一、“零信任”安全架构诞生背景
01
零信任是什么
一切要从2009年一场网络攻击说起。
极光行动(英语:Operation Aurora)是2009年12月中旬爆发的一场网络攻击,其名称“Aurora”(意为极光、欧若拉)来自攻击者电脑上恶意文件所在路径的一部分。遭受攻击的除了Google外,还有20多家公司:其中包括Adobe Systems、Juniper Networks、Rackspace、雅虎、赛门铁克、诺斯洛普·格鲁门和陶氏化工。
这次攻击导致谷歌痛定思痛,决定摒弃传统的“验证通过即信任”的系统安全保护机制,转为尝试采用“零信任”安全架构模型开展其部分业务。
JohnKindervag
前Forrester首席分析师
“零信任网络”是由Forrester、Gartner等众多安全公司在2013年提出的安全概念。创始人为前Forrester首席分析师JohnKindervag。Forrester认为,当前以数据为中心的世界,威胁不仅仅来自于外部,而恰恰很多严重的信息安全事件都是爆发在企业和机构的内部,并且都是源自“我们认为他是可信的”这些用户或系统,因此需要采用”零信任”模型构建安全的网络。在”零信任”网络中,不再有可信的设备、接口和用户,所有的流量都是不可信任的。
02
现有网络能否成为零信任
根据零信任架构的创始初衷来看,在此架构下的网络,不存在特权用户、流量、系统、区域,并且不存在所谓的“内网更安全”和“外网不安全”的说法,网络整体的安全性均从零做起。
由上述分析可知,如果将现有的传统网络架构演变为零信任安全架构,难度是相当大的,这不仅是因为在技术上存在一些难以攻克的难点,更重要的在于基于已有的网络架构的管理模型,很难做到将内网和外网以及特权情况完全摒弃,也无法在现有人员组织架构的基础上进行调整,同时企业管理者和普通员工在安全意识和工作习惯上,也无法在短期内适应零信任。因此,零信任安全架构的实践和推广更加适合于具备以下几个条件的场景:
1.管理者具有较高的安全管理意识,重视信息安全问题;
2.选择非核心业务进行初步尝试;
3.新建数据中心,并且主要基于虚拟化技术进行搭建;
4.能接受长时间的技术架构搭建和调整(谷歌用了7年),并保障充足的人员及财力的支持;
5.无条件落实零信任架构的技术和管理措施。
二、零信任”安全架构基本模型
01
架构原则
零信任架构的核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。
在Evan Gilman《零信任网络》一书中,零信任网络被描述为建立在以下五个基本断言上:
1. 应该始终假设网络充满威胁。
2. 外部和内部威胁每时每刻都充斥着网络。
3. 不能仅仅依靠网络位置来建立信任关系。
4. 所有设备、用户和网络流量都应该被认证和授权。
5. 访问控制策略应该是动态的基于尽量多的数据源进行计算和评估。
由此可以看出,零信任的理念,已经从边界模型“信任但验证”转换到“从不信任,始终验证”的模式。根据以上五个断言,零信任模型被认为遵守以下四个基本原则:
1. 验证用户:基于位置、设备和行为来评估用户安全情况,确定用户是否是其所声称的身份。采取恰当的措施(比如多因子身份验证)来确保用户真实性。
2. 验证设备:无论是公司设备、BYOD还是公共主机、笔记本电脑或移动设备,基于设备身份和安全情况实施访问控制策略。只允许受信终端访问公司的资源。
3. 限制访问与权限:如果用户和设备通过了验证,对资源实施基于角色的访问控制模型,赋予其仅供完成当次工作的最小权限。
4. 自适应:各类源(比如用户、其设备、与之相关的所有活动)总在不断产生信息。利用机器学习来设置上下文相关访问策略,自动调整并适应策略。
02
架构实现
在各种各样的现有技术和监管过程支撑之下,零信任方法才得以完成保护企业IT环境的使命。它需要企业根据用户、用户所处位置和其他数据等条件,利用微分隔和细粒度边界规则,来确定是否信任请求企业特定范围访问权的用户/主机/应用。
首先,要弄清楚用户身份,确保用户真的是他/她所声称的那个人;然后,要保证用户所用终端是安全终端,或者该终端处在安全状态;最后,还要有个条件策略,指定哪些人能访问哪些东西。
零信任依靠多因子身份认证、身份与访问管理(IAM)、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。最小权限原则也是零信任倚赖的监管策略之一,也就是只赋予用户完成特定工作所需的最小访问权限。
基本上,零信任就是公司企业收回安全战场控制权,在各部门应用网络分隔和下一代防火墙,控制网络接入的身份、对象、地点和时间,是从内而外地施行控制零信任三大技术,而不是由外而内。现今的大部分IT场景中,零信任不仅仅是技术,还有关思维和过程。
三、“零信任”安全架构技术实践
01
Google-BeyondCorp
谷歌公司称,在2009年经历高度复杂的APT攻击——极光行动(Operation Aurora)后零信任三大技术,该公对员工与设备如何访问内部应用的安全架构,开始尝试重新设计。由此,零信任架构BeyondCorp开始萌芽。
与传统的边界安全模式不同,BeyondCorp摒弃了将网络隔离作为防护敏感资源的主要机制。取而代之的是,所有的应用都部署在公网上,通过用户与设备为中心的认证与授权工作流进行访问。这就意味着,作为零信任安全架构的BeyondCorp,将访问控制权从边界转移到个人设备与用户上。由此员工可以实现在任何地点的安全访问,无需传统的VPN。
谷歌的零信任安全架构涉及复杂的库存管理,记录具体谁拥有网络里的哪台设备。设备库存服务来从多个系统管理渠道搜集每个设备的各种实时信息,比如活动目录(Active Directory) 或 Puppet.对于用户的认证则基于一套代表敏感程度的信任层。无论员工使用什么设备或身处何处,都能得到相应的访问权限。低层次的访问不需要对设备做太严格的审核。
谷歌企业项目经理Max Saltonstall表示,对于访问授权是基于上下文:“你是谁,是否经过严格认证?你使用什么设备?对你的设备了解情况如何?”在谷歌网络中不存在特权用户。谷歌使用安全密钥进行身份管理,比密码更难伪造。每个入网的设备都有谷歌颁发的证书。网络的加密则是通过TLS(传输层安全协议)来实现。
与传统的边界安全模型不同,BeyondCorp不是以用户的物理登录地点或来源网络作为访问服务或工具的判定标准,其访问策略是建立在设备信息、状态和关联用户的基础上,更偏向用户行为和设备状态的分析。
据了解,谷歌BeyondCorp的主要包括三大指导原则:
1.无边界设计
从特定网络连接,与你能获得的服务没有关系。
2.上下文感知
根据对用户与设备的了解,来授予所获得的服务。
3.动态访问控制
所有对服务的访问必须经过认证、授权和加密。
1.(初探零信任模型)
2.(“零信任”安全架构将成为网络安全流行框架之一)
3.(谷歌的零信任安全架构实践)
请点击屏幕右上方“…”
———END———
限 时 特 惠:本站每日持续更新海量各大内部创业教程,一年会员只需128元,全站资源免费下载点击查看详情
站 长 微 信:jiumai99