两个多月前,安全牛发表了一篇名为《“零信任”时代,VPN必将被SDP取代》的文章,引发了不小的争议。有人认为SDP(一种零信任实现框架)不能代替VPN,有人认为零信任才是最终的答案。然而,新冠疫情大大推进了VPN与SDP/ZeroTrust的对决,因为VPN的资源消耗和“卡顿”问题在全球大规模远程办公革命中成倍增加。如果新冠疫情发展成持久战,VPN与零信任架构的“决胜局”势必提前上演。在国内疫情比较严重的时期,很多在科技公司远程工作的工程师抱怨VPN服务器经常因为负载过大而崩溃。如今,随着国外疫情浪潮的推进,谷歌、推特等科技巨头也纷纷开启远程办公模式,远程办公工作量呈几何级数飙升。以下是Zoom近期全球用户增长统计表,可以直观感受到:除了高峰期Zoom和Slack的各种吐槽(类似于国内疫情高峰期企业微信和钉钉的遭遇),国外工程师抱怨VPN性能差,更是直接:所有的VPN都是垃圾。不久前,技术专家MatthewSullivan写了一篇博客,专门介绍企业VPN的安全性和可用性。他的观点是:尽量不要使用VPN。为什么?因为:所有VPN都是垃圾。根据Sullivan的说法,VPN需要仔细配置,否则它们将为黑客敞开大门。但要命的是,这种精心配置只存在于理论层面。现实中,大部分用户做不到或者懒得做!零信任取代VPN?Sullivan认为,与VPN相比,零信任网络安全架构有以下三个优势:1.没有网络桥接,用户流量不会被劫持。2.VPN设备的一个大问题是它们需要匹配专有软件/操作系统配置——这种配置是阻碍自动修复程序的罪魁祸首,零信任架构可选的OpenSSH的安全记录是好多了。自2003年以来,OpenSSH从未因其默认配置中的漏洞而遭受未经授权的远程访问。细粒度的应用程序和流量监控以及微分段使得攻击者即使成功侵入网络入口点也无法利用。3.与用户登录后完全信任的VPN不同,零信任主机保护解决方案密切监控每个应用程序,记录应用程序的所有活动,并进行流量过滤。这样即使攻击者成功入侵了私有云VPC网络的入口点位置,实际上也没有后续可利用的空间。但对于零信任替代VPN,安全牛读者众说纷纭。有人认为Sullivan关于VPN桥接和流量劫持的说法不准确,指出:IPSec支持IPpayload直接传输的非桥接模式。该协议已被大量安全研究人员分析。其他协议不谈实现,协议本身安全不安全是个问题。协议问题的发现需要时间。也有读者支持Sullivan的观点,认为:现有的VPN方案确实垃圾,IPsec(基于strongSwan)算是不错的,但IPsec本身的复杂性使得配置麻烦,不同客户端的支持也有管理成本。OpenVPN性能相对较差。企业需要特定的客户……为什么要零信任?零信任不是一种产品或服务,当然也不仅仅是一个流行语。相反,它是一种特殊的网络安全方法。顾名思义,不是“先验证,再信任”,而是“从不信任,始终验证”。从本质上讲,零信任是通过限制对数据的访问来保护数据。企业不会自动信任任何人或任何事物,无论是在企业网络安全边界之内还是之外。相比之下,零信任方法要求每个试图连接到公司内部网上的应用程序或系统的人、设备、帐户等在被授予访问权限之前都经过身份验证。但是等等,传统网络安全系统的设计不就是为了实现这种安全控制吗?零信任只是锦上添花的技术吗?回忆一下微盟删库事件的情节——微盟核心运维人员通过VPN登录堡垒机,然后进入生产环境上演“电锯狂魔”。传统的网络安全工具和控件毫无用处。微盟删库事件虽然有其特殊性,但问题的根源主要在于缺乏内部威胁预案和安全管理策略,但也在一定程度上暴露了VPN、堡垒机、防火墙等传统安全防御工具和方法的“二哈”属性。事实上,零信任框架不是空中楼阁,包括许多企业广泛使用的安全技术来保护他们的数据。而零信任的价值在于,它代表了一种全新的网络安全防御方式和体系,不仅可以保护整个企业的整体边界,还可以将企业的安全边界移动到各个网络和系统中。组织内外。、用户和设备。强调身份、多因素身份验证、可信端点、网络分段、访问控制和用户归属以分离和规范对敏感数据和系统的访问,从而实现更细化和更高效的安全访问控制。简而言之,零信任是一种思考网络安全的新方式,可帮助组织在当今不断变化的威胁环境中保护其数据、客户和自身的竞争优势。现在部署零信任是否为时过早?数据安全是2020年企业高管和CISO的头号任务,几乎所有企业高管都感受到了保护企业系统和数据的压力。投资者和“数据主体”(客户和消费者)也迫切要求更好的数据安全。尤其是当一些数据和应用程序位于本地而其他数据和应用程序位于云端(混合云模型)时,安全问题更加复杂——从员工到承包商和合作伙伴,每个人都使用来自多个来源的数据。访问这些应用程序的各种设备的位置。同时,各国政府和行业法规都在提高保护重要数据的标准和要求,而零信任可以帮助企业更好地遵守法规。对于企业来说,目前部署零信任最大的顾虑无疑是方法和技术的成熟度以及成本问题。没有人愿意当小白鼠,没有人愿意贸然尝试一个还处于“临床试验”阶段的“偏方”。市场上已经有大量经过生产验证的零信任应用程序解决方案/供应商和技术框架(包括谷歌和微软等大型企业用例)。根据Forester2019年第四季度市场报告,目前市场上具有代表性的零信任厂商如下:但值得注意的是,下面我们将介绍,零信任架构的本质是转移或改变安全范式,所以零信任架构成功实施的决定性因素不是厂商或产品,而是企业CISO自身对零信任架构的理解、实践方法、策略和路径。因此,在实现零信任架构的过程中,针对国内企业用户,安衡信息、奇安信、青藤云安全、联安云安全、深信服等众多积累了一定零信任度的网络安全公司,基于在各自的产品上,不同标准框架的零信任解决方案没有唯一的判断标准,最适合的更好。下面,我们简单介绍几个成熟的零信任框架和实践路径。零信任网络的三种实现方式支持零信任的网络安全技术近年来发展迅速,为零信任的实现提供了丰富实用的工具、框架和方法。目前,还没有单一的方法或技术来实现零信任网络安全框架。也就是说,不同的企业没有统一的标准答案,可以说条条大路通罗马。简而言之,你要做的就是整合各种技术模块和方法,确保只有经过安全验证的用户和设备才能访问目标应用程序和数据。例如,最少访问原则,只为用户提供他们完成工作所需的数据和权限。这包括实施过期权限和一次性凭据,这些凭据在不需要访问后会自动作废。此外,实施持续检查和流量记录,并限制访问范围,以防止系统和网络之间未经授权的数据横向移动。零信任框架使用多种安全技术来增加对敏感数据和系统的访问粒度。示例包括身份和访问管理(IAM)、基于角色的访问控制(RBAC)、网络访问控制(NAC)、多因素身份验证(MFA)、加密、策略执行引擎、策略编排、日志记录、分析和评分以及文档系统权限等。同样,您可以使用技术标准和协议来实现零信任方法。云安全联盟(CSA)开发了一种称为软件定义边界(SDP)的安全框架,该框架已用于一些零信任实施。互联网工程任务组(IETF)通过批准主机身份协议(HIP)为零信任安全模型做出了贡献,它代表了OSI堆栈中的一个新的安全网络层。许多网络安全供应商正在基于这些技术将零信任解决方案推向市场。基于这些技术、标准和协议,组织可以使用三种不同的方法来实现零信任安全:1.网络微分段(micro-segmentation)将网络划分为小颗粒节点,一直划分到单个机器或应用程序.安全协议和服务交付模型是为每个独特的细分市场设计的。2.SDP基于需要知道的策略,在授予对应用程序基础设施的访问权限之前验证设备的状态和身份。3.零信任代理充当客户端和服务器之间的中继,有助于防止攻击者入侵私有网络。哪种方法最好取决于您的业务场景和需求——受保护的应用程序、当前存在的基础架构、实施是全新的还是涵盖遗留环境,以及其他因素。构建零信任环境的五个步骤构建零信任框架并不一定意味着完全的技术转型。组织可以采取循序渐进的方法,在受控的迭代中进行,帮助确保高质量的结果,同时最大限度地减少对用户和操作的干扰。1.定义保护面在零信任系统中,你的重点不是攻击面而是保护面。所谓保护面就是对公司最有价值的关键数据、应用、资产和服务(DAAS)。保护表面的示例包括信用卡信息、受保护的健康信息(PHI)、个人身份信息(PII)、知识产权(IP)、应用程序(现成的或定制的软件)、SCADA控制、销售点终端、医疗设备、制造资产和物联网设备等资产,以及DNS、DHCP和ActiveDirectory等服务。一旦定义了保护面,您就可以使用简洁、精确和易于理解的策略声明来实施严格控制以创建微边界(或单独的微边界)。2.映射交易流流量如何通过网络移动决定了它如何受到保护。因此,您需要获取有关DAAS相互依赖性的上下文信息。记录特定资源的交互方式可以帮助您确定适当的安全控制并提供有价值的上下文以确保良好的网络安全性,同时最大限度地减少对用户和业务运营的干扰。3、构建零信任IT网络架构零信任网络是完全定制化的,没有唯一的标准和设计参考。总的原则是围绕保护平面(资产、数据、应用、服务等)构建零信任架构。一旦定义了保护面并根据业务需求映射了业务流程,就可以从下一代防火墙开始设计零信任架构。下一代防火墙可以充当分段网关,在保护表面周围创建一个微边界。使用分段网关,您可以实施额外的检查和访问控制层,一直到第7层,管理对受保护平面内资源的任何访问尝试。4.创建零信任安全策略在完成零信任网络架构的构建之后,您将需要创建一个零信任策略来确定访问规则。您需要知道您的用户是谁,他们需要访问哪些应用程序,他们为什么需要访问,以及他们倾向于如何连接到这些应用程序,以及可以使用哪些控件来保护该访问。通过实施这种细粒度的策略,您可以确保只允许合法的应用程序或流量进行通信。5.监控和维护零信任网络这最后一步包括检查所有内部和外部日志,重点关注零信任的操作方面。由于零信任是一个迭代过程,检查和记录所有流量将为如何随着时间的推移不断改进零信任网络提供有价值的见解。其他注意事项和最佳实践对于考虑采用零信任安全模型的组织,以下是一些有助于确保成功的最佳实践:在选择架构或技术之前,确保您拥有正确的策略。零信任以数据为中心,因此重要的是要考虑数据位于何处、谁需要访问以及可以使用什么方法来保护它。Forrester建议将数据分为三类——公共、内部和机密——并且每个“数据块”都应该有自己的微观边界。从小事做起,积累经验。为整个企业实施零信任架构的规模和范围可能是巨大的。例如,Google花了七年时间才完成BeyondCorp项目的实施。考虑用户体验。零信任框架不必也不应该破坏员工的正常工作流程/体验,即使他们(及其设备)正在接受访问验证审查。零信任的部分认证和授权过程应该尽可能“透明”,在用户完全不知情的后台进行。对用户和设备身份验证实施强有力的措施。零信任的基础是,在验证完全授权之前,任何人或设备都不可信任。因此,基于强身份、严格身份验证和非永久权限的企业级IAM系统是零信任框架的关键构建块。将零信任框架纳入数字化转型项目。当您为零信任网络重新设计工作流程时,您还有机会转变您的企业安全模型。综上所述,2020年是企业实施零信任架构的最佳时机。万事俱备,技术成熟,协议标准齐备。同时,新的安全威胁、挑战和期望也让零信任架构成为未来企业安全投资和战略有效性的优质保障。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
