企業實現零信任網絡能夠獲得什麽效果?實施零信任網絡使得企業網絡安全水平提升、合規審計能力提升、生產效率提升,其可作為網絡安全體系的“骨架”連接其他安全技術,筆者認為零信任網絡是更符合發展潮流的IT設施建設方案。
零信任網絡實現了身份、設備、應用的動態信任評估體系,並通過信任評估進行作用於資源訪問路徑上持續的訪問控制。零信任技術使得網絡平臺具備層次化的、壹致的、持續的訪問控制能力。
在邊界防護體系中,安全產品堆砌在網絡邊界,意圖建立起壹道防線阻隔網絡攻擊,內網則成為信任區,內網的東西向流量缺少最基礎的訪問控制能力。這種體系下內網計算機失陷後,攻擊者能夠利用設備固有的信任和已授予用戶的信任來進壹步橫向移動、訪問資源。
零信任網絡則以資源保護為核心訴求規劃防護體系,通過在所有資源訪問路徑上建立訪問控制點,收斂了資源暴露面,綜合資源訪問過程中包括身份、設備、環境、時間在內的所有網絡空間因素對訪問行為進行可信度判斷,以此為依據從網絡可見性、資源可見性、資源訪問權限三個層級進行訪問控制。
典型的企業IT系統建設呈現煙囪式,各個系統相互獨立,企業成員需要在每個系統上建立賬號,弱密碼、各系統用同壹個密碼、密碼長期不更改等問題無法根除。當人員流動、人員職責變更時賬號身份管理出現疏漏難以避免,導致人員權限膨脹,遺留大量僵屍賬號等問題。在面對網絡攻擊時,這些失控身份將成為攻擊者滲透企業的切入點,獲取資源的入口。企業可以通過建設IAM系統,對身份統壹管理,建立多因子、SSO認證,緩解身份失控風險,強化認證強度和可信度。然而IAM系統是基於應用層進行訪問控制,無法防護對操作系統、中間件等的攻擊。
零信任網絡在圍繞資源建立了訪問控制點後,進壹步實現以身份為中心訪問控制策略。工程實踐上,零信任架構能夠與IAM系統對接,集成現有身份和訪問管理能力,實質上擴展了IMA的作用邊界,將其對應用層的保護延伸到網絡接入層。
企業的辦公環境正變得越來越復雜,員工需要能使用公司配發資產、個人自帶設備或者移動設備訪問企業資產,這對企業網絡安全帶來巨大挑戰。企業IT和安全人員需要面對設備黑洞,有多少員工自帶辦公設備、哪個設備現在是誰在用、某個IP是誰的什麽設備,當應急響應事件發生時如何快速定位到誰的設備出現異常。EPP、EDR、CWPP等主機防護安全產品能夠對設備資產進行管理,但是缺少將設備資產與企業數字身份關聯的能力。
零信任網絡為所有設備建立標識,關聯設備與使用者身份,將設備狀態作為訪問控制策略的關鍵因素,納入信任度評價體系,不同設備類型、不同設備狀態計算出不同信任度,不同信任度設定合理的資源訪問權限。在實踐中,設備管理可以采用靈活的解決方案,例如對公司設備資產頒發專用數字證書賦予唯壹身份認證,員工自帶設備則安裝客戶端軟件進行基線檢測。
零信任體系能夠與傳統安全產品集成,或者直接使用傳統安全產品實現。以NIST抽象的零信任架構為例:策略決策點可與IAM系統對接實現身份信息的獲取和認證授權,持續評估可結合UEBA、SOC、SIEM等系統實現,設備資產的標識和保護可以使用EDR類產品,設備資產可以安裝DLP類產品實現端到端的資源保護。
滿足等保2.0的解決方案
等保2.0完善了我國網絡安全建設標準,其提出的壹個中心三重防護思想與零信任思想高度契合。在CSA發布的《SDP實現等保2.0合規技術指南白皮書》中,CSA中國區專家梳理了SDP與等保技術要求點的適用情況,零信任技術在等保2.0技術要求的網絡架構、通信傳輸、邊界安全、訪問控制、安全審計、身份鑒別等要求項上均有良好適用性。
企業將信息系統、資源部署在私有或者雲數據中心,員工通過辦公場所的有線固網、企業專有WIFI等方式接入網絡獲取工作所需資源。外出員工、企業分支機構、合作夥伴則通過VPN與數據中心建立連接,進行日常辦公和信息交互。用戶使用不同工具對資源進行訪問。
在零信任網絡下,無論員工在辦公場所、機場、高鐵,無論資源在私有數據中心還是公有雲上,其都能通過零信任網絡提供的“身份、設備、應用”信任鏈訪問有權訪問的資源。
隨著企業數據中心和分支機構增多,異地數據中心繁多,核心應用上雲,大量應用第三方SaaS,其辦公環境愈發復雜,員工壹項工作需要多種資源,所需資源分布在不同物理設施,工作時常要登錄多個系統,來回切換不同的VPN。
零信任網絡通過統壹的認證管理,使得員工壹次登錄即可獲得應有的應用訪問權限,同時使用部署在不同位置的應用,極大改善了工作效率和工作體驗。