网络安全架构|零信任网络安全当前趋势(中)
一、前言
本文介绍ACT-IAC(美国技术委员会-工业咨询委员会)于2019年4月18日发布的《零信任网络安全当前趋势》(《Zero Trust Cybersecurity Current Trends》)报告的主要内容。
该报告的目录如下:
- 执行摘要
- 项目背景
- 何为零信任
- 建立信任是基础(本篇从此处开始)
- 零信任的益处(本篇到此处结束)
- 部署零信任的建议步骤
- 联邦政府中对零信任的挑战
- 最后结论
笔者分为三篇介绍:第一篇参见《网络安全架构|零信任网络安全当前趋势(上)》;本篇是第二篇;第三篇将介绍剩余的内容。
笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍。
二、建立信任是基础
作为一个框架,零信任意味着天生的不信任(“默认拒绝”),需要一种强调持续监测和评估的自适应部署模型。
问题一:在这种以信任为中心的转变中,首要的问题之一是“我们如何确定某事物的可信度?”许多安全组织很难回答这个问题。
- 传统程序:假定所有数据和事务都是可信的,而实际上,入侵、数据丢失、恶意参与者等都会降低信任。
- 零信任:则是按动了信任计算,通过假设所有数据和事务从一开始就不受信任。
问题二:新的问题是“我们如何获得足够的信任?“虽然一些关键概念和组件可以应用于所有部署,但没有可应用于每个组织的固定公式。信任会随着组织的需要和关注而改变。
1)零信任三角
零信任环境集成了数据、用户、设备、应用程序的控制,以管理所有事务的可信性(参见下图:零信任三角)。
信任引擎:是一种用于通过赋予信任分数来动态评估网络中的用户、设备或应用程序的总体信任的技术。信任引擎使用计算出的信任分数,为每个事务请求做出基于策略的授权决策。
信任分数:是由组织预先定义或选择的因素和条件计算出的值,用于确定给定用户、设备或应用程序的可信性。诸如位置、时间、访问时长和采取的行动等信息,是确定信任分数的潜在因素的例子。
微分段:是一种安全技术,能够将细粒度安全策略分配给数据中心应用程序,粒度可以降到工作负载级别和设备层面。这意味着安全策略可以与虚拟网络、虚拟机、操作系统或其他虚拟安全目标进行同步。
在零信任三角内,信任引擎通过使用信任分数来评估进入网络的任何代理的可信性。
代理(或“网络代理” ):是指在网络请求中已知的关于参与者的数据组合的术语,通常包含用户、应用程序、设备。该数据组合,根据需求实时地查询,以提供情境上下文以使最佳授权决策成为可能。在计算出信任分数之后,用户、应用、设备、分数被绑定以形成代理。然后,策略可以应用到代理上,以授权请求。
2)零信任架构中的控制和数据平面
零信任架构基于控制平面/数据平面模型(见下图):
控制平面:由接收和处理来自希望访问(或准许访问)网络资源的数据平面设备请求的组件组成。控制平面协调和配置数据平面。
数据平面:零信任架构中的几乎所有其他事物都被称为数据平面。数据平面包含所有应用程序、防火墙、代理、路由器,它们直接处理网络上的所有流量。
图中所示的架构,支持访问受保护资源的请求,该请求首先通过控制平面发出,其中设备和用户都必须经过身份认证和授权。细粒度策略可以应用于该层,可能基于组织中的角色、一天中的时间、或设备类型。访问更安全的资源,还可以要求更强的身份验证。
一旦控制平面决定允许请求,它将动态配置数据平面,以接受来自该客户端(并且仅限于该客户端)的流量。
此外,它还可以协调请求者和资源之间加密隧道的细节。这可以包括临时的一次性使用凭据、密钥和短暂端口号。
虽然可以在这些措施的强度上做出一些折衷,但基本思想是:一个权威的来源或可信的第三方,被授予一种能力,即基于各种输入,能够实时地认证、授权和协调访问。
代理中包含的富化信息,允许非常灵活但细粒度的访问控制,它可以通过在策略中包括评分组件来适应不同的条件。如果请求被授权,则控制平面向数据平面发送信号以接受传入的请求。
此操作还可以配置加密详细信息。加密可以应用于在设备级、应用级或两者之上的静止数据和移动数据。至少需要一个用于保密性。
利用这些认证和授权组件,以及在协调加密信道的控制平面的帮助下,零信任模型可以断言网络上的每一个流,都是经过认证和预期的。
主机和网络设备可以丢弃尚未应用所有这些组件的流量,从而显著降低敏感数据泄漏的可能性。此外,通过记录每一个控制平面的事件和动作,网络流量可以容易地在逐个流量或逐个请求的基础上进行审计。
三、零信任的益处
当对迁移到零信任架构进行评估时,组织内的技术和业务领导者都必须看到潜在的好处。
核心ZT成果应集中于:创建更安全的网络,使数据更安全,减少违规带来的负面影响,提高合规性和可视性,实现更低的网络安全成本,并提高组织的整体风险态势。
实施的好处取决于部署ZT原则的程度和所使用的操作模型。丢失的或被盗的数据、外泄的知识产权和其他类型的违规行为,会损害组织的资金和声誉。避免这种情况是成功采用ZT的关键。
1)更加安全的网络
实施一个“从不信任,永远验证”的方法,应该加强对网络中正在发生的事情的可见度。新工具可以提供对访问请求的任何人的用户、设备、位置、信誉的更高可见性。运营者很难防止或修复他们看不见的东西,所以可见性是关键。如果用户、设备或行为未被识别或超出用户基线风险评分,它们将被丢弃。
ZT还细分了内部架构,以限制常与系统渗透漏洞相关的用户“漫游”。
传统上,企业已经部署“内部防火墙”作为一种分段方法,但是现在可以使用增强的方法来实现微边界。有了ZT,用户就不能再登录并拥有“网络旅行”。相反,它们被授权只能使用与预先确定的信任级别和访问相关联的特定的微边界。
2)关注更安全的数据
保护数据在网络中的传输和存储,是任何网络价值的主要部分。保护所有数据,无论是静止的还是运动的,都是ZT架构的主要支柱。有助于这种保护的关键技术包括加密、虚拟专用网络(VPN)和数据防泄漏功能。网络运营商可以为每种类型的保护选择单独的工具,也可以选择提供多种功能的整合工具。
与云计算和“物联网”设备的增加相关的最近趋势,已经拓宽了网络的边缘。这可能为数据的操作创造了机会。因此,当数据在互连网络周围移动时,对数据进行保护是很重要的。ZT方法强调识别高价值数据并优先保护它。通过网络分段来保护数据,可以帮助避免“砖块”攻击(删除数据),并且反过来,可以保持数据完整性更高,并减少代价昂贵的补救诉讼的可能性。
3)改进对现有和演化的威胁的保护
传统上,威胁的演变速度与安全研究人员发布漏洞修补程序的速度一样快。随着时间的推移,前沿企业了解到,以“漏洞赏金”的形式支付漏洞研究,是一种非常有效的(盈利的)方法,在漏洞被利用之前识别脆弱的系统。事实上,这会使合法的安全研究人员对抗敌对的“黑客”:他们之间的竞争,继续演变为威胁景观。然而,尽管漏洞市场对组织是有利的,但国家敌对行为体也发展了。
国家资助的黑客训练有素,资源充足,坚持不懈。有足够的证据表明,许多国家有攻击性的网络能力,这是全职工作。使用新的战术、技术和程序,如人工智能和机器学习结合国家级开发代码(例如,永恒之蓝),正在呈指数增长。这可能会使易受攻击的组织的安全操作团队无法处理更多的事件。它还可以使攻击者横向移动,在一个受损的组织中,以前看不见的速度和准确性。任何新的安全能力必须适应新的现实,并有效地降低外部(互联网可发现)和内部(内部威胁)攻击面。
零信任以类似的、不折不挠的方式解决这两个问题:未经充分认证则拒绝对任何服务或数据的访问。在标准的当前网络设计中,网络代理通常通过产生一个记忆口令和令牌码或硬件认证器的两个因素的过程,而被授予访问权限。添加ZT组件,与行为信任评分、位置ID和微分段相关联,将增强是否允许代理进入网络的决定。一旦进入网络,它将阻止漫游到未经授权的区域。将ZT能力与传统工具(如下一代防火墙、数据防泄露、行为启发)结合起来,可以进一步加强网络。
4)减少违规行为的影响
实施ZT架构时,由于网络分段以及用户获得有限访问权限,将减少违规造成的影响。违规造成的更小影响,将减少业务中断并保持较低的补救成本。违规造成的更小影响,可以帮助维持组织的声誉和客户和干系人的信任。分段是限制受到漏洞影响的区域的关键技术。将访问权限限制为仅允许单个用户访问的网络区域,有助于减少违规的影响。
5)提高合规性和可见度
联邦机构网络不缺少现有或未决的合规要求,包括:联邦信息安全管理法案、联邦风险和授权管理程序(FedRAMP)、可信互联网连接(TIC)3.0、国家标准与技术研究所(NIST)出版物。
在整个网络中应用这些要求,可能是一项挑战;但是,通过分段的方法,合规性通常可以通过更小、更相关的审计来解决,从而使机构能够更快地满足合规性要求。可重用模板方法可用于具有类似特征的网络分段。关键的好处是合规的速度。
在ZT架构中提高可见性也有好处。提高了谁、什么和哪里的可见性,使网络运营者能够更密切地记录行为和活动。从改进的可视性处理的分析,进一步有利于网络运营者。
6)潜在成本缩减
更低的成本,可以从更好的集成工具、减少VPN使用、简化运营模式、避免丢失数据、诉讼和损坏声誉来产生。当与ZT架构相结合时,政府组织可能会寻求使用低成本的商品线路(就风险而言)来更新基础设施。这些较低成本的直接互联网接入线路,也促进了更安全的软件定义广域网(SD-WAN)连接的附加好处。
评估一个机构已经部署的(或即将部署的)零信任的各种支柱的组件/元素。这些是沉没成本,可能不需要包括在新的投资回报率计算或讨论中。此外,与现有工具的集成,可以极大地降低操作ZT所需的投资。
底线——零信任必须简化而不是复杂化您的安全策略,以节省资金。
(中篇完)