零信任网络发展与能力形成研究
2022-12-06罗栗
◆罗栗
零信任网络发展与能力形成研究
◆罗栗
(中国电子科技集团公司第三十研究所 四川 610041)
本文通过网络安全体系发展过程,研究传统网络信息系统的特点、面临的威胁和网络安全体系三者的关系,分析零信任网络思想的本征。以著名案例为牵引,总结了零信任网络思想的发展过程,提出了一般组织和企业应该如何合理地规划、布局网络安全能力,达到提升系统安全防御能力的目的,以期在有限的安全投资情况下实现效益的最大化。
零信任;网络安全;系统防护
随着云和移动互联应用的不断普及,网络安全事件层出不穷,造成的社会损失和公众影响也日益扩大。但同时安全防御手段也在不断改进,基于零信任思想的网络安全解决方案不断成为许多组织和企业的选择。但如何合理利用零信任思想来加强网络防御能力,是否购买了相关产品就能提高网络防御能力,不少相关从业者没有充分的认知,容易形成“一刀切,大而全”的观念,给网络安全行业发展带来不利影响。为解决此问题,首先分析零信任网络体系的产生,再研究其发展,最后从其本质入手,分析提升网络安全的关重点。
1 网络安全体系的发展
网络信息系统的现状和发展决定着网络安全问题的认知和变化。我们将网络安全体系分为传统网络安全体系与零信任网络体系,分析其演进,研究零信任网络的产生过程。传统网络信息系统按照开放程度和组网规模先后经历了多主机本地互联组网、多局域网远程互联组网和全球开放互联及移动互联三个发展阶段。
1.1 多主机本地互联组网
多主机本地互联组网信息系统有着网络实体数量少、网络实体相对固定、整体规模小和结构简单等一些特点,典型场景如试验室局域网、办公室局域网。其网络安全风险主要来自病毒携带或信息窃取等。网络安全防御以保持网络隔离性为基本思想,基于团队个体间信任、制度和少量的技术,采取加强人员进入、计算机接入和信息导入导出审核等作为防御手段。
1.2 多局域网远程互联组网
随着业务的不断扩张,多个小型封闭信息系统之间出现信息交互需求,网络中实体数量和网络信息交换频次高速增长,网络中出现高性能专用服务器,并对其他网络提供服务,网络进入多局域网远程互联组网阶段。
在多局域网远程互联组网环境中,来自网络内外的安全风险迅速增大。首先是人员、终端数量增加导致管控难度和攻击面加大,不仅仅是需要防御本地威胁,还要防御来自互联通道的其他远端实体的安全威胁;第二是诞生了高价值的攻击对象,高性能专用服务器由于成为信息集中存储地、运算能力提供者,成为重要且集中的攻击目标;第三由于存在互联通道,信息失窃、伪装注入等风险扩大。
多局域网远程互联组网环境并不对普通公众开放,参与互联的各个网络管理机构普遍认为其本地网络(内网)相对可控,不太信任其他网络(外网),外网风险相对较高。在这样的背景下,采用边界控制、集中防护和加密通道技术进行安全防护的分区安全隔离防御思想大行其道。边界控制包括在各自单点局域网出口增加部署防火墙,对进入局域网的访问进行控制,阻止外部非法访问内部资源;加密通道包括在多点之间链路上增加部署密码机,防止信息在多点之间链路上传输时遭到窃取,同时阻止伪造信息的注入;集中防护包括在内网中对服务器等高价值资产进行集中部署,并增加内部防火墙进行隔离保护,增加主机和网络防病毒功能,防止从外部引入的病毒危害内部网络。以上措施提升了多点系统业务互联环境的网络安全能力,抑制了来自单点系统外部的网络风险。
1.3 全球开放互联及移动互联
随着互联网和移动通信的兴起,各种组织团体逐渐为公众提供开放服务,员工可随时随地接入公司网络远程办公,网络变得无比开放。此外,丰富的应用带来了更多的安全漏洞。
为了在如此开放的环境中得到足够多的保护,网络所有者要加强边界防护能力,增加多种安全防护设备,包括入侵检测、蜜罐、网络防病毒、主机防病毒、漏扫等等,并通过VPN技术确保员工远程接入内部网的安全性;从部署结构上看,建立专门部署外部服务的中立区,并将中立区与真正的内部网络进行物理隔离,希望将安全威胁尽量排除在外。
即便如此,攻击者还是设法绕开隔离屏障,诞生了多种ATP攻击方式,从网络内部进行渗透并横向攻击,并达到目的。最为著名的案例包括“比特币勒索”案。2017年5月12号,一个名为“永恒之蓝”的比特币勒索病毒迅速席卷全球。这款病毒不仅可通过互联网进行蔓延,还可以通过光盘、移动存储进入与互联网物理隔离的网络,并通过SAMBA文件共享服务进行扩散。一时间,原本以为固若金汤的防御体系在新的攻击手法下瞬间崩塌。
1.4 零信任思想的产生
由于云、分布式计算以及移动应用的迅猛发展,网络结构变得异常复杂。信息交互者也变得无比多元化,需要被保护的资源变得几乎无所不在,网络边界变得模糊甚至失去边界,不再容易按照地理位置区分高危威胁区。这正是传统的基于边界的网络安全架构越来越难以防范现代网络风险的原因。
2010年,著名研究机构Forrester提出零信任概念,标志着零信任的正式诞生。零信任网络思想提出“在默认情况下不应该信任网络内部和外部的任何人、设备和系统,需要基于认证和授权重构访问控制的信任基础”[1]。零信任网络思想是决定一个网络实体在某个时刻能否访问一个网络实体的方法论。与传统的基于分区的防御思想相比,零信任网络思想的主要差别在于不基于地理位置区分是否安全。网络无法隔离出一个相对安全的区域,网络入侵既可以从外部网络发起,也可以从内部网络发起,任何网络实体都可能是攻击者。网络实体不论来自内部或外部,都应该被无差别地对待。
零信任网络思想弥补了传统基于地理位置的网络安全架构在防御能力上的缺陷,防止了因对网络实体不变的、轻易的信任带来的诸多安全威胁,提升网络了整体防御能力,并增大了攻击成本。
2 零信任网络发展
零信任概念被提出后,众多公司与机构逐渐认识到其对安全领域的作用和影响,进行了大量探索实践及理论发展。其中具有代表性的包括谷歌零信任实践、软件定义边界以及自适应风险与信任评估等。
2.1 谷歌零信任实践
谷歌的零信任工程是目前我国从业者了解最完整、与实际结合最紧密的一套实践案例,具有极高的参考价值。谷歌认识到网络边界越来越模糊,这对网络安全性来说是一个非常大的挑战;并且内网不是绝对安全的,“充满了公共互联网的危险”[2]。2014年,谷歌公司公布了BeyondCorp安全项目,该项目引导了谷歌公司网络安全架构升级,也成为当今研究零信任网络实践的重要样本。
谷歌BeyondCorp项目主要安全措施包括对参与网络行为的用户和设备(包括搭载服务的硬件设备)及网络访问进行全面管理。在用户管理方面,接口人力资源系统,建立网络用户管理,基于证书或者口令对用户进行认证,并对所有系统的用户采用基于身份的访问授权管理,授权依据身份、角色和状态等因素进行综合评估。在设备管理方面,建立设备资产管理清单,对设备生命周期全面管控,标识设备软件、硬件搭载的证书,并度量设备安全性,包括安装历史、是否定时更新证书、及时安装补丁等。在访问安全方面,通过网络代理对所有的面向互联网的访问进行访问控制和加密,对所有系统的用户采用基于身份的访问授权管理,授权依据身份、角色和状态等因素进行综合评估。
谷歌声称在一系列安全加固后得以将所有对外服务迁移到了互联网,员工不再需要基于地理逻辑位置从而决定是否使用VPN接入公司内部后进行工作,在完成身份认证后可接入业务服务。谷歌BeyondCorp项目实际上降低了内外网安全防御的差异,无论访问来自何方,对是否能进行访问,仅受限于设备和用户身份。
但由于BeyondCorp只保证到终端设备的安全性,无法扩展到云环境中的若干个微服务,所以继BeyondCorp后,谷歌启动BeyondProd项目进行进一步深化设计,将基于认证和动态授权的安全架构向云端进行推进[3]。
2.2 软件定义边界
软件定义边界(SDP)于2013年由云安全联盟提出。借鉴软件定义思想,SDP将资源在网络空间中进行隔离,用户和设备都必须经过验证才能连接,并且仅具有所需的最小网络访问权限[4],为访问者和被访问资源之间建立起了一个基于身份和上下文的逻辑访问边界,从而显著减少攻击面。与SDN类似,SDP采用控制与数据双平面架构,网络实体通过部署在控制面中的SDP控制器进行访问确权,并通过数据面进行安全访问。SDP被普遍认为是满足零信任思想的一种网络安全架构,是零信任思想在网络安全领域的应用拓展。
2.3 自适应风险与信任评估
2018年,全球著名的安全咨询公司Gartner提出了持续自适应风险与信任评估的思想理论,倡导通过持续信任评估来识别可信对象,通过持续风险评估识别威胁,并依照信任度与风险度,对实体的访问控制进行动态赋权[5]。自适应风险与信任评估理论是零信任思想的一次尝试性提升。该理论对安全提出以下几个观点:
(1)安全应该具备敏捷性,与业务一起快速开发、应用,并融入生产过程;
(2)要求网络授权应该具备动态性,对网络实体安全性进行持续评估,并决定是否允许访问;
(3)对网络实体行为进行持续监控,尽早发现可能的攻击行为并进行适当反应。
3 构建零信任网络能力的关重点
近一些年,在频发的各种安全事件影响下,各行各业用户网络安全意识逐步提高,担心在日新月异的安全威胁下自身信息系统的防御能力不足,容易巨大造成损失。同时,零信任网络概念也逐渐被网络安全行业所接纳,很多安全产品公司将零信任元素加入自己的安全产品,并推出相应的系统解决方案。
为使安全投资创造最大价值,管理者应该关注什么,应该做些什么,是否一定要更新安全产品,甚至重建网络安全体系,才能确保网络安全,是否只要拥有了以零信任为卖点的安全产品,就能确保网络安全。这些问题亟待解决。我们基于上面的研究,根据目前大多数的组织或公司的实际情况,提出一般组织或公司应该重点关注的要点。
(1)制定防护方针,确定核心资产
为了确定安全目标和确定防护方向,组织的最高领导层应首先制定信息安全方针。信息安全方针反映了组织最高领导层的根本意志。信息安全方针的内容包括信息安全管理的主要原则、组织与指责、运行管理基本制度、体系建设目标等内容,作为指导开展安全防护工作的依据。
安全投资追求安全价值。要实现高投资收益比,必须首先识别投资对象,清理出重点投资对象、一般投资对象和非投资对象。安全投资对象的重要程度与业务价值息息相关。所以,管理者应首先清理包括设备、终端、数据等所有资产,将所有资产按照业务重要程度进行分级,从而得出资产的安全投资价值,为制定具体防护措施提供基础。
(2)基于零信任思想的安全举措
应该将安全投资按照资产重要程度进行布局,将按照资产重要程度,重新部署安全能力。由于威胁可能来自任何地方,所以原有网络边界实际上已经不复存在。在投资允许情况下,安全能力应该覆盖所有的有价值资产,但应该将最强的防御能力放在最重要的资产上面。
重视横向防御。在组织内部,所有被保护资产同时都有可能是入侵者。为资产制定防御策略时,不仅仅防范来自完全不可控的外部入侵,还需要防范来内部的横向,包括局域网、虚拟环境和云,部署相应的访问控制和攻击监测产品,实现全面防御。
形成管理与技术并重的模式。在几乎任何通过技术构建的防御能力上,如果管理松懈,都将使得安全效能不同程度减弱。所以在花钱购买安全产品的同时,应该同步增加充足的人力,建立健全的安全管理制度。
共抓物理防御与网络防御。物理防御包括人员准入(门禁)、设备接口(物理拆除、封闭或管控)、介质管控(出入检查和审批)等,网络防御包括网络认证(名单登记、指纹、口令)、访问控制(防火墙)、审计(保存日志)等,显然任何一方面没有得到重视,都将造成严重风险。
加强网络认证能力。由于网络欺骗的门槛渐低,传统基于标识的身份识别技术已经越来越体现出安全防护的弱点,识别身份的难度越来越高。必须基于口令、数字证书等技术加强网络认证能力。并且建立以身份为防御对象的管理制度,充分采用基于身份、属性的控制机制,从而防御因位置变化等因素造成的管控疏漏。
与地理位置结合制定防御策略。虽然零信任思想提出不基于地理位置进行安全选判定,但其本质是不以地理位置作为唯一基准进行盲目可信判断。地理位置本身就是实体可信度判断的参数之一,特别是当非技术措施非常严格的环境。在具体案例中进行系统设计时,若能利用好地理位置这个参数,可以有效提升系统效率。
任何时候都要遵循最小化策略的思想,防止出现不合适的防御策略或者特权策略,给予实体最适当的权限,并随着实体情况的变化尽快调整防御策略,杜绝出现防御漏洞。
加强及时审计和实时监测。应该为所有需要保护的资源部署适当登记或者日志记录能力,包括网络和物理两方面,确保审计设施的持续可用,并通过制度确保审计行为能够定期发生。通过对重要高危资产部署实时监测能力,更能及时发现异常行为。
(3)吸收新安全技术可提升防护效能
安全能力本质是人驱动的安全管理能力,理论上可通过人力投入来解决安全问题,但由于购买新产品进行技术升级可提高管理效率,长期来看优于人力投入,所以在预算允许情况下,购买新的安全产品性价比较高,但也要考虑安全投资不应远远超过被保护的资产价值。
大型组织或企业进行技术升级带来的效率提升比小型组织或者企业要好,但投资也会成倍增长。即便如此,大型组织或企业由于在管理上的成本更高,所以更倾向于进行及时的技术升级来降低管理成本。
在决定进行投资购买新产品时,必须考虑对现有业务系统的影响,很多新技术要求对现有系统进行改造,这对老旧的业务系统来说几乎不太可能,对于预算不充裕的组织或企业来说也是困难重重。在进行系统设计时,如果出现这种情况,必须考虑别的途径。
(4)已有安全产品的利用和淘汰
在进行新设备部署和技术升级前,应该考虑其是否利用已有安全产品。淘汰老旧的安全产品带来了一定的资源浪费,大量的安全产品拥有一定的能力,还可以适当发挥作用,但由于无法从管理上与新设备或者系统兼容,导致无法良好工作,管理成本相对较高,如果需要继续使用则必须应当适当增加人工管理投入。
[1]安全随行笔记.奇安信:企业需要建立实战化的安全体系[EB/OL]. https://www.sohu.com/a/403384738_120725873, 2020-06-22.
[2-3]Google.A New Approach to Enterprise Security[EB/OL]. https://cloud.google.com/security/beyondprod,2021-07-08.
[4]新钛云服.零信任安全和软件定义边界[EB/OL]. https://www.sohu.com/a/386634739_120106620,2020-04-09.
[5]FREEBUF.CARTA:持续自适应风险与信任评估[EB/OL]. https://www.freebuf.com/articles/es/208206.html, 2019-07-23.
