什么是零信任
物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。
但随着业务迁移到云端,APT攻击的泛滥,以及移动办公的趋势,传统的安全边界变的模糊,既然网络和威胁已经发生了变化,我们的防御模型也要跟着变化。
零信任是一种安全模型。首先我们要抛弃传统的边界观念,不再依据用户所处的网络位置而决定这个人是否可信。取而代之的是我们对每个请求都进行严格验证
信任建立起来之前,网络上的任何资源都是隐身的。未授权用户和设备是隔离的。完全看不到网络上的任何东西。
验证过程包括人的因素和设备的因素
人的因素包括验证用户的身份,看看他的身份是不是真的。和验证用户是不是有授权,看看他是否被允许访问相应的资源。
除此之外,我们还要了解用户是否使用了合法的设备,设备是否未被攻陷。通过对用户使用的设备进行验证,我们可以避免将敏感数据暴露给被攻陷的设备,并避免被该设备横向攻击网络上的其他用户。
一旦通过了验证过程,就建立了信任。用户就可以访问到请求的资源了。当然其它未授权访问的资源还是隐身的。因为零信任是建立在按需授权的理念之上的。
我只能访问我需要的资源。其它的都不行。除非我发起新的请求,并通过同样的验证和授权过程。
在零信任模型中,对用户的验证是动态的,持续发生的。
这意味着合法用户被攻陷后,设备验证会立即报错。他们对资源的访问将立即被切断,不安全设备和其它资源之间的连接也会立即被切断,以避免数据泄露和横向攻击。
零信任仅仅只是一个理论模型。有很多实际的产品可以帮我们实现它。
零信任理念的基本假设
- 内部威胁不可避免;
- 从空间上,资源访问的过程中涉及到的所有对象(用户、终端设备、应用、网络、资源等)默认都不信任,其安全不再由网络位置决定;
- 从时间上,每个对象的安全性是动态变化的(非全时段不变的)。
零信任的基本原则
- 任何访问主体(人/设备/应用等),在访问被允许之前,都必须要经过身份认证和授权,避免过度的信任;
- 访问主体对资源的访问权限是动态的(非静止不变的);
- 分配访问权限时应遵循最小权限原则;
- 尽可能减少资源非必要的网络暴露,以减少攻击面;
- 尽可能确保所有的访问主体、资源、通信链路处于最安全状态;
- 尽可能多的和及时的获取可能影响授权的所有信息,并根据这些信息进行持续的信任评估和安全响应。
零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定。
零信任的技术体系
目前零信任主要有三大技术体系,分别是SDP(软件定义边界)、IAM(增强身份管理)和MSG(微隔离)
SDP
SDP详解可参考:软件定义边界(SDP)
SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP仅允许在设备验证和身份验证后访问企业应用程序基础架构。SDP的体系结构由两部分组成:SDP主机和SDP控制器。SDP主机可以发起连接或接受连接。这些操作通过安全控制通道与SDP 控制器交互来管理
SDP安全优势:
1.SDP最大限度地减少攻击面,降低安全风险;
2.SDP通过分离访问控制和数据通道来保护关键资产和基础设施,从而防止潜在的基于网络的攻击;
3.SDP提供了现有安全设备难以实现的整体集成安全架构。
4.SDP提供了一种基于连接的安全体系结构,而不是基于IP的替代方案。由于整个IT环境的爆炸式增长,云环境中缺乏边界使得基于IP的安全性变得脆弱。
5.SDP允许对所有连接进行预检查和控制,从这些连接可以连接设备、服务和设施,因此其整体安全性比传统架构更有利。