谷歌在公司内部做的零信任实践在业界产生了很大影响,很多公司都希望向零信任架构演进。有需求就有人满足,零信任创业公司纷纷成立。在其中的佼佼者取得了一定成绩后,大量的老牌安全厂商也纷纷跟进。在诞生了几家独角兽公司后,零信任领域持续吸引风险投资进入,大型 CDN 厂商、电信运营商、通信厂商也开始在零信任领域布局投资或展开并购。这反过来又鼓励更多企业进入零信任领域,创造差异化的产品。如此的正向循环促成了整个行业的大发展。
著名咨询机构 Gartner 认为,未来几年将有80%的面向生态合作伙伴的新数字业务采用零信任网络,60%的企业将从远程访问VPN向零信任架构转型。
2021年5月,美国总统拜登签署了《关于加强国家网络安全的行政命令》( Execution Order on Improving the Nation’s Cybersecurity ),要求政府各部门立即着手制定落实零信任架构的计划。这标志着零信任架构已经得到了美国主流市场的广泛认可。
下面介绍几种比较主流且有特色的零信任解决方案。
零信任领域最主流的方案是类似 BeyondCorp 的方案。谷歌公司在2020 年开始将BeyondCorp中的部分组件商业化,现在在谷歌云平台上就可以采购相关组件。其特色是与谷歌的Chrome浏览器进行了集成,用户可以在Chrome企业版上进行安全远程访问。
微软公司推出了基于微软Azure云的零信任方案,该方案的架构与BeyondCorp相似,企业的身份安全通过微软的Azure AD产品保障。其特色是与微软的XDR方案集成,并与Microsoft 365数据安全方案集成。
其他知名公司,如Cisco、Palo Alto、Fortinet、Cyxtera等,都有类似的方案,在此不一一列举。Gartner在其《零信任网络访问市场指南》中提出了零信任网络访问(Zero Trust Network Access,ZTNA)一词,作为类似方案的总称。
Gartner的《零信任网络访问市场指南》中还提到过一种很有代表性的零信任网络访问方案,就是以Zscaler为代表的云形式的零信任方案。
图1-6
Zscaler是美国典型的新兴零信任网络安全公司,2018年上市时的市值就超过10亿美元,被称为企业安全领域的独角兽公司。在全球2000强企业中,一度有400家企业是Zscaler的客户,Zscaler的市值更是翻了几十倍,成为资本市场的明星。Zscaler之所以被市场看好,主要就是因为它的产品是基于云的,规模化、复制能力都非常强。所以,市场对它的业务增长的预期很高。
图1-6是Zscaler的架构图。
Zscaler最主要的特点就是把所有的认证、授权、过滤功能都部署在云端,用户在访问内部业务系统时,先到云端进行安全校验,再导入企业内网。这样做,相对其他架构有如下好处。
(1)企业不用部署大量安全设备,只需部署一个连接器,更方便了。
(2)安全功能在云端统一管理,随企业需要随时扩容,扩展性更好、性能更好。
(3)云端可以共享威胁情报以及风险的数据分析模型,安全性更好。
云网关+连接器的架构还有另一个好处,就是连接器只需要由内向外连接,企业不需要开放入向流量,企业的内网环境更加安全。这一点会在4.1.5节进行详细讲解。
这类方案的代表是 Okta 公司。Okta 公司是做身份识别与管理系统(Identity and Access Mangement,IAM)起家的,无论是在Gartner定义的访问管理领域,还是在Forrester定义的身份即服务(Identity as a Service,IDaaS)领域,Okta均处于市场领先位置。
图1-7
Okta的零信任方案的特色是与Okta的身份云集成,实现对用户、服务器和API身份的全生命周期管理,以及基于身份上下文的细粒度访问控制。4.7节会详细介绍零信任架构中与身份相关的安全能力。
微隔离指对系统服务之间的细粒度的访问控制。这个领域的代表公司是Illumio。这又是一家安全领域的独角兽公司。
Illumio 微隔离方案的特色是可以获取工作负载之间的“通信地图”,根据地图快速构建访问控制策略,策略会通过部署在工作负载上的微隔离组件自动执行。该方案可以跨云、跨容器、跨数据中心部署,对环境的兼容性非常好。更多关于微隔离的细节将在4.6节介绍。
2021年2月,美国国防信息系统局(DISA)发布了《美国国防部零信任参考架构》。零信任架构正在引领美国国防部的安全架构从“以网络为中心”转变到“以身份和数据为中心”。美国国防部表示,无论是涉密网还是非涉密网,都要使用零信任架构。
美国国防部的零信任理念与Forrester的ZTX非常相似,也强调安全的七大维度——数据、网络、用户、工作负载、设备、可见性与分析、自动化与编排。不同之处在于,美国国防部的架构更加侧重对网络、应用、数据的统一管控,如图1-7所示。
美国国防部的零信任访问控制做得非常深入,从网络到数据,每一层都要进行管控。用户登录要进行校验,用户访问某个IP地址要进行校验,用户访问某个业务系统要进行校验,用户访问某条数据要进行校验。特别是对数据的重视,在其他方案中是比较少见的。
美国国防部在数据安全方面已经做得非常细致了。从工资单到导弹防御系统,所有的数据都做了标签化处理,依据标签进行细粒度的访问控制。