零信任网络安全的破局之选

零信任

网络安全的破局之选

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，即“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。

《零信任实战白皮书》

全文查看

发展历程

2004年
零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum )，其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。

2014年
谷歌发表了6篇Beyond Corp系列论文，介绍了谷歌如何将零信进行落地的实践。同一年，国际云安全联盟发布了SDP标准规范1.0。

2018年
Forrester提出零信任架构，将能力从微隔离扩展到可视化、分析、自动编排等维度。

2020年
美国国家标准与技术研究院NIST发布《零信任架构标准》正式版，历经十年发展，零信任安全理念在国外逐渐被广泛认知，在国内也开始出现了萌芽。

2010年
当时著名研究机构Forrester的首席分析师约翰.金德维格（John Kindervag）提出零信任安全概念。这个时期专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。

2017年
Gartner在安全与风险管理峰会上发布CARTA模型（持续自适应风险与信任评估）并提出零信任是实现CARTA宏图的初始步骤。

2019年
Gartner发布零信任网络ZTNA，融合SDP安全模型，同年，NIST发布《零信任架构标准》草案，腾讯牵头的《服务访问过程持续安全指南》零信任ITU国际标准正式立项。

2020年
6月，在中国产业互联网发展联盟标准专委会指导下成立了“零信任产业标准工作组”，由腾讯安全牵头起草的《零信任系统技术规范》正式发布。8月，零信任产业标准工作组正式对外发布国内首个基于攻防实践总结的《零信任实战白皮书》。

本质解读

零信任本质是以身份为基石的动态可信访问控制。它需要满足五个准则：
       · 网络无时无刻不处于危险的环境中;
       · 网络中自始至终存在外部或内部威胁;
       · 网络的位置不足以决定网络的可信程度;
       · 所有的设备、用户和网络流量都应当经过认证和授权;
       · 安全策略必须是动态的，并基于尽可能多的数据源计算而来。

* 以身份为基石
       基于身份而非网络位置来构建访问控制体系，首先需要为网络中的人和设备赋予数字身份，将身份化的人和设备进行运行时组合构建访问主体，并为访问主体设定其所需的最小权限。

       * 业务安全访问
       零信任架构关注业务保护面的构建，通过业务保护面实现对资源的保护，在零信任架构中，应用、服务、接口、数据都可以视作业务资源。

       * 持续信任评估
       持续信任评估是零信任架构从零开始构建信任的关键手段，通过信任评估模型和算法，实现基于身份的信任评估能力，同时需要对访问的上下文环境进行风险判定，对访问请求进行异常行为识别并对信任评估结果进行调整。

       * 动态访问控制
       动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线，基于信任等级实现分级的业务访问，同时，当访问上下文和环境存在风险时，需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。

* 增强的身份治理（IAM）
       身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产，同时管理潜在的安全和合规风险。身份管理为所有用户，应用程序和数据启用并保护数字身份。开发ZTA的增强的身份管理方法将参与者的身份用作策略创建的关键组成部分。企业资源访问的主要要求基于授予给定主体的访问特权。通常使用开放式网络模型或具有访问者访问权限或网络上频繁使用非企业设备的企业网络找到针对企业的基于身份治理的增强方法。最初，所有具有资源访问权限的资产都将获得网络访问权限，这些权限仅限于具有适当访问权限的身份。自发布NIST SP 800-207(第二草稿)零信任架构以来，身份驱动的方法与资源门户网站模型配合的很好。身份和状态提供辅助支持数据以访问决策。其他模型也可以使用，具体取决于现有的策略。

       * 软件定义边界（SDP）
       SDP即“软件定义边界”，是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP 旨在使应用程序所有者能够在需要时部署安全边界，以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构。 SDP 的体系结构由两部分组成：SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理。因此，在 SDP 中，控制平面与数据平面分离以实现完全可扩展的系统。此外，为便于扩展与保证正常使用，所有组件都可以是多个实例的。

       * 微隔离（MSG）
       微隔离是一种网络安全技术，它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段，然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略，而不必安装多个物理防火墙。此外，微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。

场景聚焦

>> 分支机构访问总部业务系统

最常见的情况是，企业只有一个总部和一个或多个地理上分散的位置，这些位置没有企业拥有的物理网络连接。<查看更多>

>> 企业多云战略

《部署ZTA策略的一个越来越常见的用例是使用多个云提供商的企业。在这个用例中，企业有一个本地网络，但使用两个(或更多)云服务提供商来承载应用程序和数据。<查看更多>

>> 临时工、外包员工访问业务系统

另一个常见的场景是，一个企业包含需要有限访问企业资源才能完成工作的现场访问者和/或外包服务提供商。<查看更多>

>> 跨企业协同

第四个用例是跨企业协作。例如，有一个项目涉及企业A和企业B的员工。这两个企业可以是独立的联邦机构(G2G)，甚至是联邦机构和私营企业(G2B)。<查看更多>

>> 提供面向公众或面向客户的服务的企业

许多企业的共同特征是面向公众的服务，其中可能包含或不包含用户注册(即用户必须创建或已获得一组登录凭据)。这样服务可能是针对普通大众，具有现有业务关系的一组客户，或一组特殊的非企业用户。<查看更多>

>> 员工访问互联网资源