【易安联】安全都是有边界的,零信任也不例外
随着云计算、虚拟化、大数据、物联网等新兴技术的迅猛发展,企业 IT 架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解,与此同时,秉承“去边界化”安全理念的零信任逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。
一、“零信任”安全的发展历程
2004 年,一批 IT 安全管理者在 Jericho 论坛提出,在复杂的企业 IT 网络中,传统的网络边界正在消失,防火墙和其他边界网关已成为阻碍电子商务发展的绊脚石,在建设企业网络时应该消除这种边界(即“去边界化”)。但反对者认为这是一种令人非常困惑的做法,“去边界化”后,网络安全防护体系该如何构建呢?这在当时是一个难以回答的问题。
2010 年,Forrester 分析师约翰·金德维格提出“零信任”概念,为业界勾勒了零信任安全的蓝图,自此,越来越多的网络安全专家开始将目光转向“零信任”。2020 年 2 月,美国国家标准与技术研究院发布《SP800-207:Zero Trust Architecture》(第二版草案),标志着“零信任”从理念走向工程实践甚至标准化。纵观零信任安全从萌芽到逐渐成熟,“边界问题”一直是零信任致力要解决的核心问题,也是理解“零信任”关键。
二、围绕 IT 资产,重构安全边界
在传统基于边界安全模型的 IP 网络中,安全边界与网络边界是重叠的。企业 IT 网络建设时,首先考虑如何通过基础网络和业务系统建设满足企业的业务需要,然后再按照网络安全策略的总体要求,在网络边界上部署相应的安全设备,形成安全边界。也就是说,网络建设的总体进度表现为“先畅通,后安全”,安全边界叠加在网络边界之上。
另外,基于边界安全模型的网络安全产品过于关注对界外(Outside-In)攻击的防范,天生具有“防外不防内”的基因缺陷,导致它们无力应对来自网络内部的界内(Inside-Out)攻击。一旦攻击者突破边界或内网中出现了恶意用户,则边界对他们形同虚设。
基于边界的网络安全模型的特点是部署简单,安全建设成本低,但边界位置不够灵活,一旦受保护资源或攻击者的位置发生变化,则安全边界无法对敏感资产提供任何保护。这也是 Jericho 论坛认为边界网关已经过时的一个主要原因,但遗憾的是他们虽然意识到要消除边界网关,但却没能提出如何重建安全边界。
从访问控制的本质上来看,无论采取何种网络安全架构,都需要在访问主体与客体之间设置一道“隔离栅栏”(即安全边界),以便对受保护资源实施访问控制。当主、客体位置相对固定且可以形成稳定边界时,基于边界的安全模型当然可以胜任。但是随着 IT 资源的外迁“云化”,当主、客体位置可以发生变化且可能随时发生变化时,紧密围绕敏感资源,建设动态可控的“数字化”安全边界就成了唯一的解决方案。
三、丢掉信任幻想,边界随资源而生
IP 网络中的“信任”如同网络中的其他弱点一样,应当逐渐地被消除掉。“零信任”的理念从边界模型“信任但验证”转换到“永不信任,持续验证”的模式,其主旨是消除网络内不合理的信任关系。NIST 提出,“零信任”安全的网络设计下要遵循以下七点基本原则:
① 网络中所有的数据源和计算服务都被认为是资源,包括用户、设备、数据、服务等;
② 资源之间的所有通信都必须满足相应的安全要求(身份鉴别、机密性、完整性保护等),而且与资源的网络位置无关;
③ 对每个资源的访问授权均以一次访问会话为周期,当且仅当请求方通过身份认证后,方可授予其最小访问权限(遵循最小权限原则);
④ 对资源的访问授权是通过动态策略决定的,影响策略判决结果的因素包括用户身份、应用/服务、目标资源的状态,以及与安全态势相关的行为或环境因素等;
⑤ 企业持续监控和测量所有 IT 资产的安全状态,以便对处于不同安全态势下的资源采用不同的安全策略;
⑥ 所有资源的认证、授权是动态完成的,并且必须在允许访问前完成;
⑦ 企业尽可能收集 IT 资产的实时状态数据(如网络流量、访问请求的元数据),以便评估网络的安全态势。
上述原则是零信任网络的顶层设计原则,其对资源的定义隐含了在零信任架构下,安全边界的位置以及所保护的对象(即资源)的粒度。为了实现零信任的安全边界,NIST 提出了零信任架构的三种实施途径:
l 采用增强的身份管理系统。将访问主体的身份作为创建资源访问策略的关键因素,对资源的访问策略取决于主体的权限,但发起设备、资产状态等因素可能影响最终的授权级别。
l 采用微隔离(Micro-Segmentation)。将受保护资源(组)划入特定的隔离网段,并通过安全网关(如由 NGFW 充当 PEP)对该网段进行保护,要求安全网关具备“快速重配置”能力,以便能够实时响应工作流的变化和网络威胁。
l 采用软件定义边界(SDP)。利用 SDN 的思想,在底层基础网络上构建覆盖(Overlay)网络。网络控制器(由 PA 担任)按照 PE 的策略判决结果重新配置网络,访问请求通过由 PA 管理的 PEP 进行转发。
四、选择零信任,助力 IT 资产安全
由于 TCP/IP 协议自身的缺陷,试图在网络实体之间建立信任关系是非常困难的,网络实体的标识问题、公信的第三方缺失等都在阻碍信任评估体系的建设,最终导致实体间缺少建立信任的基础。
零信任作为一种概念、模型、体系框架,放弃了“边界”安全模型中不安全的信任假设,重新审视 IT 资源网中信任关系的建立、维系方式,通过改变网络资源的访问方式,减少暴露面和攻击面,为企业网络重建基于策略(按需、动态地)的安全边界,使网络安全管理能够更灵活地应对各个复杂的网络变化和事件。
零信任主要价值是指导安全体系规划建设,是对当前企业级网络发展趋势的回应。随着企业办公场景越来越多样化,业务上云趋势加快,传统基于边界防御以及默认信任内网的安全建设方式将难以有效应对挑战,企业将越来越认可零信任“永不信任、持续验证”对企业网络安全建设的价值,零信任将成为网络安全未来发展的重要方向。
本文首发于【权说安全】公众号。
评论