零信任模型的核心思想,是網絡邊界內外的任何東西,在沒經過驗證之前都不予信任。用傳統安全方法擋不住數據洩露的公司企業目前越來越關注零信任網絡模型了。
零信任網絡能提供更好的數據洩露防護,但通往零信任網絡的道路卻困難曲折。零信任模型的核心思想,是網絡邊界內外的任何東西,在沒經過驗證之前都不予信任。用傳統安全方法擋不住數據洩露的公司企業目前越來越關注零信任網絡模型了。
但是,想要實現該模型的公司企業,首先就需要拋棄長期以來深植於內部人可信和公司網絡可信思維基礎上的那些操作。
零信任模型
2010年,佛瑞斯特研究所構造了“零信任”這個術語,用以描述嘗試連接網絡資產的任何用戶和任何設備都被當成不可信對象處理的一種安全模型。該模型突出設備憑證和用戶憑證的使用,而不以網絡位置來作為允許或拒絕網絡資產訪問的基礎。
佛瑞斯特和其他業內人士宣稱,零信任方法可防止攻擊者在突破網絡邊界後藏身網絡內部繼續摸查高價值目標。因為傳統安全控制和數據洩露預防工具無法發現,使用被盜憑證的外部攻擊者所做的惡意活動。因為,他可以自由來去。最近幾年數據洩露事件大量爆發,問題的根源,在於公司企業長期以來所持有的隱式信任用戶和內網流量的做法。只將外部用戶當做不可信對象加以驗證,怎麼能防住日益嚴重的內部人威脅呢?
黑客攻擊者還不是唯一的問題。移動辦公和雲服務託管的增長,也令很多公司企業難以確立起網絡邊界。傳統築起邊界長城守護內部資源的安全方法,隨著企業數據的分散化和數據訪問方式的多樣化而不再有效。
信任是個危險的漏洞,容易被攻擊者利用。用戶和網絡分為可信及不可信的觀念,是公司企業首先需要拋棄的。
零信任概念中,任何人、任何設備、任何網絡都不可信。必須要摒棄“人以網分”的想法,將注意力集中在網絡中四處流通的數據包上。要監視所有流量,而不僅僅是外部流量。
漫漫零信任路
實現零信任網絡可能會很困難。作為零信任網絡的先行者,谷歌花了6年時間才從其VPN和特權網絡訪問模式遷移到BeyondCorp零信任環境。期間谷歌不得不重新定義和調整其職位角色及分類,建立起全新的主控庫存服務以跟蹤設備,提升App可見性,並翻新用戶身份驗證及訪問控制策略。從董事會層面自頂向下地支持並推進零信任網絡建設。
邁向零信任之路時應遵循的一條關鍵原則是,在被驗證可信之前,任何人任何設備都不能訪問內部資源。網絡本身不可以確定用戶可以訪問哪些服務。
賦予用戶的信任,不能基於用戶嘗試訪問公司應用的位置——公司網絡邊界內部或外部,而應基於用戶信息、設備信息和所訪問的資源。
重點應放在安全驗證用戶、知曉用戶角色及訪問權限,以及能夠識別出異常用戶/設備行為上。這也意味著要能夠安全驗證設備,識別設備使用上下文,並確保對設備應用了全部該有的安全控制措施。在這樣的環境中,多因子身份驗證(MFA)和用戶及實體行為分析(UEBA)之類的功能,是確立用戶信任的關鍵。零信任的目標,就是轉換到“從不信任,總是驗證”的模式。
從內而外設計安全
規劃零信任時,切記不能像當前大多數企業所做的那樣由外而內地設計安全,而應由內而外地規劃。應少考慮攻擊界面,而更多地關注“防護界面”——公司實際需要保護的數字資產。
應以將安全及訪問控制措施儘可能地貼近防護界面為目標,而不應將這些防護措施遠遠安置在網絡邊界。人們常將網絡分隔與零信任搞混,但如果我們不知道防護界面,那還做網絡分隔幹什麼呢?
為實現零信任環境,內容分發網絡公司阿卡邁已清除了其企業邊界。這是因為用戶位置已不再能夠賦予用戶信任度了。
今年晚些時候,阿卡邁還將下架遠程員工的所有VPN訪問,徹底棄用口令也就在不遠的將來。想要訪問該公司應用和系統的任何人——包括該公司員工,都會被當成來賓先進行驗證。只有通過了用戶驗證、訪問權限驗證和設備驗證,才會被賦予信任。
安全邊界仍然圍繞個人設備展開,但企業邊界背後的特權網絡概念就已落伍。零信任模型比以邊界為中心的方法更能提供統一又安全的企業資產訪問。
在零信任之路上,沒什麼東西比可見性更重要的了。可見性是關鍵第一步,是創建整個策略的基石。阿卡邁啟動零信任遷移時所做的第一步工作,就是為其所有應用和設備建立其全面的庫存清單。
想要保護敏感數據,首先得知道這些數據都在哪兒,知道數據在企業網絡中的流動方式,知曉都有哪些用戶在用哪些設備訪問這些數據。正如谷歌指出的,當你無法信任網絡來提供對企業資產的安全訪問時,你就得有可靠的實時數據來告訴你有哪些人和系統正在訪問公司資產。
實現零信任的另一關鍵,是要有強大的方法來安全識別並驗證用戶及設備。舉個例子,谷歌的網絡上就僅容許經該公司採購並管理的設備。所有設備都具有基於設備證書的唯一ID,且需滿足嚴格的安全控制才可以訪問網絡。該公司使用與HR過程耦合的數據庫來識別用戶並確保職位和訪問權限信息實時更新。
“對公司資源的所有訪問都經過全面驗證和授權,並基於設備狀態和用戶憑證予以全面加密。”
閱讀更多 網絡安全焦點 的文章
