网络安全架构|零信任网络安全当前趋势（下）

一、前言

本文介绍ACT-IAC（美国技术委员会-工业咨询委员会）于2019年4月18日发布的《零信任网络安全当前趋势》（《Zero Trust Cybersecurity Current Trends》）报告的主要内容。

该报告的目录如下：

• 执行摘要
• 项目背景
• 何为零信任
• 建立信任是基础
• 零信任的益处
• 部署零信任的建议步骤（本篇从此处开始）
• 联邦政府中应用零信任的挑战
• 最后结论（本篇到此处结束）

笔者分为三篇介绍：第一篇参见《网络安全架构|零信任网络安全当前趋势（上）》；第二篇参见《网络安全架构|零信任网络安全当前趋势（中）》；本篇将介绍剩余的内容，主要涉及零信任的部署方面，这是甲乙方都比较关心的问题。

笔者计划，在介绍完《零信任网络安全当前趋势》这个报告之后，再次放出对NIST《零信任架构》草案的详细介绍。

二、部署零信任的建议步骤

1）部署零信任的考虑

如果计划在安全策略中包含零信任，则当前环境可能已经包含可以利用的ZT工具和组件。

• 例如，一个机构已经拥有强大的ICAM实现，具有多因素认证，则可以利用它来支持零信任“用户支柱”能力。
• 类似地，如果一个机构拥有移动设备管理或系统清单工具，它们可以被用于“设备支柱”组件。
• 在安全架构的任何变化中，重要的是考虑已有的投资可以被利用以及新模型如何以及在哪里快速实现。

重要的是要确保在规划阶段尽早选择正确的方法。在选择特定的ZT解决方案时，决策必须平衡安全和成本，并能够解决今天和明天的挑战。

零信任可以提供一种成熟的解决方案，它不需要增加运营复杂性或要求主要的架构改变。事实上，它可以简化运营，同时提高安全性并保护关键的高价值资产。

查看和验证谁有权访问应用程序和数据，并确保受信任的流量没有受到损害的能力，至关重要。解决方案应能够分析活动威胁、恶意软件、病毒、受损凭据和受限敏感数据的允许通信量。行为分析和自动化可以应用于整合日志记录，以阻止隐藏的不良行为体看起来可信。

零信任是一种使用支柱进行粒度、受限和验证的访问控制。一个共同的框架，将允许这些支柱协同工作，同时通过整合和战略伙伴关系来降低复杂性。

2）零信任成熟度模型

零信任网络转换不必一次完成。ZT成熟度模型可以帮助指导组织踏上零信任之旅。该模型可以帮助组织、跟踪和沟通正在进行的工作。这些模型可以定制，以说明工作从哪里开始和跟踪进展的主要里程碑。下图包含了一个成熟度模型的示例：

零信任成熟度模型：

阶段1：建立用户信任。

您的组织是否有一个明确的与业务需求相一致的ICAM战略，导致了由基于风险的策略所支持的MFA解决方案的全面实施和集成？

阶段2：获得设备和活动的可视性。

您的组织是否有一个最新的资产清单，可区分托管和非托管设备，作为集成IT和安全功能的一部分，对它们进行健康检查？

阶段3：确保设备可信。

您的组织是否有一个受信任的设备策略，提示用户在管理的过程中针对已度量的漏洞更新其设备，并报告策略外设备？

阶段4：实施自适应策略。

您的组织是否通过一个集中管理的策略来控制用户访问，该策略能识别异常并根据异常采取行动？

阶段5：零信任。

您的组织是否有一个由架构和一组过程支持的与业务对齐的零信任策略，使用户能够无缝访问内部和云应用程序？

3）微分段方法

零信任是Gartner CARTA发展路线图上的第一步。大多数企业数据中心都与公共网络隔离，并与最终用户硬件分离。与最终用户访问公共互联网一样，对数据中心的访问是基于信任的，信任通常是通过验证IP地址建立的。

在数据中心，专有的企业信息和应用是横向存储的。这种扁平的层次结构意味着，如果一个坏角色渗透到数据中心，所有信息都有风险。攻击者在一个服务器上获得立足点，可以很容易地横向传播（东/西）到其他系统。“这种横向移动是威胁传播的通用向量——想想近期的Cryptolocker和Petya恶意软件感染。

微分段可以帮助抵抗横向移动。

• 微分段是一种网络管理方法，顾名思义，将用户的用户流量分成上下文通道。微分段允许企业隔离工作负载，并将它们彼此保护。
• 策略定义是逻辑的，这意味着网络流量可以缩小到隔离的用户信道。可以将其视为授权用户、应用程序和设备之间的安全隧道。
• 更重要的是，微分段不同于通过IP地址分解安全策略的方式，而是通过授权的用户和应用程序来关联定义好的访问策略。
• 它还（通常）要求分段监测、基线流量评估、异常检测。

常见的微分段步骤包括：

• 1）进行审计。在用户、应用程序、数据存储等之间映射所有形式的网络连接（包括LAN、WAN/SD-WAN、远程等）。
• 2）识别风险。
• 3）定义一个“默认拒绝”的分段方法：您要保护什么？你要隔离什么？你要使用容器甚至API来分隔流量吗？
• 4）按分段定义策略：确保策略绑定到逻辑属性而非IP地址。
• 5）评估技术差距：包括网络覆盖、加密、SD-WAN集成、安全设备（物理和虚拟）等。

4）软件定义边界（SDP）方法

另一种选择是使用SDP来实现访问而不牺牲安全性。

有了SDP，用户无论是在网络内部还是外部，都可以直接连接到资源，无论资源位于云中、数据中心、互联网；所有这些都不需要连接到公司网络。

SDP安全软件在每个用户的网络流量周围建立一个安全的周界，可以说，创建了一个人的网络。例如，谷歌为自己的员工开发了名为BeyondCorp的SDP。

用户（或SDP主机）不能发起或接受与另一个SDP主机的通信，只有在连接到对事务进行授权的SDP控制器之后才可以。

SDP方法中的一个关键概念：SDP控制器对SDP主机的指令，消除了DNS信息和端口对“外部”的可见性需求，实现了有效“隐身”或对外部人员创建了一个不可见的“黑暗”网络。

SDP代表了一种网络安全方法，它围绕高价值企业应用程序和数据访问，创建了一个保护屏障。这种技术，以及其他类似的技术，可以保护应用基础设施免受现有和新出现的网络威胁。例如，现有的攻击（如凭据窃取和服务器利用被动态地阻止，因为这些技术只允许从已注册到认证用户的设备访问，这是一个关键的零信任元素。

SDP能力可以以不同的方式成功交付，例如通过代理、在线软件、云服务，甚至场内方式。SDP通过维护每个事务的默认拒绝状态，来实现零信任。策略是由用户和上下文（通常包括行为分析）定义的，比单独的微分段降低了风险。未经授权的横向移动风险也被消除，因为所有事务都以与企业防火墙内部或外部相同的方式进行评估。

致力于采用基于软件的安全模型，是SDP成功的关键。

评估SDP选项的政府机构必须考虑：

• 分布式安全模型（例如，有多少数据中心提供基于云的安全访问？）
• 网络安全硬件在多大程度上可以被弃用？
• 支持的应用程序平台：运行在联邦数据中心，还是政府云？
• 对待非受管设备：用户可以使用移动设备（包括平板电脑和智能手机）来完成他们的工作吗？

SDP允许经过身份验证的用户，访问在任何环境中运行的授权应用程序和数据，而无需将用户放进网络或将私有应用程序暴露给互联网。

三、联邦政府中应用零信任的挑战

如前所述，零信任是一种安全策略，由当今在联邦空间中非常常用的元素组成。然而，在部署和运行任何新技术方面都存在挑战。还有一些挑战是特定操作环境所特有的。联邦政府面临的挑战部分是由于其规模、成熟度、依赖性的综合作用。它们对部署和运行ZT解决方案的影响如下所述。

1）网络安全成熟度差异很大

在联邦政府部署成功的ZT解决方案面临的最大挑战是网络安全成熟度的普遍缺乏。其中包括普遍缺乏标准化的IT能力和网络可见性。采用ZT成熟度模型的方法，可以帮助解决关键能力，以成功和更快速地解决路障，并将机构移入日益成熟的网络安全态势。

2）共享的系统和网络连接

成功的零信任部署的另一个挑战是联邦IT中广泛的系统相互依赖性。几乎每个联邦机构都从其他联邦机构接收或提供服务（例如，计费、时间和出勤、旅行、人力资源等）。这可能对大规模的超级机构的依赖性特别有影响，它们受到高度管制（例如，金融和卫生部门）。最后，这些依赖性是双向的：当私营部门的合作伙伴转移到ZT解决方案时，联邦机构可能期望支持需求。在所有情况下，及早和经常与服务提供商、合作伙伴和客户进行沟通，将有助于克服这些挑战。

3）远离合规驱动

网络安全需求的增长速度超过了解决这些问题的预算。这导致：关注于管理风险的较少，更多关注于从链条上看到的可报告元素。例如，连续监测是任何有效的网络安全计划的关键方面，但威胁情报和红队演习也是如此：但只有一个报告。将零信任指定为政府范围内的优先事项，可以促进更广泛和更快的采用。

4）纳入TIC 3.0要求

ZT的另一个挑战，是它如何工作或支持新的可信互联网连接（TIC）3.0指南。以下是TIC用例表，与TIC 3.0备忘录一致。DHS计划这项工作将导致不断改进和发展更新的TIC用例，用例展示了新兴技术和不断演变的网络威胁。

DHS已经定义了四个不同的用例，以覆盖诸如云应用（用例1）、位于机构定义的安全边界之外的机构分支办公室（用例2）、位于机构定义的安全边界之外的远程用户（用例3）、未在其它DHS TIC用例中覆盖的传统TIC安全（用例4）。以下DHS定义的TIC用例最适合ZT解决方案方法：

用例1：云。这些TIC用例覆盖了当今机构使用的一些最流行的云模型。其中包括：

• a.基础设施即服务（IaaS）
• b.软件即服务（SaaS）
• c.电子邮件即服务（EaaS）
• d.平台即服务（PaaS）

用例2：机构分支办公室。这个用例假设有一个机构的分支机构，与总部分开，但分支机构利用总部的大部分服务（包括一般的web流量）。这个用例支持那些想要启用SD-WAN技术的机构。到ZT FedRAMP批准的SaaS云应用程序的SD-WAN连接，非常适合这个定义的TIC 3.0用例。

用例3：远程用户。这个用例是原始FTO（FedRAMP TIC Overlay ）活动的演变。用例演示了远程用户如何使用GFE（政府供应设备）连接到该机构的传统网络、云和因特网。FedRAMP ZT解决方案非常适合这种DHS定义的TIC 3.0情况。

5）在联邦市场中获取零信任网络的能力

现在已经了解到ZT是一个“框架和架构”，有很多选择来采购使能技术产品和服务组件。ZT项目很可能涉及服务和产品，因此建议机构寻求能同时满足这两种需求的合同工具。关于ZT如何融入一些使用最广泛的联邦合同工具的例子包括：GSA SCHEDULE 70、DHS持续诊断和缓解（CDM）、GSA企业基础设施解决方案（EIS）等。

四、最后结论

零信任是一个演进式的框架，而不是革命性的方法。它建立在现有的安全概念之上，并没有引入一种全新的网络安全方法。与大多数安全概念一样，零信任依赖于对组织的服务、数据、用户、端点的基本理解。关于前期资源投资，没有“免费午餐”。策略定义、部署概念、信任确定（和衰退）、执行机制、日志聚合等，都需要在部署解决方案之前考虑。也就是说，许多大型机构（如谷歌、Akamai和Purdue）都已进行了投资，显示出安全投资的真正回报。

ZT本身并不是一项技术，而是网络安全设计方法的转变。当网络设计将多个供应商的产品集成到一个全面的解决方案中时，当前的解决方案领域显示出非常成熟且经过验证的解决方案。

无论是寻求零信任网络的解决方案是什么，诸如软件定义的网络和身份、凭证和访问管理（ICAM）等要素，都是成功的长期ZT策略的重要组成部分。ZT可以增强和补充其他网络安全工具和实践，而不是取代它们。威胁情报、持续监视、红队演习仍然是零信任网络环境和全面安全方法的重要组成部分。

毫无疑问，有效的零信任网络部署可以显著改善组织的网络安全态势。然而，许多联邦机构面临挑战，包括复杂的数据和服务与其他组织的相互依赖性。在将ZT扩展到关键任务、多组织的工作流之前，必须仔细考虑这些依赖关系。ZT是一个成熟的策略，可以提供积极的网络安全投资回报，但它可能需要前期投资，这取决于机构有哪些已经到位。

（整篇完）