网络空间是一个没有硝烟的战场,攻防对抗每时每刻都在发生,网络技术的迅速发展使得网络攻击手段层出不穷。如今,云计算、移动互联网、IoT、5G 等新技术的崛起,传统网络安全架构已无法满足时代发展需求,一场网络安全架构的技术革命正在发生。
“ 随着数字化时代的到来,网络安全已成为企业和组织发展过程中不可或缺的一环。传统的网络安全模型已经无法满足当前复杂多变的威胁环境,因此零信任**(Zero Trust)理念应运而生。“零信任”既是一个安全术语也是一个安全概念,零信任模型以“永不信任,始终验证”的理念为核心,通过强化访问控制、实施最小权限原则以及持续监控和检测等手段,为网络安全提供了全新的解决方案。本文将介绍零信任的由来、设计组成和原则、优点与挑战、对应产品架构、应用场景等等。”
一、零信任理念的由来
零信任(Zero Trust)理念最早来自2004年成立的耶利哥论坛,该论坛成立的使命是为了定义无边界驱使下的网络安全问题并寻求解决方案。2010年由前福特汽车公司首席信息安全官(CISO**)John Kindervag首次提出了“零信任安全”的概念。Kindervag在他的研究中指出,传统的网络安全模型依赖于围绕企业网络边界的防御性安全措施,但这种模型已经无法满足当今复杂多变的网络威胁环境。传统模型往往将内部网络视为“受信任”的区域,一旦攻破了边界防线或出现“内鬼”,内部网络就变得容易受到攻击。基于这一认识,Kindervag提出了零信任模型的概念,强调了对网络内外的所有流量和用户进行严格的验证和授权,始终保持“永不信任,始终验证”的原则。他认为,在当前的网络威胁环境下,企业需要将安全焦点从固定的网络边界转移到对用户、设备和应用程序的访问进行动态和持续的检测与控制。
对于资源的访问保护,传统的网络安全结构是把不同网络或者单个网络的一部分划分为安全区域,在安全区域之间的网络边界部署防火墙等安全设备进行隔离。在这种结构之中,每个安全区域都被授予一定程度的信任,网络位置决定了信任程度,决定了哪些网络资源允许被访问。这种安全模型可以提供强大的纵深防御能力,安全信任级别与位置强相关,通常先连接,后信任,在网络边界验证用户身份。
以上图片是一种常见的网络安全架构,我们可以称之为“护城河式防护”。在这种结构下,通过验证的用户就会被认定为可信的,就可以通过边界进入内网,而用户一旦进入网络内部,访问就可以畅行无阻。因为默认内网是安全的,内网的设备和人员都是可信的,就好比一栋写字楼,只要能够刷卡进入,就可以去到任何楼层和任何房间。
据统计,超过85%的网络安全威胁来自于内部,对内部人无底线信任所造成的危害,远远超过黑客攻击和病毒造成的损失。在传统网络安全结构下,一旦攻击者拿到内网某台主机的访问控制权限,就可通过一系列操作实现在内网的横向移动,最终控制整个内部网络。边界安全设备无法全面了解内网终端用户的行为和活动,在实时监测和内部威胁感知方面存在盲区。同时,边界安全设备和其他安全设备之间缺乏有效的信息共享和协同响应,使得网络防御的效率和及时性也受到限制,很难快速响应和应对网络攻击。所以,内部威胁检测和防护能力不足、安全分析覆盖度不够全面,成为了传统边界安全架构的软肋。
因此,零信任理念应运而生!
零信任代表了新一代的网络安全防护理念,其目标是降低资源访问过程中的安全风险,该理念打破了网络位置和信任间的潜在关系,内外网一视同仁,默认都是不安全的,所有访问都需要认证和授权。通过建立用户→终端→资源的信任链,并动态实时校验信任链,来实现对资源保护,阻断攻击流量。
零信任理念是永不信任,始终验证,任何访问主体进入网络,默认都是没有权限的,只有基于访问请求会话,对访问主体进行细粒度的验证后,才临时赋予其信任,允许访问资源,而且这种信任是具有时效性的,信任程度和访问的资源有关。同时,任何访问请求是否被允许,都是在访问请求发起时,结合主体身份、权限、信任等级等信息实时决策的,隐性信任被降到最低限度。在建立信任之前,不会进行任何数据传输操作,最大限度保证网络安全。
二、零信任设计组成和核心原则
整个零信任部署的物理逻辑架构:用户在访问数据的过程中,有很多安全组件,例如环境感知、认证服务、权限服务、可信接入检控、可信API/数据检控。本文重点介绍认证服务、权限服务配合环境服务是如何实现持续身份认证,和动态权限管控这两方面的实践经验。
(一)认证服务
认证服务分以下几个模块:
集中身份管理。 目前零信任的思想是将系统的人员、设备的利用等统一分配唯一的标识码进行管理。只有注册的用户、合法的用户才能使用系统,合法的设备才能接入网络,合法的应用才能部署。
统一门户。为了方便使用,认证服务也提供了统一的门户。当用户登录系统之后,统一门户可根据用户的身份,将权限范围内应用系统的APP图标展现在统一门户上面。例如用户A,他具有右边A、B、C三个业务系统的访问权限,那么用户在登录系统之后,统一门户会查询这个用户A的权限,然后将A、B、C三个APP图标展现在统一门户上面,提供给用户A访问。用户B,具有A、B、C、D四个业务系统的访问权限,那么B用户在登录系统之后,在统一门户内可看到A、B、C、D四个APP图标。
认证因子管理。 为了确保用户登录的安全,系统提供统一认证因子的管理,目前系统已经对接PKI、人脸、声纹、指纹等认证因子,用户可以很方便的组合这些认证因子,来实现用户登录到门户的安全。系统可以很方便的调用人脸或者声纹对用户进行二次安全校验。
(二)权限服务
权限服务主要指能够实现细粒度的权限管控。
集中权限管理是系统授权的一个核心。通过该模块,可以很方便实现用户的授权管理。该模块有两个属性,一个是身份的属性,一个是角色的属性。身份的属性可以是人,也可以是组织机构(相当于给组织机构所有的人授权,实现批量授权);角色在我们系统里面相当于一个权限的集合,权限的粒度可以管理到应用、服务、功能菜单操作、数据等。尤其是在数据的权限管理,粒度可以细化到数据的类别、来源、数据集、表的行或列,把这些组合的权限赋予到某个角色,这个角色给予某个身份,就可以实现授权的效果。这些身份具体的指向某个人,那么这个人就有访问某个应用的权限,能够使用这个应用的哪几个功能项,这个功能项下面能够使用哪几个功能子菜单,这些菜单能够使用那些服务接口,这些服务接口能够调用查询哪些数据,这样就构成了一个完整的业务流程。
另外,大数据平台提供数据资源目录、业务系统目录以及服务资源目录,方便授权服务进行管理,可以很方便的对这几大类的资源进行排列组合。
(三)持续的身份认证
如前面所述,零信任一般是与众多安全厂商合作,用户在访问业务系统的过程中,安全厂家提供的环境感知模块对终端、网络环境是持续监测的,根据风险会输出分值提供给认证服务。如果用户使用的设备中了病毒或木马,那么环境感知服务传递给系统的分值就会比较低。认证服务触发两个动作:当用户访问的是低敏应用,触发二次认证,调用人脸,确认是否是本人在访问应用系统;当用户访问的是高敏应用,认证服务会将当前用户令牌撤销,该用户的访问被拦截并暂时取消应用的访问权限。待用户的风险消除后,才能够正常访问系统。
(四)动态授权的实现
目前权限服务提供两种授权,第一类是静态的授权,人员根据所属组织机构、职级等可以预置一些权限。第二类是动态授权,其实现方式如下:
假如用户A,他目前拥有1、2、3、4四个业务系统的访问权限,其中业务系统4是一个高敏的应用,环境感知系统在用户访问系统过程中持续检测环境,把风险分值提供给认证服务,如果当前用户风险分值很低,也就是风险等级很高,那么认证服务通知权限服务,需要做权限变更,调整该用户的应用访问权限,实现动态的变更。当这个用户再次登录,因为权限已经做了变更,在登录后,门户只展示1、2、3业务系统,4业务系统的图标就看不到了。当用户的环境恢复到安全状态的时候,权限服务才会把业务系统4的访问权限重新赋予给用户,用户重新登后,门户就会再次展现4个APP图标。通过以上认证服务、权限服务再结合环境感知服务,可以实现一次完整的用户动态权限的变更。
零信任的原则
零信任的核心原则是将网络内外视为同等不可信任的,并且始终要求对用户、设备和应用程序进行严格的验证和授权,以确保安全访问。
- 最小权限原则(Least Privilege): 用户和设备只能获得完成工作所需的最低权限,以减少潜在的攻击面。
- 零信任网络边界(Zero Trust Network Boundary): 不再依赖传统的网络边界,而是通过对每个用户和设备的身份进行验证和授权来实现安全访问。
- 持续监控和检测(Continuous Monitoring and Detection): 不仅要求对用户进行一次性验证,还需要持续监控其行为,及时发现异常活动并采取措施。
- 零信任访问控制(Zero Trust Access Control): 基于策略和上下文,对用户、设备和应用程序的访问进行严格控制和限制,确保只有合法用户可以访问合法资源。
三、实施零信任的优点与挑战
优势
- 提高安全性: 通过强化访问控制和持续监控,有效阻止内部和外部的威胁。
- 灵活性: 与传统的边界防御不同,零信任模型可以根据实际情况对用户和设备的访问进行灵活调整。
- 降低风险: 采用最小权限原则和持续监控,最大限度地降低了安全风险和数据泄露的可能性。
挑战
-
复杂性和实施成本高昂:
零信任模型的实施需要对网络架构、访问控制、身份验证和监控等方面进行全面的改变和升级,这往往需要大量的时间、资源和资金。特别是对于大型企业或组织来说,由于网络规模较大,实施零信任模型可能更加复杂和昂贵。
-
用户体验可能受影响:
由于零信任模型要求对用户进行严格的身份验证和访问控制,可能会增加用户访问资源的步骤和复杂性,从而影响用户体验。例如,多重身份验证(如双因素身份验证)可能会增加用户登录的时间和麻烦程度。
-
增加管理和维护负担:
零信任模型要求对用户、设备和应用程序进行持续的监控和检测,以及对访问策略进行动态调整和更新。这将增加管理和维护团队的工作负担,需要投入更多的人力和资源来确保系统的正常运行。
-
可能引入新的安全漏洞:
虽然零信任模型旨在提高网络安全性,但在实施过程中可能引入新的安全漏洞。例如,多个身份验证点和访问控制策略可能会导致复杂性增加,从而增加攻击者利用漏洞的机会。
-
对现有基础设施和应用程序的兼容性问题:
零信任模型的实施可能需要对现有的基础设施和应用程序进行改造或升级,以确保其与新的访问控制和监控机制兼容。这可能会导致一些应用程序无法直接适应零信任模型,需要额外的开发和调整。
四、零信任落地--德迅零域(微隔离)
德迅零域·微隔离安全平台可部署在混合数据中心架构中,实现跨平台的统一安全管理,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理。产品在真实威胁中,可快速隔离失陷主机网络,阻断横向渗透行为,让零信任理念真正落地。
(一)、安全挑战
在云计算、虚拟技术的广泛应用之下,现代企业内部网络庞大且复杂,想要实施东西向控制会遇到许多挑战,只有解决好这些痛点问题,才能使它成为解决安全问题的一把利刃。
- 系统环境复杂多样
- 业务难梳理
- 策略难运维
- 正常业务受阻
(二)、平台概述
德迅零域由Agent、计算引擎和控制台组成,支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境,异构环境对用户完全透明。
Agent
实时采集业务网络连接和资产信息,接收服务端指令,管控主机防火墙。
计算引擎
聚合、统计网络连接,进行可视化呈现,根据业务流量生成网络策略,并分析策略的覆盖。
控制台
控制台可清晰展示网络连接和策略配置情况,用户通过控制台集中管理网络策略并进行隔离操作。
(三)、平台功能
数据库审计:流量看得清——业务拓扑图可视化展示访问关系
自动学习业务访问关系,并以多种拓扑图清晰展示,结合资产信息,为策略制定提供基础。
- 拓扑图上交互式设置,自动生成策略,提高效率。
- 发现主机上无用的端口,减少风险暴露面。
- 丰富的查询方式和图例,直观评估策略配置情况。
策略好管理:策略好管理——多种策略形式实现自动化运维
依据不同管理场景,配置不同粒度的控制策略,并随业务或环境变化自适应调整策略,实现自动化运维。
- 提供业务组、标签、端口、IP等不同粒度的策略管理。
- 用标签定义策略,形式精简,降低运维成本。
- 策略表达明白易读,避免基于IP的安全策略。
策略易验证:策略易验证——监控异常访问并自动验证策略
在不真实拦截流量的情况下,持续监控学习业务访问关系,自动验证策略准确性和覆盖度。
- 自动验证策略正确性,减少人力成本。
- 重保场景中,发现恶意横向渗透行为。
- 发现异常访问,第一时间发出告警。
管控多选择:策略易验证——监控异常访问并自动验证策略
在不真实拦截流量的情况下,持续监控学习业务访问关系,自动验证策略准确性和覆盖度。
- 自动验证策略正确性,减少人力成本。
- 重保场景中,发现恶意横向渗透行为。
- 发现异常访问,第一时间发出告警。
威胁可隔离:威胁可隔离——失陷主机快速隔离防止威胁扩散
在发生真实攻击场景下,提供应急响应手段,迅速隔离失陷主机网络,防止威胁进一步扩散。
- 出站、入站、双向网络流量,可选择不同隔离方式。
- 开放特定端口并指定访问IP,给上机排查问题提供条件。
- 威胁清除后远程解除隔离,恢复正常通信。
保护更全面:保护更全面——非受控设备和DMZ区主机访问控制
对未部署Agent的网络设备和业务敏感主机实现保护,并可对DMZ区主机的外网访问进行控制。
- 对已部署和未部署Agent主机之间的访问,进行安全控制。
- 严格限制出入外网的流量,收缩DMZ区主机暴露面。
总结
零信任作为一种全新的网络安全架构理念,将安全焦点从传统的网络边界转移到对用户、设备和应用程序的访问进行动态和持续的检测与控制,打破了传统的网络安全默认内部用户及设备是安全的“潜规则”,对所有的用户、设备和应用程序视为“不信任的”。虽然零信任是一种全新的网络安全架构理念,但是使用的技术却是以现有的成熟技术为主,这并不影响零信任理念的价值,其最大的价值在于零信任架构理念本身给企业的所有者、安全从业者带来了新的安全视角,从而重新审视企业或组织的网络安全架构是否合理、安全措施是否覆盖全面。 目前零信任相关的概念仍处于发展和完善之中,希望本文能让更多的IT从业者了解零信任理念。
