网络安全架构|零信任网络安全当前趋势(上)

2021-02-26 14:59:16 浏览数 (2)

一、前言

本文介绍ACT-IAC美国技术委员会-工业咨询委员会)于2019年4月18日发布的《零信任网络安全当前趋势》(《Zero Trust Cybersecurity Current Trends》)报告的主要内容。

该报告的目录如下:

  • 执行摘要
  • 项目背景
  • 何为零信任
  • 建立信任是基础
  • 零信任的好处
  • 部署零信任的建议步骤
  • 联邦政府中对零信任的挑战
  • 最后结论

笔者计划分为两到三篇介绍。这是第一篇。

笔者之前的文章《网络安全架构 | 零信任架构正在标准化》,介绍了美国国家标准技术研究所(NIST)美国国防部国防创新委员会(DIB)对零信任的认识。

  • DIB可以视为美国军方的代表;
  • NIST可以视为美国标准(或美国民间)的代表;
  • ACT-IAC这一篇可以视为美国联邦政府的代表。

从不同的角度看看,也是蛮有意义的。

笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍(之前的介绍只是非常概要的)。原本是想等到NIST放出正式标准后,再全文翻译的。可是,日子只会溜走,等待只会遗憾。

相比《零信任网络》一书,上述这些材料虽然薄了点,但也算是美国比较官方的零信任材料,还是非常值得学习借鉴的。若不细看上几遍,不那么容易领会精髓。

二、项目背景

美国技术委员会(ACT)是一个非营利性的教育组织,旨在建立一个更加高效和创新的政府。

ACT-IAC美国技术委员会-工业咨询委员会)提供了一个独特的、客观的、值得信赖的论坛,政府和行业高管正在共同努力,通过使用技术来改进公共服务和代理业务。

本报告所载的调查结果和建议是以协商一致为基础的,并不代表任何特定个人或组织的意见。

为了保持其合作过程的客观性和完整性,ACT-IAC不接受政府资助。

2017年5月,总统成立了美国技术委员会(ATC),以促进联邦政府安全有效地使用IT,并指示它编写一份关于联邦IT现代化的报告。2017年晚些时候发布的IT现代化报告和相关的行政命令2,将使机构“……从保护他们的网络边界和管理传统的物理部署,到保护联邦数据和云优化部署”。它承认,这项工作的成功需要新的方法和战略。

2018年5月,联邦首席信息官理事会服务、战略和基础设施委员会要求ACT-IAC承担一项与零信任(ZT)和潜在联邦机构采用有关的项目。与此同时,联邦机构将从2023年3月开始,将网络服务从目前的总务管理局(GSA)合同转到新的企业基础设施解决方案(EIS)合同。联邦政府有一个独特的机会,来利用IT现代化和EIS过渡的汇合,以深刻变革机构的网络服务交付和数据保护。

ACT-IAC建立了政府和工业志愿者的项目团队,主要来自其网络、电信和网络安全社区。他们的工作被设计为评估ZT技术和服务的技术成熟度和可用性,并识别和解决与潜在的联邦机构采用相关的其他重要问题。

该项目侧重于两个工作流程:

第一个工作流程:评估了市场上支持ZT的实际工具,并确定了尚未实现的概念化能力。市场研究侧重于评估技术成熟度和准备度、适合性、可扩展性和基于实际实现的可承受性。

这包括六家公司(Cisco, Duo, Palo Alto, Zscaler, Fortinet, Cyxtera)的展示和演示,他们已经向商业和公共部门提供了其产品和服务中的ZT元素。

第二个工作流程:主要集中在信任算法上。这些动态算法用于生成信任分数,这对于全面的ZT解决方案是必不可少的。信任分数用于根据定义的标准授予、限制或拒绝访问。项目团队开发了对现有信任算法工作的理解,以向联邦机构提供关于这个主题的建议。

三、执行摘要

今天的系统正在扩展和演变为移动和云的环境,将传统的基于边界的网络安全方法扩展到了临界点。

一种称为“零信任(ZT)”的新方法,可能大幅改变和提高机构保护他们的系统和数据的能力。

ZT是一个安全概念,其基础是组织需要主动控制人员、数据和信息系统之间的所有交互,以将安全风险降低到可接受的水平。

ACT-IAC被联邦CIO理事会要求评估ZT技术的成熟度,它们的准备性和在政府中的适用性,以及如果他们选择使用ZT,机构将面临的问题。本报告提供了该评估的结果。

现代IT安全解决方案需要结合几个最小特性:

  • 1)在信任框架内隔离用户、设备、数据和服务,以确保每一个访问请求都被验证并故意允许或不批准;
  • 2)能抵抗攻击和对攻击有弹性,而没有大的管理负担;
  • 3)能够容易、快速地(如果不是自动地)适应不断变化的服务环境,也没有很大的管理负担。

ZT通过处理所有用户、设备、数据和服务请求,来满足这些特性。

ZT本质:它从一个组织中所有资产都是开放和可访问的传统安全策略,转变为需要持续的身份验证和授权才能访问任何资产。这个根本的变化是ZT的本质。ZT不是你要买的东西,它是一个安全概念、策略和架构设计方法。

ZT解决方案现状:ZT解决方案是广泛可用的,目前正在私营部门使用。市场上也存在着良性竞争。目前没有一家供应商提供单一的、整体的ZT解决方案。要获得一个全面的解决方案,需要集成多个供应商的产品和服务。一些不同的ZT架构方法可供机构选择。

实施ZT的条件:

  • 实施ZT不需要大规模更换现有网络或大量获取新技术。ZT应该增加其他现有的网络安全实践和工具。许多联邦机构已经在其基础设施中拥有ZT的元素,并遵循在日常运作中支持它的实践。诸如身份凭证和访问管理(ICAM)、基于信任算法的访问标准、自动策略决策和连续监视等元素,是成功的ZT的关键补充。
  • ZT采用的是渐进式方法。它在规模、步调、风险偏好和最终实现程度上给机构提供了很大的自由度。然而,在开始实施ZT之前,组织必须牢牢把握他们的用户和他们的角色、他们的数据和他们的技术资产。
  • 实施ZT需要“整个机构”的努力。由于ZT可以影响任务计划系统的安全性、风险性和性能,机构负责人和受影响的项目负责人必须与IT人员一起合作设计和实施ZT。

ZT需要由任务驱动,而不是只为了自己的利益而由IT驱动。

四、何为零信任

2004年,零信任作为一个安全设计的概念,由Jericho论坛引入, Jericho论坛是一个总部设在英国的首席信息安全官(CISO)群体。他们看到由于云和移动计算的加速使用,导致访问和授权的方式改变之后,这个有远见的团体假设了一个安全模型,这个模型对于传统的边界正在消失或变得不相关的世界是正确的,工作流正在移动到云,而移动端点对于应用程序访问正成为规范。

近年来,我们看到了这一加速,因为向健壮、快速的5G网络移动,导致一些组织怀疑他们是否应该提供网络服务。

2010年, John Kindervag(约翰德金瓦格)在Forrester进行研究时,创造了“零信任”或“零信任网络”这一术语,以解决Jericho论坛提出的问题。从那时起,零信任的兴趣增加,作为解决溶解或不断移动边界的潜在安全方法。

大多数现有的企业网络都是扁平的,即数据和用户网络之间几乎没有分离。传统的中心辐射网络模型的弱点在于其架构。通过防火墙跨越信任与不信任之间的鸿沟,从本质上说是危险的。相反,零信任不再区分“内部”和“外部”网络周边。

一般来说,零信任:

  • 提供用户从任何地方以任何方式访问任何地方的数据的一致性安全策略;
  • 在访问服务和/或数据时,采取“从不信任并始终验证”的立场;
  • 无论源于何处的请求位置,都需要持续授权;
  • 增加整网可视性和分析性。

此外,零信任依赖于五个基本断言:

  • 网络总是被认为是怀有敌意的;
  • 网络外部和内部威胁始终存在;
  • 网络位置不足以决定网络中的信任;
  • 每个设备、用户和网络流都经过认证和授权;
  • 策略必须是动态的,并根据尽可能多的数据来源进行计算。

五、零信任概念安全模型的六大支柱

零信任可以被认为是一项战略举措,与组织框架一起,使决策者和安全领导人能够达成务实和有效的安全实现。

1)零信任的支柱

概念安全模型有助于理解和组织这些组件。零信任安全模型见下图:

任务焦点

IT能力存在于组织内,是为了使任务得以实现,而不是为了自身目的而存在。这种逻辑可以扩展到零信任。信息保护的需求应该由任务驱动,由IT组织来完成。IT组织应该与任务和高层领导一起工作以获得支持,并为创建对于零信任的组织需求而奋斗。

数据基础

零信任架构的目的是保护数据。对一个组织的数据资产的清晰理解,是成功实现零信任架构的关键。组织需要根据任务关键性,来分类他们的数据资产,并使用这些信息来开发数据管理策略作为其整体ZT方法的一部分。

支柱1-用户:人员/身份安全

可信用户的持续身份验证对ZT至关重要。这包括使用身份、凭证和访问管理(ICAM)和多因素认证(MFA)等技术,并持续监测和验证用户可信度,以管理其访问和权限。防护和保护用户交互的技术,如传统的Web网关解决方案,也很重要。

支柱2-设备:设备安全

实时的网络安全态势和设备的可信性是ZT方法的基本属性。一些“记录系统”解决方案(如移动设备管理器)提供可用于设备信任评估的数据。此外,对每个访问请求应进行其他评估(例如,入侵状态的检查、软件版本、保护状态、加密启用等) 。

支柱3-网络:网络安全

有人认为,边界保护对于网络、工作流、工具和操作变得越来越不重要。这不是由于单一的技术或用例,而是许多新技术和服务的汇聚,允许用户以新的方式工作和通信。零信任网络有时被描述为“无边界”,这有点误入歧途。零信任网络实际上试图从网络边缘和片段中移动边界,并将关键数据与其他数据隔离。周界仍然是一个现实,尽管是以更细粒度的方式。传统的基础设施防火墙边界“城堡和护城河”的做法是不够的。边界必须更接近于数据与微分段,以加强保护和控制。

随着代理将其网络部分或完全过渡到软件定义网络(SDN)、软件定义的广域网(SD-WAN)和基于Internet的技术,网络安全正在扩展。关键是:(a)控制特权网络访问;(b)管理内部和外部数据流;(c)防止网络中的横向移动;(d)具有可视性,以便对网络和数据流量进行动态策略和信任决策。分段、隔离和控制网络的能力,仍然是零信任网络安全的关键点。

支柱4-应用:应用程序和工作负载安全

确保和适当地管理应用层以及计算容器和虚拟机是ZT采用的核心。具有识别和控制技术堆栈的能力,有助于更细粒度和准确的访问决策。毫无疑问,多因素身份验证(MFA)是在ZT环境中为应用程序提供适当访问控制的一个日益关键的部分。

支柱5-自动化:安全自动化和编排

和谐、成本高效的ZT充分利用安全自动化响应工具,通过工作流自动化跨产品的任务,同时允许最终用户的监督和交互。安全操作中心(SOC)通常使用其他自动化工具进行安全信息和事件管理(SIEM)以及用户和实体行为分析(UEBA)。安全编排连接这些安全工具,并协助管理不同的安全系统。这些工具可以以集成的方式工作,大大减少体力劳动和事件反应时间,并降低成本。

支柱6-分析:安全可见性和分析

你不能对抗一个你看不见或无法理解的威胁。ZT利用诸如安全信息管理、高级安全分析平台、安全用户行为分析和其他分析系统这样的工具,使安全专家能够实时地观察正在发生的事情和更智能地定向防御。对网络相关事件数据的分析,有助于在实际事件发生之前制定主动安全措施。

2)其它零信任安全模型

其它几种模型可用于帮助组织理解概念并指导他们在其环境中引入零信任的努力:

零信任扩展( ZTX )生态系统框架:由Forrester开发,该框架被描述为一个安全架构和运行手册。

持续适应性风险和信任评估(CARTA)模型:来自Gartner,CARTA被描述为一种在高级威胁环境中支持数字业务转型的方法,这种环境需要一种新的安全方法。零信任可以是整个CARTA安全方法的子组件。

3)隐私关注

将隐私集成到ZT架构设计和生命周期过程中是非常重要的。

随着我们将计算推向“边缘”,导致日益复杂的IT信息系统和设备的世界,围绕IT投资的隐私问题也在增加。

将隐私控制到安全控制目录的完全集成,是下一代NIST SP 800-53(Rev 5)安全和隐私控制标准的主要目标。

ZT实施可能有新的和不同的方法,来监视用户行为和/或跟踪用户身份。ZT从业者需要确保他们遵守适用的隐私法律、法规、标准和政策。

通过与机构隐私官员密切协调设计和开发工作,这一领域的成功是可以实现的。特别重要的是,根据20026电子政务法第208条的要求,确保所有的ZT实施在机构隐私影响评估(PIA)中有适当的披露。

4)谷歌“BeyondCorp”模型

谷歌“BeyondCorp”模型是关于零信任实现的最早讨论和文档化的例子。

BeyondCorp提供了一个实际的零信任实现的例子。虽然Google是一家商业企业,但其许多内部组件应该是任何企业都熟悉的。

BeyondCorp基于原始零信任前提:传统的基于边界的安全不足以保护内部网络和数据。此外,谷歌认识并促进云技术的发展,并将应用程序从本地数据中心移动到云提供的应用程序和服务。

BeyondCorp零信任支柱:

  • 从特定网络的连接,不得确定您可以访问哪些服务;
  • 到服务的访问权限,基于我们对您和您的设备的了解授予。
  • 所有到服务的访问,必须经过认证、授权、加密。

BeyondCorp组件:可以映射到上述零信任支柱的以下组件:

  • 单点登录
  • 访问代理
  • 访问控制引擎
  • 用户清单
  • 设备清单
  • 安全策略
  • 信任知识库

组件交付方式:

这些组件是作为Google云平台的一部分交付的,许多组件是由Google集成访问代理交付的。由于这是一个只通过云的交付策略,所以使用基于虚拟软件的解决方案,来配合软件定义边界的使用是必要的。应用程序被迁移到云中,在云中可以交付细粒度的访问控制。这消除了授权应用程序访问谷歌Intranet的必要性。

Google使用一种基于代理的方法作为强制点,来控制对在Google云平台上交付的托管应用程序的访问。该代理方法已被改进,并作为云身份感知代理产品交付,它控制了零信任的基本支柱。

(上篇完)

0 人点赞