混合环境,因此越来越需要遵循零信任安全原则,即“永不信任,持续验证”。然而,在实施零信任解决方案过程产生的困惑,令企业误以为,如果没有全新的零信任安全解决方案,就无法实现零信任。
然而事实是,零信任是供用户遵循的策略,而非其所购买的技术。本文简单介绍零信任,也让大家了解:企业可能比其想象的更接近实现零信任。
零信任:入门知识
早在2010年,John Kindervag 在 Forrester 担任分析师时就创造了零信任。然而,零信任在过去几年才真正受到关注,这是因为以前企业的安全重心是“边界安全”(即重点保护企业内部网络边界),随着社会发展,云环境、远程工作等等逐渐成为了主流。目前,大多数企业使用云基础设施、拥有远程用户,企业网络与外部世界的界限不再清晰,传统的基于边界的安全方法已不足以应对。
现代 IT 基础架构的复杂性,也导致边界模糊。通常,企业使用多个云提供商的服务(可降低成本存储)、SaaS(软件即服务)应用,以及供软件测试和开发的基础设施。员工和外部用户通过自己的笔记本电脑或移动设备远程连接公司资源。拥有总部和远程分支机构的公司,则会有更复杂的IT架构。
零信任,取消了基于位置或所有权而赋予用户、设备或其他资产的默认信任,取而代之的是“永不信任,持续验证”。因此零信任指,基于身份认证和授权重新构建的访问控制的信任基础,来对用户、设备和其他资产进行动态认证身份和授权,从而实现无论用户或设备从哪里连接到资源(数据、应用程序、服务),都能提供更安全的保护。零信任策略成功的关键要素是:在不影响用户工作效率的情况下,持续评估访问权限并做出动态访问决策。
因此,如果采用零信任,即不提供默认信任并假设存在攻击者,企业可以更有效地分析其资产的风险,并实施保护措施。在零信任环境中,这些措施包括“遵循最小权限访问原则”和“评估每个访问请求的安全性”,它们可以有效确保安全和防止数据泄露。
零信任架构:策略和技术
零信任取决于如何配置策略和技术。策略实施点(PEP)可以是安装在客户端设备上的网关、设备或代理,策略实施点用于启用、监控和停止用户/设备与企业资源之间的连接。 PEP 与集中式策略组件进行通信,该组件最终决定是否授予、拒绝或撤销对特定资源的访问权限。
零信任策略组件会进行调整,调整依据是特定的企业安全策略(数据访问、合规等)和其他来源,例如身份管理解决方案、公钥基础设施、SIEM、威胁情报源(Threat Intelligence Feeds)和活动日志。策略组件可以是特定的云服务、构成提供零信任的解决方案的基础,或是在现有身份管理解决方案之上所进行的自定义编码和分层。
零信任的两种关键方法
零信任的两个核心组件是身份组件和网络组件。零信任策略的基础可以分为身份驱动或网络驱动。全面的零信任策略通常会包含这两种方法。
身份驱动
身份驱动方法使用身份(用户和设备的身份)作为创建和执行策略的关键组件。对于授予每个资源权限的请求,策略组件会根据用户的访问权限、使用的设备、位置和其他环境因素等,而做出最终决策。
网络驱动
网络驱动的方法侧重于网络的微区段(micro-segmentation)。通过微区段,您可以将 IT 资源分成相似的组,并将它们分配到受网关设备(例如网络交换机或防火墙)保护的唯一网络区段。身份管理解决方案仍发挥作用,即确定用户是否可以访问资源,但保护每个资源或资源组的是网关,而不是身份管理解决方案。
如何判断企业的零信任实现程度?
云安全联盟(Cloud Security Alliance ,CSA)2022 年关于零信任安全状况的报告(请点击2022 report)指出,90% 的公司正在实施零信任策略。但是企业无法确定,完成实施需要多长时间或目前进展如何。这种情况可能源于营销活动,因这些活动让安全负责人觉得,他们可能需要用零信任工具替换大部分企业现有的安全解决方案。
其实,企业可以通过许多不同的方式实现来实现零信任。没有单一的解决方案可以实现零信任,只有了解根本原理并精心挑选所需的工具组合,才能实现零信任。而且,企业目前已经在使用的多种解决方案,是可以构成零信任生态系统基础的。
以下是可构成零信任实现的解决方案简要列表。请查看和核对,企业目前是否已拥有它们。
- 软件定义的WAN SD-WAN:在新冠病毒肆虐期间,许多企业将 VPN 替换为 SD-WAN,以提供一种更有效、更安全的方法将远程用户连接到企业资源。SD-WAN搭配零信任策略(或实施),以确保远程连接安全,且不会导致性能瓶颈。
- 攻击面管理:零信任的一个重要部分是发现、分类和监控网络入口点的风险变化。如果企业已有相关的攻击面管理解决方案,则意味着企业能实现零信任的部分要求。
- 多因素身份认证(MFA)和访问管理:成功的零信任实施始于可靠的身份认证和访问管理工具。通过要求用户向业务应用和服务提供两种或更多类别的验证身份证据(即MFA),企业可以根据零信任原则加强整个环境的访问安全性。企业可能已为部分或全部业务应用设置了此功能。此外,应该有访问管理解决方案,以控制用户可以以什么样的角色访问哪个应用。
- 身份管理:身份管理系统在零信任中发挥着关键作用,而企业目前可能已经在使用它。身份管理系统用于创建、存储和管理企业用户账号及其关联的身份记录。用于决定是否赋予访问权限的关键信息来源于身份管理系统,例如名称、角色、访问权限属性、分配的资源、机器身份的PKI证书。
- 安全信息和事件管理(SIEM):许多企业使用 SIEM 解决方案来收集和分析来自多个工具和应用的日志和事件数据。在零信任中,可以输入 SIEM 解决方案的信息到策略组件中,以通知实时潜在威胁。
企业很可能在不知不觉之中,已经实现了零信任这一策略的方方面面。
安讯奔如何加速企业的零信任实施
虽然企业已经实施了零信任策略的一些方面,但大多数企业对零信任的规划是比较长远的。安讯奔的两种解决方案,可有效加速企业的零信任实施:
- AccessMatrix™ 通用认证服务器(UAS),可满足零信任中的强身份认证要求(即MFA)。UAS支持多种认证机制和移动认证。
- AccessMatrix™ 通用访问管理(UAM),提供 Web 访问管理和安全 API,供开发人员根据访问控制策略紧密集成 Web 和非 Web 应用。 这种策略驱动的方法,令企业符合零信任的对在多个异构平台上运行的多层应用的访问要求。