前言
在過去的幾年中,「零信任」概念一直是網路和應用存取領域的主題之一。 我們希望通過一組簡單的觀念來表述零信任的核心特徵; 同時,這些觀念不僅適用於存取,還適用於更廣泛的網路安全領域。
我們將從系列文章介紹一個涵蓋了圍繞零信任廣泛概念的框架,並將其與激勵當今應用安全業務領導者的現有業務背景聯繫起來。 最後,我們還提出零信任觀念系統的特徵描述,即應對當前和新興威脅的工具和安全實施背後的驅動力,這些內容將是後續文章的重點。
我們將從以下方面,和大家一起全方位瞭解“零信任”:
- 零信任概念
- 解決方案&案例
- F5 資源
*本文即為系列文章第一篇《什麼是零信任架構》,開啟 F5 “零信任”知識庫之旅
02 解讀零信任這個概念
自從1994年 Stephen Paul Marsh 在他的部落格論文中提出 「零信任 」這個術語以來,它已經經歷了很多變化。 事實上,由於變化太多,安全業從業人員經常發現自己被要求實施零信任,但卻不知道如何去做。
值得慶幸的是,隨著 NIST SP 800-207 在2020年8月的發佈,我們有了一份檔,可以説明 CISO、運營團隊和架構師結合零信任理論和實際實施之間的差距。 由於 「零信任 」一詞可以適用於原則、架構設計、實施這些設計的舉措和產品,我們將主要依靠 NIST 800-207 檔,因為它在區分這些方面和提供有用的指導方面是獨一無二的。
03 我們以前有多少信任?
零信任架構(ZTA)是為了解決更傳統的安全架構的一些缺點,所以從描述傳統的安全架構開始是有意義的。
在傳統的安全架構中,廣義上講,有一個硬邊界,通常由一個或多個防火牆定義,還有一個用於遠端存取的 VPN ,以及一些集中的認證管理,以識別使用者並授予存取權。 一般來說,一旦通過認證的使用者進入安全邊界,他們就很少受到控制,也就是他們處於一個 “受信任 ”的區域,因此可以存取檔伺服器,連接到網路中的其他節點,使用服務,諸如此類。
當然,一些企業在相當長的時間里已經意識到了這種一般方法的缺點,所以在一些架構中,可能會有一個邊界包含著一個邊界,或者控制點和重新認證點,但總的來說,對傳統模式的一般調侃描述是 “外硬內軟”。 我們偶爾會聽到有人把這描述為 “有牆的花園”。牆被認為是把壞人擋在外面,讓免費的生產力在裡面。 無論我們如何設計、實施,這樣的設計都有幾個缺點。 主要的弊端有以下幾點:
1弊端一
如果攻擊者能夠穿透邊界,他們往往可以不受阻礙地進行探索,使用橫向移動,攻擊界限內的機器,並提升他們的許可權,並且往往很難被發現。
2弊端二
人們很少關注單個認證實體的行為。 一個被認證的使用者可能會做一些非常出格的事情,並且不會被發現。
3弊端三
總體上缺乏細化的存取控制,允許使用者(無論是否有惡意)存取,並且不嚴格要求數據和服務。
4弊端四
對外部威脅的明顯關注並沒有解決惡意的內部人員,也沒有解決可能已經獲得立足點的外部攻擊者。
5弊端五
當企業從內部環境向雲、多雲或混合環境過渡時,這種安全架構難以整合、實施和維護。
6弊端六
鑒於自帶設備(BYOD)的流行,以及需要授予外部供應商、承包商和遠端工作人員的存取權,界限內的所有設備都可以被信任的假設往往很難得到證實。
04 什麼是零信任架構?
ZTA 通過重新定義整體架構來解決這些挑戰,取消了單一大邊界內的信任區域的概念。
相反,ZTA 將任何特定資源周圍的信任邊界壓縮到盡可能小的範圍。 它通過在使用者每次想使用任何資源時要求重新認證和授權來做到這一點。 這將個人實體的身份和存取控制置於架構概念的中心。
05 零信任架構的優勢
這種新的架構範式解決了舊模式中的許多缺陷。 首先,它可以防止攻擊者的橫向移動。 如果一個攻擊者(內部人員或外部人員)設法進入 「內部」,他們將不斷面臨獲得進一步存取的障礙,他們不得不在每一步重新認證和證明他們的身份。
ZTA 還使用實體的行為分析,而傳統的存取控制往往只使用一組憑證作為其標準。 用戶參數,如一天中的時間、存取模式、位置、數據傳輸大小和許多其他可觀察到的現象都被評估,以確定試圖存取資源的實體是否以可接受的方式進行。 如果一個實體開始嘗試存取他們通常不存取的資源,或者在一天中他們通常不工作的時間,這些行為會觸發警報,並可能自動改變授權。
將邊界縮小到單個資源層面,可以實現非常細化的存取控制。 例如,一些使用者可以使用一組特定的 API,而其他使用者則可以使用不同的子集。 或者一個承包商可能只被允許訪問他們支援的系統,而不允許存取其他系統。 雖然這在傳統的架構中是可能的,而且經常嘗試,但 ZTA 的架構所提供的極其精細的存取控制可以使其更容易管理和監控。
此外,BYOD 也變得更容易管理。 非企業設備可以被限制為只能存取一個子集的資源,或者根本無法存取,除非它們在補丁級別或其他品質方面滿足某些特定要求。
如果 ZTA 的實施足夠廣泛和完整,可以完全移除外部邊界,遠端工作人員和承包商就不再需要被授予VPN 存取權。 他們可以簡單地只存取他們需要的資源,而不存取其他資源,這可以簡化甚至完全消除對VPN 的需求,儘管後者在雲環境之外的實踐中很少實現。 同樣,使用這種架構,為來訪客戶提供的存取網路也相當容易實現; 他們只被允許存取出站連接。
06 ZTA 的劣势
然而,這種對傳統架構的徹底背離是有一定代價的。 鑒於這至少在某些方面是一個全新的範式,目前的安全管理員需要時間來適應它。 這種架構的實際實施通常需要對額外的控制進行大量投資,並伴隨著學習、培訓和支援成本。 整合 ZTA 是複雜的,維護它也是複雜的,有一個完全不同的存取授權模式,以及更多必須進行強大監控的地方。 負載均衡的存取控制的優勢可能會被管理這種複雜性的困難所抵消。 而且,到目前為止,行為存取控制還沒有被廣泛實施,也很少能輕易實現。
最後,任何大型的架構變化都需要在保持業務運行和過渡到新架構之間取得平衡。 遷移到 ZTA 需要仔細的計劃、變更控制以及大量的時間和精力。
07 零信任到底有多新?
這個問題看起來讓人感到疑惑。 從原則層面來說,ZTA 聽起來不像是一個全新的架構,而更像是以前的原則的增量,如基於角色的存取控制(RBAC)、深度防禦、最小特權和 “假設破壞”。
然而,一旦我們開始勾勒出對每個請求實施重新認證的選項,就會更清楚這到底是一個怎樣的實質性變化。 出於這個原因,NIST 在2020年發佈的檔中最有力的方面之一是強調了完成真正的 ZTA 所必需的幾個核心元件:政策決定點(PDP)和政策執行點(PEP)。
每個企業資產前都有 PDP 和 PEP,每個請求都必須通過它們,這是 ZTA 與以前試圖實施類似的、但範圍較窄的原則之間最重要的、具有指示性的區別。
PDPs 和PEPs是抽象的能力,可以根據企業的需要採取不同的形式(下面會有更多介紹)。 但在所有情況下,政策決定點是評估請求主體和被請求對象的整體態勢併產生存取控制決定的元件。
政策執行點是負責根據政策決策點的輸出,打開和關閉與特定資源的連接的元件。 PDP和PEP可以合併或分佈,在某些情況下,PEP將在主體系統上的代理(如雇員的筆記型電腦)和資源上某種形式的閘道之間分割。 但在所有情況下,PDP和PEP都代表了完成重新認證和重新授權每個請求這一基本目標的能力。
08 方法、變化和情景
現在應該很清楚,零信任(作為一套抽象的原則)可以表現為許多不同的 ZTA(作為一個實際的設計)。這是零信任的一個優勢,因為它把主動權交給了各個架構師和從業人員,讓他們以適合每個團隊的方式評估和優先考慮各種核心原則(圖1)。
同時,這種架構的多變性也是如何真正實現零信任的部分原因似乎並不明確。 在所有情況下,將存取控制邊界分開以分別包圍每個資源的目標將至少使用一個而且很可能是許多 PDP 和 PEP,但技術元件的安排和它們的相互聯繫對大多數組織來說是獨特的。 幸運的是,NIST 的檔還充實了三種不同的架構方法,四種不同的部署方式,以及五種不同的業務層面的場景,以顯示如何將原則付諸實施。 我們在這裡只是簡單地談一談,以說明不同的企業可以如何開始接近他們自己的零信任專案。
本文上篇介紹了零信任的概念、優勢及劣勢; 在下周將會推出本文章的下半篇,著重介紹零信任整體戰略、部署的變體和情景類比。