實施零信任網絡的五個實用步驟
責編:gltian |2021-05-06 16:24:05零信任的概念在10年前往往無人重視,2020年的疫情爆發將它推到企業安全重點關注的首要位置。COVID-19大流行推動了大規模的遠程工作,在復雜多樣的使用環境下,幾乎是一夜之間將組織傳統的基于系統的安全模型打破。在這種遠程工作的新常態中,組織的網絡不再是一個單一的位置和事物,它無時無刻地存在于某個地方。即使我們查看到的在一個地方使用單一數據中心的組織,該數據中心也可以由多個設備上的多個用戶訪問。
當今的網絡環境復雜且多變,如果不采用零信任方法,惡意軟件(尤其是勒索軟件)將不受網絡干擾,導致網絡某一部分遭到破壞時可能會導致組織癱瘓。近年,我們看到了多個勒索軟件攻擊的例子:從醫院、地方政府到大型公司的各個部門的組織都遭受了大規模停機。簡而言之,純粹基于系統的安全模型已經變得不再有意義。
那么,組織應該如何應用“零信任”藍圖來解決其新的復雜網絡問題?通過以下五個步驟尋找出有價值的數據、數據去向以及如何使用數據成為了實現零信任網絡的最合乎邏輯的方法。成功做到這一點的唯一方法是自動化和編排。
1.識別和分段數據
這是實施“零信任”的最復雜領域之一,因為它要求組織確定哪些數據是敏感的。
在嚴格監管環境中運營的企業可能已經知道該數據是什么,因為監管機構一直要求對此類數據進行監管。另一種方法是將人類可以訪問的系統與環境中的其他系統分開,如可以通過智能手機、便攜式計算機及臺式機連接的網絡部分。不幸的是,人類通常是最薄弱的環節,也是漏洞的第一來源 。因此將這些類型的網段與數據中心服務器分離是有意義的。自然地,所有進入組織的家庭用戶連接都需要在隔離的網段中終止。
2.映射敏感數據的流量并將其與業務應用程序關聯
一旦確定了敏感數據,下一步就是知道數據的去向、用途以及應用。當數據跨網絡流動,系統和用戶可以通過許多業務應用程序始終訪問跨網絡流動的數據。如果您不了解有關您的數據的信息,則無法有效地保護它。
自動化發現工具可以幫助您了解數據的意圖,為什么在那里流動?什么目的?正在傳輸什么數據?特定流服務于什么應用程序?使用正確的工具讓您可以了解需要允許哪些流程,這樣就可以進入“零信任”規則,判定“其他所有內容都將不被允許”。
3.構建網絡
一旦知道應該允許哪些流量(然后其他所有內容都應被阻止),就可以著手設計網絡體系結構以及執行網絡微邊界的過濾策略,簡而言之就是設計控件以確保僅允許合法流。
當前的虛擬化技術使您比過去更輕松地構建此類網絡。數據中心和公共云提供商中的軟件定義網絡(SDN)平臺均允許您在網絡結構中部署過濾器。因此從技術上講,可以將過濾策略放置在網絡中的任何位置。但是,實際上定義這些過濾策略的內容是,控制允許流量的規則,這正是自動發現真正有效的地方。
在完成發現過程之后,您將能夠了解流的意圖,并可以在不同區域和段之間放置邊界。這是您要實現的控制量與安全性之間的平衡。由于存在許多連接或微細分的孤島,因此您必須要考慮需要花費多少時間來設置和管理它們。發現意圖是使這一過程變得簡單的方法,因為它幫助您決定在邏輯上應該把這些片段放在哪里。
4.監控
一旦部署了微段和策略,就必須監視所有內容,這是可見性發揮作用的地方。知道是否存在問題的唯一方法是始終監視整個基礎架構上的流量。
監控有兩個重要方面:首先需要持續合規,您肯定不希望只在審核員出現時才檢查自己是否合規。這意味著您需要一直監視配置和流量,并且當審核員出現時,您可以向他們展示最新報告。
其次,組織必須對監控中的學習階段和執行階段進行區分。在學習階段,您正在監視網絡以了解其中的所有流情況,并根據它們的意圖對其進行分析,這允許您在編寫策略規則之前查看哪些流是必要的。然而,到了一定的時候,你必須停止學習,并確定任何你沒有看到的流為異常現象,并將默認策略設為阻止。在這里,你可以從默認的“允許”策略到默認的“拒絕”策略或組織的“D-DAY”政策進行大的轉換。
在此階段,您可以出于強制目的而切換到監視。此后任何開發人員想要允許另一個數據流通過數據中心的請求都必須提交更改申請并獲得許可后才能通過。
5.自動化和協調
最后,進入“D-DAY”的唯一途徑是借助策略引擎,這是整個網絡策略背后的中心 “大腦”。否則,您每次需要進行更改時都必須在整個基礎架構中采用手動方式執行所有操作。
由自動化流程啟用的策略引擎能夠將任何更改請求與您定義為合法業務連接要求的內容進行比較。如果其他連接請求符合可接受的用途定義時,則它應該以全自動方式繼續零接觸,這需要花費幾分鐘來實現更新部署的篩選過濾。只有超出可接受使用準則要求時才需要由專人進行審核和批準。
一旦獲得批準(自動或經過審核),就需要進行部署更改。如果您必須使用各種不同的技術(有各自的復雜性和配置要求)將更改部署到潛在的數百個不同的執行點中,沒有智能自動化系統,幾乎不可能完成此更改請求過程。
關注業務成果而不是安全成果
由于流程變得更快、更靈活同時又不影響安全性或合規性,因此消除安全部署中的復雜性可以帶來真正的業務成果。目前, 在許多組織中,即使已經進行了有限的細分,但在“D-DAY”進行變更后的進度仍然非常緩慢,常常需要花費數周的時間才能完成安全批準階段,甚至還需要花費更多的人力、物力。而微細分可能使這一過程變得更加復雜。
但是,使用我在此處概述的步驟來實現“零信任”自動化實踐方式,意味著從提出更改請求到部署和實施的端到端時間可以減少到一天甚至幾小時,且不會帶來風險。簡而言之,自動化意味著組織花費更少的時間和預算來管理其安全基礎架構,而將更多的精力用于業務實現,這是一個真正的雙贏局面。
編譯:御盾
關于作者
Avishai Wool是AlgoSec的聯合創始人兼CTO。他曾為計算機和網絡安全方面領先的美國電氣和電子工程師協會(IEEE)及國際計算機協會(ACM)委員會成員。已經發表了110多篇研究論文,并擁有13項美國專利。他還是特拉維夫大學電氣工程學院的教授,也是TAU跨學科網絡研究中心的副主任。他是“解鎖信息安全”的成功創建者,最近主要關注車載通信網絡、工業控制系統、側通道密碼分析等領域技術。
來源:FreeBuf.COM