零信任安全架构是一种现代安全模式,其设计原则是"绝不信任,始终验证"。它要求所有设备和用户,无论他们是在组织网络内部还是外部,都必须经过身份验证、授权和定期验证,才能被授予访问权限。简而言之,"零信任"就是"在验证之前不要相信任何人"。
与传统安全不同,零信任安全架构认为网络是不可信任的,把防护措施建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面,采用智能身份分析技术,提升了内外部攻击和身份欺诈的发现和响应能力。
零信任安全架构的应用场景包括但不限于:企业网络、云计算环境、移动设备、远程办公和远程访问、供应链安全、物联网(IoT)设备安全、应用程序安全和数据安全。本文将对零信任安全落地实践发展趋势进行介绍。
John Kindervag于2010年提出了最初的零信任模型。作为Forrester Research的首席分析师,Kindervag意识到,传统的访问模式基于过时的假设,即企业应该信任其网络内的一切。当时的想法是,基于外围的安全(即防火墙)足以验证用户访问并完全确保网络安全。但是,随着越来越多的员工开始通过各种类型的设备和各种连接远程访问系统,这种信任结构被证明不足以有效管理分布式员工。
与此同时,谷歌创建了BeyondCorp,用于将传统的VPN访问策略迁移到一种新的基础架构,在这种基础架构中,没有任何系统是可信的,所有端点都对访问进行控制和监控。通过将访问权限控制措施从网络边界转移至具体的用户,BeyondCorp旨在让每个员工都能在不借助VPN的情况下通过不受信任的网络工作。BeyondCorp支持单点登录、访问权限控制政策、访问代理,以及基于用户和设备的身份验证和授权。BeyondCorp遵循以下准则:发起连接时所在的网络不能决定对服务的访问权限;根据用户及其设备的上下文因素授予服务访问权限;对服务的所有访问都必须通过身份验证、获得授权并经过加密。
思科则使用图示架构来实现安全且不依赖VPN的内部以及SaaS应用访问,首先通过多因子认证(MFA)来验证对于用户以及设备的信任,再使用单点登录(SSO)连接到公司部署的网关,与此同时根据持续的风险探测进行信任评估,动态调整用户对各个应用的接入权限。
Akamai的零信任架构包含以下几个组件:零信任网络访问(ZTNA)、云访问安全代理(CASB)、安全Web网关(SWG)以及微隔离。ZTNA根据用户及其设备的身份验证结果及时间、位置、设备安全状况等多种属性来给予其适当的信任级别,进而授予访问权限;在云端构建的身份感知代理确保在远离数据中心的边缘完成所有身份验证,进入应用程序的敏感进入路径使用了反向应用程序隧道,去除了边界的IP可见性,降低了流量攻击的风险;SWG则具有DNS检查、URL检查、负载分析、威胁监控等能力;软件定义的微隔离能够提供网络分段以及应用程序层分段,只需要部署软件就能快速轻松地锁定关键应用程序,仅允许通过特定端口和进程进行通信,在遭受恶意攻击时保护重要资产。
派拓的安全访问服务边缘(SASE)解决方案将ZTNA、云SWG、CASB、防火墙即服务(FWaaS)、软件定义广域网络(SD-WAN)整合到云交付平台中。ZTNA通过精细的访问控制安全地连接所有用户和所有应用,精确控制应用和子应用级别的访问,为相关对象授予应用的访问权限之后,系统将持续监控这些对象的可信度,以便识别设备状态、用户行为、应用行为等方面的变化,并通过数据泄露防护策略对所有应用提供一致的安全性;云SWG通过静态分析和机器学习抵御基于Web的威胁;CASB有助于企业安全使用SaaS应用,还提供主动可视性、实时数据保护;SD-WAN支持通过灵活的部署选项启用云交付分支机构。
Fortinet的SASE解决方案为混合办公场景的用户提供一致的安全状态,AI驱动的SWG、ZTNA、CASB、FWaaS和SD-WAN均由一个操作系统承载运行,并且都可以通过统一的控制台进行管理。它集成了云交付的SD-WAN连接和云交付的安全服务边缘(SSE),将网络和安全的融合从网络边缘扩展到混合办公的用户,支持从任何地方安全访问网络、云和应用程序。
根据Gartner的调查报告《Market Guide for Zero Trust Network Access》显示,基于代理的ZTNA越来越多地被部署为更大的SASE架构的一部分,以取代传统上用于应用程序远程访问的VPN。零信任并不是某一种产品,而是一种全方位的策略,没有一种单独的产品能让企业实现零信任,但随着技术的进步和行业的整合,据Gartner在《Predicts 2022: Consolidated Security Platforms Are the Future》报告中预测:"到 2025 年,80% 的企业将采用这样一种策略,即通过一家供应商的安全服务边缘(SSE)平台统一Web、云服务和私有应用程序访问。"