企业网络安全的拐点:零信任
国内IT安全圈儿这些年非常热闹,新名词层出不穷,如APT、云安全(CASB)、威胁情报、态势感知让人目接不暇。无论是市场、资本或厂商,都使尽浑身解数争先恐后去拥抱这些新概念,唯恐授人以落后之口实。你方唱罢我登场,零信任概念虽然在2010年首次提出,但作为后浪,在2019年的RSA大会终于演奏成主旋律,成为安全厂商这两年极力热捧的新贵。
让我们看看到底什么是零信任架构(体系)
到目前为止,我们认为最为全面也最合理的描述是:在一个不可信的开放网络环境下,以身份(Identity)为中心,通过动态(Dynamic)访问控制技术,围绕核心保护对象(Object),遵循最小权限(Least-privilege )原则,构筑端到端的逻辑身份边界的安全体系。这个定义可以拆解为以下几个要点:
01
从安全原则上讲,颠覆传统网络安全的重要前提:“缺省信任”(Default Trust)。网络安全发展到零信任的出现,一直秉承先君子后小人的贵族理念,典型代表场景就是防火墙把企业网络定义为内网,将整个网络分为信任域和非信任域,对在信任域内部的人、设备、行为缺省就是信任的,如果在其中发生安全事件,我们再去追溯。而零信任则反其道而行之,在不相信所有的网络实体前提下,先去建立一个端到端的安全访问机制。
02
从技术本质上讲,以网络上所有实体(人、设备、应用、数据等)的身份识别及对其认证为中心,遵循最小访问权限原则,动态建立端到端访问连接。这里与传统安全技术最大的区别有两方面:
1)传统安全基本是遵循事先定义的静态访问规则,零信任的访问规则都是实时动态建立,无法事先判断规则允许与否,使得安全系数大大增加;
2)传统安全访问权限多依赖一个维度的权限定义,譬如授予某个人或岗位的一个特权账号,而零信任架构则要求该账号授予双维度,譬如为某人添加某个特定的终端设备做为访问条件,大大增加IT运维人员面对“账号滥用”和“账号盗用”情况时的难度。
03
零信任与其他网络安全新术语的推出,让业界人士,尤其是安全技术人员有种不适感:“零信任体系包含很多垂直安全技术领域,但似乎又没有任何一个技术是属于零信任特有的”。这种感觉是对的,从本质上讲零信任体系即不是一个独立的安全技术或产品,也不是针对企业网络安全一个特定场景的解决方案,明白这个道理就可以解释这两年来“似乎所有的安全厂商都在拥抱零信任,但到目前为止雷声大雨点小,没有哪家厂商在这个领域有实际意义上的靓丽表现” 这种现象的原因了。
企业的零信任体系是企业网络安全发展到一定阶段的必然质变。相比零信任体系,这些年涌现的安全新技术还都算是量变过程,都在解决企业网络安全面临的一些局部问题。而零信任则是在企业网络安全的背景、前提、目标、过程和结果都有创新性的思维,是集方法、技术、系统和治理过程的一个整合,其理论还远没达到完善的程度,也不是安全厂商几个产品就能覆盖的问题。
我们需要解释为什么不像其他安全新名词一经提出就会火热,之后再慢慢验证是真命题还是伪命题。
零信任概念在2010年提出,七八年后才热闹起来(实际上的顶点还没有达到)。安全和信任是很容易联系到一起的一对术语,而零信任意味着不信任,那又何来安全之说?我们可以看到,美国企业网络安全业界接受零信任体系也并不是一触即碰出火花的效果,也需要很长的时期(实际上,到现在给人的感觉是这个概念在中国似乎比在美国热得多),在美国企业网络安全领域,零信任从提出到成为RSA的热点几乎花了十年时间。原因是企业网络环境的变化和条件的逐渐成熟:
01企业边界的消失
IT技术在过去十年迅猛发展,使得企业网络行为发生很大变化,移动办公、BYOD和居家办公等新的企业运作形态对传统企业网络安全带来诸多挑战,其中最大的影响就是传统企业网络的边界概念在逐渐模糊和消亡,而传统的企业网络安全正是以企业边界为重要的条件建立相对应的信任体制。
02云计算的普及
云在过去十年的发展,无论美国还是中国都可用惊世骇俗来形容,只不过中国发展主要是在互联网业务譬如电商,收入靠CDN层面。而美国则以企业SaaS为典型代表,云安全早已成为企业网络安全的重中之重,和企业边界问题一样,传统网络安全技术对于云来说已经到了捉襟见肘的地步,急需新的安全理念和体系,而不是一两个产品。
03企业数据成指数级增长
随着CPU、存储等硬件技术和以云计算为代表的系统软件能力的突飞猛进,企业网络上的数据呈几何级增长,数据资产安全已成为企业网络安全的最大挑战,传统的安全思维已经完全满足不了新的需求。
04零信任技术逐步成熟
零信任体系包含很多技术,但没有一个技术是零信任特有的。而这些局部技术在过去十年中因为需求场景的不断复杂化也在不停地优化发展,无论是对企业网络中实体的梳理画像,认证从单因子向双因子演进,还是围绕着软件定义边界(SDP - Software Define Perimeter)概念形成的技术方案,这些技术的成熟为企业构建零信任体系提供了充分必要的前提条件。
因此,我们可以预测在美国企业网络安全领域,零信任体系确实走到了应该开花结果的地步。在国内,无论是需求场景的差异,还是技术的能力,都与美国有差距,但是国家这些年对安全的重视,以及中国企业文化基因中先天的集中化管理优势,都为企业网络零信任体系的建立提供了天时地利之势。我们需要要根据企业的具体情况,掌握好实施节奏,避免用同一个静态方案去生搬硬套不同的企业环境。
国内企业网络在考虑建立零信任体系时合理思路是什么?
我们认为围绕以下原则开展相关工作是非常重要的:
1
长期规划非短时部署的产品或方案。零信任是一个适时而生的安全概念,既不是一个新出现的局部安全需求,也不会是一个全新的具体技术,而是企业信息安全发展到一个阶段,针对新的安全需求和已经存在的技术进行一次质变的重新整合,从一个新的角度看待企业IT安全而提出的一个新的概念。这就决定了零信任体系的建设是企业高层参与的宏观工程(执行时是需要拆解成不同的、具体的落地项目),而不是日常企业网络安全运维的局部项目。
2
虽然零信任体系本身是一个很大的系统,不可能一蹴而就,但这不意味着我们就不需要清晰的最终目标,那么零信任体系到底可以给企业网络安全以什么样的终极目标才更为合理呢?仁者见仁智者见智,我们在这里抛砖引玉给出“7Right原则” 定义:在完全没有信任的前提下,实现Right(1)的人在Right(2)的时间和Right(3)的地方,利用Right(4)的设备,通过Right(5)的账号访问Right(6)的应用系统和操作Right(7)的数据。
3
企业网络实现完整的零信任体系是长期过程,从IT安全运维的角度可以分为基础、整合、自适应三阶段,每个阶段都可以清晰地设定相应的子目标和任务。实际上,现在每个企业的网络安全基本都已处在零信任体系的某一个阶段(大多数企业网络处在基础阶段,少数企业已经触及整合阶段),而且有些企业在局部做得非常不错,譬如很多银行业务网络已经实施的最小权限化管理原则,运营商内部网络成熟的4A认证管理体系等等。
基础阶段:主要任务是目前大多数企业网络安全运维面临的主要工作,譬如访问权限的定义、基于策略的管理等等;
整合阶段:在基础阶段的前提下引入生命周期管理、动态授权和需要关联几个维度后的管理机制(基础阶段一般都是同一维度下的管理);
自适应阶段:强调的是自动,因此人工智能/机器学习的采用是这个阶段的显著特点,同时对企业网络全面的梳理,和业务深度的结合都是该阶段需要面临的挑战,该阶段的成功意味着企业网络安全的一个巅峰到来,意味着7R原则在企业网络安全运维的高效运转。
4
最重要的,建立零信任体系是甲方全程主导的长期工程,绝不可能是安全厂商提供的交钥匙工程,也不是甲方安全运维部门能够独立完成的项目。且不论其涉及的广度和与业务的紧密关系,工程整个周期中有很多点是需要甲方决策层的深度参与。这就决定零信任体系建设是甲方的“生产”业务,第三方起的是协助和支撑的角色。当然,每个企业都应该结合企业现在和未来的需求,考虑自身当前网络安全的现状和能力,制定能够逐步实现的零信任体系的长期计划。
祝愿中国的每一个企业早日实现实现“Right的人在Right的时间和Right的地方,利用Right的设备,通过Right的账号访问Right的应用系统和操作Right的数据”这样的零信任体系(架构)!
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。