在上一篇《你永远也混不熟的零信任》中,我们介绍了零信任的原理和概念。部署零信任。一、零信任的整体架构首先我们来看一下零信任架构的整体框架:上图是一个简化的零信任架构的整体框架图。主体通过控制面发起访问请求,信任评估引擎和访问控制引擎实现身份认证和授权。访问请求被允许后,访问代理作为执行点接受访问主体的流量数据,建立一次性的安全访问连接。在整个过程中,信任评估引擎会不断进行信任评估。访问控制引擎会通过不断的评估数据动态判断是否需要改变访问控制策略。横向移动和恶意提权,快速实现资源保护。图中的身份安全基础设施可以为访问控制提供基础数据源,从而对人/设备/系统的身份和权限进行管理。典型的身份安全基础设施包括:PKI系统、身份管理系统、数据访问策略等。其他安全分析平台提供大量日志信息,用于持续动态评估,包括资产状态、监管要求、运行环境安全风险、威胁情报等数据。典型的其他安全分析平台包括:终端防护与响应系统、安全态势感知分析系统、行业合规系统、威胁情报源、安全信息与事件管理系统等。二、零信任“SIM”的关键技术1、SDP(SoftwareDefinedPerimeter)SDP技术通过软件构建“移动+云”背景下的虚拟边界,利用基于身份的访问控制和完备的权限认证机制,提供有效的隐身保护。SDP的基本原理之一是信息隐匿,即隐藏服务器地址和端口,使攻击者无法获取攻击目标。另外,在连接到服务器之前,SDP会进行预认证和预授权,以验证用户和设备的合法性,然后用户只能看到被授权访问的应用程序。而且,用户只有应用层的访问权限,没有网络层的访问权限。SDP还具有可扩展性,并且基于标准协议,可以很容易地与其他安全系统集成。2.IAM(增强身份管理)综合身份是零信任架构的基石。零信任所需要的IAM技术可以有效地控制和治理身份、权限、环境等信息,从而保证正确的身份在正确的访问环境中,以正当理由访问正确的资源。随着数字化转型的不断深入,业务的云化和终端的激增,使得企业IT环境更加复杂。传统静态、封闭的身份和访问管理机制已不能适应这种变化。因此,零信任的IAM会更加敏捷、灵活、智能。它需要适应各种新兴的业务场景,采用动态策略实现自我完善,并能不断调整以满足实际安全需求。3、MSG(micro-segmentation)传统保护方式通常采用防火墙作为对内外流量的安全保护方式。一旦攻击者突破保护边界,就没有有效的安全控制方法来阻止横向流量之间的随机访问。这是黑客可以在内部横向移动的一个重要原因。随着东西向流量比重的增加,微分段技术应运而生。作为一种网络安全技术,主要用于防止攻击者进入企业数据中心网络后横向移动访问。通过细粒度的策略控制,微隔离可以灵活实现业务系统内外主机的隔离,使东西向流量可视可控,更有效地抵御黑客的持续大规模渗透破坏或病毒。目前的微隔离方案主要有云原生微隔离、API对接微隔离、Host-Agent微隔离三种技术路线。其中,Host-Agent微隔离更适合新兴技术和应用不断变化带来的用户业务环境变化。3、企业如何开始零信任?当前的企业网络架构包括云计算、虚拟化、移动互联网、工业互联网……网络情况非常复杂,那么零信任架构应该如何着手构建呢?1.厘清现状在决定采用零信任架构之前,企业应该思考以下问题:公司为什么要采用零信任安全模型?采用零信任架构是否会干扰当前组织的工作?企业是否遭受过网络攻击?如果是这样,公司犯了什么错误?公司遇到了什么问题?员工知道这个安全概念吗?员工准备好了吗?目标。因为零信任架构是一个概念和策略,是一个长期目标。企业不可能一蹴而就,但可以部分实现零信任,采用混合架构。因此,如何根据企业的实际情况逐步优化调整是重中之重。2.映射用户需求和资源对象来源:微软企业应该非常清楚数据的流向,比如一个人访问的是什么数据?这个人的身份是什么?他在哪里?等等。上图是微软基于条件和动态风险评估的零信任部署模型。通过这个模型对企业的人员、设备、资源等进行梳理会更加清晰和系统化。在用户层面:首先要明确用户是谁?他们需要访问什么应用程序、服务或数据?他们如何以及在哪里访问它?第二,用户需要满足什么条件/属性/状态?允许访问还是部分访问?那么,对于以上的条件,我们如何通过具体的安全控制措施来满足这些条件呢?最后,如何确保我们的安全控制措施是有效的?或者说,如何做好安全监控?在目标层面:从目标资源的角度,还要思考几个问题:谁访问了数据?他们的身份是什么?他们如何访问?用户账号存在哪些安全隐患?(如使用弱密码/泄露密码、密码强度低、使用行为等)设备类型是什么?设备的健康状态/安全状态如何?它正在访问什么数据?数据有多重要/机密/敏感?用户的位置是什么?当前登录位置?历史登录行为?访问的目标应用程序是什么?应用程序、企业本地部署的应用程序或移动应用程序?决策层:用户层级和目标层级逐步梳理映射后,根据动态评估结果,相应的安全执行措施可以是:允许或拒绝访问,要求更多Factor认证,用户强制重置密码、限制访问特定应用程序/特定功能(例如禁止文件下载等)等。3.使用微分段在企业网络中,不应只有一根大管道进出。在零信任方法中,组织应在网络系统的不同点放置微边界,将网络划分为包含特定工作负载的小岛。每个“岛”都有自己的进出控制。这使得入侵者更难渗透到整个网络,从而减少了横向移动的威胁。至于如何划分网络,这里没有标准模型,需要企业根据自身情况进行设计。4.自动化和编排在梳理和映射组织的人员、设备和资源之间的关系之后,我们对网络进行微隔离。现在,我们需要做的是自动化和编排微边界或每个端点。将重复和乏味的安全任务转换为自动化、计划的或事件驱动的自定义工作流。这可以节省大量员工时间并减少人为错误的机会。5.实施适应性风险政策一切安排妥当之后,还有一个因素需要考虑,那就是人员的权限也会发生变化。比如某个项目组的成员可以获得特定的权限,但是当项目结束或者人员离职后,需要及时撤销其权限。风险政策需要适应动态变化的现实,并根据需要相应地更改权限。4.小结综上所述,构建零信任,企业首先需要进行系统全面的资产梳理和业务安全分析,深入研究零信任部署在企业的必要性和适应性,部署的可行性场景和解决方案,以及现有的安全保障。框架的兼容性,在保证网络和业务安全稳定运行的前提下,分阶段、分步推进系统迁移,完善网络安全保障体系,建立适应性安全防御能力。当然,每个企业的IT能力、技术路线、实际需求、安全意识都不同。因此,没有完全一致的零信任部署方案,以上步骤仅供参考。当然,无论企业最终是否采用零信任,我们仍然可以从中提炼出有用的建议,比如认证凭证的保护、安全数据和状态的可视化等等。
