下载掌阅APP,畅读海量书库
立即打开
所有伟大的技术变革都是顺应时代发展的潮流而生的。过去我们一般假设,外网是不可信的,而内网是可信的。基于这个假设,企业在边界处部署防火墙、WAF、IPS 等网络安全产品进行防御,通过建设一层又一层的“城墙”,将可信的内网和不可信的外网隔离开,让内网用户自由地连接企业的网络资源。
这种传统的安全模式一度是非常简单有效的。但是随着云和移动办公时代的到来,原本清晰的安全边界逐渐模糊,“城墙式”安全模式的不足逐渐显露。零信任理念就是在这个背景下诞生的。
1)移动办公让人脱离安全边界
随着移动办公的兴起,大量用户从内网走到了外网,脱离了企业的安全边界。用户需要随时随地访问数据资源,而移动办公、远程办公还在加速发展。
图1-1
2)业务上云让应用脱离安全边界
为了支持业务的发展,业务上云已经成为越来越多企业的必然选择,企业的IT架构逐步从单机房模式演进到云模式,访问者的身份也不再可控。人和业务应用之间的连接、服务和服务之间的连接,都脱离了传统安全边界的范围,如图1-1所示。
人和业务脱离内网之后,网络结构变得复杂,暴露面极速扩大。以边界保护数据中心的传统网络安全模式,无法对抗黑客的不断渗透。黑客可以利用漏洞和弱密码攻击暴露在外的服务器,也可以通过网络钓鱼入侵用户设备……频繁发生的网络安全事件一次次地证明了传统网络安全模式的不可信。企业需要一种新型网络安全架构来应对挑战。
传统安全模式在某种程度上假设内网用户、设备和系统是可信的,忽视了来自内网的威胁。企业一般专注于对外部的防御,内网用户的访问行为往往只受到很少的限制。
随着网络攻击手段的提升和APT攻击的泛滥,在复杂的网络环境中,当网络边界过长时,企业网络很难防御住单点进攻。攻击者一旦突破企业的安全边界,就如入无人之境,网络边界也变成了马其诺防线。攻击者可能首先通过网络钓鱼、零日漏洞突破边界的防御,然后在内网肆意传播恶意代码,或者以入侵的服务器为跳板,进一步横向攻击内网的其他服务器。因此,企业不能再完全依赖以边界为中心的防御体系了,而需要一种对所有用户和设备都适用的访问控制体系。
安全边界逐渐模糊的问题,是所有企业和组织共同面临的。“零信任”一词被明确提出之前,不少组织其实已经探索出了一些有效的应对原则和模型,与后来的零信任理念非常相似,可以称为零信任的雏形。
2004年左右,一个名为Jericho Forum的组织提出了一种“去边界化的网络安全架构”,主张去除对内网的隐式信任。他们假设环境中处处存在危险,没有固定的安全区域。所以,安全防护必须覆盖所有用户和网络资产,所有流量都要经过身份验证。
美国国防部建立了名为“BlackCore”的安全模型,他们主张从“边界防御”转变为“对每个用户行为进行信任评估”,让身份和权限变成新的“边界”。
2010年,Forrester分析师John Kindervag在文章 No More Chewy Centers:Introducing The Zero Trust Model Of Information Security 中提出了“零信任”这个概念,并在文章 Build Security Into Your Network’s DNA:The Zero Trust Network Architecture 中描绘了最初的零信任模型。零信任概念开始得到业界关注,John Kindervag本人也被称为“零信任之父”。
此时的零信任理念中最重要的一点就是,强调不再区分可信和不可信,所有的网络流量都应被视为是不可信的。这也是“零信任”架构名称的由来。
要实现这一点,网络架构需要做出相应改变。
(1)网络中需要存在一个中心网关,强制让所有流量都经过它,进行实时检测。
(2)隔离和访问控制策略要覆盖网络中的所有设备,按最小权限原则进行授权。
(3)集中管理访问策略,并进行全面的安全审计。
网络架构图大致如图1-2所示(为了便于理解,笔者修改了Forrester零信任网络架构原图中拗口的组件名称,故与原图稍有不同)。
图1-2
中心网关可以在网络转发的基础上,对流量进行过滤,起到防火墙、访问控制、传输加密、内容过滤、入侵检测、行为监控等作用。
(1)隔离边界:隔离边界组件对网络进行细粒度分区,将不同的用户和资源区域隔离开,配合访问控制策略,不让非法流量进来(所以,零信任架构其实并不是抛弃边界,而是建立更细粒度的边界,并且基于边界进行更多因素的校验)。
(2)集中管理、审计分析:集中管理中心网关并隔离边界的访问策略,对流量进行各类因素的审计和分析,同时记录日志,将整个网络安全态势可视化。
从图1-2 中可以看出,零信任架构是一种从内到外的整体网络安全架构,其安全能力不是外挂式地叠加的。网络组件也具备安全管控和整体协同管理的能力,就像Forrester文章的标题一样,安全是刻进网络的DNA中的。
在2010年提出零信任概念后,Forrester一直不断完善零信任的概念。几年后,著名的分析师 Chase Cunningham 将之重新修订为零信任扩展生态系统(Zero Trust eXtended(ZTX) Ecosystem)。与原来的概念相比,ZTX将零信任架构的范围扩展到7个维度,整个模型更加丰富了,如图1-3所示。数据是零信任架构保护的核心目标。工作负载(Workload)、网络、设备和用户是“接触—数据”的管道,零信任架构围绕这些管道执行安全管控策略、展示安全态势。
图1-3
下面依次介绍ZTX包含的7个维度的内容。
(1)数据:ZTX应当对整个数据生命周期进行保护。基于用户、设备、环境等多种因素进行综合评估后,执行数据分类、加密、访问控制安全措施。数据泄密防护(D Prevention,DLP)也应当属于零信任架构的一部分。
(2)网络:ZTX应当对用户和服务器分别进行网络隔离,基于身份和环境属性,提供细粒度访问控制。传统网络安全模型中的边界安全产品也应当在零信任架构中发挥作用。
(3)用户:ZTX包含身份管理功能,通过多因子认证、单点登录等策略,减少与用户身份相关的威胁。
(4)工作负载:工作负载指承载业务服务的基本组件单元,例如,传统的物理机、虚拟机,现在的云主机、Docker容器、微服务等。ZTX对各种场景下的工作负载进行统一的细粒度访问控制,阻断非必要的连接。
(5)设备:ZTX对设备的管理包括设备清单管理、设备认证、设备检查与修复、设备隔离等。ZTX应当持续感知设备的安全状态,根据安全策略限制设备对数据资源的访问,确保只有安全的设备才能接入网络。
(6)可见性与分析:ZTX应当支持对多个来源的身份信息、环境信息、安全信息进行综合分析,并进行可视化呈现。
(7)自动化与编排:ZTX应该能够通过机器学习或规则匹配自动识别安全事件,通过安全策略编排,与各类安全设备联动,自动对安全事件进行响应。
从上面的介绍可以看出,ZTX的内涵已经相当丰富了,但Forrester不甘寂寞,又提出了零信任边缘(Zero Trust Edge,ZTE)的概念。ZTE通过云原生的中心网关进行安全过滤,以便提供更灵活、扩展性更强的安全服务。SASE和ZTE的更多详情将在4.8节介绍。