當前位置:首頁 > 通信技術(shù) > 通信網(wǎng)絡
[導讀] 兩個多月前,安全牛曾發(fā)表一篇題為《“零信任”時代,VPN必將被SDP取代》的文章,引發(fā)了較大爭議,有人認為SDP(零信任的一種實現(xiàn)框架)無法取代VPN,也有人認為零信任才是最終答案。但是,新冠疫

兩個多月前,安全牛曾發(fā)表一篇題為《“零信任”時代,VPN必將被SDP取代》的文章,引發(fā)了較大爭議,有人認為SDP(零信任的一種實現(xiàn)框架)無法取代VPN,也有人認為零信任才是最終答案。但是,新冠疫情已經(jīng)將VPN與SDP/零信任的對決大大提前,因為VPN在全球性的大規(guī)模遠程辦公巨變中,資源消耗和“卡頓”問題被成倍放大。

如果新冠疫情發(fā)展成持久戰(zhàn),VPN與零信任架構(gòu)的“決勝局”勢必將提前上演。

在國內(nèi)疫情較為嚴重的時期,不少科技公司遠程辦公的工程師就曾吐槽VPN服務器因負載過高頻頻崩潰。如今,隨著國外疫情后浪推前浪,谷歌、Twitter等科技巨頭也紛紛開啟遠程辦公模式,遠程辦公的工作負載呈幾何級數(shù)飆升。下面是Zoom最近的全球用戶數(shù)增長統(tǒng)計表,可以直觀感受下:

除了對Zoom和Slack高峰期卡頓(類似企業(yè)微信和釘釘在國內(nèi)疫情高峰期的遭遇)的各種吐槽外,國外工程師對VPN的糟糕表現(xiàn)更是直接爆了粗口:所有VPN都是垃圾。

前不久技術(shù)專家Matthew Sullivan寫了一篇博客專門吐槽企業(yè)VPN的安全性問題和可用性,他的觀點是:

盡量別用VPN。

為什么?因為:

所有的VPN都是垃圾。

Sullivan認為,VPN需要精心配置,否則就是給黑客留門。但要命的是,這種精心配置只存在于理論層面,現(xiàn)實中絕大多數(shù)用戶壓根做不到或者不屑做!

零信任取代VPN?

Sullivan認為,相比VPN,零信任網(wǎng)絡安全架構(gòu)具備以下三大優(yōu)點:

1. 不存在網(wǎng)絡橋接,不會劫持用戶流量。

2. VPN設備的一大問題,在于需要匹配專有軟件/操作系統(tǒng)配置——這類配置正是阻礙自動修復程序的元兇,而零信任架構(gòu)可以選擇的OpenSSH安全記錄要好得多,自2003年以來,OpenSSH從未因默認配置中的漏洞而遭遇未經(jīng)授權(quán)的遠程訪問。細粒度的應用與流量監(jiān)控和微分段,使得攻擊者即使成功侵入網(wǎng)絡入口點位置,其實也沒有什么后續(xù)空間可以利用。

3. 與VPN一旦用戶登錄就獲得完全授信不同,零信任的主機保護解決方案會對每個應用程序進行嚴密監(jiān)控,記錄應用的所有活動并執(zhí)行流量過濾。如此一來,即使攻擊者成功侵入私有云VPC網(wǎng)絡入口點位置,其實也沒有什么后續(xù)空間可以利用。

但是對于零信任取代VPN,安全牛的讀者們看法不一,有人認為Sullivan對VPN橋接和流量劫持的說法不準確,指出:

IPSec支持IP載荷直接傳輸?shù)姆菢蚪幽J健T搮f(xié)議是經(jīng)過大量安全研究者分析過的,其他協(xié)議不說實現(xiàn),本身協(xié)議安不安全就是個問題。而且協(xié)議問題的發(fā)現(xiàn)需要時間。

也有讀者支持Sullivan的觀點,認為:

現(xiàn)有的VPN方案確實都垃圾,IPsec (基于strongSwan) 算好的了,但IPsec本身的復雜度讓配置變得麻煩,而且不同客戶端的支持也有管理成本。OpenVPN性能比較差。而商業(yè)的要特定的客戶端……

為什么是零信任?

零信任不是產(chǎn)品或服務,當然也不僅僅是流行語。相反,它是網(wǎng)絡安全的一種特殊方法。它的意思正如其名——不是“先驗證,然后信任”,而是“永遠不要信任,永遠要驗證”。

本質(zhì)上,零信任關(guān)系到通過限制對數(shù)據(jù)的訪問來保護數(shù)據(jù)。企業(yè)不會自動信任任何人或任何東西,無論是在企業(yè)網(wǎng)絡安全邊界范圍之內(nèi)還是之外。相反,零信任方法要求在授予訪問權(quán)限之前,對試圖連接到企業(yè)內(nèi)網(wǎng)的應用程序或系統(tǒng)的每個人、設備、帳戶等進行驗證。

可是等等,傳統(tǒng)網(wǎng)絡安全系統(tǒng)的設計不就是實現(xiàn)這種安全控制嗎?難道零信任僅僅是一種錦上添花的技術(shù)?回想一下微盟刪庫事件的情節(jié)——微盟的一位核心運維人員通過VPN登錄堡壘機然后進入生產(chǎn)環(huán)境上演“電鋸狂人”,傳統(tǒng)網(wǎng)絡安全工具和控制形同虛設,雖然微盟刪庫事件有其特殊性,且問題的根源主要是缺乏內(nèi)部威脅的預案和安全管理策略,但也從一定程度上暴露出了包括VPN、堡壘機、防火墻之類的傳統(tǒng)安全防御工具和方法的“二哈”屬性。

其實,零信任框架也并非空中樓閣,包括許多企業(yè)已廣泛使用的安全技術(shù)來保護其數(shù)據(jù)。但是,零信任的價值在于,它代表了一種全新的網(wǎng)絡安全防御方法和體系,不僅可以保護整個企業(yè)范圍內(nèi)的總體邊界,還可以將企業(yè)的安全邊界移動到組織內(nèi)外的每個網(wǎng)絡、系統(tǒng)、用戶和設備。強調(diào)身份、多因素身份驗證、受信任的端點、網(wǎng)絡分段、訪問控制和用戶歸因來分隔和規(guī)范對敏感數(shù)據(jù)和系統(tǒng)的訪問,從而使更細粒度和更高效的安全訪問控制成為可能。

簡而言之,零信任是一種新的思考網(wǎng)絡安全的方法,可幫助組織在當今瞬息萬變的威脅形勢下保護其數(shù)據(jù),客戶和自己的競爭優(yōu)勢。

現(xiàn)在部署零信任是不是太早了點?

數(shù)據(jù)安全是2020年企業(yè)高管和CISO們的頭號任務,幾乎所有企業(yè)高管都已經(jīng)感受到保護企業(yè)系統(tǒng)和數(shù)據(jù)的壓力。投資者和“數(shù)據(jù)主體”(客戶和消費者)也迫切需要更好的數(shù)據(jù)安全保障。

尤其是當部分數(shù)據(jù)和應用程序在本地部署,而另外一些在云中時(混合云模式),安全問題將變得尤為復雜——從員工到承包商和合作伙伴的每一方都使用來自多個位置的各種設備來訪問這些應用程序。同時,各國政府和行業(yè)法規(guī)正在提高保護重要數(shù)據(jù)的標準和要求,零信任度可以幫助企業(yè)更好地合規(guī)。

對于企業(yè)來說,目前部署零信任比較大的顧慮無疑是方法和技術(shù)的成熟度以及成本問題,沒有人想做小白鼠,也沒有人去貿(mào)然嘗試尚處于“臨床測試”階段的“方子”。目前市場上已經(jīng)有大量經(jīng)過生產(chǎn)環(huán)境驗證的零信任應用方案/供應商和技術(shù)框架(包括谷歌和微軟等大型企業(yè)用例)。

根據(jù)Forester 2019年四季度的市場報告,目前市場上的零信任代表性廠商如下:

但是值得注意的是,正如以下我們將要介紹的,零信任架構(gòu)的本質(zhì)是一次安全范型的轉(zhuǎn)移或者變革,因此成功實施零信任架構(gòu)的決定性因素并非廠商或產(chǎn)品,而是企業(yè)CISO自身對零信任架構(gòu)的理解、實踐方法、策略和路徑。因此在實施零信任架構(gòu)的過程中,對于國內(nèi)企業(yè)用戶來說,包括安恒信息、奇安信、青藤云安全、締盟云安全、深信服等眾多對零信任有一定積累的網(wǎng)安企業(yè)基于各自產(chǎn)品和不同標準框架的零信任方案并沒有一個唯一的評判標準,最合適的才是比較好的。

以下,我們簡要介紹幾種目前已經(jīng)比較成熟的零信任框架和實踐路徑。

零信任網(wǎng)絡的三種實現(xiàn)方法

支持零信任的網(wǎng)絡安全技術(shù)近年來正在迅速發(fā)展,為零信任的落地提供了豐富而實用的工具、框架和方法。目前,沒有實現(xiàn)零信任網(wǎng)絡安全框架的單一方法或者技術(shù),換而言之就是對于不同的企業(yè)來說,并沒有唯一的標準答案,可謂條條大路通羅馬??傊阋龅木褪菍⒏鞣N技術(shù)模塊、方法整合在一起確保只有經(jīng)過安全驗證的用戶和設備才能訪問目標應用程序和數(shù)據(jù)。

例如,最小化訪問權(quán)限原則,僅為用戶提供完成工作所需的數(shù)據(jù)和權(quán)限。這包括實施到期特權(quán)和一次性憑證,這些憑證在不需要訪問后會自動作廢。此外,還需實施連續(xù)檢查和流量記錄,并限制訪問范圍,以防止數(shù)據(jù)在系統(tǒng)和網(wǎng)絡之間未經(jīng)授權(quán)的橫向移動。

零信任框架使用多種安全技術(shù)來增加對敏感數(shù)據(jù)和系統(tǒng)的訪問粒度。例如身份和訪問管理(IAM)、基于角色的訪問控制(RBAC)、網(wǎng)絡訪問控制(NAC)、多因素身份驗證(MFA)、加密、策略執(zhí)行引擎、策略編排、日志記錄、分析以及評分和文件系統(tǒng)權(quán)限等。

同樣,你也可以使用技術(shù)標準和協(xié)議來實現(xiàn)零信任方法。云安全聯(lián)盟(CSA)開發(fā)了一種稱為軟件定義邊界(SDP)的安全框架,該框架已用于某些零信任案例的實施中。互聯(lián)網(wǎng)工程任務組(IETF)通過批準主機標識協(xié)議(HIP)為零信任安全模型做出了貢獻,該協(xié)議代表了OSI堆棧中的新安全網(wǎng)絡層。許多網(wǎng)絡安全供應商都在這些技術(shù)的基礎(chǔ)上將零信任解決方案推向市場。

基于這些技術(shù),標準和協(xié)議,組織可以使用三種不同的方法來實現(xiàn)零信任安全性:

1.網(wǎng)絡微分段(微隔離)

將網(wǎng)絡雕刻到小的粒度節(jié)點,一直到單個機器或應用程序。安全協(xié)議和服務交付模型是為每個唯一的細分市場設計的。

2.SDP

基于一種需要了解的策略,其中在授予對應用程序基礎(chǔ)結(jié)構(gòu)的訪問權(quán)限之前,先驗證設備的狀態(tài)和身份。

3.零信任代理

可充當客戶端和服務器之間的中繼,有助于防止攻擊者入侵專用網(wǎng)絡。

哪種方法最適合取決于您所在企業(yè)的應用場景和需求——所保護的應用程序、當前存在的基礎(chǔ)結(jié)構(gòu)、實施是未開發(fā)的環(huán)境還是涵蓋舊有環(huán)境以及其他因素。

構(gòu)建零信任環(huán)境的五個步驟

建立零信任框架并不一定意味著一整套的技術(shù)轉(zhuǎn)型。企業(yè)可以采用循序漸進的方法,以受控的迭代方式進行,從而幫助確保優(yōu)質(zhì)結(jié)果,同時對用戶和操作的干擾降到很低。

1.定義保護面

零信任體系中,你的關(guān)注重點不是攻擊面而是保護面。所謂保護面就是對公司最有價值的關(guān)鍵數(shù)據(jù)、應用程序、資產(chǎn)和服務(DAAS)。保護面的實例包括信用卡信息、受保護的健康信息(PHI)、個人身份信息(PII)、知識產(chǎn)權(quán)(IP)、應用程序(現(xiàn)成的或定制的軟件)、SCADA控件、銷售點終端、醫(yī)療設備、制造資產(chǎn)和IoT設備等資產(chǎn)以及DNS、DHCP和Active Directory等服務。

定義保護面后,你可以實施緊密的控制,使用簡潔、精確和可理解的策略聲明來創(chuàng)建一個微邊界(或分隔的微邊界)。

2.映射交易流

流量在網(wǎng)絡中的移動方式?jīng)Q定了其保護方式。因此,您需要獲得有關(guān)DAAS相互依賴關(guān)系的上下文信息。記錄特定資源的交互方式可以幫你確定合適的安全控制并提供有價值的上下文,以確保在提供優(yōu)秀網(wǎng)絡安全防護的同時,對用戶和業(yè)務運營的干擾降到很低。

3.構(gòu)建零信任IT網(wǎng)絡架構(gòu)

零信任度網(wǎng)絡是完全自定義的,并沒有唯一的標準和設計參考??偟脑瓌t是,零信任體系架構(gòu)應當圍繞保護面(資產(chǎn)、數(shù)據(jù)、應用和服務等)構(gòu)建。一旦定義了保護面并根據(jù)業(yè)務需求映射了業(yè)務流程,就可以從下一代防火墻開始設計零信任架構(gòu)。下一代防火墻可以充當分段網(wǎng)關(guān),在保護面周圍創(chuàng)建一個微邊界。使用分段網(wǎng)關(guān),您可以強制執(zhí)行附加的檢查和訪問控制層,一直延伸到第7層,管控任何嘗試訪問保護面內(nèi)部資源的訪問。

4.創(chuàng)建零信任安全策略

完成零信任網(wǎng)絡架構(gòu)的構(gòu)建后,你將需要創(chuàng)建零信任策略來確定訪問規(guī)則,你需要知道您的用戶是誰,他們需要訪問哪些應用程序,為什么他們需要訪問,他們傾向于如何連接到這些應用程序,以及可以使用哪些控件來保護該訪問。

通過實施這種精細粒度的策略,可以確保僅允許合法應用或者流量的進行通訊。

5.監(jiān)控和維護零信任網(wǎng)絡

這最后一步包括檢查內(nèi)部和外部的所有日志,側(cè)重于零信任的運維方面。由于零信任是一個反復迭代的過程,因此檢查和記錄所有流量將提供寶貴的見解,以了解如何隨著時間的推移持續(xù)改進零信任網(wǎng)絡。

其他注意事項和優(yōu)秀做法

對于考慮采用零信任安全模型的組織,以下是一些有助于確保成功的優(yōu)秀實踐:

選擇架構(gòu)或技術(shù)之前,請確保您具有正確的策略。零信任是以數(shù)據(jù)為中心的,因此,重要的是考慮數(shù)據(jù)的位置,需要訪問的人以及可以使用哪種方法來保護數(shù)據(jù)。Forrester建議將數(shù)據(jù)分為三類-公開,內(nèi)部和機密-每個“數(shù)據(jù)塊”都應當有自己的微邊界。

從小處著手以獲得經(jīng)驗。為整個企業(yè)實施零信任架構(gòu)的規(guī)模和范圍可能是巨大的。例如,谷歌花了七年時間才完成BeyondCorp項目的實施。

考慮用戶體驗。零信任框架不必也不應該破壞員工的正常工作流程/體驗,即使他們(及其設備)正受到訪問權(quán)限驗證的審查。零信任的部分認證和授權(quán)流程應當盡量“透明化”,在用戶根本覺察不到的后臺進行。

對用戶和設備身份驗證實施強有力的措施。零信任的根基是,在沒有驗證獲得完全授權(quán)之前,沒有任何人或任何設備可以信賴。因此,基于強身份、嚴格的身份驗證和非永久權(quán)限的企業(yè)范圍的IAM系統(tǒng)是零信任框架的關(guān)鍵構(gòu)建塊。

將零信任框架納入數(shù)字化轉(zhuǎn)型項目。為零信任網(wǎng)絡重新設計工作流程時,還可以借此機會完成企業(yè)安全模型的轉(zhuǎn)型。

總結(jié)

2020年,企業(yè)迎來實施零信任架構(gòu)的合適時機,萬事俱備,技術(shù)已經(jīng)成熟,協(xié)議和標準已經(jīng)就緒,與此同時新的安全威脅、挑戰(zhàn)和期望也都使得零信任架構(gòu)成為未來一段時間企業(yè)安全投資和戰(zhàn)略有效性的優(yōu)質(zhì)保障。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉