在國內疫情較為嚴重的時期,不少科技公司遠程辦公的工程師就曾吐槽VPN服務器因負載過高頻頻崩潰。如今,隨著國外疫情後浪推前浪,谷歌、Twitter等科技巨頭也紛紛開啟遠程辦公模式,遠程辦公的工作負載呈幾何級數飆升。
下面是Zoom最近的全球用戶數增長統計表,可以直觀感受下:
除了對Zoom和Slack高峰期卡頓(類似企業微信和釘釘在國內疫情高峰期的遭遇)的各種吐槽外,國外工程師對VPN的糟糕表現更是直接爆了粗口:所有VPN都是垃圾。
前不久技術專家Matthew Sullivan寫了一篇博客專門吐槽企業VPN的安全性問題和可用性,他的觀點是:
儘量別用VPN。
為什麼?因為:
所有的VPN都是垃圾。
Sullivan認為,VPN需要精心配置,否則就是給黑客留門。但要命的是,這種精心配置只存在於理論層面,現實中絕大多數用戶壓根做不到或者不屑做!
零信任取代VPN?
Sullivan認為,相比VPN,零信任網絡安全架構具備以下三大優點:
1. 不存在網絡橋接,不會劫持用戶流量。
2. VPN設備的一大問題,在於需要匹配專有軟件/操作系統配置——這類配置正是阻礙自動修復程序的元兇,而零信任架構可以選擇的OpenSSH安全記錄要好得多,自2003年以來,OpenSSH從未因默認配置中的漏洞而遭遇未經授權的遠程訪問。細粒度的應用與流量監控和微分段,使得攻擊者即使成功侵入網絡入口點位置,其實也沒有什麼後續空間可以利用。
3. 與VPN一旦用戶登錄就獲得完全授信不同,零信任的主機保護解決方案會對每個應用程序進行嚴密監控,記錄應用的所有活動並執行流量過濾。如此一來,即使攻擊者成功侵入私有云VPC網絡入口點位置,其實也沒有什麼後續空間可以利用。
但是對於零信任取代VPN,讀者們看法不一,有人認為Sullivan對VPN橋接和流量劫持的說法不準確,指出:
IPSec支持IP載荷直接傳輸的非橋接模式。該協議是經過大量安全研究者分析過的,其他協議不說實現,本身協議安不安全就是個問題。而且協議問題的發現需要時間。
也有讀者支持Sullivan的觀點,認為:
現有的VPN方案確實都垃圾,IPsec (基於strongSwan) 算好的了,但IPsec本身的複雜度讓配置變得麻煩,而且不同客戶端的支持也有管理成本。OpenVPN性能比較差。而商業的要特定的客戶端……
為什麼是零信任?
零信任不是產品或服務,當然也不僅僅是流行語。相反,它是網絡安全的一種特殊方法。它的意思正如其名——不是“先驗證,然後信任”,而是“永遠不要信任,永遠要驗證”。
本質上,零信任關係到通過限制對數據的訪問來保護數據。企業不會自動信任任何人或任何東西,無論是在企業網絡安全邊界範圍之內還是之外。相反,零信任方法要求在授予訪問權限之前,對試圖連接到企業內網的應用程序或系統的每個人、設備、帳戶等進行驗證。
可是等等,傳統網絡安全系統的設計不就是實現這種安全控制嗎?難道零信任僅僅是一種錦上添花的技術?回想一下微盟刪庫事件的情節——微盟的一位核心運維人員通過VPN登錄堡壘機然後進入生產環境上演“電鋸狂人”,傳統網絡安全工具和控制形同虛設,雖然微盟刪庫事件有其特殊性,且問題的根源主要是缺乏內部威脅的預案和安全管理策略,但也從一定程度上暴露出了包括VPN、堡壘機、防火牆之類的傳統安全防禦工具和方法的“二哈”屬性。
其實,零信任框架也並非空中樓閣,包括許多企業已廣泛使用的安全技術來保護其數據。但是,零信任的價值在於,它代表了一種全新的網絡安全防禦方法和體系,不僅可以保護整個企業範圍內的總體邊界,還可以將企業的安全邊界移動到組織內外的每個網絡、系統、用戶和設備。強調身份、多因素身份驗證、受信任的端點、網絡分段、訪問控制和用戶歸因來分隔和規範對敏感數據和系統的訪問,從而使更細粒度和更高效的安全訪問控制成為可能。
簡而言之,零信任是一種新的思考網絡安全的方法,可幫助組織在當今瞬息萬變的威脅形勢下保護其數據,客戶和自己的競爭優勢。
現在部署零信任是不是太早了點?
數據安全是2020年企業高管和CISO們的頭號任務,幾乎所有企業高管都已經感受到保護企業系統和數據的壓力。投資者和“數據主體”(客戶和消費者)也迫切需要更好的數據安全保障。
尤其是當部分數據和應用程序在本地部署,而另外一些在雲中時(混合雲模式),安全問題將變得尤為複雜——從員工到承包商和合作夥伴的每一方都使用來自多個位置的各種設備來訪問這些應用程序。同時,各國政府和行業法規正在提高保護重要數據的標準和要求,零信任度可以幫助企業更好地合規。
對於企業來說,目前部署零信任最大的顧慮無疑是方法和技術的成熟度以及成本問題,沒有人想做小白鼠,也沒有人去貿然嘗試尚處於“臨床測試”階段的“方子”。目前市場上已經有大量經過生產環境驗證的零信任應用方案/供應商和技術框架(包括谷歌和微軟等大型企業用例)。
根據Forester 2019年四季度的市場報告,目前市場上的零信任代表性廠商如下:
但是值得注意的是,正如以下我們將要介紹的,零信任架構的本質是一次安全範型的轉移或者變革,因此成功實施零信任架構的決定性因素並非廠商或產品,而是企業CISO自身對零信任架構的理解、實踐方法、策略和路徑。因此在實施零信任架構的過程中,對於國內企業用戶來說,包括安恆信息、奇安信、青藤雲安全、締盟雲安全、深信服等眾多對零信任有一定積累的網安企業基於各自產品和不同標準框架的零信任方案並沒有一個唯一的評判標準,最合適的才是最好的。
以下,我們簡要介紹幾種目前已經比較成熟的零信任框架和實踐路徑。
零信任網絡的三種實現方法
支持零信任的網絡安全技術近年來正在迅速發展,為零信任的落地提供了豐富而實用的工具、框架和方法。目前,沒有實現零信任網絡安全框架的單一方法或者技術,換而言之就是對於不同的企業來說,並沒有唯一的標準答案,可謂條條大路通羅馬。總之,你要做的就是將各種技術模塊、方法整合在一起確保只有經過安全驗證的用戶和設備才能訪問目標應用程序和數據。
例如,最小化訪問權限原則,僅為用戶提供完成工作所需的數據和權限。這包括實施到期特權和一次性憑證,這些憑證在不需要訪問後會自動作廢。此外,還需實施連續檢查和流量記錄,並限制訪問範圍,以防止數據在系統和網絡之間未經授權的橫向移動。
零信任框架使用多種安全技術來增加對敏感數據和系統的訪問粒度。例如身份和訪問管理(IAM)、基於角色的訪問控制(RBAC)、網絡訪問控制(NAC)、多因素身份驗證(MFA)、加密、策略執行引擎、策略編排、日誌記錄、分析以及評分和文件系統權限等。
同樣,你也可以使用技術標準和協議來實現零信任方法。雲安全聯盟(CSA)開發了一種稱為軟件定義邊界(SDP)的安全框架,該框架已用於某些零信任案例的實施中。互聯網工程任務組(IETF)通過批准主機標識協議(HIP)為零信任安全模型做出了貢獻,該協議代表了OSI堆棧中的新安全網絡層。許多網絡安全供應商都在這些技術的基礎上將零信任解決方案推向市場。
基於這些技術,標準和協議,組織可以使用三種不同的方法來實現零信任安全性:
網絡微分段(微隔離)
將網絡雕刻到小的粒度節點,一直到單個機器或應用程序。安全協議和服務交付模型是為每個唯一的細分市場設計的。
SDP
基於一種需要了解的策略,其中在授予對應用程序基礎結構的訪問權限之前,先驗證設備的狀態和身份。
零信任代理
可充當客戶端和服務器之間的中繼,有助於防止攻擊者入侵專用網絡。
哪種方法最適合取決於您所在企業的應用場景和需求——所保護的應用程序、當前存在的基礎結構、實施是未開發的環境還是涵蓋舊有環境以及其他因素。
構建零信任環境的五個步驟
建立零信任框架並不一定意味著一整套的技術轉型。企業可以採用循序漸進的方法,以受控的迭代方式進行,從而幫助確保最佳結果,同時對用戶和操作的干擾降到最低。
定義保護面
零信任體系中,你的關注重點不是攻擊面而是保護面。所謂保護面就是對公司最有價值的關鍵數據、應用程序、資產和服務(DAAS)。保護面的實例包括信用卡信息、受保護的健康信息(PHI)、個人身份信息(PII)、知識產權(IP)、應用程序(現成的或定製的軟件)、SCADA控件、銷售點終端、醫療設備、製造資產和IoT設備等資產以及DNS、DHCP和Active Directory等服務。
定義保護面後,你可以實施緊密的控制,使用簡潔、精確和可理解的策略聲明來創建一個微邊界(或分隔的微邊界)。
映射交易流
流量在網絡中的移動方式決定了其保護方式。因此,您需要獲得有關DAAS相互依賴關係的上下文信息。記錄特定資源的交互方式可以幫你確定合適的安全控制並提供有價值的上下文,以確保在提供最佳網絡安全防護的同時,對用戶和業務運營的干擾降到最低。
構建零信任IT網絡架構
零信任度網絡是完全自定義的,並沒有唯一的標準和設計參考。總的原則是,零信任體系架構應當圍繞保護面(資產、數據、應用和服務等)構建。一旦定義了保護面並根據業務需求映射了業務流程,就可以從下一代防火牆開始設計零信任架構。下一代防火牆可以充當分段網關,在保護面周圍創建一個微邊界。使用分段網關,您可以強制執行附加的檢查和訪問控制層,一直延伸到第7層,管控任何嘗試訪問保護面內部資源的訪問。
創建零信任安全策略
完成零信任網絡架構的構建後,你將需要創建零信任策略來確定訪問規則,你需要知道您的用戶是誰,他們需要訪問哪些應用程序,為什麼他們需要訪問,他們傾向於如何連接到這些應用程序,以及可以使用哪些控件來保護該訪問。
通過實施這種精細粒度的策略,可以確保僅允許合法應用或者流量的進行通訊。
監控和維護零信任網絡
這最後一步包括檢查內部和外部的所有日誌,側重於零信任的運維方面。由於零信任是一個反覆迭代的過程,因此檢查和記錄所有流量將提供寶貴的見解,以瞭解如何隨著時間的推移持續改進零信任網絡。
其他注意事項和最佳做法
對於考慮採用零信任安全模型的組織,以下是一些有助於確保成功的最佳實踐:
選擇架構或技術之前,請確保您具有正確的策略。零信任是以數據為中心的,因此,重要的是考慮數據的位置,需要訪問的人以及可以使用哪種方法來保護數據。Forrester建議將數據分為三類-公開,內部和機密-每個“數據塊”都應當有自己的微邊界。
從小處著手以獲得經驗。為整個企業實施零信任架構的規模和範圍可能是巨大的。例如,谷歌花了七年時間才完成BeyondCorp項目的實施。
考慮用戶體驗。零信任框架不必也不應該破壞員工的正常工作流程/體驗,即使他們(及其設備)正受到訪問權限驗證的審查。零信任的部分認證和授權流程應當儘量“透明化”,在用戶根本覺察不到的後臺進行。
對用戶和設備身份驗證實施強有力的措施。零信任的根基是,在沒有驗證獲得完全授權之前,沒有任何人或任何設備可以信賴。因此,基於強身份、嚴格的身份驗證和非永久權限的企業範圍的IAM系統是零信任框架的關鍵構建塊。
將零信任框架納入數字化轉型項目。為零信任網絡重新設計工作流程時,還可以藉此機會完成企業安全模型的轉型。
總結
2020年,企業迎來實施零信任架構的最佳時機,萬事俱備,技術已經成熟,協議和標準已經就緒,與此同時新的安全威脅、挑戰和期望也都使得零信任架構成為未來一段時間企業安全投資和戰略有效性的最佳保障。
閱讀更多 EasySigning 的文章
