读书笔记>白话零信任01:第一章零信任的历史
目录
文章目录
- 目录
- 第一章、零信任的历史
-
- 困境
- 1.1 Forrester正式提出零信任概念
- 1.2最早的零信任实践:Google BeyondCorp
-
- 推动方案
- 员工试用体验
- 1.3国外零信任行业的大发展
-
- 1.3.1零信任网络访问方案:
- 1.3.2云形式的零信任方案: 以Zscaler为代表
- 1.3.3以身份为中心的零信任方案
- 1.3.4微隔离方案
- 1.4零信任行业标准
-
- 1.4.1 CSA(国际云安全联盟)提出的SDP 架构
- 1.4.2 NIST的零信任标准
- 1.4.3 国内零信任标准
- 1.4总结
-
- Gartner成熟度曲线
-
- **技术成熟度曲线如何发挥作用? **
第一章、零信任的历史
困境
传统的IT组网中,网络安全需求的落地往往把重心放在以下工作:
-
精心设计的网络结构,如:带外管理网段/带内生产网段的严格划分、不同网段之间的严格隔离等;
-
在网络边界部署专用安全“盒子”设备上,如:F5、IPS、WAF、DDOS等。
这些经典的网络安全部署方案,长期以来起到了较好的安全防护作用。但随着企业网络规模的日益扩大、网络攻击技术的不断发展、云技术/容器化的不断发展,传统安全方案的缺点越来越明显。
- 整体防御能力重边界、轻纵深,面对攻击者的横向扩展束手无策
复杂的网络部署环境造成过长的网络边界,单点突破往往难以100%杜绝,“容忍单点突破、杜绝全面失守”已成为系统化安全建设的共识。而在过于强调边界防护的传统安全方案下,网络边界越来越容易成为实际上的“马奇诺防线”。
攻击者往往第一步会通过应用薄弱点(0day或nday)、水坑攻击、钓鱼邮件等手段绕过企业重兵部署的防御边界,找到突破点后,通过端口扫描探测更大的攻击目标。
- 检测能力的局限性
WAF、IPS、DDOS等安全防护设备,都是基于规则进行防护。攻击者常用以下两种方式来实现对防护的逃逸:
1)通过编码、异形报文进行逃逸;
2)通过大流量的攻击报文,超出设备检测能力逃逸。
3、审计、权限控制的缺失
当攻击者或内部人员以正常业务操作途径,尝试恶意登录、越权下载数据、破坏数据完整性时,现有的“盒子”设备欠缺防护能力。对于上述恶意操作,一般以以下方式进行管控:
1)确保业务系统对人员的最小授权;
2)能够通过审计能力,在事中或事后发现侵害行为;
3)通过动态风控手段,结合一定规则、用户行为特征,实现侵害行为的事前阻断。
4、无法满足企业服务上云后的安全需求
服务上云已经成为越来越多企业的必然选择,公有云、混合云部署场景下,云上服务存在网络界面扁平、攻击面大、服务动态伸缩等特点,传统的防护手段已无法适用。而现有云上的安全组、防火墙策略,则存在配置不灵活等问题。
1.1 Forrester正式提出零信任概念
2010年时任Forrester研究机构的首席分析师John Kindervag提出了零信任(Zero Trust)的概念。
Forrester定义:零信任扩展生态系统ZTX Zero trust eXtented
数据是零信任架构保护的核心目标
ZTE zero trust Edge 零信任边缘,通过云原生的中心网关进行安全过滤
传统的基于边界的安全模型
相比之下,零信任基于这样一种信念:企业不应该自动地信任其边界内或外部的任何东西,而是在授予访问权限之前,对试图连接到IT系统的任何人和东西进行验证。
从本质上讲,零信任安全不仅承认网络内部和外部都存在威胁,而且还假定攻击是不可避免的(或可能已经发生)。因此,它会持续监控恶意活动,并限制用户只能访问完成工作所需的内容。这有效地防止了用户(包括潜在的攻击者)在网络中横向移动并访问任何不受限制的数据。
1.2最早的零信任实践:Google BeyondCorp
2017年Google对外宣布基于零信任概念的新一代网络安全架构BeyondCrop落地完成,外界普遍认为此次Google网络安全架构的改革,与Google在“极光行动”中总结的经验教训有关
推动方案
在历史包袱很重的情况下,一个企业切换到beyondCorp还是比较困难的,google在推广beyondCorp的时候安利了一套无缝切换的方案。每个应用的迁移被分为三个阶段。
- 只可以通过内网或VPN访问。
- 在外网使用单独的DNS服务器将目标应用的IP指向access Proxy,做到外网可访问。
- 将所有的访问方式切换到access Proxy。
当大部分应用都支持了access Proxy访问的时候,就可以推动VPN的下线,这一步目标达成之后欧下公司内网会消失,使用公司提供的Wifi也只提供公网访问的能力。这里感觉google的推动思路和我在甲方公司所做的大同小异,文中提到推动项目的一个要点是不使用VPN后会提高效率,在不是技术主导的公司中这样的原因比较难被管理层认可。
google在推动时做的几件事:
- 使用VPN需要申请。
- 分析目前使用VPN的用户,如果所用流量都通过了access proxy那么可以强推他切换。(这里google使用交换机,和每个员工主机所安装的agnet上获取了所有的用户流量)
- 针对一些使用了自定义协议的应用,access proxy需要做相应的适配,这些应用只能慢慢推动。(在第三篇paper中讲到使用TUN设备来解决自定义协议的问题)
员工试用体验
1.网络准入: 802.1x认证
2.单点登录SSO: 访问业务系统前,跳转至单点登陆页面进行多因素认证,包含U盾、指纹等,未通过则只能看到访问代理
3.设备校验:员工设备中安装探针,不断检测设备状态。控制员工安装的软件或者更新安全补丁和病毒库, 如果不符合条件,则中断连接
4.访问权限:只能访问授权的业务系统
5.风险检测:信任等级的概念,如果员工连续做了多个可以操作,信任分数降到不满足当前级别的要求,则员工权限会发生变化。
后来,谷歌开发了 BeyondProd,它提供了一种零信任方法,在云优先的微服务环境中安全地管理代码部署。
1.3国外零信任行业的大发展
2019年9月,NIST发布了Draft NIST Special Publication 800-207《Zero Trust Architecture》为给出了零信任官方意义上的解读。
2020年2月NIST对其进行了更新,发布了Draft (2nd) NIST Special Publication 800-207,细化了零信任架构的细节,更有力地推动了零信任思想的发展和落地。
1.3.1零信任网络访问方案:
类似BeyondCop、 微软AZure云、
1.3.2云形式的零信任方案: 以Zscaler为代表
Zscaler的零信任架构拓扑图涵盖了从终端到云的整个网络安全链。它包括了与Zscaler云安全平台相关的各种安全功能,如网络隔离、应用隔离、身份验证、威胁防护、内容过滤和数据保护等。
该架构还包括Zscaler网关,可以与终端客户端进行对接,以提供对网络安全的保护。这种零信任架构还可以与组织的现有安全工具和流量管理设备相整合,以提供一种统一的安全解决方案。
1.3.3以身份为中心的零信任方案
以 Okta 为首的 IDaaS 平台 (Identity as a Service,身份即服务) 借着零信任这股东风,乘势而起。Okta的零信任方案特殊是与OKta的身份云集成,实现对用户、服务器和API身份的全生命周期管理,以及基于身份上下文的细粒度访问控制。
1.3.4微隔离方案
代表公司为Illumio,可以获取工作负载之间的通信地图,根据地图快速构建访问控制策略,策略会通过部署在工作负载上的微隔离组件自动执行。该方案可以跨云、跨容器、跨数据中心 部署,对环境的兼容性非常好
1.4零信任行业标准
SDP 软件定义边界(Software Defined Perimeter)
1.4.1 CSA(国际云安全联盟)提出的SDP 架构
SDP安全模型由3大组件构成,分别是:
- SDP Client,即:SDP客户端软件,Initiating SDP Host,即IH;
- SDP Gateway,即:SDP业务代理网关,Accepting SDP Host,即AH;
- SDP Controller,即:SDP控制中心
3大组件构成控制平面和数据平面两个平面。SDP客户端和SDP网关之间的连接通过SDP Controller与安全控制信道的交互来管理。该结构使得控制平面能够与数据平面保持分离,以便实现完全可扩展的安全系统。
SPA网络隐身:SDP的核心是使用单包授权技术(SPA,Single-Packet Authorization )实现业务系统的隐藏,并使用类似“IP白名单”的访问控制模式,阻止未经认证授权的客户端对业务资源的访问
SDP建立连接过程,摘自《软件定义边界(SDP)标准规范2.0》
单包授权技术的工作流程大致是:
a. 终端发送SPA包到网关,请求TCP连接;
b. 如果网关判断SPA合法有效(向Controller进行验证),则允许访问源IP建立TCP连接,随后进行建立mTLS连接所需的双向身份认证;
c. 终端发起带有独特服务标识的服务连接请求到网关;
d. 网关代替客户端与业务服务建立连接;
e. 网关告知客户端连接请求是否成功;
f. 客户端通过网关与业务服务进行数据消息转发,即正常的业务访问;
g. 由客户端或者网关发送给对方服务关闭消息,将连接关闭,完成业务访问过程
SDP与VPN的区别
SPA网络隐身就是VPN不具备的安全技术。
SDP强调控制面与数据面的分离。
SDP 可以将 VPN 融入其体系结构,以在用户设备和它们需要访问的服务器之间创建安全的网络连接。但是,SDP 与 VPN 截然不同。在某些方面,它更加安全:VPN 使所有连接的用户都能访问整个网络,但 SDP 不会共享网络连接。与 VPN 相比,SDP 可能更易于管理,尤其是在内部用户需要多级访问的情况下。
使用 VPN 管理几个不同级别的网络访问涉及部署多个 VPN。假设鲍勃在 Acme Inc. 会计部门工作,卡罗尔在销售部门工作,而爱丽丝则在工程部门工作。如果在网络级别管理他们的访问权限,这需要设置三个 VPN:1) 提供访问会计数据库访问权限的会计 VPN;2) 用于客户数据库的销售 VPN;以及 3) 用于代码库的工程 VPN。这不仅让 IT 部门难以管理,而且安全性也较差:例如,任何访问会计 VPN 的人现在都能访问 Acme Inc. 的财务信息。如果鲍勃不慎将其登录凭证提供给卡罗尔,那么安全性已受损,IT 甚至可能没有意识到。
现在想象一下第四个人:Acme Inc. 的 CFO 大卫。大卫需要访问会计数据库和客户数据库。大卫是否必须登录两个单独的 VPN 才能完成工作?或者 Acme 的 IT 部门应该建立一个新的 VPN,以同时提供对会计数据库和客户数据库的访问?这两个方案都难以管理,第二方案还会带来很大的风险:如果攻击者侵入这个具有两个数据库的广泛访问权限的新 VPN,造成的损害可能是以前的两倍。
另一方面,SDP 更加精细。没有一个统包性 VPN 供访问相同资源的每个人登录;而是,为每个用户建立一个单独的网络连接。几乎就像每个人都有一个自己专用的 VPN。此外,SDP还会同时验证设备和用户,从而使攻击者更难仅凭盗取的凭证来侵入系统。
还有其他几个关键特征可以区别 SDP 和 VPN:SDP 与位置和基础设施无关。它们基于软件而非硬件,因此 SDP 可以部署到任何地方以保护内部基础设施和/或云基础设施。SDP 还能与多云和混合云部署轻松集成。最后,SDP 可以连接任何位置的用户;他们不需要在公司的物理网络边界内。这使得 SDP 对于管理不在公司办公室内工作的远程团队非常有用。
1.4.2 NIST的零信任标准
基本组件包含
1.策略决策点(Policy Decision Point):包含策略引擎以及策略管理
2.策略执行点(Policy Enforcement Point):抽象的概念,可以指客户端和网关等组件
NIST的主体(Subject)可以指用户,服务器,物联网设备
系统(System)可以指用户的笔记本电脑、服务器、物理网系统
CDM系统:持续诊断及环节系统:收集企业资产的安全状态,更新系统配置和软件。若存在漏洞,策略决策点可以采取修复或者隔离措施
行业合规系统(Industry Compliance):确保企业遵守了各种合规制度,包含一系列相关的策略规则
威胁情报源(Treat Intelligence):为企业提供最新的漏洞、恶意软件、恶意IP等信息。策略决策点可以有针对性的进行分析屏蔽
数据访问策略(Data Access Policy):定义了谁可以访问哪些数据。可在此基础上基于身份和数据属性进行更细力度的策略管控
公钥基础设施(PKI):生产并记录企业向主题、资源签发的证书
身份管理系统(ID Management): 负责管理企业用户的身份信息,例如AD ,IAM ,4A系统
行为日志(Activity logs):汇聚企业系统日志、网络流量、授权日志等。策略决策点可根据行为日志进行分析建模
安全信息与事件管理系统(SIEM): 汇聚哥哥系统发出的安全事件以及告警日志,便于进行策略响应
1.4.3 国内零信任标准
2019年,腾讯联合国家互联网应急中心CNCERT、中国移动设计院、奇虎科技、天融信等机构,向中国通信标准化协会申请将零信任安全技术-参考框架作为标准并获得立项
2020年8月,奇安信牵头向全国信息安全标准化技术委员会申请将《信息安全技术 零信任参考体系架构》作为标准并立项
2021年, 中国信息通信研究院和CSA大中华区零信任工作组联合推进《 零信任能力成熟度模型》等相关标准的建立。2021年7月 中国电子工业标准化技术协会发布了T/CESA 1165-2021《零信任系统技术规范》团体标准。
国内方案
1、腾讯云:短期以现场交付为主,长期向云模式转变
2、奇安信:整体解决方案,帮助企业建立统一的身份中心、权限中心、审计中心,与终端管控、安全风险分析等产品对接
3、深信服: VPN厂家,升级为零信任VPN
4、阿里云、竹云等基于自身优势的IAM产品来打造
5、专注开发SDP产品: 云深互联的深云SDP
6、数蓬公司:数据防泄漏能力特别强,方案更重,带终端沙箱
7、蔷薇灵动公司:微隔离技术,服务期间的零信任访问控制
8、网宿与帝盟云: 将SDP与CDN结合,缩小供给面进行抗DDOS攻击
1.4总结
Kindervag 的零信任模型和 Google 的 BeyondCorp 都围绕着以下几个主要原则:
分段——传统网络公开了对所有数据资产、服务器和应用程序的直接访问。零信任模型划分了这些资源的各个子集,并取消了用户直接访问它们而无需首先通过严格控制的网关的能力。这有时被称为“网络隔离”。微分段进一步扩展了这个概念,它将工作负载彼此隔离,这样管理员就可以监视和控制不同服务器和应用程序之间的信息流,而不仅仅是客户机和服务器之间的信息流。
访问控制——无论用户是实际位于办公室还是远程工作,他们都应该只能访问符合其各自角色的信息和资源。网络的每个部分都应该进行身份验证和授权,以确保流量是从受信任的用户发送的,而不管请求的位置或来源如何。
可见性——网关应该检查和记录所有流量,管理员应该定期监控日志,以确保用户只尝试访问他们被允许访问的系统。通常,管理员会使用云访问安全代理软件来监控用户和云应用程序之间的流量,并在他们发现可疑行为时发出警告。
借助零信任模型,组织可以消除对网络和资源的直接访问,建立精细的访问控制,并获得对用户操作和流量的可见性。但是,他们需要模型来指导他们完成实施。
零信任架构应该遵循6项基本原则
根据NIST白皮书中的声明,零信任架构应该遵循6项基本原则
All data sources and computing services are considered resources.
所有的数据源及计算服务,均被认为是“资源”。
All communication is secure regardless of network location.
不论处于什么网络位置,所有的通信都应以安全的方式进行。
Access to individual enterprise resources is granted on a per-connection basis.
对于企业资源的访问权限授予,应基于每个链接。
Access to resources is determined by policy, including the observable state of user identity and the requesting system, and may include other behavioral attributes.
对“资源”的访问授权,应取决于策略,包括了用户的身份认证和发起请求系统的持续可观测状态,可能还包括了其他的行为属性。
The enterprise ensures all owned and associated systems are in the most secure state possible and monitors systems to ensure that they remain in the most secure state possible.
企业应确保其所拥有或与之相关联的系统处于尽可能的安全状态,并通过对其的持续监控确保它们总是尽可能的处于安全的状态。
User authentication is dynamic and strictly enforced before access is allowed.
用户在访问授权之前,必须进行强制的、动态的身份认证。
零信任模型的三大原则和八大支柱
三大核心原则
零信任是一个集成的、端到端安全策略,基于三个核心原则:
永不信任,始终验证——始终基于所有可用数据点进行身份验证和授权,包括用户身份、位置、设备、数据源、服务或工作负载。持续验证意味着不存在可信区域、设备或用户。
假设有漏洞——通过假设防御系统已经被渗透,可以采取更强大的安全态势来应对潜在威胁,从而在发生漏洞时将影响降到最低。通过分段访问和减少攻击面、验证端到端加密,并实时监控网络,限制“爆炸半径”——由入侵引起的潜在损害的范围和范围。
应用最低权限访问——零信任遵循最低权限原则 (PoLP),该原则限制任何实体的访问权限,只允许执行其功能所需的最小特权。换句话说,PoLP 可以防止用户、帐户、计算进程等在整个网络中进行不必要的广泛访问。
八大支柱
以上原则为构建零信任架构 (ZTA) 奠定了基础。此外,零信任安全的八大支柱构成了一个防御架构,旨在满足当今复杂网络的需求。这些支柱分别代表了对零信任环境进行分类和实现的关键关注领域。
身份安全——身份是唯一描述用户或实体的属性或属集性。通常被称为用户安全,其中心是使用身份验证和访问控制策略来识别和验证试图连接到网络的用户。身份安全依赖于动态和上下文数据分析,以确保正确的用户在正确的时间被允许访问。基于角色的访问控制 (RBAC)和基于属性的访问控制 (ABAC) 将应用于该策略以授权用户。
端点安全——与身份安全类似,端点(或设备)安全对尝试连接到企业网络的设备(包括用户控制和自主设备,例如物联网设备)执行“记录系统”验证。其侧重于在每个步骤中监视和维护设备运行状况。组织应该对所有代理设备(包括移动电话、笔记本电脑、服务器和物联网设备)进行清点和保护,以防止未经授权的设备访问网络。
应用程序安全——应用程序和工作负载安全包括本地和基于云的服务和系统。保护和管理应用层是成功采用零信任状态的关键。安全性封装了每个工作负载和计算容器,以防止跨网络收集数据和未经授权的访问。
数据安全——侧重于保护和强制访问数据。为了做到这一点,数据被分类,然后与除需要访问的用户之外的所有人隔离。这个过程包括基于任务关键度对数据进行分类,确定数据应该存储在哪里,并相应地开发数据管理策略,作为健壮的零信任方法的一部分。
可见性和分析——对与访问控制、分段、加密和其他零信任组件相关的所有安全流程和通信的可见性提供了对用户和系统行为的重要洞察。在此级别监控网络可改进威胁检测和分析,同时能够做出明智的安全决策并适应不断变化的安全环境。
自动化——通过自动化在整个企业中一致地应用策略的手动安全流程来提高可扩展性、减少人为错误并提高效率和性能。
基础设施安全——确保工作负载中的系统和服务免受未经授权的访问和潜在漏洞的影响。
网络安全——柱侧重于隔离敏感资源,防止未经授权的访问。这涉及实施微分段技术、定义网络访问以及加密端到端流量以控制网络流量。
Gartner成熟度曲线
**技术成熟度曲线如何发挥作用? **
每个技术成熟度曲线都将技术的生命周期划分为五个关键阶段。
- **技术萌芽期:**潜在的技术突破即将开始。早期的概念验证报道和媒体关注引发广泛宣传。通常不存在可用的产品,商业可行性未得到证明。
- **期望膨胀期:**早期宣传产生了许多成功案例 — 通常也伴随着多次失败。某些公司会采取行动,但大多数不会。
- **泡沫破裂谷底期:**随着实验和实施失败,人们的兴趣逐渐减弱。技术创造者被抛弃或失败。只有幸存的提供商改进产品,使早期采用者满意,投资才会继续。
- **稳步爬升复苏期:**有关该技术如何使企业受益的更多实例开始具体化,并获得更广泛的认识。技术提供商推出第二代和第三代产品。更多企业投资试验;保守的公司依然很谨慎。
- **生产成熟期:**主流采用开始激增。评估提供商生存能力的标准更加明确。该技术的广泛市场适用性和相关性明显得到回报。