如果您的网络有边界,总有一天它会被攻破。这既是“现实世界”中难以教授的课程,也是关键安全模型(零信任)出现的先决条件。什么是“零信任”?“从不信任,始终验证”应该是对零信任模型最笼统的描述。所谓“永不信任”是因为网络中没有任何用户或端点被认为是绝对安全的;“始终进行身份验证”是因为每个用户和端点在访问任何网络资源时都必须在每个网络节点进行身份验证,而不仅仅是在边界或大网段边界处才需要身份验证。从本质上讲,零信任是一种关于如何创建组织网络安全态势的思维过程和方法论,它基本上打破了老式的“网络边界保护”思维。在老派思维中,重点是网络防御边界,假设边界内的任何东西都不是威胁,因此边界内的东西基本上是免费的,所有人都可以访问。就零信任模型而言,它对境内或境外的网络采取不信任的态度,必须通过验证才能完成授权,实现访问操作。为什么要使用零信任?2010年,“零信任”网络架构正式启动。现在,经过9年的发展,零信任模型已经在CIO、CISO和其他企业高管中流行起来。推动零信任模型日益普及的现实因素有很多,包括:1.网络攻击变得更加复杂。《2017年度网络犯罪报告》预测,到2021年,网络犯罪造成的全球经济损失总额将达到每年6万亿美元,比2015年的3万亿美元翻了一番。同时,《2018年数据泄露研究成本》,由PonemonInstitute和IBM赞助Security发现,数据泄露的全球平均成本现在为390万美元,比2017年增加了6%。这些数字是在公司越来越多地投资于网络安全工作的时候出现的。技术研究和咨询公司Gartner预计,2018年全球信息安全产品和服务支出超过1140亿美元,比去年增长12.4%。企业高管们开始意识到现有的安全方法不足以应对日益严峻的安全形势,他们需要寻找更好的方法,而零信任模型恰好是这个问题的答案。2、工作流的移动化和云化在今天,可以说网络边界已经完全不存在了。纯粹由内部系统组成的企业数据中心不复存在。企业应用有的在办公楼,有的在云端。各地的员工、合作伙伴和客户都可以通过各种设备远程访问云应用。面对这样的新形势,我们应该如何保护自身安全成为一个重要命题,零信任模型应运而生并大行其道。零信任模型真的适合您的业务吗?虽然零信任模型背后的概念很简单,但实施它却是另一回事。在公司决定投资技术和流程之前,它应该了解模型及其应用需要什么。尽管零信任被视为“后边界时代”的答案,但它真的适合贵公司吗?我认为您需要了解以下问题才能得到答案:1.决定谁将负责推动项目?无论是零信任模型本身,还是其支持技术“微分段”,都需要对安全和网络基础设施进行更改。鉴于此,公司必须回答的首要问题之一是哪个团队应该负责该项目。根据您的应用程序环境的配置方式,您可能需要在开始项目之前对交换机、路由器、防火墙、身份验证服务器和应用程序服务器本身进行更改。在许多组织中,更改这些基础设施组件可能已经远远超出了安全团队的职责范围,在这种情况下,组织要么扩展安全团队的职责范围,要么确定特定的项目所有者,例如由安全团队负责,网络和应用维护团队协助项目实施。对一些企业来说,零信任的多重责任和组件成为他们向DevSecOps(指DevOps全生命周期的安全防护)迁移的动力。将基础架构的每个部门视为一个需要不断验证、监控和改进的软件,这对零信任安全具有重要意义,并且还可以缓解围绕哪个团队应该负责推动变更过程的问题。2.建立最小特权策略访问的成本是多少?您的公司是否将其视为访问表中的一堆廉价代码?为用户提供他们可能需要的尽可能多的权限确实比让他们冒着扩大责任的风险要好你最好不要遇到访问拒绝问题吗?如果是这样,那么当您启用零信任模型时,您的用户可能需要认真调整态度。最小权限安全基于一个非常简单的概念:当用户仅拥有完成工作所需的访问权限时,网络(和应用程序)基础设施是最安全的。这种权限管理方法有很多好处,其中之一是当员工没有足够的权限时,他们可以造成的伤害是有限的。另一个巨大的好处是,即使黑客窃取了这些员工的登录凭据,他们所能造成的损害也是有限的。具有低级别权限的低级别员工如果对远程网络段和应用程序的访问受到限制,也不太可能为网络接管提供跳板。对于许多组织来说,转向最小特权可能需要辩证地转变思维方式,因为如果不对转变背后的原因进行全面而仔细的解释,这会变得很尴尬。然而,在零信任架构中,最小特权可以成为限制攻击者扩大攻击规模并在网络内造成大规模破坏的能力的强大工具。3.最小逻辑单元这是零信任安全的关键。当您在逻辑上和物理上将您的网络和应用程序基础架构划分为非常小的部分时,由于从一个网段到另一个网段的每次传输都需要对可以强制执行的访问权限进行一些非常严格的限制。组织应该在空间和时间上逻辑地考虑这些子部分。如果用户(尤其是高权限用户,例如管理员)偶尔需要访问特定系统或功能,则应授予他/她处理问题所需时间的访问权限,而不是总是。如果您认为您的网络已受到威胁,则合乎逻辑的响应可以将此类破坏造成的损害降至最低。将任何单一攻击限制在单一逻辑段可限制攻击对整体安全的威胁。4.聚焦重点,多看研究零信任模型的实现需要依赖的技术之一就是“微分段”。在基本的网络用语中,“分段”是指将以太网网络划分为子网(也称为子网)以管理和控制网络流量,而不是将所有数据包发送到所有节点。网络分段提供了提高网络性能和在传统静态网络中引入安全性的基础工具。基于这个基本概念,“微分段”抽象出一个新的虚拟化和控制层。通过微分段,数据中心被划分为逻辑单元,通常是工作负载或应用程序。这使IT能够为每个逻辑单元制定独特的安全策略和规则。一旦边界被渗透,微分段可以显着减少恶意行为的攻击面并限制攻击的横向移动。因为传统的防火墙可以实现通用的垂直防护,而微分段显然限制了企业工作负载之间不必要的横向通信。微分段可以更轻松地监控网络上发生的一切,但要了解谁在做什么,您首先必须仔细观察。如果您想实现零信任安全,则应仔细研究网络行为的许多不同方面。通过微分段,可以比使用传统授权模型更简单地检测零信任网络。但是对于确定问题的优先级,我们的重点不是监控哪里,而是监控每个细分市场中的哪些因素。一旦确定了战略网段或应用技术架构组件,就可以建立对网络流量和行为的深入审查,而不必担心被淹没在数据的洪流中,因为您只需要从有限的网段获取数据。但是,一般而言,您在监控网段时需要积极主动,以便安全架构师可以跟踪攻击者和员工的行为,并帮助改进安全规则和流程以跟上网络发展的步伐。5.添加多重身份验证零信任的最大变化是将执行机制从单一网络边界转移到每个目标系统和应用程序。重点是验证用户是谁以及他们使用的设备,而不是基于某人是从受信任还是不受信任的网络访问公司资源的安全策略。如果说每个网段的认证是整个网络安全的关键,那么认证过程就变得至关重要。所谓用户认证,我的意思是强化你使用的因素,并添加其他因素,使用户身份更加确定。对用户使用密码的调查不可避免地令人失望,“12345”或“qwerty”等字符串始终位居最常用密码列表的首位。因此,首要任务是为组织中的每个人建立强密码策略,然后实际执行这些策略。下一个任务是添加多因素身份验证。多因素身份验证如今变得越来越普遍,但它是从几乎为零的市场渗透率发展起来的,因此许多公司非常愿意尝试比传统用户名/密码身份验证更强大的方法来增强他们的网络安全。6.保持技术更新没有任何安全模型可以一成不变,成为“一劳永逸”的存在。零信任安全当然也不例外,相反,它可能是不应该被遗忘的安全模型之一。这是因为当身份验证在整个方案中扮演如此重要的角色时,跟上威胁并了解他们如何试图阻止身份验证方案就变得至关重要。除了身份验证问题之外,安全专业人员还需要了解用于横向移动和绕过网络分段的威胁和机制。在网络安全的世界里,没有人可以假设当前的操作方法和技术永远有效,因此安全从业者需要紧跟行业趋势,花时间分析监控捕获的事件,看看网段中的哪些地方已经过测试攻击者,以及哪些地方最有可能被攻击者破坏。毫无疑问,零信任安全可以成为信息和资产安全的基础。但仅仅因为一种方法有效,并不意味着它可以在没有仔细考虑和计划的情况下投入使用。企业需要根据自身情况考虑以上问题,提前做好规划,记住最重要的一点——不要轻信任何人!经典企业实践案例:BeyondCorp作为零信任网络的先行者,谷歌用了6年时间从其VPN和特权网络访问模型迁移到BeyondCorp零信任环境。在此期间,谷歌不得不重新定义和调整其工作角色和分类,建立新的主库存服务来跟踪设备,并重新设计用户身份验证和访问控制策略。自2014年以来,谷歌在《login》杂志上连续发表了6篇BeyondCorp相关论文,全面介绍了2011年至今的BeyondCorp和谷歌的实施经验。谷歌将BeyondCorp项目的目标定为“让所有谷歌员工在不访问VPN的情况下从不受信任的网络顺利工作”。与传统的边界安全模型不同,BeyondCorp放弃了将网络隔离作为保护敏感资源的主要机制。相反,所有应用程序都部署在公共网络上,并通过以用户和设备为中心的身份验证和授权工作流进行访问。这意味着BeyondCorp作为一种零信任安全架构,将访问控制从外围转移到个人设备和用户。因此,员工无需传统VPN即可从任何位置实现安全访问。谷歌的零信任安全架构涉及复杂的库存管理,即谁拥有网络上的哪个设备。设备清单服务从多个系统管理源收集有关每个设备的各种实时信息,例如活动目录(AvvtiveDirectory)或Puppet。用户身份验证基于一组表示敏感级别的信任层。员工无论使用什么设备或身在何处都可以访问。低级别访问不需要对设备进行严格审核。此外,Google网络中没有特权用户。Google使用安全密钥进行身份管理,这比密码更难伪造。每个连接到网络的设备都有一个由谷歌颁发的证书。网络的加密是通过TLS(传输层安全协议)实现的。此外,与传统的边界安全模型不同,BeyondCorp不以用户的物理登录位置或来源网络作为访问服务或工具的标准。其访问策略基于设备信息、状态和相关用户。更偏向于分析用户行为和设备状态。总体而言,GoogleBeyondCorp主要包括三个指导原则:无边界设计——从特定网络连接与你可以获得的服务无关;情境感知——根据您对用户和设备的了解授予您获得的服务;动态访问控制——对服务的所有访问都必须经过身份验证、授权和加密。
