早在2010年，當(dāng)時(shí)還是Forrester Research首席分析師的約翰·金德維格(John Kindervag)就率先提出了針對(duì)企業(yè)安全的“零信任”方法。

[[245942]]

如今，經(jīng)歷了近10年的時(shí)間，這種方法在具體實(shí)施方面仍然存在問題。企業(yè)想要有效地實(shí)施這種方法就必須清楚地了解其所帶來的變化，及其將會(huì)對(duì)客戶體驗(yàn)造成的影響。

該零信任安全模式是將單一的邊界保護(hù)轉(zhuǎn)移到公司內(nèi)的每個(gè)端點(diǎn)和用戶。其中心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物，且必須在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。

簡單來說，零信任的策略就是不信任任何人/事/物。除非網(wǎng)絡(luò)明確接入者的身份，否則任誰也無法進(jìn)入。這種方法建立在身份驗(yàn)證、設(shè)備驗(yàn)證、可信端點(diǎn)、網(wǎng)絡(luò)隔離、訪問控制以及用戶和系統(tǒng)信息的基礎(chǔ)之上，是保護(hù)和管理應(yīng)用程序及數(shù)據(jù)免受新型和高危風(fēng)險(xiǎn)侵害的關(guān)鍵。

零信任是關(guān)于如何創(chuàng)建組織的網(wǎng)絡(luò)安全態(tài)勢(shì)的思考過程和方法，其基本上打破了舊式的“網(wǎng)絡(luò)邊界防護(hù)”思維。在舊式思維中，專注點(diǎn)主要集中在網(wǎng)絡(luò)防御邊界，其假定已經(jīng)在邊界內(nèi)的任何事物都不會(huì)造成威脅，因此邊界內(nèi)部事物基本暢通無阻，全都擁有訪問權(quán)限。而就零信任模型而言，其對(duì)邊界內(nèi)部或外部的網(wǎng)絡(luò)統(tǒng)統(tǒng)采取不信任的態(tài)度，必須經(jīng)過驗(yàn)證才能完成授權(quán)，實(shí)現(xiàn)訪問操作。

推動(dòng)零信任模型日漸流行的現(xiàn)實(shí)因素有很多，例如：

1. 黑客和惡意威脅

事實(shí)證明，很多規(guī)模龐大的數(shù)據(jù)泄露事件都是由于黑客在繞過公司防火墻后，幾乎可以暢通無阻地訪問內(nèi)部系統(tǒng)造成的。

2. 工作流的移動(dòng)化和云端化

如今，可以說網(wǎng)絡(luò)邊界已經(jīng)根本不存在了。單純由內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在，企業(yè)應(yīng)用一部分在辦公樓里，一部分在云端，分布各地的員工、合作伙伴和客戶都可以通過各種設(shè)備遠(yuǎn)程訪問云端應(yīng)用。

面對(duì)這樣的新形勢(shì)，我們應(yīng)該如何保護(hù)自身安全成為了一個(gè)重要命題，而零信任模型也由此應(yīng)運(yùn)而生并流行開來。

然而，實(shí)施零信任模型并不是一件容易的事情，它更像是一場重視過程的修行，而不是為了實(shí)現(xiàn)而實(shí)現(xiàn)的目的地。但是很顯然，并不是所有人都能明白這一道理。如今，供應(yīng)商們都在爭先恐后、全力以赴地實(shí)施零信任模型，將其作為下一階段最重要的一件大事，以便能夠?qū)?ldquo;零信任”作為最新宣傳噱頭來推廣自身的安全產(chǎn)品和平臺(tái)。

事實(shí)上，實(shí)現(xiàn)零信任模型所涉及的許多內(nèi)容都是無聊且繁瑣的工作，比如創(chuàng)建并維護(hù)有關(guān)數(shù)據(jù)訪問的策略，以及授權(quán)訪問讀取和寫入數(shù)據(jù)的應(yīng)用程序等等。在實(shí)現(xiàn)零信任模型的過程中不存在一勞永逸的方法，也沒有什么“萬能靈丹”，繁瑣枯燥的工作只能依靠熟知企業(yè)業(yè)務(wù)啟動(dòng)因素和核心資產(chǎn)的內(nèi)部團(tuán)隊(duì)。

以下是安全專家總結(jié)的有關(guān)企業(yè)在實(shí)現(xiàn)零信任的道路上必須采取的一些關(guān)鍵步驟：

1. 定義零信任

安全專家表示，啟動(dòng)零信任模型的第一步，就是將您的團(tuán)隊(duì)聚在一起，就零信任的定義達(dá)成共識(shí)。然而，根據(jù)達(dá)成的具體共識(shí)來制定實(shí)施目標(biāo)，以及實(shí)現(xiàn)這些目標(biāo)的路線圖。需要注意的是，這并不意味著要拋棄目前所部署的保護(hù)邊界的技術(shù)。但是，在保護(hù)您的核心資產(chǎn)方面，企業(yè)必須愿意采取不同的思維方式并進(jìn)行組織變革。

如今，部分企業(yè)的IT部門已經(jīng)實(shí)現(xiàn)了零信任的很多方面。他們通常已經(jīng)部署了多因素身份驗(yàn)證、IAM以及權(quán)限管理等技術(shù)。然而，建立零信任環(huán)境不僅僅是實(shí)現(xiàn)這些單個(gè)技術(shù)，而是應(yīng)用這些技術(shù)來實(shí)現(xiàn)“無法證明可被信任即無法獲取權(quán)限”的理念。企業(yè)必須清楚地了解零信任在您的環(huán)境中意味著什么，再去考慮如何實(shí)現(xiàn)零信任以及確定哪些技術(shù)有助于實(shí)現(xiàn)這一理念。

與其病急亂投醫(yī)地花冤枉錢，不如先了解清楚問題再出去購買適合自己的零信任產(chǎn)品，如此才能真正地發(fā)揮其效用，當(dāng)然，這也是實(shí)現(xiàn)零信任模型并不容易的體現(xiàn)之一。除此之外，在實(shí)施零信任的過程中，獲取高層領(lǐng)導(dǎo)的明確承諾和理解也是關(guān)鍵所在。

2.了解用戶體驗(yàn)

在規(guī)劃零信任方法時(shí)，還需要考慮該模型將對(duì)用戶體驗(yàn)造成的影響。遵循“永不信任且始終驗(yàn)證”原則的零信任方法會(huì)改變用戶與您的系統(tǒng)和數(shù)據(jù)交互的方式。因?yàn)椋诹阈湃文Ｊ较?，您需要知道您的用戶是誰，他們正在訪問哪些應(yīng)用程序，他們是如何連接到您的應(yīng)用程序的，以及您為保護(hù)訪問權(quán)限所需采取的控制措施等。

在啟動(dòng)零信任模型進(jìn)行組織變革之前，請(qǐng)確保您已經(jīng)了解了未來的用戶體驗(yàn)?？紤]清楚您將采取何種計(jì)劃在所有應(yīng)用程序和所有用戶之間實(shí)現(xiàn)零信任，以及您希望采取何種機(jī)制來以細(xì)粒度和一致性的方式控制訪問?

除此之外，還要問問自己是否需要分布式控制，例如，讓應(yīng)用程序所有者定義自己的安全策略。或者，通過集中式IT或安全小組門戶策略是否會(huì)產(chǎn)生更好的效果?您還需要考慮如何確保并保持對(duì)安全數(shù)據(jù)訪問要求的遵從性等內(nèi)容。

一旦組織確定了他們希望用戶與其系統(tǒng)進(jìn)行交互的方式，他們就必須接受這種轉(zhuǎn)變不可能在一夕之間實(shí)現(xiàn)的現(xiàn)實(shí)。首先，他們需要進(jìn)行小范圍“踩點(diǎn)試驗(yàn)”，針對(duì)最危險(xiǎn)的用例實(shí)現(xiàn)零信任模型，并花時(shí)間不斷完善并正確實(shí)施該模型。隨著時(shí)間的推移，小范圍的“踩點(diǎn)”勝利將最終融合成一個(gè)完整的轉(zhuǎn)型。記住，這一過程是每一次勝利累積的質(zhì)變結(jié)果，并非一蹴而就之功。

3. 選擇正確的架構(gòu)

不存在任何一種單一的方法和技術(shù)能夠?qū)崿F(xiàn)零信任模型。在最基本的層面上，零信任是通過確保只有經(jīng)過安全驗(yàn)證的用戶和設(shè)備才能夠訪問您的系統(tǒng)，以此來保護(hù)您的應(yīng)用程序和數(shù)據(jù)安全。您在網(wǎng)絡(luò)上的位置(邊界內(nèi)部還是外部)無關(guān)乎身份驗(yàn)證和設(shè)備驗(yàn)證的結(jié)果。

事實(shí)上，在各種各樣的現(xiàn)有技術(shù)和監(jiān)管過程支撐之下，零信任方法才得以完成保護(hù)企業(yè)IT環(huán)境的使命。據(jù)安全專家介紹，目前，市場上主要存在3種最具競爭力的方法可用于實(shí)現(xiàn)零信任模型——微分段(microsegmentation)、軟件定義邊界(SDP)以及零信任代理。

在基本網(wǎng)絡(luò)用語中，“分段”是指將以太網(wǎng)劃分為子網(wǎng)絡(luò)(也就是子網(wǎng))，以管理并控制網(wǎng)絡(luò)流量，而不是將所有數(shù)據(jù)包發(fā)送給所有節(jié)點(diǎn)。網(wǎng)絡(luò)分段提供了基礎(chǔ)工具，提升了網(wǎng)絡(luò)性能，并在傳統(tǒng)靜態(tài)網(wǎng)絡(luò)中引入了安全性。

微分段基于這一基本理念，抽象出新的虛擬化及控制層。使用微分段，數(shù)據(jù)中心被劃分為邏輯單元，這些邏輯單元往往是工作負(fù)載或應(yīng)用。這樣IT能夠針對(duì)每個(gè)邏輯單元制定獨(dú)特的安全策略與規(guī)則。一旦周邊被滲透，微分段能夠顯著減少惡意行為的攻擊面，并限制攻擊的橫向(東西)移動(dòng)。因?yàn)?，傳統(tǒng)防火墻能夠?qū)崿F(xiàn)常見的南北向防護(hù)，但微分段明顯地限制了企業(yè)內(nèi)工作負(fù)載之間不必要的東西向通信。

這種零信任方式顯著改變了網(wǎng)絡(luò)攻擊模式：攻擊者進(jìn)行邊界滲透并監(jiān)視網(wǎng)絡(luò)活動(dòng)等待時(shí)機(jī)到來，注入惡意軟件并控制核心系統(tǒng)，最終剽竊有價(jià)值的數(shù)據(jù)或者破壞業(yè)務(wù)活動(dòng)。

雖然具備種種優(yōu)點(diǎn)，但是在軟件定義技術(shù)出現(xiàn)之前，采用微分段需要依賴傳統(tǒng)的物理防火墻以及VLAN。手工配置時(shí)需要針對(duì)橫向(東西)流量控制配置內(nèi)部防火墻——并隨著時(shí)間的變化對(duì)配置進(jìn)行維護(hù)——這一過程除了非常難實(shí)現(xiàn)之外，代價(jià)也十分大。

安全技術(shù)在發(fā)展初期，對(duì)于邊界的安全防范主要是在網(wǎng)絡(luò)出口布置硬件防火墻，隨著IT架構(gòu)的變化，邊界越來越模糊，云的租戶不滿足共用防火墻，希望得到更個(gè)性化的服務(wù)。軟件定義邊界(SDP)方案應(yīng)運(yùn)而生。

通過SDP，組織可以基于可信簽名構(gòu)建每個(gè)終端的“VPN隧道”，形成零信任網(wǎng)絡(luò)，拒絕一切外部攻擊威脅。不同于傳統(tǒng)的VPN隧道，SDP的隧道是按照業(yè)務(wù)需求來生成的，也就是說這是一種單包和單業(yè)務(wù)的訪問控制，SDP控制器建立的訪問規(guī)則只對(duì)被授權(quán)的用戶和服務(wù)開放，密鑰和策略也是動(dòng)態(tài)和僅供單次使用的。通過這種類似“白名單”的訪問控制形式，網(wǎng)絡(luò)中未被授權(quán)的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的。

但是，正如微分段技術(shù)一樣，SDP也存在其弊端——即一旦隧道建立，SDP幾乎無法再確保交易的安全性和完整性。

第三種方法——也是Akamai公司已經(jīng)采取的一種方式，就是使用零信任代理來建立經(jīng)過身份驗(yàn)證的用戶和應(yīng)用程序之間的按需邊界(on-demand perimeter)，以及內(nèi)聯(lián)行為(in-line behavioral)和有效負(fù)載分析?？傮w而言，零信任代理能夠有效地將前兩種技術(shù)的最佳功能和有效負(fù)載分析，結(jié)合到一個(gè)可以逐步部署的可管理系統(tǒng)之中。

4. 實(shí)施強(qiáng)大的措施來驗(yàn)證用戶和設(shè)備

零信任模型需要組織重新思考如何保護(hù)每個(gè)應(yīng)用程序、端點(diǎn)、基礎(chǔ)設(shè)施及用戶。零信任最大的改變?cè)谟趯?zhí)行機(jī)制從單一的網(wǎng)絡(luò)邊界轉(zhuǎn)移到每個(gè)目標(biāo)系統(tǒng)和應(yīng)用程序。其重點(diǎn)是驗(yàn)證用戶的身份以及他們所使用的設(shè)備，而不是基于某人是否從受信或不受信的網(wǎng)絡(luò)中訪問企業(yè)資源的安全策略。

用戶方面需要使用多因素身份驗(yàn)證(MFA)來增強(qiáng)密碼強(qiáng)度，并使用其他驗(yàn)證步驟來確定授權(quán)的訪問級(jí)別。無論用戶類型(終端用戶、特權(quán)用戶、外包IT、合作伙伴或客戶)或訪問的資源如何，都需要應(yīng)用零信任原則。除此之外，您的訪問決策還需要具有適應(yīng)性和動(dòng)態(tài)性(即隨變化而變)。

通過了零信任模型也就意味著系統(tǒng)能夠信任試圖訪問您資產(chǎn)的設(shè)備，因?yàn)楫吘怪挥薪?jīng)過驗(yàn)證的設(shè)備/人才能授權(quán)訪問您的系統(tǒng)。這也就是說，我們必須采取措施來確保已通過驗(yàn)證的用戶注冊(cè)其設(shè)備，以便在未來的驗(yàn)證過程中能夠有效地識(shí)別它們。如果用戶通過他們每天都會(huì)使用的注冊(cè)設(shè)備來獲取訪問權(quán)限，他們就會(huì)擁有一定程度的信任。而一旦他們?cè)噲D從網(wǎng)吧的工作站訪問服務(wù)，或是使用之前從未使用過的設(shè)備獲取權(quán)限，這種信任窗口就會(huì)自動(dòng)關(guān)閉。

設(shè)備驗(yàn)證還涉及為條目設(shè)置最低限度的安全要求，并確保只有滿足該閥值的設(shè)備才能夠訪問網(wǎng)絡(luò)。設(shè)備是否進(jìn)行過“越獄”操作?設(shè)備設(shè)置是否符合公司政策，如硬盤加密、病毒防護(hù)以及最新補(bǔ)丁?這些都是必須考慮在內(nèi)的問題。

5. 為迎接挑戰(zhàn)做好準(zhǔn)備

不要低估實(shí)施零信任框架所涉及的工作量，尤其是在大型組織中實(shí)施零信任模型。無論您處于網(wǎng)絡(luò)上的哪個(gè)位置(邊界內(nèi)/外)，想要從的單一的邊界保護(hù)轉(zhuǎn)移到允許對(duì)每個(gè)應(yīng)用程序和設(shè)備進(jìn)行身份驗(yàn)證和授權(quán)訪問的模型都不是易事。對(duì)于許多組織來說，定義并開發(fā)一個(gè)在整個(gè)企業(yè)范圍內(nèi)一致的數(shù)據(jù)訪問策略需要花費(fèi)大量時(shí)間，且極具挑戰(zhàn)性。除此之外，實(shí)現(xiàn)和管理統(tǒng)一授權(quán)和訪問控制系統(tǒng)，并識(shí)別所有提供關(guān)鍵數(shù)據(jù)訪問的應(yīng)用程序也是一項(xiàng)重大且艱巨的任務(wù)。

尋找到限制用戶訪問和特權(quán)的方法是另一項(xiàng)重大挑戰(zhàn)。組織需要做出的最大改變是為用戶提供他們完成工作所需的足夠權(quán)限，并在不會(huì)對(duì)用戶體驗(yàn)造成不必要影響的情況下，提示其使用多因素身份驗(yàn)證(MFA)機(jī)制。他們需要確保授予使用的任何權(quán)限都是臨時(shí)的、有時(shí)間限制且會(huì)自動(dòng)撤銷的。

舉例來說，對(duì)于Akamai公司而言，其零信任過程中最大的實(shí)施障礙在于其非Web應(yīng)用程序，因?yàn)槠渲性S多非Web應(yīng)用程序都無法支持MFA等功能。該公司花費(fèi)了大量時(shí)間來構(gòu)建處理此類應(yīng)用程序的功能，并最終構(gòu)建了一個(gè)輕量級(jí)代理，允許非Web應(yīng)用程序更好地使用零信任代理。該公司目前正在部署這種輕量級(jí)的客戶端應(yīng)用程序隧道，為現(xiàn)今企業(yè)中分布的非Web應(yīng)用程序提供認(rèn)證訪問服務(wù)。

究其本質(zhì)，零信任意味著確保用戶身份安全，以及保護(hù)應(yīng)用程序。這一過程可以通過提供“由內(nèi)向外連接(inside-out connectivity)，精確訪問，零信任加密等方式來實(shí)現(xiàn)。這也就是說，如果我們能夠確保用戶的身份安全，了解他們所使用的應(yīng)用程序，并確保這些應(yīng)用程序安全，那么端點(diǎn)設(shè)備和網(wǎng)絡(luò)就會(huì)變得無關(guān)緊要，無論設(shè)備或位置如何，用戶都會(huì)是安全的。這是一個(gè)巨大的轉(zhuǎn)變。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文