零信任的发展
传统场景中,企业的安全都是在以防火墙为边界的。但是,随着技术的更新,远程办公变得普遍,诸如VPN之类的技术在企业中应用的很普遍。这就使得企业的安全边界必须进行扩大以允许来自全球各地各种类型终端的访问(这取决于从哪里接入VPN)。这就迫使企业的IT安全团队做出改变。
于是,在2010年,Forrester的一位分析师在一份白皮书《No More Chewy Centers:Introducing The Zero Trust Model Of Information Security》中提出了零信任的概念。随着后续的更新,最终形成了目前知名的Zero Trust eXtended框架, 简称ZTX。
几乎同时,Google开始了在内部构建BeyondCorp。BeyondCorp是一个零信任解决方案并且实现了基础的零信任组件,这使得Google能够移除自身企业内部的网络边界。Google在2014年通过一系列的文章阐述了他们的实现理念,这很大的程度上影响了业界。
在2017年,Gartner的一位分析师重新定义了Continuous Adaptive Risk and Trust Assessment(简称CARTA)的概念,使得CARTA和零信任有很多相似的原则。CARTA不仅要关注身份和数据相关的因素,还要关注发生访问时身份和设备所可能带来的风险。
使得零信任被进一步关注的是,美国NIST在2020年发布的《NIST Special Publication——Zero Trust Architecture》以及一个关于零信任的项目US National Cybersecurity Center of Excellence。
发展至今,业界已经普遍认为,零信任所倡导的改变是必要的。因为通过零信任,可以防止恶意用户在企业边界内部访问私有资源、防止数据泄露以及恶意操作。
说了这么多,零信任到底是什么呢?
A Zero Trust system is an integrated security platform that uses contextual information from identity, security and IT infrustructure, and risk and analytics tools to inform and enable the dynamic enforcement of security policies uniformly across the enterprise. Zero Trust shifts security from an ineffective perimeter-centric model to a resource and identity-centric model. As a result, organizations can continuously adapt access controls to a changing environment, obtaining improved security, reduced risk, simplified and resilient operations, and increased business agility.
零信任系统是企业内部的一个集成的安全平台,他能够根据身份数据、安全基础设施、风险分析数据等信息进行判断,进而来触发企业安全策略的动态执行。零信任将传统的基于边界的低效的安全模型,提升为高效的以资源和身份为中心的企业安全模型。这样做的好处就是,企业可以在一个动态变化的环境中进行合理的访问控制,最终提升安全性、降低风险、简化运营操作、增加业务敏捷性。
Forrester对零信任的解释
Forrester使用ZTX模型来解释零信任。ZTX模型提出,零信任的构建要以数据保护(Data)为中心,同时对能够访问数据的元素也要进行保护。这些元素包括:人员(People)、设备(Devices)、网络(Networks)和工作组件(Workloads)。除此之外,ZTX还要求能够基于工作负载中的数据进行分析,以支撑安全决策。并且对于一些手工流程,要能够实现自动化并将其同安全策略和危机响应联系起来。
- Data
数据作为企业资产的一部分是必须得到保护的。此外,DLP(Data Loss Prevention)也是数据安全的一部分。应该把DLP和环境感知的策略模型联系起来。
- Networks
ZTX模型中网络的安全主要聚焦在网络的隔离。不论是从用户层面还是服务器层面,都能提供以身份为中心的安全管控。
- People
首先,ZTX模型中要求人员的管理是一定要用IAM组织起来。ABAC(Attribute-Based Access Control)或者RBAC(Role-Based Access Control)都是很好的IAM模型。并且,进行多因素认证(MFA)也是十分重要的。最后,基于OAuth或者SAML协议实现的单点登录(SSO)也是必不可少的部分。强烈的推荐在零信任模型使用以身份为中心的管控模型。
- Workloads
工作负载指的是企业中支撑业务或者组织运行的组件,比如对内的财务系统、运维使用的CICD系统、审批流系统等。ZTX模型要求这些系统实现metadata-driven级别的访问控制。比如人员离职,那么人员的medadata就会删除,进而触发各个系统对数据的操作。
- Devices
ZTX关注设备本身的安全、设备的身份、设备的访问控制等等。
- Visibility and Analytics
ZTX模型强调,在构建零信任时,要能够使用并分析企业内部各个系统的数据,以支撑安全决策。
- Automation and Orchestration
ZTX模型指出,在企业内部的运营中,要自动化人为参与的流程,并将这些流程和安全策略以及安全响应联系起来。比如,某个人员离职,那么对于这个人员涉及到的数据、账号、权限等要能够进行自动化的处理。而这种自动化是系统的安全模型经过评估后允许的,不再需要授权给专门的处理人。
Gartner对于零信任的解释
Gartner通过CARTA模型来解读零信任。CARTA模型的理念就是从预测(Predict)、预防(Prevent)、检测(Detect)、响应(Respond)这四个方面对企业的人员、设备、应用、数据和工作负载进行持续的风险评估。
Gartner把零信任看的更微观,它使用ZTNA(Zero Trust Network Access)和ZTNS(Zero Trust Network Segmentation)两个术语。其中ZTNA指代user-to-server的安全,ZTNS指代server-to-server的安全。这两个方面都是基于CARTA模型来进行构建。
零信任的核心思想
零信任是一个全面的安全模型,它涵盖了网络安全、应用安全、数据安全等各个方面,致力于构建一个以身份为中心的策略模型以实现动态的访问控制。企业中有很多的IT基础设施和安全工具,零信任要求我们整体的审视和统筹这些工具,把身份作为中心,进而在企业中构建属性敏感或者环境敏感的动态访问控制策略。
笔者的思考和看法
首先,大部分人听到零信任这个词,第一反应的理解是啥也不信。国内也有很多文章这么解读。笔者觉得这么解读是误导的。零信任并非啥也不信,而是经过验证后再信任,或者说在经过验证前,是不存在固有信任的。有两个英文的词我觉得解释的很贴切,零信任实际上应该叫Zero Implicit Trust或者Earned Trust。
其次,对于一个现代化的全部构建在云上的企业,通过云服务商(特指AWS)提供的身份认证和访问控制模型以及衍生产品可以更加方便的进行零信任的构建。感兴趣的读者可以去研究AWS的Policy模型,在AWS上购买的基础设施天生就是以身份为中心的。
对于已经在本地运行的企业,由于存在历史的IT基础设施和安全工具。构建全面的零信任解决方案还需要从长计议。这方面Google已经在BeyondCorp项目中探索,可以参考借鉴。
——数据来源:什么是零信任? (zhihu.com)