零信任理念适用场景如下
从远程办公的业务需求上来看,主要有:
1)普通办公需求:主要需求是访问公司的OA、审批系统、知识管理系统,以及公司的邮件、即时通讯、视频会议系统等;
2)开发测试需求:主要需求是访问公司的测试环境、代码仓库、持续集成系统等;
3)运维需求:主要需求是能远程登陆运维管理平台、远程服务器登陆维护等。
传统安全架构下,主要存在如下问题:
1)无法判断来源系统(员工设备等)环境的安全性,存在以来源终端为跳板攻击企业内网的风险;
2)无法进行精细化、动态化的权限控制;
3)缺乏安全感知能力,只能基于网络流量进行审计;
4)扩展能力较差,无法应对大规模的突发远程办公需求
通过零信任系统提供统一的业务安全访问通道,取消职场内部终端直连内部业务系统的网络策略,尽可能避免企业内部服务完全暴露在办公网络中的情况。所有的终端访问都需进行用户身份校验和终端/系统/应用的可信确认,并进行细粒度的权限访问校验,然后通过零信任网关访问具体的业务,这样能极大的减少企业内部资产被非授权访问的行为。
在该方案中,零信任网关暴露在外网而内部资产被隐藏,通过可信身份、可信设备、可信应用、可信链路,建立信任链的方式来访问资源。方案中比较重要的核心模块功能如下:
a)零信任Agent:在用户终端安装的零信任Agent实现了对设备的注册、安全状态上报、基线修复等功能,通过Agent实现用户与终端的绑定和信任建立,让零信任访问控制和保护引擎(安全控制中心)可以动态评估终端环境安全风险;
b)零信任网关:零信任网关提供对外访问入口,通过七层HTTP代理,或是四层网络流量代理等方式,实现将内部资源代理到外部访问中;
c)零零信任访问控制和保护引擎:该模块主要实现认证与鉴权两个功能,认证可以通过多因素认证解决用户身份可信问题,还有设备信任、应用信任等,通过零信任的终端、用户、资源、链路的信任链和动态校验机制,来确保对资源的可信访问;
d)内部系统:内部系统在零信任网关保护之后,只有通过零信任的认证和授权后才可以被访问使用。
职场外可通过多运营商DNS解析不同的IP入口保障远程用户访问可达,通过负载均衡入口减少对外暴露IP的资源消耗,并能够实现网关处理能力的快速扩展。职场内可以通过同样的DNS解析到内部网关,或者通过控制通道提供网关列表给终端,进行探测选择。这样内网只要网络带宽够,可以无限制扩展网关,不受前置负载均衡的瓶颈影响
零信任方案可以带来如下好处:
a)可快速扩容:零信任网关可以通过负载均衡实现快速的横向扩展,来满足突发的远程办公需求;
b)安全控制能力强:零信任把安全架构延伸到用户终端上,有更强的控制和感知能力;
c)安全攻击面小:零信任远程办公方案中,唯一可被访问的只有零信任网关,所有内部资源全部被隐藏在网关后,即便资源存在0day也难以被攻击到;
d)易使用:用户一旦完成认证后,整个使用过程对用户不会有打扰,用户和在公司内部的权限维持一致,有较好用户体验
大的集团公司,员工分布在全国/全球的多个分支子公司或办事处,他们有安全访问集团内部资源的需求,另外还存在着并购公司、合作(协作)公司员工的访问需求。
1、分支子公司、办事处等地的职场网络,不一定有专线到集团内网(搭建专线价格昂贵),经常通过公网VPN连接,存在安全性不足和访问效率低等问题。
2、并购公司、协作公司的网络安全管理机制与集团公司很难保持一致,当其访问集团内网资源时,存在人员身份校验和设备安全可信等问题。
1、零信任网络架构设计不再区分集团内网、专线、公网等接入方式,通过将访问流量统一接入零信任网关、零信任访问控制与保护引擎(零信任安全控制中心),实现在任意分支机构网络环境下的内部资源访问。
2、针对集团、子公司的组织架构或者员工角色设置访问策略,员工可以访问的内部系统仅限于指定业务(细粒度授权),不可越界。应保障访问人员身份、设备、链路的安全,同时子公司的终端或者账户如果有异常需要及时阻断访问。
3、多数情况下,并购或者协作公司的内部安全建设标准并不统一,因此应加强终端设备的安全管理和保护能力,标准化终端的安全配置。针对并购或协作企业用户的授权,还可以设置有效时间,超时后就无法再访问内部资源
由于合规或内部安全要求,所有包含用户交易或身份信息等敏感信息的流量需要加密传输。而现代的大型数据中心由于计算密度的增加以及虚拟化、容器技术的应用,导致传统的加密方式实施成本及运维难度加大。
1)传统基于业务开发的加密方式对业务侵蚀较大;
2)基于硬件设备的加密,成本较高且配置复杂;
3)业务变化频繁,需要更加灵活的、能够动态配置的流量加密方式。
流量加密需求结合零信任理念,将控制平面与数据平面分离,在虚拟机或容器环境的节点(Node)上安装微隔离客户端,通过统一的微隔离管理端进行加密策略的配置。为了便于业务梳理,可考虑增加业务流的可视化拓扑,从而实现基于实际业务访问关系的加密策略配置。
**微隔离管理端:**采用标签体系对工作负载进行定义,即可实现加密策略的去IP化。例如定义某业务系统的“APP1”标签主机可以访问数据库“DB1”标签主机的1521端口。去IP化后,当工作负载发生变化时,例如克隆复制、IP变化等,微隔离客户端会将变化上传至微隔离管理端,管理端可自动计算环境变化导致的策略变化,从而进行自动调整。
**微隔离客户端:**以长连接形式与管理端进行保活,当管理端生成加密策略时,客户端即可获取到对应策略。工作负载间的加密可通过IPsec的方式进行,从而保障TCP和UDP均可进行加密,另外IPsec这种长连接形式,更适用于服务间调用的场景。微隔离客户端也可将主机的连接信息,上报到微隔离管理端,管理端进行分析匹配,从而绘制业务流量拓扑。
流量加密会增加工作负载的性能损耗,在规划时,建议按需配置。另外本方案需要安装微隔离客户端
对于大型数据中心场景,传统方式通常采用对数据中心网络分级分域的方式进行管理。随着业务的发展,一个网络区域内部的虚拟机数量可能会大幅增加,需要通过更快捷的方式实现数据中心内部东西向流量之间的隔离和访问管理,缩减内部攻击面
1)已有业务系统,由于长时间运行,业务关系复杂,很难通过人工形式进行有效梳理,从而导致东西向安全策略的配置工作无从下手;
2)与南北向域间访问控制相比,东西向的访问控制策略条数随着工作负载的数量呈指数上升,高计算密度下,通过人工方式配置策略不再可行;
3)新业务上线前,需要安全或运维部门进行访问控制策略的配置,如果配置效率低,将影响业务交付速度
1)对于已有系统,通过微隔离组件与CMDB(配置管理数据库)对接,实现业务流学习与精细化策略配置
通过与CMDB的对接,将工作负载的属性信息读取到微隔离管理中心组件上,并自动生成对应的工作组(微隔离能够按角色、业务功能等多维度对需要隔离的工作负载进行快速分组)及标签。通过自动化运维工具批量部署微隔离客户端组件,通过IP作为媒介,安装好客户端的工作负载会自动接入微隔离管理中心组件的对应工作组中并配置相应标签。
微隔离客户端会自动学习工作负载间的访问关系,绘制业务流量拓扑,同时将学习到的业务关系转换为业务流信息上传到CMDB中,即可实现对已有系统的业务梳理。再由业务部门对业务流信息进行审核,审核通过的即可回传至微隔离管理中心,管理中心将确定的业务流信息自动生成安全策略下发到各工作负载之上。
2)对于新建系统,通过微隔离组件与CMDB对接,实现安全策略与业务功能的同步交付
微隔离客户端默认安装在虚拟机操作系统的镜像中,业务部门需要在CMDB中说明新建系统内部、新建系统与已有系统的业务流信息。当新业务上线时,微隔离管理中心除了读取CMDB中工作负载的属性信息外,还将读取业务流信息,并基于业务流信息自动生成新的安全策略并覆盖原有安全策略,从而实现业务与安全的同步交付。对于几百上千台虚拟机的情况下,这种方案可以大幅减少安全策略管理的工作量,并提升内部安全等级
本方案依赖于CMDB系统,对于CMDB的标准化建设有一定要求。对于已有系统,如果业务未经过梳理,则开始需要业务部门参与,存在一定工作量。
容器环境的应用使业务开发和部署更加灵活,但目前容器环境下内部普遍采用大二层网络,在安全建设层面缺少基础的网络层访问控制,而开源工具配置复杂,很难使用和运维。因此需要一种方案能够对容器之间的流量进行管理和控制
1)Kubernetes(k8s)容器环境下pod变化频繁,导致IP随之变化,传统基于IP的策略管理模型失效;
2)开源工具Network policy等配置繁琐,缺少阻断日志,无法排查异常通信;
3)海量节点的策略配置与下发,有完全去IP化的需求;
4)地址转换问题,例如pod访问容器外的数据库集群,传统方式会隐藏掉源pod的信息
整体方案包含两部分——微隔离客户端+管理端,在不改变业务及网络架构的前提下,自定义容器间访问控制。
对于k8s架构的容器环境,可通过在Node上部署微隔离客户端,实现对pod的Label、Namespace的识别,Label信息可用于配置pod的身份,Namespace可用于划分工作组。同时k8s现有接口,可识别pod之间的通信。
为了解决容器环境频繁上下线时,策略频繁计算导致性能瓶颈的问题,在配置过程中采用基于机器身份的微隔离方案,利用SPA机制实现完全去IP化,策略的配置、执行完全以机器的身份作为标识,在地址转换场景下也可识别真实的访问来源
上述方案实施需要容器环境具备一定的架构规划,配置信息规范,例如规范定义Label及Namespace。采用SPA机制可减少策略计算导致的延迟,但会增加性能损耗
大数据应用场景下,数据访问包括以下几种方式:
1)终端用户通过访问内部应用,然后通过API调用方式访问数据;
2)外部应用或数据服务平台通过访问数据服务区提供的API服务,进而访问数据;
3)数据分析和运维人员可直接访问数据。
由于数据访问入口多、数据结构复杂,数据泄漏风险增大,因此需要对数据访问行为进行动态、细粒度的数据访问控制
尽管已经在应用层面上对不同的用户实施了访问控制,但如果某个应用系统被入侵或被控制,攻击者拥有应用系统访问权限后能够访问到数据资源,造成数据泄露风险。即无法验证终端和环境的可信性,可能导致数据外泄。
如上图所示,在大数据应用场景下,部署零信任方案,在用户身份、设备安全、应用安全、链路安全等信任属性基础上,增加数据类别、数据级别、数据操作(增删改查)等更多数据本身的属性,实施动态、细粒度的访问控制。即便某一应用系统遭受到攻击,也只能攻击该应用系统所能操控的数据范围,而不会影响到大数据环境下其它数据的安全
物联网属于典型的大型分布式网络系统,每一个数据采集节点都属于一个分布式节点,该节点往往缺少本地的防护能力,容易被不法分子利用,导致整个物联网系统的安全坍塌。
可见物联网的本质属于“无边界网络”,其安全要求不仅体现在传统网络层面上的节点安全、通信安全、后端业务应用的安全等方面,还包括其在“无边界网络”环境下的感知层的安全,即分布式节点的各类传感器的安全,以及在对应复杂的业务策略带来的各种管理控制要求等。
物联网终端、连接、管控等方面可实现以零信任理念为主导,形成动态防御的体系。
1)终端资产不可见问题:终端资产多为传感器,自身结构简单、功能单一,不具备传统网络终端可感知、可自身防护、可管控等特点,部署完成之后很难知道终端的状态,同时对传感器上报的数据也没有安全手段予以防护,终端和链路均不安全;
2)连接方式不可知问题:目前传感器的连接以非IP的连接方式为主,传统的手段在物联网的应用场景下无法起到应有的效果,需针对新应用场景提供可用的管理和防护方法,满足新业务场景的需求;
3)网络不可控问题:物联网网络连接的特点是次数少、速率慢、数据包小,很难像传统网络一样形成可管可控的管理系统,也无法提供及时有效的安全防护手段,从网络防护的角度上看,网络状态处于不可控;
4)运维不可行问题:物联网终端存在分布范围广、终端类型多、协议难管理、拓扑无固定模式等特点,需要针对此类特点提供更可靠的运维模式
物联网安全防护解决方案主要根据实际应用场景的需求,安全防护痛点,有针对性的形成集中管控、资产可视、网络可控和安全可视的整体安全防护解决方案。该方案是针对物联网安全需求而设计,方案特色主要体现在以下几点:
1)资产可视。物联网终端安全准入控制,基于物联网节点感知技术,通过丰富的物联网设备指纹基线库,并且支持结合特定需求,定制指纹库,实现物联网设备准入控制和行为诊断,可以有效评估物联网设备的安全状态,发现终端异常行为,及时阻断。对于物联网资产,识别为零信任体系中的环境因子,在感知层提供环境感知基础;
2)传感器接入提供安全防护。物联网安全接入网关能够做到对传感器(人脸识别器、车辆识别器、道闸、智能门禁)做到识别、动态展现、异常接入检测告警,这是传统网关类设备不具备的。连接方式丰富,支持LoRa、wifi、RS485等接入方式,能够应对各种网络变化和对有线连接的备份。在物联网接入层,确认传感器的状态之后,形成接入层安全状态的模型,上报上层管理中心,接入设备的安全状态发生变化时,可接受管理中心的策略,切断传感器的连接甚至是接入层的连接,保证物联网汇聚节点的安全;
3)网络可控。物联网终端安全准入系统通过监听通信链路的网络流量,识别终端模型,支持对接第三方的网关设备,能够确保通信链路的安全性。可以持续监控传输流量的协议类型,识别传感器的业务种类,进行业务安全行为分析,为设备标注可信标签,快速的检测实时网络攻击。网络可控提供了网络行为的模型基线,网络流量发生的时间、流量大小、异常流量等成为风险评估因子,为管理中心提供网络行为评估基础。
4)运维实施简单、成本低。所有安全设备部署做到即插即用,网关上电、插网线即可完成安装工作,网关自动注册到云端设备管理平台,完成自动连接和安全配置下发工作。通过集中的管理平台,用户可以同时管理成千上万的分布式节点,同时管理安全策略,相对于传统需要耗费巨大的时间和人力成本的方案,统一管理的模式使物联网业务的安全部署更加简单、快捷、灵活、易用和高效。顶层管理中心对传感器环境因子和网络行为因子进行综合评估,可形成完整的安全态势分析,通过预置的安全策略保障物联网安全实现动态防护。
中小企业用户,经常使用多个公有云厂商的云服务,在不同的公有云上部署不同的业务。中小企业用户不愿意也没有能力在多个云上构建企业网络来保障访问策略的统一,但需要安全的访问多个云上的资源
用户要适配不同的云服务商提供的访问控制策略接口,没有统一入口,缺少跨公有云的统一资源安全访问能力
需要为终端设备提供多个公有云连接通道的能力,多个云复用同一个零信任安全控制中心,提供统一的访问控制策略,通过低流量的策略同步或者其他不影响带宽的机制,做到统一的授权管理。用户在具体要访问某个公有云上业务的时候,就可以通过安全控制中心,对接到相应云的零信任安全网关入口进行访问
某些大型跨国公司,其业务及服务对象遍布全球多个区域。为了提供良好的用户体验、满足不同区域的合规性要求,采用就近部署服务的方式,需要使用混合云、分布式数据中心的方式部署相关业务服务器。如何进行服务器的安全运维需要安全、便捷的解决方案
服务器承载业务核心数据,分布部署在运维上将带来授权失控、管理端口对外暴露等风险,同时运维在保证安全的前提下也需要兼顾效率
为避免企业的运维人员使用静态票据登录云服务器远程运维,通过安全网关对运维人员进行集中身份认证(使用企业的统一身份认证),在对用户和终端设备做身份认证、安全评估和访问授权后,为当前会话临时生成证书,作为服务器登录的票据,解决服务器运维登录问题。同时安全网关也减少了服务器高危端口直接对外暴露的风险。
另外,针对外部合作方参与协作运维的场景,可以通过企业OA身份认证与合作方身份管理系统对接,合作方人员可直接使用自己的身份认证结果,从而避免合作方使用静态票据登录服务器可能泄露带来的安全风险。
企业内部IDC网路,默认提供对外入口比较固定,容易遭受DDoS攻击,也比较给企业管理者带来一定的担忧。但是企业面临业务发展,不得不开放远程的办公访问或者服务接入。需要一个既能够对外提供服务,又能够从架构上面保证相对安全的方案
机房默认对外暴露的入口,带来DDoS或者其他入侵的担忧和风险
通过提供一个额外的云上接入安全服务,提供对各种入口流量的安全处理,实现对来源流量的网络策略管理
如图,在云上接入安全服务,将原有的IDC入口防护放到云上实现,云上提供的全网络接入点,另外通过前置购买动态CDN,可以降低网络访问的延迟,增加远程访问的体验,保护IDC对外开放的入口。有些云服务厂商提供默认的DDoS防护能力,如果防护能力不足的话可以再追加购买DDoS防护,弹性扩容。然后在云上接入安全服务中部署零信任网关,网关和用户的IDC机房连接,可以通过虚拟的专线网络,也可以通过物理专线做连接。客户终端流量通过动态CDN,通过云上接入安全服务,再进入企业的IDC内网访问对应的资源。过程中可以保障用户业务系统所在的机房不直接对外暴露访问入口
零信任安全理念在企业的落地不会是一蹴而就,也绝非仅靠采购一些零信任安全产品或者部署一些零信任安全组件就能够简单实现。需要企业根据自身业务系统建设阶段、人员和设备管理情况、现有网络环境、企业网络安全威胁、现有安全机制、预算情况、安全团队人员能力等因素综合考虑,制定零信任安全目标和实施计划,分阶段的逐步落地,持续提升企业零信任安全能力,是一个不断完善、持续优化的过程。
结合零信任理念在企业落地的具体场景和安全需要,本章将分为全新建设零信任架构网络和在已有网络架构上改造升级两种情况分别介绍。
主要因素:
1)有专门的安全团队和人员牵头和推进实施;
2)领导的重视(往往决定了落地的难易程度);
3)有明确的安全目标(以及阶段性目标);
4)有适配达到安全目标的足够预算;
5)业务团队的充分理解和配合;
6)第三方厂商的配合;
方法步骤:
1)明确范围
全面梳理和确认过程中涉及的人员、设备、业务系统、数据资产等保护对象,并考虑到实施过程中可能涉及的网络位置(集团总部、分支机构、云环境等)等因素。从应用场景进行梳理可能是比较好的一种方式。
2)确定安全目标
根据零信任网络保护对象的重要程度,以及企业可能面临的安全风险、企业安全现状、团队能力、可投入的资源等因素,确定零信任网络需要建设的安全能力,以及能力实现的强弱程度(并非一定要把所有最高级别的安全能力手段都加于企业身上,而是应根据企业实际需求适配,但需要保障零信任基本能力的建设)。
3)制定实施方案和计划
根据已确定的安全目标、企业现状,制定实施方案和计划,明确各实施阶段的实施目标和里程碑标志(能够验证目标已达成的事项)。
4)分阶段实施
根据制定的实施计划,推动相关人员实施。并按照项目管理的模式,按时推进,跟踪进展,适时调整,逐个阶段的实现。
5)持续完善和优化
在完成零信任网络的基本建设后,应该不断和提升丰富企业的零信任安全能力(包括持续加强零信任组件的自身安全防护、持续提升企业的零信任网络安全运营能力等),最终从安全技术、安全意识、安全运营、组织建设等方面持续完善和优化
企业全新建设零信任网络时,在实施过程应该注意以下事项:
1)明确范围时,应对新建系统的访问流程进行遍历,梳理企业内部资源(业务系统、服务接口等)的所有访问路径、用户(含角色等属性)等,并明确是否支持员工使用BYOD设备等场景需求。分析业务流可以用流程图分析,也可以通过自动化方法对业务系统选择非入侵的方式对流量进行长期记录,并对网络流量进行分析,发现系统中存在哪些网络连接。
2)确定安全目标时,确认需要建设的零信任组件和安全能力,并制定阶段性目标(可以区分企业现阶段能够掌握的能力,以及未来要完善或突破的能力)。应规划和建设统一的身份管理和认证机制,包括对用户、终端设备、应用等的数字身份管理和认证;建设统一的访问控制中心,实现对来自所有用户、终端设备、应用等的访问请求的授权决策。根据企业应用场景、内部资源支持的协议和应用架构(如B/S应用、C/S应用)、工作负载所处环境(物理机、虚拟机、容器等)等因素,确认零信任Agent、网关、隔离组件等实现方式和部署模式。
3)制定实施计划和实施过程,应注意根据确定的阶段性目标,分步骤实施。在建设完相关组件后,并根据最小权限原则定义访问控制策略,同时需注意集中策略管理带来的风险,对零信任策略访问组件实行强访问限制(也就是对零信任核心组件本身应用零信任理念防护)。企业的安全团队可以制定企业级的访问控制策略,业务团队可以提供更细粒度的应用访问控制策略。
4)持续完善和优化时,应注意不仅仅是完善零信任组件能力的建设这类“硬”实力的提升,还要根据零信任理念配套提升企业的安全“软”实力,如组织企业员工安全意识培训、组建安全组织、建立安全运营机制等。同时,对于零信任组件安全能力的优化,还可以通过日志分析等方式,对安全目标进行反馈和系统调优,形成闭环,有益于了解如何持续改进零信任网络,逐步降低零信任网络中人工介入的工作量,实现更为全面的自动化和自适应的能力
企业将已有网络架构升级到零信任架构时,在实施过程应该注意以下事项:
1)明确范围时,首先要确认需要迁移到零信任架构下的业务系统、网络、用户和终端设备等保护对象然后进行业务访问流程的全面梳理。
2)确定安全目标时,应确认需要建设的零信任组件和安全能力,并和企业现有的安全能力进行对比,梳理出需要补全的安全能力。
3)制定实施计划和实施过程,首先要确认是采取优先建设完整的零信任基本安全能力,还是先建立部分零信任安全能力而优先保障业务的覆盖度。在实施时,尤其要关注与企业现有安全产品/系统的对接问题(第三方供应商的配合程度会影响实施时长)。在业务迁移的顺序选择上,可以先选择非核心业务进行试点,逐步将核心业务覆盖;同时要注意设计一定的纠错和缓冲机制(比如同时支持VPN访问和零信任网络访问),在零信任架构网络出现问题时,能保证业务的正常访问,通过方案调整保障业务的平稳迁移,过程中还应加强对用户使用零信任网络的引导。
4)持续完善和优化时,应注意零信任组件和架构落地部署和运行只是开始,要持续将零信任理念与企业现有安全运营机制、安全组织模式等相结合。