零信任從實(shí)踐到落地應(yīng)用的觀察與思考

發(fā)布時(shí)間 2022-04-14

作為一種新興安全理念和技術(shù),零信任經(jīng)過(guò)近十年的發(fā)展,正在從實(shí)踐邁向落地應(yīng)用。隨著零信任從理念架構(gòu)到落地實(shí)踐的不斷突破,如何加速構(gòu)建零信任安全體系,用零信任解決方案保障千行百業(yè)的數(shù)字化轉(zhuǎn)型成為目前行業(yè)普遍關(guān)注的焦點(diǎn)。

image-62.png


從零信任國(guó)際發(fā)展歷程中看到,2017年前零信任還是歷經(jīng)了一段長(zhǎng)時(shí)間的慢跑;2017年后陸續(xù)提出了一系列的技術(shù)標(biāo)準(zhǔn)和架構(gòu),其節(jié)奏逐漸變快;從2021年開(kāi)始,零信任相關(guān)技術(shù)的成熟度明顯提升。

1、零信任的實(shí)踐與應(yīng)用

Google BeyondCorp是零信任的一個(gè)早期實(shí)踐,其是基于理念從零開(kāi)始設(shè)計(jì)和構(gòu)建零信任模型,歷經(jīng)了數(shù)年的探索和實(shí)踐。其實(shí)踐的基本思想是將訪問(wèn)主體、客體、及訪問(wèn)權(quán)限進(jìn)行了細(xì)粒度關(guān)聯(lián)和控制,核心組件包括設(shè)備、用戶(hù)、應(yīng)用和工作流、網(wǎng)絡(luò)。其中,將網(wǎng)絡(luò)劃分了特權(quán)網(wǎng)絡(luò)和非特權(quán)網(wǎng)絡(luò),在非特權(quán)網(wǎng)絡(luò)主要通過(guò)訪問(wèn)代理(GFE)提供集中化的粗粒度的策略強(qiáng)制執(zhí)行機(jī)制,陸續(xù)對(duì)GFE能力進(jìn)行擴(kuò)展,包括認(rèn)證、授權(quán)、審計(jì)等。

相比BeyondCorp,DISA(美國(guó)國(guó)防信息系統(tǒng)局)零信任戰(zhàn)略實(shí)踐的環(huán)境更復(fù)雜,其目標(biāo)是從分散的各部門(mén)獨(dú)立的安全建設(shè)向統(tǒng)一安全防護(hù)架構(gòu)改造。根據(jù)最新消息,DISA戰(zhàn)略于2022年1月份開(kāi)始啟動(dòng),啟動(dòng)前用一年多的時(shí)間進(jìn)行方案評(píng)估和架構(gòu)規(guī)劃。其過(guò)程從時(shí)間軸上如圖所示:

image-63.png

2020年10月,零信任參考框架在DISA的JITC(聯(lián)合互操作性測(cè)試指令)實(shí)驗(yàn)室進(jìn)行構(gòu)建并測(cè)試,其目標(biāo)是開(kāi)發(fā)出一個(gè)不受供應(yīng)商限制的解決方案。這一驗(yàn)證也為后續(xù)的戰(zhàn)略計(jì)劃和方案建設(shè)奠定了信心和基礎(chǔ)。該驗(yàn)證之前, NIST下屬的 NCCoE(國(guó)家網(wǎng)絡(luò)安全卓越中心)在2020年03月發(fā)布過(guò)《實(shí)現(xiàn)零信任架構(gòu)》項(xiàng)目說(shuō)明書(shū)(草案),也是旨在通過(guò)商用產(chǎn)品構(gòu)建零信任架構(gòu)。

在架構(gòu)設(shè)計(jì)中,定義了零信任架構(gòu)的7個(gè)支柱性性元素,分別是:用戶(hù)、設(shè)備、網(wǎng)絡(luò)/環(huán)境、應(yīng)用/工作負(fù)載、數(shù)據(jù)、可視化/分析、自動(dòng)化與編排,并對(duì)這些元素匹配了具體的能力和關(guān)鍵技術(shù)。2021年10月份基于零信任架構(gòu)進(jìn)一步提出了構(gòu)建方案—Thunderdome,確定通過(guò)SASE重構(gòu)來(lái)實(shí)施零信任戰(zhàn)略。最后,根據(jù)確定的方案制定出項(xiàng)目具體的實(shí)施計(jì)劃。

image-64.png

Thunderdome方案實(shí)施的同時(shí),美國(guó)管理和預(yù)算辦公室(OMB)也發(fā)布了《聯(lián)邦政府零信任戰(zhàn)略》正式版,明確了美國(guó)“民用機(jī)構(gòu)”零信任架構(gòu)的五個(gè)核心支柱,進(jìn)一步從管理、技術(shù)、架構(gòu)、基礎(chǔ)設(shè)施選用維度提出了具體要求。OMB與DISA零信任戰(zhàn)略規(guī)劃的過(guò)程看上去非常相似,但OMB的建設(shè)速度相對(duì)DISA又加快了很多。而DISA從互操作驗(yàn)證到項(xiàng)目落地實(shí)施每個(gè)階段都保留了一段過(guò)渡時(shí)間,整個(gè)過(guò)程看上去更謹(jǐn)慎些。

總結(jié)美國(guó)從實(shí)踐到DISA重構(gòu)轉(zhuǎn)型的過(guò)程,其中經(jīng)歷了技術(shù)實(shí)踐、互操作性驗(yàn)證、架構(gòu)規(guī)劃、技術(shù)方案、實(shí)施計(jì)劃5個(gè)階段。如果說(shuō)早期BeyondCorp是實(shí)踐,那么今天DISA和OMB的零信任戰(zhàn)略則承載了重要安全任務(wù)并且有技術(shù)標(biāo)準(zhǔn)、有架構(gòu)驗(yàn)證、有全局規(guī)劃及妥善計(jì)劃的落地應(yīng)用。這在一定程度上標(biāo)志著零信任從實(shí)踐走向了應(yīng)用。

2、我國(guó)零信任應(yīng)用的觀察

在國(guó)內(nèi),“替代VPN”一度被認(rèn)為是零信任的重要使命之一。但VPN最初的使命是為遠(yuǎn)程訪問(wèn)建立專(zhuān)用網(wǎng)絡(luò),而零信任的初衷是數(shù)據(jù)保護(hù)的一種安全范式,旨在防止數(shù)據(jù)泄露和限制內(nèi)部橫向移動(dòng)。用VPN應(yīng)對(duì)云時(shí)代海量遠(yuǎn)程接入的安全訪問(wèn)需求原本也很牽強(qiáng),但VPN持續(xù)暴露的安全風(fēng)險(xiǎn),確實(shí)是助力零信任發(fā)展的重要力量之一,并且推動(dòng)SDP網(wǎng)關(guān)成為替代企業(yè)遠(yuǎn)程辦公的重要解決方案。

我們看到,保障零信任行業(yè)應(yīng)用的相關(guān)配套標(biāo)準(zhǔn)已經(jīng)開(kāi)始出現(xiàn)。中國(guó)電子標(biāo)準(zhǔn)化協(xié)會(huì)主導(dǎo)的《零信任技術(shù)規(guī)范》、中國(guó)城市軌道交通協(xié)會(huì)主導(dǎo)的《城市軌道交通云平臺(tái)網(wǎng)絡(luò)安全技術(shù)規(guī)范》,均給出了采用零信任理念時(shí)強(qiáng)訪問(wèn)控制的技術(shù)要求及可參考的邏輯架構(gòu),強(qiáng)調(diào)不管是人、設(shè)備、應(yīng)用還是數(shù)據(jù)都要進(jìn)行身份標(biāo)識(shí)、訪問(wèn)認(rèn)證和動(dòng)態(tài)授權(quán)。同時(shí),商密行業(yè)為進(jìn)一步增強(qiáng)了證書(shū)體系的安全性也在踐行零信任,在重要的訪問(wèn)控制環(huán)節(jié)結(jié)合零信任理念對(duì)傳統(tǒng)數(shù)字證書(shū)的分發(fā)、授權(quán)進(jìn)行改造。

零信任理念對(duì)傳統(tǒng)安全產(chǎn)品的賦能也再進(jìn)一步加強(qiáng):

(1)在用戶(hù)識(shí)別能力方面,零信任賦能了IAM為代表的身份與訪問(wèn)安全技術(shù),對(duì)用戶(hù)認(rèn)證的需求又驅(qū)動(dòng)了權(quán)限管理和特權(quán)管理成為更加重要的能力單元。

(2)在網(wǎng)絡(luò)與通信安全方面,以SDP為中心的訪問(wèn)控制方案已成為網(wǎng)絡(luò)遠(yuǎn)程接入安全的重要組成,但目前企業(yè)方面還是處于嘗試狀態(tài),如何更好地進(jìn)行持續(xù)風(fēng)險(xiǎn)評(píng)估,以及是否可以完全無(wú)特權(quán)訪問(wèn)還待驗(yàn)證。

(3)在終端安全方面,除了網(wǎng)絡(luò)接入側(cè)強(qiáng)驗(yàn)證,零信任也進(jìn)一步推進(jìn)了安全引擎、沙盒、虛擬空間等技術(shù)在終端安全上的應(yīng)用,擴(kuò)展了終端基線(xiàn)檢測(cè)、入侵檢測(cè)/防護(hù)、審計(jì)等安全管理能力。這不僅對(duì)大量的、分散部署的終端風(fēng)險(xiǎn)管理的助力很大,也將幫助XDR提高快速檢測(cè)-響應(yīng)能力。

(4)在數(shù)據(jù)安全方面,零信任理念整合了傳統(tǒng)數(shù)據(jù)安全的訪問(wèn)和管控能力,能很好應(yīng)對(duì)云平臺(tái)上大數(shù)據(jù)的碎片化管理問(wèn)題;對(duì)移動(dòng)和遠(yuǎn)程終端上的數(shù)據(jù)泄露問(wèn)題,通過(guò)終端的虛擬空間技術(shù)也得到了很好的擴(kuò)展;另外,對(duì)數(shù)據(jù)中心的數(shù)據(jù)安全問(wèn)題,在網(wǎng)絡(luò)側(cè)進(jìn)行數(shù)據(jù)管控會(huì)更適合,但從訪問(wèn)控制和部署角度看,其方案與遠(yuǎn)程辦公的零信任方案又有異途同歸之處。

(5)在零信任理念的影響下,應(yīng)用交付、WEB VPN類(lèi)設(shè)備相比傳統(tǒng)的應(yīng)用交付也做了很多改進(jìn):部署方案上訪問(wèn)控制和策略管理在逐漸分離,產(chǎn)品設(shè)計(jì)上在增強(qiáng)多因素認(rèn)證以改進(jìn)權(quán)限管理策略,特別是在應(yīng)對(duì)API訪問(wèn)泛在化的安全風(fēng)險(xiǎn)中涌現(xiàn)了一波專(zhuān)業(yè)API安全防護(hù)能力,提升了運(yùn)行時(shí)應(yīng)用自我防護(hù)能力。

零信任理念讓用戶(hù)、終端、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用五個(gè)方面安全能力都有了諸多改變,但是從系統(tǒng)化的建設(shè)角度看,國(guó)內(nèi)目前的應(yīng)用還很有限:

(1)零信任架構(gòu)是一種集成了諸多安全能力的綜合性解決方案,對(duì)組件的依賴(lài)性大。但需求側(cè),企業(yè)在零信任方案采購(gòu)中更愿意選擇不受供應(yīng)商限制的解決方案。

(2)從供給側(cè)來(lái)看,目前階段零信任方案還多由廠商主導(dǎo),多以其擅長(zhǎng)領(lǐng)域的能力提供為主,支撐企業(yè)進(jìn)行零信任全局戰(zhàn)略規(guī)劃的難度較大。

(3)目前行業(yè)缺乏零信任方案組合的互操作性評(píng)估。同時(shí)對(duì)行業(yè)現(xiàn)有的零信任構(gòu)建框架,需要更多的實(shí)踐去驗(yàn)證。