专栏首页网络安全观零信任硬币的两面

零信任硬币的两面

全文约5000字 阅读约10分钟

零信任硬币的一面是访问控制和身份管理,硬币的另一面是主机微分段。前者本质上仍是由外到内的方法,而后者则是由内到外的方法。两者虽然都要解决访问问题,但前者是从用户角度来看,而后者则是从应用程序和工作负载的角度来看。

实现国防部零信任网络安全框架的目标,是一个多阶段的过程。在实现了访问控制和身份管理等基本阶段后,国防部可能开始向零信任的中高级阶段迈进,即更加以数据为中心的安全方法。

访问控制永远是至关重要的,但它只是零信任旅程中重要的第一步。SolarWinds复杂网络攻击事件为美国国防部加速向零信任的中高级阶段迈进,提供了更具说服力的理由。

本文是《Illumio六部曲》系列的第5篇,重点揭示了美国国防部零信任主机微分段技术的关系。

从本文的逻辑看,在统领零信任框架方面,Gartner的零信任网络访问(ZTNA)的确是不完整的,而Forrester的零信任生态扩展(ZTX)框架显然更胜一筹。

目 录

1. 零信任硬币的两面

1)零信任的两种视角

2)硬币的一面是访问控制和身份管理

3)硬币的另一面是主机微分段

2. 为何要重视主机微分段

1)实现微分段的三种途径辨析

2)两种零信任视角的对比

3. 国防部零信任的两个阶段

1)国防部零信任的基本阶段

2)国防部零信任的中高级阶段

3)现实示例:用事实说话

4)让两种方法并驾齐驱

一、零信任硬币的两面

01

零信任的两种视角

NIST SP 800-207(零信任架构指南)指出,"零信任是一套不断发展的网络安全模式的术语,它将防御从静态的、基于网络的边界,转移到关注用户资产和资源上。" 笔者认为,这里的"用户资产和资源"应该被分解为两部分:一是用户(访问);二是资产和资源。因为两者对应于不同的视角。

我们知道,最小权限访问是零信任的核心。这表明,国防部需改变传统的"允许所有访问、拒绝指定访问"的理念,转向"拒绝所有访问、允许指定访问"的原则。

问题的关键在于,对于所有这些访问:一方面是从用户角度来看;另一方面是从应用程序和工作负载的角度来看。

显然,美国联邦政府和国防部已经在致力于改善零信任的用户访问;然而,在一个零信任环境中,关注点正在逐渐转移到保护其资产和资源上。

02

硬币的一面是访问控制和身份管理

美国联邦政府和国防部已经开始认真考虑零信任。而且零信任的一个重要方面,即关于零信任网络访问(ZTNA,Zero Trust Network Access)的初步工作已经完成。

然而,这主要还是一种由外到内(outside-in)实现零信任的方法。

03

硬币的另一面是主机微分段

零信任更加重要的一个方面,与应用程序和工作负载的连接有关。而这正是攻击者的目标所在,但目前联邦政府和国防部在这一方面还没有得到足够保护。

零信任的“另一面”,即基于主机的微分段方法,将带来由内到外(inside-out)的更高安全性,并将阻止恶意软件的横向移动。

NIST SP 800-207专门将微分段定义为在一个或多个端点资产上使用软件代理或防火墙。这些网关设备动态地向来自客户端、资产或服务的单个请求授予访问权限。而这也是在《2020财年FISMA首席信息官指标》报告中专门提出的保护高价值资产(HVA)的最佳方式。

二、为何要重视主机微分段

01

实现微分段的三种途径辨析

因为零信任的核心是最小权限的概念,所以如果发生失陷,则失陷理应被锁定在一台服务器、工作负载或笔记本电脑上。这是实现零信任的由内到外的方法。

从系统架构的角度来看,这种零信任的方法可以通过三种方式实现:软件定义网络(SDN)、网络防火墙、基于主机的微分段

1)SDN或网络虚拟化方法:是实施强制执行的一个弱安全选项,因为它关注网络安全并使用自由形式的标记和标签结构。由于在管理用于标识工作负载的元数据方面缺乏治理,使得管理和提供策略变得困难。跟踪IP地址会增加复杂性并阻止规模的扩展。它还需要一个完整的网络升级,并且是昂贵的。记住:SDN中的“N”代表网络。因此,任何SDN控制器部署的任何分段,都是一种以网络为中心的方法,都被实现为聚焦网络挑战,而非主机挑战

2)网络防火墙方法:为了控制东西向流量的移动,需要部署额外的防火墙。然而,硬件防火墙太"硬"了,缺乏灵活性。而对于内部/数据中心防火墙,当环境被虚拟化和高度自动化时,要想跟踪区域、子网、IP地址、规则顺序,也变得相当笨拙和困难。随着环境变得更加复杂,在防火墙规则变更期间中断应用程序的可能性也会增加。与SDN方法类似,应用程序到应用程序的流量缺乏可见性,大型部署可能很昂贵,并且这仍然是一种以网络为中心的方法。

3)基于主机的微分段方法:是对驻留在每个主机中的本机状态防火墙进行编程。从本质上讲,关注应用程序,可以将分段与网络架构解耦。它部署简单,易于扩展,成本较低,可以在任何架构中推出,包括云、容器、混合和裸机。它可以与防火墙、负载均衡器、网络交换机等异构硬件资产协同工作,并提供实时应用程序和工作负载依赖关系图首席信息官和首席信息安全官终于头一回可以看到,他们的应用程序和工作负载在做什么

02

两种零信任视角的对比

用户采取何种角度/路线来实现零信任架构,将决定其实现的难易程度

如果用户可以实时创建应用程序和工作负载地图时,则他们可以显著降低零信任的实施复杂性。因为,正确地创建一个基准应用程序和工作负载依赖关系图,对于在整个机构的计算体系架构中嵌入安全性非常重要。用户得以查看应用到应用和工作负载的流量,以便正确分段。

虽然,零信任需要强大的身份管理工具;但用户还需要对工作负载和应用程序进行分段,以防止可能严重影响机构或任务的非法横向移动。

两种不同的方法:用户到应用设备到应用的流量监控,需要对凭证托管、强身份验证、身份管理的显著依赖关系;而机器到机器工作负载到工作负载的连接,通常是基于API的,需要不同的方法。

两面可以同时进行。凭证依赖于网络安全强制执行策略则侧重于应用程序安全,而应用程序安全并不需要网络。所以,事实上,零信任硬币的两面都可以同时进行

零信任的前进之路意味着,过去对网络边界的强调,必须由对用户、数据、应用程序的更加重视所取代。

更进一步讲,采用由内到外(inside-out)的方式保障高价值资产,是启动零信任试点项目的最审慎的方式。这个建议,与2019年11月国土安全部发布微分段作为CDM(持续诊断和缓解)计划的推荐能力,是一致的。

三、美国国防部零信任的两个阶段

01

国防部零信任的基本阶段

实现零信任愿景,是一个多阶段的努力。美国国防信息系统局(DISA)和国家安全局(NSA)正在合作开发零信任参考架构,也在建立新的零信任实验室

如果询问美国联邦和国防部IT部门的人"零信任意味着什么",你可能会听说它是关于访问控制的:即在没有首先验证用户或设备的情况下,决不允许访问任何系统、应用程序、网络,即便用户是内部人士。

在国防信息系统局(DISA)对零信任的解释清单上,排名第一的术语是"从不信任、始终验证",紧随其后的是"始终假设网络环境中已经存在对手"和"显式验证"。这些都对应于国防部零信任成熟度模型的基本阶段

基本阶段,即访问控制和身份管理,确实是零信任的第一个重要组成部分,国防部正在积极开展这项工作。目前,美国陆军、空军、海军、DISA都有一些试点项目在进行中,这些项目侧重于从外到内(outside-in)的零信任,其重点是使用零信任网络访问(ZTNA)方法,来升级身份管理和用户凭证。然而,ZTNA并不显示工作负载到工作负载的连接和数据流。这些工作只能说明问题的一半

在之前的《美国国防部零信任的支柱》和《美军网络安全 | 用零信任替代中间层安全?》中,介绍过国防部的零信任建设思路,的确主要是以身份管理和SDP为主的。

02

国防部零信任的中高级阶段

国防部零信任之旅并没有就此结束。国防部(DoD)和国土安全部(DHS)网络安全与基础设施安全局(CISA)的官员在2月说,要针对SolarWinds攻击中使用的复杂网络攻击建立真正有效的防御措施,需要进一步采用零信任安全。该事件也为美国国防部加速向零信任的中高级阶段迈进,提供了一个更具说服力的理由。

再者,美国国防部一直寻求,在无需购买新设备的条件下,利用零信任来改善网络安全,而基于主机的微分段,通过允许代理来编程本地防火墙,使得国防部的安全思路成为可能。

另外,国防部的数字现代化战略(DMS,Digital Modernization Strategy)已将"将数据视为战略资产"作为其主要目标之一,国防部最近发布了一份单独的《国防部数据战略》,将“数据治理”列为实施该战略的第一步。应用层即第七层,是零信任的核心,它涉及应用程序和以数据为中心的安全性

把零信任的基本阶段(身份/访问控制)想象成一个类似于保护一个房子的前门,甚至可能是从一个房间通向另一个房间的内门。你要确保每个进入者都经过验证和认证,即使他们想从家里进入另一个房间。

但是前门并不是唯一的入口。还有侧门、后门、地下室的门、各种窗户,也需要保护。对于这些门窗,主要关注的应该是数据。国防部IT人员需要确保他们能够通过多云/多应用程序可见性以及对进出侧门和后门的任何数据进行命令和控制,以了解所有门窗的活动。如果没有这些控制,数据可能会泄漏,从而暴露敏感信息。

上一任DISA局长、美国海军中将Nancy Norton曾说,“零信任将影响我们网络领域的每一个领域,允许我们通过关闭船上的每个隔间来更好地保护我们的数据。” 要做到这些,显然需要超越访问控制或只保护前门

随着国防部向零信任成熟度模型的中级和高级阶段迈进,确保其成功的关键能力包括:对多云环境的完全可见性;用于评估用户行为的安全分析;针对已批准应用程序、未经批准应用程序、和更重要的国防部编写的任务应用程序的高级数据保护动态策略执行;在混合云环境中自动化和编排的威胁检测

03

现实示例:用事实说话

上面说了一堆大道理和逻辑,现在让我们举几个现实中的例子。

众所周知,在疫情大流行期间,云的使用率和威胁情况都急剧上升。国防部在短短几个月内就向一百多万用户部署了商用虚拟远程(CVR)云生产力工具,并在2020年迅速扩大了他们的云使用量。最近的一份报告发现,2020年前4个月里,来自非托管设备的云使用量翻了一番,而针对云帐户的外部攻击则增加了6倍以上。因此,通过保护前门以外的安全来保护数据尤其重要,因为国防部的许多人都在远程环境中工作,从多个云环境和混合云环境访问数据和应用程序

假设某个军种成员正在个人计算设备上工作,而不是通过该部门的VPN,并且希望通过云服务Microsoft Teams访问一个应用程序。虽然该部门有与Microsoft Teams的安全连接,但应用程序插件可能由另一个云提供商托管,它可能是安全的,但也可能不安全。这种云到云的连接,打开了一个洞、一扇侧门,需要被锁上以防止敏感数据暴露。访问控制无助于这种情况;这是统一云策略数据保护的角色

让我们举一个更具技术性的后门例子。Open S3(简单存储服务)数据桶是最近数据泄露的罪魁祸首,因为当配置错误时,可能导致数据泄漏。一个开放的数据桶,就像是一个没有安全保护的后门。S3桶可以设置为公开或者私有,可能出现错误的设置,尤其是当技术人员过度工作和跨企业管理多个桶时。选择错误的设置,将会意外地向公众打开这扇后门。同样,访问控制和身份管理不能解决这个问题,但是中间阶段的多云数据保护解决方案可以解决这个问题。

04

让两种方法并驾齐驱

实现国防部零信任网络安全框架的目标,是一个多阶段的过程。计划推出的DISA/NSA零信任参考架构将有助于国防部更好地前进。在实现了访问控制、身份管理、从端点到云端的数据流加密等基本阶段后,国防部可能开始向零信任的中高级阶段迈进。

初期行动正在从身份管理或ZTNA的角度展开;然而,下一步需要更多地关注由内到外的方法,即一种基于主机的微分段方法,来实现零信任。这样做将有助于防止横向移动的蔓延,利用现有设备改善国防部机构或司令部的网络安全态势,并提供前所未有的实时可见性地图。

总之,要以零信任方式关闭国防部的所有网络门窗。零信任硬币的两面可以同时进行,也应该并驾齐驱

(本篇完)

本文分享自微信公众号 - 网络安全观(SecurityInsights),作者:柯善学@360

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-03-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Zerocoin: Anonymous Distributed E-Cash from Bitcoin

    比特币交易日志是完全公开的,仅通过使用假名来保护用户的隐私,在隐私方面却存在重大限制。Zerocoin,增强了协议是实现了完全匿名的货币交易。

    静怡
  • 释义与参照:同一枚硬币的两面(CS.CL)

    我们研究了两种不同的NLP任务之间的潜在协同作用,这两种任务都面临词汇变异性:识别谓词释义和事件共引用解析。首先,我们使用来自事件共参考数据集的注释作为远程监控...

    用户7236395
  • 动态规划(二)

    mathor
  • 独家|使用Python进行机器学习的假设检验(附链接&代码)

    也许所有机器学习的初学者,或者中级水平的学生,或者统计专业的学生,都听说过这个术语,假设检验。

    数据派THU
  • 每天一道面试题——自动售货机

    今天分享的这道面试题也是我曾经在笔试中用到过的。 当初大概有四十人左右曾经做过这道题,没有一个人给出了正确答案,让我没有想到的是,其中做得最接近正确答案的,是一...

    张树臣
  • 贪心算法

    http://blog.csdn.net/xywlpo/article/details/6439048

    bear_fish
  • 从零钱兑换再看动态规划的套路

    在昨天的文章关于背包问题的一点发散[1]之后,有小伙伴说感觉跟LeetCode上一道题零钱兑换[2]很像,但是又好像有点不一样,简单的暴力递归跟缓存优化都能做出...

    写代码的阿宗
  • 【2020HBU天梯赛训练】7-35 凑零钱

    韩梅梅喜欢满宇宙到处逛街。现在她逛到了一家火星店里,发现这家店有个特别的规矩:你可以用任何星球的硬币付钱,但是绝不找零,当然也不能欠债。韩梅梅手边有 10​4​...

    韩旭051
  • 测试思想-测试设计 测试用例设计之因果图方法

    是一种利用图解法分析输入的各种组合情况,从而设计测试用例的方法,它适合于检查程序输入条件的各种组合情况。

    授客
  • javascript经典算法之最小硬币找零问题

    笔者之前也断断续续写过几篇javascript数据结构和算法的文章,之所以要写,是因为它们很重要。在前端的职业生涯中我们会遇到很多选择,走向不同的方向,但是唯一...

    徐小夕
  • 【重磅】微软量子计算重大突破:量子系统或存在天使粒子,一个稳定的量子比特强过1万个

    直播链接 2018新智元产业跃迁AI技术峰会今天隆重启幕,点击链接观看大会盛况: 爱奇艺 http://www.iqiyi.com/l_19rr3aqz3z....

    新智元
  • LC322—零钱兑换

    给定不同面额的硬币 coins 和一个总金额 amount。编写一个函数来计算可以凑成总金额所需的最少的硬币个数。如果没有任何一种硬币组合能组成总金额,返回 -...

    Java架构师必看
  • Aztec协议上线:V神「匿名以太坊梦」成真

    区块链是一个开放式账本,任何拥有其副本的人都能看到每一笔交易和地址的余额。理论上,由于人们不能通过地址猜出地址的拥有者是谁,此人身在何处,因而该系统是匿名的;然...

    区块链大本营
  • 硬币找零问题

    顾名思义,就是你去商店买完东西,售货员会给你用若干枚硬币找钱,如何使用这些硬币完成找零。

    你的益达
  • 硬分叉是乱局,也是大考

    16日凌晨正式展开近身肉搏的硬分叉大战,还在继续,这场“预谋已久”的大战确实吸引了大批围观者,也算给熊了太久的数字货币市场猛烧了一把冬天里的火。

    晓枫说
  • 比特币入门科普

    比特币是什么比特币是一种开放的数字货币的p2p形式。这到底意味着什么呢?有了比特币,我们第一次拥有了“人民货币”,没有政府或中央人物控制诸如利率或通货膨胀之类的...

    首席架构师智库
  • 四分钟解析比特币白皮书

    目前互联网上的金融交易大部分完全通过第三方服务完成,其中主要是Visa,Mastercard,Paypal和其他银行机构。这种制度的核心基础是信任。我们相信这些...

    庹阳
  • 经典动态规划:完全背包问题

    零钱兑换 2 是另一种典型背包问题的变体,我们前文已经讲了 经典动态规划:0-1 背包问题 和 背包问题变体:相等子集分割。

    labuladong
  • 1分钟链圈 | 截止今日凌晨三点,比特币跌破6500美元,创两月最低!EOS投票进度仅为5.97%,投票进程缓慢

    区块链大本营

扫码关注云+社区

领取腾讯云代金券