《白话零信任》第2章:
零信任假设最坏的情况已经发生,一切都不可信,在此基础上执行
最严格的动态持续认证和访问控制策略。
(1)网络不可信:网络始终充满威胁,内网与外网没有不同,网络
是不可信的。
(2)设备不可信:网络中的设备不都是公司管控的设备,未经检测
的设备是不可信的。
(3)系统不可信:漏洞是修不完的,系统一定存在未修复的漏洞。
(4)人不可信:内部员工不一定可靠。
(5)随时假设你的网络已经被入侵了
零信任的原则可以帮助企业更好地理解零信任理念的细节。
(1)从不信任,始终验证。
a)默认拒绝一切,在进行严格的身份验证和授权之前,不允许访问
任何资源。
b)无论什么类型的用户和资源,无论处于什么位置,都必须遵守统
一的安全访问原则。
c)无论处于什么网络环境,都要进行端到端的通信加密。
(2)授权以身份和数据为中心,不以网络为中心。
(3)动态授权。
a)在每次访问之前,都必须基于每个连接进行认证和授权。
b)持续评估访问中的信任等级,根据环境和信任等级变化,实时动
态调整访问权限。
c)资源的访问和操作权限可以根据资源/数据的敏感性而变化。
d)根据策略的定义和执行方式,可能进行二次身份认证和重新授
权。
(4)信任评估应该基于尽可能多的数据源。
a)综合评估用户身份、认证强度、设备状态、业务类型、资源级
别、位置时间等因素。
b)检查用户的访问行为、会话时间、带宽消耗,及时发现异常行
为。
c)检查流量内是否存在敏感数据泄露,是否存在恶意代码。
d)对特权账号要进行额外的审查。
(5)对用户进行最小化授权。
a)只在刚刚好的时间内,提供恰好足够的权限。
b)区分同一网络资源上的不同应用,尽量只授予应用访问权限,不
授予网络访问权限。
(6)持续监控,确保用户设备和业务系统一直处于安全状态。
a)区分用户自带设备和公司管控设备。
b)自动检测和修复不安全的配置和漏洞。
(7)网络隐身。
a)消除公司内部的业务系统和服务在互联网上的可见性。
b)网络连接是一种权限,如果用户无权访问某资源,则他不能在网
络层连接该资源。
c)基于身份进行网络权限的访问控制。
(8)为用户提供无缝的访问体验。
a)当用户切换网络时,不用重新建立连接。
b)当用户访问不同环境中的资源时,不用重新建立连接。
(9)收集尽量多的网络和流量信息,统一分析。
对零信任的几个误解:
(1)零信任架构不是完全摒弃已有技术另起炉灶。零信任架构中的
许多概念和想法已经存在和发展了很长时间,可以说零信任架构是
这些网络安全思想的演进。
(2)零信任不仅是一种思路,更是一系列技术的合集。很多人会望
文生义,认为零信任就是什么都不信任。其实,在行业内提到零信
任时一般更多指SDP架构、微隔离、AI信任评估、终端沙箱、新一代
IAM等伴随零信任而出现的新技术。
(3)零信任架构不是抛弃传统的安全边界。零信任架构不再将网络
因素作为绝对的判断标准,只是将其作为考虑的因素之一。将网络
与身份、设备等环境信息结合,进行综合评估,依据结果进行访问
控制。
(4)零信任架构不是没有边界。有人说零信任是"无边界",实际
上零信任架构只是没有明显的物理边界,而是部署动态的、虚拟的
软件边界。
(5)零信任架构与传统的安全产品之间不是泾渭分明的。有观点认
为零信任架构只负责基于身份的安全访问,对于其他攻击的防护只
能依赖传统的安全产品。实际上,零信任架构是近年来少见的整体
安全架构。从Forrester到NIST,都是从零信任的角度对网络和安全
进行整体重构的,其中包含了对传统安全措施的整合和改造。笔者
甚至认为未来一切安全产品都会装一个零信任的"内核"。
(6)零信任并不代表零风险。实际上,任何产品的风险都不可能被
完全消除。零信任的理念是通过整体架构,层层打造纵深防御系
统,逐级降低攻击的成功率,减少安全事故造成的损失。
零信任的风险及应对措施
1)零信任的访问代理(策略执行点)可能成为单点故障:一个点
断了,整个网络都断了。因此,必须考虑高可用机制和紧急逃生机
制。
(2)零信任的访问代理可能造成性能延迟。特别是对于分布式、大
规模的场景,要考虑多POP点的架构,而且一定要做性能测试。
(3)零信任的访问代理会保护整个网络,但它本身会成为攻击的焦
点。而且零信任系统要汇聚多源数据进行综合分析,这些存储在零
信任系统中的数据价值巨大,也容易变成攻击者的目标。所以零信
任系统必须具备一定抵抗攻击的能力。
(4)零信任的访问代理具备网络隐身能力,可以提高对抗DDoS攻击
的效率,但如果攻击方用大量"肉鸡"(也称傀儡机,指可以被黑
客远程控制的机器)将带宽占满,那么零信任访问代理也是无能为
力的,只能通过流量清洗、带宽扩容等手段解决。
(5)零信任方案包括应用层的转发和校验环节,因此可能存在与业
务系统的兼容问题。应当尽量在零信任方案建设的早期发现并解决
这类问题。
(6)零信任建设涉及各方面的对接,需要考虑建设路线和成本问
题。零信任的建设一般要考虑与业务系统、用户身份、安全分析平
台的对接,以及与现有网络安全设备的协同。否则零信任的加密通
信策略可能影响原有的流量分析体系。
(7)零信任的信任评估及风险分析算法可能存在误报。企业应当不
断积累训练数据,根据业务自身的特征,对分析模型进行持续调
优。
(8)安装零信任客户端可能导致用户学习成本增加。在建设零信任
架构时,需要考虑为非管控设备和无法进行强制要求的第三方用户
提供无端的接入方式,或者尽量提供无感知的终端体验。
(9)采取单一厂商解决方案会导致供应商锁定问题,可以考虑将多
个产品集成。例如,将资源访问和身份认证模块分开采购。
(10)如果采用云形式的零信任架构,则需要考虑第三方的服务等
级协议(SLA)、可靠程度、可能存在的数据泄露问题等。
(11)零信任也无法突破安全能力的极限。如果用户的账号和密码
被窃取,那么零信任系统发现之后会进行短信认证和设备认证。如
果攻击者将用户的手机、计算机、账号和密码、证书等信息都窃取
了,而且绕过了零信任系统的异常行为检测,零信任就无能为力
了。同样的道理,零信任的终端沙箱可以禁止用户将敏感文件从安
全区拷走。但如果有复制权限的用户故意将文件泄露,或者有管理
员故意做了不安全的配置,那么零信任系统也只能审计,无法阻
拦。