01碎片化网络带来的挑战任何有价值、有意义的产品都必须满足某些特定的需求或解决某些特定的问题。做产品就是找到最本质最核心的问题,也就是我们通常所说的0比1的问题。因此,当我们要定义一个与零信任相关的安全产品时,首先要思考我们要解决的核心问题是什么?满足了哪些核心需求?随着云计算、移动互联网、物联网、5G等基础技术的革新,政企办公、生产网络发生了翻天覆地的变化——网络越来越碎片化。企业同时使用多个云服务、多个数据中心和多个办公场所是很常见的。再加上与移动办公、分支机构、渠道合作伙伴的远程协作,远程连接业务资源,这使得我们的办公网络、生产网络越来越像一个私有互联网。在碎片化的网络中,网络通信根本不是问题。可以实现的技术和方法有很多,但安全治理也出现了很多新的挑战。1、暴露面越来越多:网络逐渐碎片化,意味着需要通过不可信网络传输数据的网络通道越来越多,导致不可信网络的暴露面越来越多,可以被攻击者利用渗透也不断增加。2、安全统一管控难度加大:大部分企业都有自己的集中身份管理、单点登录系统等,部分安全要求较高的企业还有终端DLP系统、终端集中管控系统,统一威胁分析系统、态势感知系统。在一个碎片化的网络中,如果要进行全局的管理和控制,就需要让这些系统与各个独立的网络进行通信,让分布在各个网络碎片中的所有终端都能访问到这些系统,并向这些系统发送各种安全数据。上,安全策略从中心系统分发到各个网络分片,必然会再次将这些系统暴露在外部。这样虽然实现了统一管控,但暴露面积增加,安全风险也与日俱增。在碎片化网络中,统一管控与减少曝光如何并存?这是一个很大的挑战。3、网络IP地址与人的关系越来越弱:当前网络环境越来越复杂,在碎片化的网络中大量使用IP地址转换和动态IP技术。网络地址与人或终端的关系越来越弱,使得原有网络安全产品的实际效果大不如前。安全的本质是人的问题。然而,大多数传统的网络安全产品都是基于网络流量来检测和阻止威胁。IP地址不与人和终端相关联。就算检测到威胁,也只用一个源IP来寻找,除非有真正恶意的人,否则不敢直接封IP,因为说不定这个封禁会封一群人。在内网互联网化过程中,暴露问题、统一管控问题和网络地址与人无关问题是最难解决的三个问题。02我们离零信任还有多远?零信任是一套安全原则,提供了安全网络应具备的特性,如:隔离、隐藏、白名单模式、以身份为中心的策略、最小授权、动态信任等,让安全回归人与数据的本质。根据这套原理,上述三个问题在理论上都得到了解决。但是,零信任的概念并没有标准的实现方法。这就是为什么大家对零信任感到非常认可但又很困惑的原因,也是目前零信任市场非常热闹的原因。典型企业安全接入方案大多数企业在网络安全接入方面采用这样的全家桶方案:终端接入+VPN+IAM+SSO+堡垒机(或应用网关)+防火墙+专线+威胁分析系统和IAM分别对接接入、VPN、SSO、堡垒主机,使用统一身份进行认证授权。通常,实施了安全接入全家桶方案的企业,对于零信任的理解往往比较迷茫。既然已经全副武装,为什么还要搞零信任?如果我们要找到产品的意义,我们不能假设客户环境没有任何安全措施,而是需要思考我们在这个“全副武装”的环境中离零信任还有多远,找到这个差距,即,找到了产品的价值。第一个问题是暴露的表面。显然,VPN是Internet的典型暴露面。近年来,VPN的0day漏洞层出不穷,成为攻击热点。但是我们说的暴露面不仅仅是Internet的暴露面,而是不受信任网络的暴露面,其中还包括内网的暴露面,而内网的暴露面问题更多。在网络上,访问控制一般分为两层来控制,一层是应用层,我们可以使用IAM、SSO、堡垒机或者应用网关,基于用户的统一身份进行访问控制和审计;另一个是网络层,一般通过防火墙通过流量日志进行访问控制和审计。这里有一个明显的问题。虽然我们可以在应用层使用统一的身份进行控制和审计,但是在网络层只能基于网络数据包进行控制和审计。众所周知,网络协议没有身份。在零信任中,以身份为中心的原则在这里失效了。一旦攻击者进入内网,就不能指望他像我们设计的那样使用正常流程通过IAM、SSO、堡垒机访问业务资源,只能在应用层进行攻击。攻击者可以在网络层完全攻击所有网络可达的业务资源或终端,如直接攻击IAM、SSO等,没有任何阻碍。我们部署的各种威胁检测系统,比如:SOC、SIEM、态势感知等,难道不能保证网络的安全吗?不幸的是,这些系统遇到了IP地址与身份无关的问题。无论是模式匹配、上下文分析、行为基线分析、威胁情报分析,还是威胁溯源,都只能基于IP地址来做,也只能基于IP来做行为数据。它代表了一个人行为的片段,但不能代表一个人的完整行为,所以在这种环境下安全分析能力会大大降低。另外,就算分析出某个IP有威胁,又如何封杀呢?如果这个IP被封了,下一次攻击者换成别的IP,还是原路过来。问题也可能变得更加复杂。在上图所示的网络中,每个人在访问业务资源之前都连接到总部工作场所的办公网络。通过牺牲带宽和体验,每个人都被迫访问业务资源。同时,都经过统一的身份认证和授权,同时保证认证体系不暴露在互联网上。假设有多个工作场所,每个工作场所也有自己的业务资源,部署在不同的地方,多个工作场所之间同时进行多个方向的业务访问。为了让大家使用统一的身份和控制策略,我们不得不把IAM和SSO系统放到互联网上,但这会产生新的暴露面。我们的一位客户非常关心敏感数据外流的问题。每个终端部署一个DLP客户端。它最初用于局域网。网络访问系统可以在进入网络时强制启用DLP客户端。DLP日志服务器也部署在局域网中,收集所有终端的DLP日志。疫情期间,员工居家办公,远程接入,网络接入系统失效。员工如何必须在所有地方启用DLP?同时,在不暴露DLP日志服务器的前提下,是否可以让分布在任何地方的终端将DLP日志实时传输到日志服务器?显然,客户对网络接入的要求发生了变化。客户现在需要的是场景接入,而不是物理网络接入。在访问互联网时,员工可以随时随地访问它。访问业务资源时,无论在什么地方,都必须满足安全要求,必须经过认证授权后才能访问。03实现零信任的关键技术问题可见,要实现零信任,在技术层面必须解决两个核心问题:1.在网络上,网络碎片化,统一安全控制和分析,网络零暴露必须同时满足。2.网络层也需要识别。需要以统一的身份为核心,将认证、授权、访问、网络层访问控制、应用层访问控制、用户行为分析、敏感数据访问审计、威胁场景分析、账户终端实时处理全过程。我们先来看第一个问题。现在我们面临着物理网络碎片化和安全策略编排集中化的问题。什么技术可以独立于物理位置,同时集中编排?-云计算。用云思维解决物理位置无关和集中管控问题云的本质是虚拟化,是一种通过虚拟化实现资源共享的技术。云将位于不同物理位置的多台服务器虚拟化,构建在Overlay网络中。租户在这个Overlay网络中集中编排资源,但实际业务分布在不同的物理服务器上,数据传输实际上是在物理网络上进行的。在传输中。对于租户来说,不再需要考虑物理资源和物理网络。我们对云的理解太狭隘了,云一定要在远端吗?云一定是服务资源的虚拟化吗?PC、手机、物联网终端就不能成为云的一部分吗?云不能无处不在吗?我们自己不能在云端吗?按照这个思路,我们可以扩大虚拟化的范围,不仅仅是将IDC服务器资源云化,而是将分布在各种云、IDC、自建机房、PC上的业务资源分散到任意位置。如果终端和移动端都云化,内置Overlay网络,会是什么样子?这样一来,所有终端、所有业务资源的物理位置不再重要,传统内网云化了。云化后,内网将成为一个极简的端到端网络,与物理位置无关。在这个网络中,我们只关注与安全相关的三个对象:人、终端和业务。基于这三个关键对象来制定和执行。端到端的极简网络终端是人的延伸,特定的人和特定的终端构成网络实体。这个网络中存在三种沟通关系:人与企业、企业与企业、人与人。(我们需要认识到,网络中的访问方向不是“十”字形,而是“我”字形。东西向流量有两种方式,即人对人,企业对企业.)这些Orchestration的关系就是授权策略。授权编排和细粒度策略的实时计算统一在控制中心。细粒度的策略实时分发到端和业务端,由分布式策略引擎执行。解决了基于Internet的内网与集中管控并存的问题。我们构建的云化网络可以跨越整个互联网,连接任意位置的业务资源和终端,同时可以集中统一编排策略。接下来,我们就来看看如何让这个网络成为私有的隐藏网络。SDP单包授权技术用于实现SDP架构中的网络隐身。这是一种在会话建立前通过UDP单向包实现认证和会话切换的技术。也是SDP最关键的技术。在我们搭建的网络中实现隐身可以比SDP更彻底和简洁,因为我们在网络层和应用层是完全可控的,不需要在上层实现隐身,可以在下层实现实现。在网络层实现网络隐身并不是什么新鲜事。几乎每个人每天都可以访问它。例如,每个人的家庭网络都是一个隐藏网络。通过这个路由器可以上网,但是我们不用担心有人主动从网上连接家里的电脑或者电视,因为我们没有在路由器上开放任何内部IP地址和端口,这是一个-方式接入网络。同样的,我们停止原来开放的IP和端口,将业务资源所在的业务局域网改造成这样一个单向访问的网络。不是可以实现网络层的隐形吗?而且这种隐身方式更加彻底,不仅业务资源被隐藏,零信任控制器和零信任网关也被隐藏,不仅应用层被隐藏,网络层也被隐藏。另外,SPA也被称为敲门协议。每次听到“敲门协议”,我都会想起一个画面:一个小伙在家吃火锅唱歌,突然听到敲门声,就跑到门口,看到一个人畜无害的小女孩,猫眼,她说:“业主,查水表!”于是男孩打开了门。顿时,几名大汉从两侧冲了出来,瞬间将青年按在了地上。你不是说“永远不要相信,永远要验证”吗?既然在建立TLS会话的过程中,可以通过一个UDP单向包实现鉴权和会话切换,那么我们不妨更彻底一些,将所有业务访问数据包转化为UDP单向包,使用packet-by-packetauthentication,通过Packet加密来隐藏网络,使得没有认证授权的终端甚至不能发送三次握手的SYN包。是的,小女孩可以进来,但是大男人必须全部堵在门外。这样,第一个问题就解决了,我们来看第二个问题怎么解决。如上所述,对于政企办公网络和业务网络来说,不乏统一的身份管理。应用层的网络访问、VPN访问、访问控制已经可以用统一的身份进行管理和控制,但是网络层缺少统一的基于身份的访问控制,零信任原则下的以身份为中心的访问控制有网络层故障,原因是网络协议本身没有标识属性。我们的解决方案非常简单粗暴,但是非常高效。我们直接在所有的网络层数据包中加入身份信息,把网络五元组变成网络六元组,增加一个身份维度。降维打击有两种,一种是让对方降维,一种是自己增加维。由于我们无法降低攻击者的维度,因此我们将在网络底部增加维度。这也就意味着,在这个可以覆盖全球的网络上的任何一个位置,我们都可以看到谁是谁,用的是什么终端,正在使用什么业务,收发了哪些数据包。也就是说,可以在网络上任意一点基于账户、终端、服务进行权限控制和行为干预。通过本次维度升级,具备基于身份的全链路管控能力,实现零信任的各项安全原则,建立基于身份的网络基础设施。网络流量包括了每个人访问的业务和数据,所以我们都想通过网络流量捕捉到所有的威胁行为,但是通过网络数据进行威胁分析存在两个不足:网络数据包不携带身份信息,因此无法通过真正基于人或终端行为分析网络流量。无论是上下文关联还是机器学习,几乎不可能找到人类行为的基线。我们通过在网络数据包中添加身份信息来解决这个问题。我们从网络中抓取的流量日志,会同时携带网络层和应用层的身份信息。这样,所有收集到的数据自然会根据身份进行聚合,然后根据聚合后的信息,进行基于人或终端的行为分析。无需关心源IP,所有分析结果可溯源至人和终端。2、业务资源可能在应用层被加密,加密后的数据在网络流量上可见,无法识别具体内容。在某些情况下,应用程序网关可用于卸载带有ssl证书的流量。虽然可以做一些内容识别,但是传递比较复杂,识别率也不尽如人意。我们通过使用浏览器来解决这个问题。我们在终端Agent上内置了安全浏览器,可以设置策略要求终端用户使用内置浏览器访问一些特殊的业务资源,禁止其他浏览器访问。浏览器是人与数据交互的终端。浏览器充满了明文信息。通过浏览器识别敏感数据可以忽略所有的网络加密方式,因为人们总是用明文来传递信息(那些用密文传递信息的是无间道,是余则成,这里不讨论)。这样我们就可以很容易的知道:谁,用什么终端,在什么地方,访问了哪些业务资源,看到了哪些敏感数据,进而知道有哪些敏感数据,存储在哪些业务系统中他们的整个数据流转过程是怎样的。然后,基于这些基础数据,结合机器学习算法,识别异常的敏感数据访问行为。例如:某公司在全国有数百个销售渠道,每天有数千名销售人员使用CRM和工单系统销售公司的产品或服务。销售人员需要输入客户的手机号码、姓名、银行账号等个人隐私信息。信息。通过刚才说的方法,我们可以看到每个人在什么地方,什么时间段,怎么访问,访问了什么数据,访问频率,数据量,然后用机器学习算法计算出每个人的敏感数据访问行为基线。当某一天业务员对敏感数据的访问行为出现较大偏差时,例如:对于业务员来说,每天写入的敏感数据比较多,突然有一天他读取敏感数据的行为增加了,或者如果单类数据访问量过大,系统会自动将账户暂时退出网络,对终端和本人进行多因素二次身份验证,重新确认身份;或者直接禁用账号,无论账号在什么地方,没有使用过的终端,都不能再访问这个业务资源。04安防云网络能力架构至此,产品的功能架构基本清晰,如下图所示,是整个安防云网络的功能架构。在能力分层方面,自下而上分为四层:底层是一组基于SDN技术的端到端隐藏网络。让业务资源和终端摆脱物理网络限制,使内网互联网化,构建跨多个网络的隐藏内网,同时让网络层数据包具有身份维度,可控或行为抓取在基于身份的任何网络节点。为上层能力提供基础支持;第二层是安全访问和控制层。该层设计遵循零信任原则,使用身份打通任意位置的网络访问、网络层控制、应用层控制、细粒度授权、动态授权等零信任相关能力,同时开放各种接口连接已建立的安全系统。(BTW:SecureCloudNetwork不是零信任产品,而是基于云的符合零信任安全原则的安全网络,未来所有的安全产品都会或多或少的满足基于零信任安全原则的自己定位,并没有独立的零信任产品)第三层是威胁检测层。在这里,利用云网络数据包身份的优势,收集各种具有身份的数据,数据以人和终端为中心进行聚合。同时,利用机器学习算法对异常行为和威胁行为进行学习、判断、验证和处置;4、第四层是智能运营层。基于云的网络、零信任和威胁检测不是安全的最终目标。安全不是一种功能,也不是一种状态,而是一个持续、循环的运行过程。智能运营层正在构建这样一个自适应的安全运营流程。在这一层,我们整合了下面每一层的能力,使我们具备了对整个网络的全面感知和控制能力,对每个网络实体进行实时的安全风险评估,并根据威胁自动分析各类数据场景。关联、溯源与研判。》05部署案例这样一套安全的云网络看似功能很多,但是如果构建这样的安全云网络需要中断业务、修改应用、承担风险,这个方案就失去了实际应用意义。主要目的选择采用Overlay方式构建云网络,是将安全运营与数据通信完全分离,网络安全需要的是集中统一的编排、研究和处置,但数据通信环境越来越碎片化。两者的趋势是一左一右,我们不得不把它们放在同一个网络平面上,就会出现各种各样的问题。大部分的网络安全设备都是这个原因,结果,安全能力锁定,提升空间不大,通过构建全新的云网络,在虚拟环境中做安全的事情虚拟网络和在物理网络上做数据通信的事情,这就是信任域安全云网络。下面是一个部署案例:这是一个比较大的网络,拥有近万名员工、数千个业务资源、多个云、多个数据中心和多个远程工作场所。整个网络采用高可用多活架构设计:控制平台异地高可用集群同时服务于两个数据中心的所有终端用户。每个物理区域部署多个网关,每个业务资源通过多个网关代理同时接入云网络。质量自动选择最优路径。整个云网络建设仅需两三个小时,工作日办公时间部署完成,业务无感知。云网络可以轻松突破物理位置限制,改造底层协议,统筹所有策略,轻松实现业务无感知、全网高可用、灵活、交付简单等,基本上具备了云的所有优势已被继承。06网络认知需要升级!在以往的认知中,网络是由各种网线、光纤、路由器、交换机、防火墙构建而成的网状数据通道。它将不同的服务器和终端像高速公路一样连接在一起,完成数据的流动。产生价值。未来的网络需要面对业务互联网化的趋势,需要突破物理网络的限制,能够随时随地安全访问。安全能力的赋能是安全网络持续安全运行的基础。未来的网络将演变成一个智能的分布式生命体,网线、光纤、路由器、交换机构成了这个生命体的骨架和脉络。每一个终端,每一个Resource就像这个生命体的神经元,承载着人类的意识和有价值的数据。集中控制中心就像小脑一样,通过策略控制整个网络的数据流向和对各个网络实体的实时响应。分析中心就像一个大脑。它通过每个神经元感知整个网络世界的所有活动。具有基于场景的研判和处理逻辑,自动发现网络世界中的异常和威胁,自动生成响应策略,并发送至控制中心。实时处理异常或威胁的指令。是时候向智能云网络演进了!
