零信任的安全边界

随着云计算、虚拟化、大数据、物联网等新兴技术的迅猛发展,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解,与此同时,秉承“去边界化”安全理念的零信任逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。

01

“零信任”安全的发展历程

2004年,一批IT安全管理者在Jericho论坛提出,在复杂的企业IT网络中,传统的网络边界正在消失,防火墙和其他边界网关已成为阻碍电子商务发展的绊脚石,在建设企业网络时应该消除这种边界(即“去边界化”)。但反对者认为这是一种令人非常困惑的做法,“去边界化”后,网络安全防护体系该如何构建呢?这在当时是一个难以回答的问题。

零信任的安全边界_第1张图片

2010年,Forrester分析师约翰·金德维格提出“零信任”概念,为业界勾勒了零信任安全的蓝图,自此,越来越多的网络安全专家开始将目光转向“零信任”。2020年2月,美国国家标准与技术研究院发布《SP800-207:Zero Trust Architecture》(第二版草案),标志着“零信任”从理念走向工程实践甚至标准化。纵观零信任安全从萌芽到逐渐成熟,“边界问题”一直是零信任致力要解决的核心问题,也是理解“零信任”关键。

02

围绕IT资产,重构安全边界

在传统基于边界安全模型的IP网络中,安全边界与网络边界是重叠的。企业IT网络建设时,首先考虑如何通过基础网络和业务系统建设满足企业的业务需要,然后再按照网络安全策略的总体要求,在网络边界上部署相应的安全设备,形成安全边界。也就是说,网络建设的总体进度表现为“先畅通,后安全”,安全边界叠加在网络边界之上。

另外,基于边界安全模型的网络安全产品过于关注对界外(Outside-In)攻击的防范,天生具有“防外不防内”的基因缺陷,导致它们无力应对来自网络内部的界内(Inside-Out)攻击。一旦攻击者突破边界或内网中出现了恶意用户,则边界对他们形同虚设。

基于边界的网络安全模型的特点是部署简单,安全建设成本低,但边界位置不够灵活,一旦受保护资源或攻击者的位置发生变化,则安全边界无法对敏感资产提供任何保护。这也是Jericho论坛认为边界网关已经过时的一个主要原因,但遗憾的是他们虽然意识到要消除边界网关,但却没能提出如何重建安全边界。

从访问控制的本质上来看,无论采取何种网络安全架构,都需要在访问主体与客体之间设置一道“隔离栅栏”(即安全边界),以便对受保护资源实施访问控制。当主、客体位置相对固定且可以形成稳定边界时,基于边界的安全模型当然可以胜任。但是随着IT资源的外迁“云化”,当主、客体位置可以发生变化且可能随时发生变化时,紧密围绕敏感资源,建设动态可控的“数字化”安全边界就成了唯一的解决方案。

零信任的安全边界_第2张图片

在NIST所提出的零信任架构中,策略决策点和策略执行点等策略组件共同协作,在IT资源周围按需形成动态的安全边界,其中:

 ◆ 策略引擎(Policy Engine)。负责最终决定是否授予主体对资源(访问客体)的访问权限,其核心作用是信任评估。PE使用企业安全策略以及来自外部源(如IP黑名单,威胁情报服务)的输入作为“信任算法”,以决定授予或拒绝对该资源的访问。

 ◆ 策略管理器(Policy Administrator)。负责控制客户端与资源之间的连接,为客户端创建用于访问企业资源的身份令牌或凭据,遵照PE的策略决策结果,向PEP发出允许或拒绝连接等指令,PA的核心作用是策略判定点,是零信任动态权限的判定组件。

 ◆ 策略执行点(Policy Enforcement Point)。负责发起、断开、监控主体与客体之间的通信连接,其核心作用是确保业务的安全访问。PEP实际包括两个不同的组件:客户端组件(如用户侧Agent)与资源端组件(如资源侧的访问控制网关)。

除了以上核心组件外,还有为策略引擎提供决策输入和策略规则的一些本地/外部数据源,具体包括:持续诊断系统(CDM System)、行业合规系统(Industry Compliance System)、威胁情报(Threat Intelligence)、数据访问策略(Data Access Policy)、公钥基础设施(PKI)、ID管理系统(ID Management)、安全应急和事件管理系统(SIEM)等。

03

丢掉信任幻想,边界随资源而生

IP网络中的“信任”如同网络中的其他弱点一样,应当逐渐地被消除掉。“零信任”的理念从边界模型“信任但验证”转换到“永不信任,持续验证”的模式,其主旨是消除网络内不合理的信任关系。NIST提出,“零信任”安全的网络设计下要遵循以下七点基本原则:

①网络中所有的数据源和计算服务都被认为是资源,包括用户、设备、数据、服务等;

②资源之间的所有通信都必须满足相应的安全要求(身份鉴别、机密性、完整性保护等),而且与资源的网络位置无关;

③对每个资源的访问授权均以一次访问会话为周期,当且仅当请求方通过身份认证后,方可授予其最小访问权限(遵循最小权限原则);

④对资源的访问授权是通过动态策略决定的,影响策略判决结果的因素包括用户身份、应用/服务、目标资源的状态,以及与安全态势相关的行为或环境因素等;

⑤企业持续监控和测量所有IT资产的安全状态,以便对处于不同安全态势下的资源采用不同的安全策略;

⑥所有资源的认证、授权是动态完成的,并且必须在允许访问前完成;

⑦企业尽可能收集IT资产的实时状态数据(如网络流量、访问请求的元数据),以便评估网络的安全态势。

上述原则是零信任网络的顶层设计原则,其对资源的定义隐含了在零信任架构下,安全边界的位置以及所保护的对象(即资源)的粒度。为了实现零信任的安全边界,NIST提出了零信任架构的三种实施途径:

 ◆ 采用增强的身份管理系统。将访问主体的身份作为创建资源访问策略的关键因素,对资源的访问策略取决于主体的权限,但发起设备、资产状态等因素可能影响最终的授权级别。

 ◆ 采用微隔离(Micro-Segmentation)。将受保护资源(组)划入特定的隔离网段,并通过安全网关(如由NGFW充当PEP)对该网段进行保护,要求安全网关具备“快速重配置”能力,以便能够实时响应工作流的变化和网络威胁。

 ◆ 采用软件定义边界(SDP)。利用SDN的思想,在底层基础网络上构建覆盖(Overlay)网络。网络控制器(由PA担任)按照PE的策略判决结果重新配置网络,访问请求通过由PA管理的PEP进行转发。

在上述三种实现途径中,第一种是从资源访问的发起者(访问主体)入手来实现零信任的授信过程,后两种则都是从被访问资源(访问客体)入手。但无论采用哪种途径,只要是对资源的访问,就必须遵从零信任的安全规则。也就是说,在零信任网络中,资源在哪里,边界就在哪里。

企业在实施零信任网络架构时,可以将上述三种方法作为逻辑组件,在网络中混合采用其中的一种或几种,以便在适应复杂的网络环境的基础上,充分利用现有的IT资源。按照企业不同的网络结构和业务工作流,NIST给出了四种典型的部署模型。

  

零信任的安全边界_第3张图片

零信任的安全边界_第4张图片

04

选择零信任,助力IT资产安全

由于TCP/IP协议自身的缺陷,试图在网络实体之间建立信任关系是非常困难的,网络实体的标识问题、公信的第三方缺失等都在阻碍信任评估体系的建设,最终导致实体间缺少建立信任的基础。

零信任作为一种概念、模型、体系框架,放弃了“边界”安全模型中不安全的信任假设,重新审视IT资源网中信任关系的建立、维系方式,通过改变网络资源的访问方式,减少暴露面和攻击面,为企业网络重建基于策略(按需、动态地)的安全边界,使网络安全管理能够更灵活地应对各个复杂的网络变化和事件。

零信任主要价值是指导安全体系规划建设,是对当前企业级网络发展趋势的回应。随着企业办公场景越来越多样化,业务上云趋势加快,传统基于边界防御以及默认信任内网的安全建设方式将难以有效应对挑战,企业将越来越认可零信任“永不信任、持续验证”对企业网络安全建设的价值,零信任将成为网络安全未来发展的重要方向。

你可能感兴趣的:(零信任的安全边界)