初識零信任架構(gòu)

“永不信任，始終驗證”是零信任架構(gòu)的設(shè)計原則。

零信任最初是Forrester Research分析師John Kindervag于2010年提出，他認(rèn)為所有的網(wǎng)絡(luò)流量都必須是不可信的。

在傳統(tǒng)的 IT 安全模型中，一個組織的安全防護(hù)像是一座城堡，由一條代表網(wǎng)絡(luò)的護(hù)城河守護(hù)著。在這樣的設(shè)置中，很難從網(wǎng)絡(luò)外部訪問組織的資源。同時，默認(rèn)情況下，網(wǎng)絡(luò)內(nèi)的每個人都被認(rèn)為是可信的。然而，這種方法的問題在于，一旦攻擊者獲得對網(wǎng)絡(luò)的訪問權(quán)，并因此默認(rèn)受到信任，那么組織的所有資源都面臨著被攻擊的風(fēng)險。

傳統(tǒng)的基于邊界的安全模型

相比之下，零信任基于這樣一種信念：企業(yè)不應(yīng)該自動地信任其邊界內(nèi)或外部的任何東西，而是在授予訪問權(quán)限之前，對試圖連接到IT系統(tǒng)的任何人和東西進(jìn)行驗證。

從本質(zhì)上講，零信任安全不僅承認(rèn)網(wǎng)絡(luò)內(nèi)部和外部都存在威脅，而且還假定攻擊是不可避免的（或可能已經(jīng)發(fā)生）。因此，它會持續(xù)監(jiān)控惡意活動，并限制用戶只能訪問完成工作所需的內(nèi)容。這有效地防止了用戶（包括潛在的攻擊者）在網(wǎng)絡(luò)中橫向移動并訪問任何不受限制的數(shù)據(jù)。

零信任的安全模型

簡而言之，零信任的原則就是“在經(jīng)過驗證之前不要信任任何人?！?/span>

BeyondCorp

大約在同一時間，谷歌開始開發(fā)自己的零信任系統(tǒng)，其創(chuàng)建了 BeyondCorp，用于將傳統(tǒng)的虛擬專用網(wǎng)絡(luò) (VPN) 訪問策略遷移到新的基礎(chǔ)設(shè)施，在該基礎(chǔ)設(shè)施中沒有系統(tǒng)是可信的，所有終端都會對訪問進(jìn)行門控和監(jiān)控。后來，谷歌開發(fā)了 BeyondProd，它提供了一種零信任方法，在云優(yōu)先的微服務(wù)環(huán)境中安全地管理代碼部署。

Kindervag 的零信任模型和 Google 的 BeyondCorp 都圍繞著以下幾個主要原則：

分段——傳統(tǒng)網(wǎng)絡(luò)公開了對所有數(shù)據(jù)資產(chǎn)、服務(wù)器和應(yīng)用程序的直接訪問。零信任模型劃分了這些資源的各個子集，并取消了用戶直接訪問它們而無需首先通過嚴(yán)格控制的網(wǎng)關(guān)的能力。這有時被稱為“網(wǎng)絡(luò)隔離”。微分段進(jìn)一步擴(kuò)展了這個概念，它將工作負(fù)載彼此隔離，這樣管理員就可以監(jiān)視和控制不同服務(wù)器和應(yīng)用程序之間的信息流，而不僅僅是客戶機(jī)和服務(wù)器之間的信息流。

訪問控制——無論用戶是實際位于辦公室還是遠(yuǎn)程工作，他們都應(yīng)該只能訪問符合其各自角色的信息和資源。網(wǎng)絡(luò)的每個部分都應(yīng)該進(jìn)行身份驗證和授權(quán)，以確保流量是從受信任的用戶發(fā)送的，而不管請求的位置或來源如何。

可見性——網(wǎng)關(guān)應(yīng)該檢查和記錄所有流量，管理員應(yīng)該定期監(jiān)控日志，以確保用戶只嘗試訪問他們被允許訪問的系統(tǒng)。通常，管理員會使用云訪問安全代理軟件來監(jiān)控用戶和云應(yīng)用程序之間的流量，并在他們發(fā)現(xiàn)可疑行為時發(fā)出警告。

借助零信任模型，組織可以消除對網(wǎng)絡(luò)和資源的直接訪問，建立精細(xì)的訪問控制，并獲得對用戶操作和流量的可見性。但是，他們需要模型來指導(dǎo)他們完成實施。

零信任模型的三大原則和八大支柱

三大核心原則

零信任是一個集成的、端到端安全策略，基于三個核心原則：

永不信任，始終驗證——始終基于所有可用數(shù)據(jù)點(diǎn)進(jìn)行身份驗證和授權(quán)，包括用戶身份、位置、設(shè)備、數(shù)據(jù)源、服務(wù)或工作負(fù)載。持續(xù)驗證意味著不存在可信區(qū)域、設(shè)備或用戶。

假設(shè)有漏洞——通過假設(shè)防御系統(tǒng)已經(jīng)被滲透，可以采取更強(qiáng)大的安全態(tài)勢來應(yīng)對潛在威脅，從而在發(fā)生漏洞時將影響降到最低。通過分段訪問和減少攻擊面、驗證端到端加密，并實時監(jiān)控網(wǎng)絡(luò)，限制“爆炸半徑”——由入侵引起的潛在損害的范圍和范圍。

應(yīng)用最低權(quán)限訪問——零信任遵循最低權(quán)限原則 (PoLP)，該原則限制任何實體的訪問權(quán)限，只允許執(zhí)行其功能所需的最小特權(quán)。換句話說，PoLP 可以防止用戶、帳戶、計算進(jìn)程等在整個網(wǎng)絡(luò)中進(jìn)行不必要的廣泛訪問。

八大支柱

以上原則為構(gòu)建零信任架構(gòu) (ZTA) 奠定了基礎(chǔ)。此外，零信任安全的八大支柱構(gòu)成了一個防御架構(gòu)，旨在滿足當(dāng)今復(fù)雜網(wǎng)絡(luò)的需求。這些支柱分別代表了對零信任環(huán)境進(jìn)行分類和實現(xiàn)的關(guān)鍵關(guān)注領(lǐng)域。

身份安全——身份是唯一描述用戶或?qū)嶓w的屬性或?qū)偌?。通常被稱為用戶安全，其中心是使用身份驗證和訪問控制策略來識別和驗證試圖連接到網(wǎng)絡(luò)的用戶。身份安全依賴于動態(tài)和上下文數(shù)據(jù)分析，以確保正確的用戶在正確的時間被允許訪問?；诮巧脑L問控制 (RBAC)和基于屬性的訪問控制 (ABAC) 將應(yīng)用于該策略以授權(quán)用戶。

端點(diǎn)安全——與身份安全類似，端點(diǎn)（或設(shè)備）安全對嘗試連接到企業(yè)網(wǎng)絡(luò)的設(shè)備（包括用戶控制和自主設(shè)備，例如物聯(lián)網(wǎng)設(shè)備）執(zhí)行“記錄系統(tǒng)”驗證。其側(cè)重于在每個步驟中監(jiān)視和維護(hù)設(shè)備運(yùn)行狀況。組織應(yīng)該對所有代理設(shè)備(包括移動電話、筆記本電腦、服務(wù)器和物聯(lián)網(wǎng)設(shè)備)進(jìn)行清點(diǎn)和保護(hù)，以防止未經(jīng)授權(quán)的設(shè)備訪問網(wǎng)絡(luò)。

應(yīng)用程序安全——應(yīng)用程序和工作負(fù)載安全包括本地和基于云的服務(wù)和系統(tǒng)。保護(hù)和管理應(yīng)用層是成功采用零信任狀態(tài)的關(guān)鍵。安全性封裝了每個工作負(fù)載和計算容器，以防止跨網(wǎng)絡(luò)收集數(shù)據(jù)和未經(jīng)授權(quán)的訪問。

數(shù)據(jù)安全——側(cè)重于保護(hù)和強(qiáng)制訪問數(shù)據(jù)。為了做到這一點(diǎn)，數(shù)據(jù)被分類，然后與除需要訪問的用戶之外的所有人隔離。這個過程包括基于任務(wù)關(guān)鍵度對數(shù)據(jù)進(jìn)行分類，確定數(shù)據(jù)應(yīng)該存儲在哪里，并相應(yīng)地開發(fā)數(shù)據(jù)管理策略，作為健壯的零信任方法的一部分。

可見性和分析——對與訪問控制、分段、加密和其他零信任組件相關(guān)的所有安全流程和通信的可見性提供了對用戶和系統(tǒng)行為的重要洞察。在此級別監(jiān)控網(wǎng)絡(luò)可改進(jìn)威脅檢測和分析，同時能夠做出明智的安全決策并適應(yīng)不斷變化的安全環(huán)境。

自動化——通過自動化在整個企業(yè)中一致地應(yīng)用策略的手動安全流程來提高可擴(kuò)展性、減少人為錯誤并提高效率和性能。

基礎(chǔ)設(shè)施安全——確保工作負(fù)載中的系統(tǒng)和服務(wù)免受未經(jīng)授權(quán)的訪問和潛在漏洞的影響。

網(wǎng)絡(luò)安全——柱側(cè)重于隔離敏感資源，防止未經(jīng)授權(quán)的訪問。這涉及實施微分段技術(shù)、定義網(wǎng)絡(luò)訪問以及加密端到端流量以控制網(wǎng)絡(luò)流量。

零信任的應(yīng)用

零信任安全可以根據(jù)您的架構(gòu)設(shè)計和方法以多種方式應(yīng)用。

零信任網(wǎng)絡(luò)訪問 (ZTNA)是零信任模型最常見的實現(xiàn)?；谖⒎侄魏途W(wǎng)絡(luò)隔離，ZTNA 取代了對 VPN 的需求，在經(jīng)過驗證和身份認(rèn)證后可以接入網(wǎng)絡(luò)。

零信任應(yīng)用程序訪問 (ZTAA)也按照零信任原則運(yùn)行，但與 ZTNA 不同，它在保護(hù)網(wǎng)絡(luò)和應(yīng)用程序方面更進(jìn)一步。ZTAA 假設(shè)所有的網(wǎng)絡(luò)都受到威脅，并限制對應(yīng)用程序的訪問，直到用戶和設(shè)備得到驗證。這種方法有效地阻止了進(jìn)入網(wǎng)絡(luò)的攻擊者并保護(hù)了連接的應(yīng)用程序。?

零信任訪問是包含 ZTAA 和 ZTNA 的總括模型，可在整個架構(gòu)（包括所有網(wǎng)絡(luò)和應(yīng)用程序）中提供端到端的零信任。它提供基于身份的安全性，不僅考慮網(wǎng)絡(luò)上的用戶，還考慮網(wǎng)絡(luò)上的內(nèi)容——將零信任擴(kuò)展到提供商本身。這為組織在真正的零信任環(huán)境中提供了強(qiáng)大的數(shù)據(jù)隱私。

最后，零信任不是一種技術(shù)，而是一種安全框架和理念，這意味著企業(yè)可以將其構(gòu)建到現(xiàn)有的體系結(jié)構(gòu)中，而無需完全拆除現(xiàn)有的基礎(chǔ)設(shè)施。

*本文系SDNLAB編譯自strongdm網(wǎng)站