零信任安全的4W1H
責(zé)編:gltian |2018-08-27 13:42:48零信任安全(或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任)最早由約翰.金德維格(John Kindervag)在2010年提出,約翰.金德維格當(dāng)時(shí)是著名研究機(jī)構(gòu)Forrester的首席分析師。
如今8年過(guò)去了,零信任安全已逐步被業(yè)界所認(rèn)可,各組織機(jī)構(gòu)的CIO、CISO們也言必稱零信任了,特別是2017年Google基于零信任構(gòu)建的BeyondCorp項(xiàng)目成功完成,零信任儼然已成為安全界的新寵。
零信任安全正在對(duì)傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)形成強(qiáng)有力的顛覆,甚至Forrester的分析師認(rèn)為3年內(nèi)零信任就將成為網(wǎng)絡(luò)安全流行框架之一。
WHAT:零信任安全是什么?
傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)某種程度上假設(shè)、或默認(rèn)了內(nèi)網(wǎng)是安全的,認(rèn)為安全就是構(gòu)筑企業(yè)的數(shù)字護(hù)城河,通過(guò)防火墻、WAF、IPS等邊界安全產(chǎn)品/方案對(duì)企業(yè)網(wǎng)絡(luò)出口進(jìn)行重重防護(hù)而忽略企業(yè)內(nèi)網(wǎng)的安全。
零信任安全針對(duì)傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行了重新評(píng)估和審視,并對(duì)安全架構(gòu)思路給出了新的建議,在《零信任網(wǎng)絡(luò)》一書(shū)中,作者使用如下五句話對(duì)零信任安全進(jìn)行了抽象概括:
1. 應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅。
2. 外部和內(nèi)部威脅每時(shí)每刻都充斥著網(wǎng)絡(luò)。
3. 不能僅僅依靠網(wǎng)絡(luò)位置來(lái)建立信任關(guān)系。
4. 所有設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證和授權(quán)。
5. 訪問(wèn)控制策略應(yīng)該是動(dòng)態(tài)的基于盡量多的數(shù)據(jù)源進(jìn)行計(jì)算和評(píng)估。
簡(jiǎn)而言之,零信任的核心思想就是:默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng),需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。零信任對(duì)訪問(wèn)控制進(jìn)行了范式上的顛覆,引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化,其本質(zhì)訴求是以身份為中心進(jìn)行訪問(wèn)控制。
零信任安全所依賴的身份驗(yàn)證與訪問(wèn)控制能力通常由身份訪問(wèn)與管理系統(tǒng)(IAM)提供,現(xiàn)代身份管理平臺(tái)是零信任安全的技術(shù)根基,因此,從技術(shù)方案層面來(lái)看,零信任安全是借助現(xiàn)代身份管理平臺(tái)實(shí)現(xiàn)對(duì)人/設(shè)備/系統(tǒng)的全面、動(dòng)態(tài)、智能的訪問(wèn)控制。
傳統(tǒng)的靜態(tài)、封閉的身份管理機(jī)制已經(jīng)不能滿足新技術(shù)環(huán)境的要求,無(wú)法支撐企業(yè)構(gòu)建零信任安全的戰(zhàn)略愿景。身份管理技術(shù)正在向現(xiàn)代身份管理的方向快速演進(jìn)。敏捷、智能、安全,是現(xiàn)代身份管理技術(shù)的三大特點(diǎn)。現(xiàn)代智能身份管理平臺(tái),需要足夠敏捷和靈活,可以支持更多新的場(chǎng)景和應(yīng)用,從靜態(tài)的訪問(wèn)控制策略演變?yōu)閯?dòng)態(tài)的訪問(wèn)控制策略,具備高級(jí)分析能力,能夠應(yīng)對(duì)外部攻擊、內(nèi)部威脅、身份欺詐等各種新的安全威脅。
WHY:為什么需要零信任安全?
前文提到,零信任安全的本質(zhì)訴求是以身份為中心重構(gòu)訪問(wèn)控制,因此,只要明白了現(xiàn)代身份管理平臺(tái)在今天網(wǎng)絡(luò)安全中的必要性,自然就明白了為什么需要零信任安全。
現(xiàn)今嚴(yán)峻的安全態(tài)勢(shì)和數(shù)字化轉(zhuǎn)型浪潮下的新安全需求都促使了身份與訪問(wèn)控制成為架構(gòu)安全的第一道關(guān)口,零信任安全正是擁抱了這種技術(shù)趨勢(shì),從而成為網(wǎng)絡(luò)安全發(fā)展的必然選擇。
首先,從安全態(tài)勢(shì)的角度來(lái)看,大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全威脅比以往任何時(shí)候都更加復(fù)雜和險(xiǎn)惡,業(yè)界一致認(rèn)為,目前網(wǎng)絡(luò)安全架構(gòu)的薄弱環(huán)節(jié)正是身份安全基礎(chǔ)設(shè)施的缺失,有數(shù)據(jù)顯示,部署了成熟IAM系統(tǒng)的企業(yè),其安全事件下降了50%。
越來(lái)越多的企業(yè)業(yè)務(wù)應(yīng)用構(gòu)建在云端大數(shù)據(jù)平臺(tái)中,使得云端平臺(tái)存儲(chǔ)了大量的高價(jià)值數(shù)據(jù)資源。業(yè)務(wù)和數(shù)據(jù)的集中造成了目標(biāo)的集中和風(fēng)險(xiǎn)的集中,這自然成為黑產(chǎn)最主要的攻擊和竊取目標(biāo)。就在去年,發(fā)生了史上最大的用戶數(shù)據(jù)泄露事件——美國(guó)三大征信機(jī)構(gòu)之一,Equifax數(shù)據(jù)泄露事件,造成涉及美國(guó)1.43億人的個(gè)人信息泄露,CEO引咎辭職。
根據(jù)《2018 insider threat report》顯示,內(nèi)部威脅是造成數(shù)據(jù)泄露的第二大原因。往往因?yàn)榉鞘跈?quán)訪問(wèn)、雇員犯錯(cuò)、外包員工犯錯(cuò)等等原因,導(dǎo)致 “合法用戶”可以非法訪問(wèn)特定的業(yè)務(wù)和數(shù)據(jù)資源,造成組織內(nèi)部數(shù)據(jù)泄漏。
造成數(shù)據(jù)泄露的第一大原因是外部黑客攻擊,但是顯然攻擊者并沒(méi)有什么非常高明的技術(shù)。根據(jù)美國(guó)最大的移動(dòng)運(yùn)營(yíng)商Verizon報(bào)告分析指出,81%的黑客成功利用了偷來(lái)的口令或者弱口令,就輕而易舉地獲得了數(shù)據(jù)的訪問(wèn)權(quán)限,成功竊取數(shù)據(jù)。
其次,從企業(yè)數(shù)字化轉(zhuǎn)型和IT環(huán)境的演變來(lái)看,云計(jì)算、移動(dòng)互聯(lián)的快速發(fā)展導(dǎo)致傳統(tǒng)內(nèi)外網(wǎng)邊界模糊,企業(yè)無(wú)法基于傳統(tǒng)的物理邊界構(gòu)筑安全基礎(chǔ)設(shè)施,只能訴諸于更靈活的技術(shù)手段來(lái)對(duì)動(dòng)態(tài)變化的人、終端、系統(tǒng)建立新的邏輯邊界,通過(guò)對(duì)人、終端和系統(tǒng)都進(jìn)行識(shí)別、訪問(wèn)控制、跟蹤實(shí)現(xiàn)全面的身份化,這樣身份就成為了網(wǎng)絡(luò)安全新的邊界,以身份為中心的零信任安全成為了網(wǎng)絡(luò)安全發(fā)展的必然趨勢(shì)。
WHO:誰(shuí)對(duì)零信任安全負(fù)責(zé)?
零信任安全建設(shè)的關(guān)鍵抓手是現(xiàn)代身份管理平臺(tái)在企業(yè)的落地及全面應(yīng)用,其建設(shè)和運(yùn)營(yíng)需要企業(yè)各干系方積極參與,可能涉及到安全部門(mén)、IT技術(shù)服務(wù)部門(mén)和IT運(yùn)營(yíng)部門(mén)等。企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵決策者應(yīng)該將基于零信任的身份安全架構(gòu)上升到戰(zhàn)略層面,確定愿景和路線圖,成立專門(mén)的組織(或虛擬組織)并指派具有足夠權(quán)限的人作為負(fù)責(zé)人。
在零信任架構(gòu)下,IAM是安全基礎(chǔ)和核心架構(gòu),如果企業(yè)還是和以前一樣,僅僅將IAM視為業(yè)務(wù)基礎(chǔ)架構(gòu),勢(shì)必導(dǎo)致IAM的建設(shè)和運(yùn)維降級(jí)為普通的IT項(xiàng)目,難以發(fā)揮IAM及零信任安全在企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中的安全支撐作用。根據(jù)企業(yè)的具體職責(zé)分工情況,零信任項(xiàng)目的負(fù)責(zé)人可能由首席信息官(CIO)、首席安全官(CSO)、甚至首席執(zhí)行官(CEO)親自擔(dān)任,無(wú)論如何,關(guān)鍵點(diǎn)在于,此責(zé)任人必須在企業(yè)內(nèi)擁有較高的權(quán)力,確保能推動(dòng)各部門(mén)共同建設(shè)和發(fā)揮IAM的安全支撐作用。
從企業(yè)數(shù)字化轉(zhuǎn)型的戰(zhàn)略高度,確定IAM建設(shè)項(xiàng)目的愿景和路線圖,并指派強(qiáng)有力的項(xiàng)目負(fù)責(zé)人,是零信任安全建設(shè)至關(guān)重要的關(guān)鍵環(huán)節(jié)。
WHEN:什么時(shí)候引入零信任安全?
零信任安全是在現(xiàn)今嚴(yán)峻的安全態(tài)勢(shì)和數(shù)字化轉(zhuǎn)型浪潮驅(qū)動(dòng)下的新型安全架構(gòu),企業(yè)引入零信任安全的最佳時(shí)機(jī)需要和企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程保持相同的步伐,應(yīng)將零信任安全作為企業(yè)數(shù)字化轉(zhuǎn)型戰(zhàn)略的一部分,在企業(yè)進(jìn)行云遷移戰(zhàn)略或建設(shè)大數(shù)據(jù)平臺(tái)的時(shí)候同步規(guī)劃。
企業(yè)進(jìn)行全新的基礎(chǔ)設(shè)施規(guī)劃或遷移時(shí),需要由內(nèi)至外的基于零信任進(jìn)行整體安全架構(gòu)設(shè)計(jì)和規(guī)劃,細(xì)致梳理人員、數(shù)據(jù)、系統(tǒng)、應(yīng)用的邏輯邊界及安全需求,制定符合企業(yè)安全策略的全面的應(yīng)用級(jí)、功能接口級(jí)和數(shù)據(jù)級(jí)訪問(wèn)控制機(jī)制,切不可在基礎(chǔ)設(shè)施建設(shè)完畢后再疊加零信任。
對(duì)于尚無(wú)基礎(chǔ)設(shè)施轉(zhuǎn)型計(jì)劃的企業(yè)來(lái)說(shuō),實(shí)施部分零信任安全實(shí)踐也未嘗不可,但企業(yè)必須意識(shí)到,這個(gè)過(guò)程難以一蹴而就,畢竟Google建設(shè)BeyondCorp耗時(shí)也超過(guò)六年,一種可能的實(shí)施方案是基于現(xiàn)代身份管理平臺(tái)建設(shè)應(yīng)用級(jí)的訪問(wèn)控制,確保應(yīng)用訪問(wèn)的身份識(shí)別、授權(quán)策略的統(tǒng)一。
零信任安全是一種架構(gòu)理念,因此,企業(yè)何時(shí)、如何實(shí)施零信任安全并無(wú)放之四海而皆準(zhǔn)的金科玉律,企業(yè)應(yīng)該遵循零信任安全基本理念,結(jié)合現(xiàn)狀,逐步規(guī)劃實(shí)施零信任,當(dāng)企業(yè)完成數(shù)字化轉(zhuǎn)型之時(shí),零信任安全也就水到渠成了。
HOW:如何實(shí)現(xiàn)零信任安全?
前文提到,從技術(shù)方案層面來(lái)看,零信任安全是借助現(xiàn)代身份管理平臺(tái)實(shí)現(xiàn)對(duì)人/設(shè)備/系統(tǒng)的全面、動(dòng)態(tài)、智能的訪問(wèn)控制,下面以360ID零信任身份安全解決方案為例,介紹零信任安全的關(guān)鍵實(shí)踐,包括:
1. 以身份為中心
通過(guò)手機(jī)即令牌的方式提供指紋識(shí)別、人臉識(shí)別等生物識(shí)別技術(shù)對(duì)用戶進(jìn)行身份確認(rèn),同時(shí)對(duì)用戶智能手機(jī)終端進(jìn)行病毒查殺、root/越獄檢測(cè),通過(guò)注冊(cè)建立用戶與設(shè)備的唯一綁定關(guān)系。確保只有同時(shí)滿足合法的用戶與可信的終端兩個(gè)條件才能接入到業(yè)務(wù)系統(tǒng)。為了提高用戶的使用便捷性,用戶認(rèn)證支持動(dòng)態(tài)口令、二維碼掃描、推送驗(yàn)證的多種身份認(rèn)證方式。
2. 業(yè)務(wù)安全訪問(wèn)
通過(guò)可信接入網(wǎng)關(guān)接管企業(yè)所有應(yīng)用、資源、服務(wù)器的訪問(wèn)流量,將訪問(wèn)控制規(guī)則設(shè)定為只允許通過(guò)可信接入網(wǎng)關(guān)對(duì)應(yīng)用進(jìn)行訪問(wèn),防止內(nèi)網(wǎng)訪問(wèn)逃逸問(wèn)題。所有的業(yè)務(wù)隱藏在可信接入網(wǎng)關(guān)之后,只有通過(guò)身份安全認(rèn)證與終端可信檢測(cè)的用戶才可以訪問(wèn)業(yè)務(wù)系統(tǒng)。
3. 動(dòng)態(tài)訪問(wèn)控制
用戶發(fā)起訪問(wèn)請(qǐng)求后,360ID智能身份平臺(tái)基于多種源數(shù)據(jù)分析,包括安全策略、用戶屬性、環(huán)境屬性、其他風(fēng)險(xiǎn)因子等,對(duì)此次訪問(wèn)進(jìn)行授權(quán)判定,得到一個(gè)信任等級(jí),最終根據(jù)評(píng)估得出的信任等級(jí)分配用戶一個(gè)最小訪問(wèn)權(quán)限。
當(dāng)然,如上幾點(diǎn)關(guān)鍵實(shí)踐離不開(kāi)敏捷、智能、安全的現(xiàn)代身份管理技術(shù)的支撐,360企業(yè)安全集團(tuán)基于強(qiáng)大的云計(jì)算和大數(shù)據(jù)計(jì)算技術(shù)和經(jīng)驗(yàn),利用360強(qiáng)大的安全積累,推出的360ID智能身份平臺(tái)正是足以支撐零信任安全的現(xiàn)代身份管理平臺(tái)。
結(jié)語(yǔ)
數(shù)字化轉(zhuǎn)型推動(dòng)了大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能為代表的新一代信息技術(shù)應(yīng)用,也掀起了以現(xiàn)代身份管理平臺(tái)為技術(shù)基礎(chǔ)的零信任安全熱潮,安全從0開(kāi)始,讓業(yè)界攜手同行,基于身份構(gòu)筑新的安全邊界!
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧