數字時代下,云大物移等新興技術的融合與發展使得傳統邊界安全防護理念逐漸失效,而零信任安全建立以身份為中心進行動態訪問控制,必將成為數字時代下主流的網絡安全架構。
1、零信任將成為數字時代主流的網絡安全架構(1)零信任是面向數字時代的新型安全防護理念零信任是一種以資源保護為核心的網絡安全范式。
零信任安全簡要歸納和概況:1)網絡無時無刻不處于危險的環境中;2)網絡中自始至終都存在外部或內部威脅;3)網絡位置不足以決定網絡的可信程度;4)所有的設備、用戶和網絡流量都應當經過認證和授權;5)安全策略必須是動態的,并基于盡可能多的數據源計算而來。
因此零信任安全的核心思想是默認情況下企業內部和外部的所有人、事、物都是不可信的,需要基于認證和授權重構訪問控制的信任基礎。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的術語。經過近十年的探索,零信任的理論及實踐不斷完善,逐漸從概念發展成為主流的網絡安全技術架構。
數字時代下,舊式邊界安全防護逐漸失效。傳統的安全防護是以邊界為核心的,基于邊界構建的網絡安全解決方案相當于為企業構建了一條護城河,通過防護墻、VPN、UTM 及入侵防御檢測等安全產品的組合將安全攻擊阻擋在邊界之外。這種建設方式一定程度上默認內網是安全的,而目前我國多數政企仍然是圍繞邊界來構建安全防護體系,對于內網安全常常是缺失的,在日益頻繁的網絡攻防對抗中也暴露出弊端。而云大物移智等新興技術的應用使得 IT 基礎架構發生根本性變化,可擴展的混合 IT 環境已成為主流的系統運行環境,平臺、業務、用戶、終端呈現多樣化趨勢,傳統的物理網絡安全邊界消失,并帶來了更多的安全風險,舊式的邊界安全防護效果有限。面對日益復雜的網絡安全態勢,零信任構建的新型網絡安全架構被認為是數字時代下提升信息化系統和網絡整體安全性的有效方式,逐漸得到關注并應用,呈現出蓬勃發展的態勢。
(2)“SIM”為零信任架構的三大關鍵技術
零信任的本質是以身份為中心進行動態訪問控制。零信任對訪問主體與訪問客體之間的數據訪問和認證驗證進行處理,其將一般的訪問行為分解為作用于網絡通信控制的控制平面及作用于應用程序通信的數據平面。訪問主體通過控制平面發起訪問請求,經由信任評估引擎、訪問控制引擎實施身份認證及授權,獲得許可后系統動態數據平面,訪問代理接受來自主體的數據,從而建立一次可信的安全訪問鏈接。過程中,信任評估引擎將持續進行信任評估工作,訪問控制引擎對評估數據進行零信任策略決策運算,來判斷訪問控制策略是否需要作出改變,若需要作出改變時,將及時通過訪問代理中斷此前連接,從而有效實現對資源的保護。綜上,可將零信任架構原則歸納為以下五個:
將身份作為訪問控制的基礎:零信任架構對網絡、設備、應用、用戶等所有對象賦予數字身 份,基于身份來構建訪問控制體系;最小權限原則:零信任架構中強調資源按需分配使用,授予的是執行任務所需的最小特權, 并限制資源的可見性;實時計算訪問控制策略:零信任的授權決策根據訪問主體的身份、權限等信息進行實時計算, 形成訪問控制策略,一旦授權決策依據發生變化,將重新進行計算,必要時將即時變更授權 決策;資源受控安全訪問:零信任架構對所有業務場景及資源的每一個訪問請求都進行強制身份識 別和授權判定,符合安全策略才予以放行,實現會話級別的細粒度訪問控制,同時所有的訪 問連接均須加密;基于多源數據進行信任等級持續評估:零信任架構中訪問主體的信任等級是根據實時多源數 據(如身份、權限、訪問日志等)計算得出,人工智能技術提高了信任評估策略的計算效率, 實現零信任架構在安全性、可靠性、可用性及成本方面的綜合平衡。
“SIM”,即 SDP(軟件定義邊界)、IAM(身份與訪問管理)、MSG(微隔離)是實現零信任 架構的三大關鍵技術。NIST(美國國家標準委員會)在 2019 年發布的《零信任架構 ZTA》白皮書中,總結出實現零信任架構的三大核心技術“SIM”,分別是“S”,即 SDP(軟件定義邊界);“I”,即 IAM(身份與訪問管理);“M”,即 MSG(微隔離)。
1) SDP(軟件定義邊界)
SDP 技術是通過軟件的方式,在“移動+云”的背景下構建起虛擬 ,利用基于身份的訪問控制及 完備的權限認證機制提供有效的隱身保護。SDP 是由云安全聯盟(CSA)開發的一個安全框架,其體系結構主要包括 SDP 客戶端、SDP 控制器及 SDP 網關這三個組件,其中客戶端主要負責驗證用戶身份,將訪問請求轉發給網關,控制器負責身份認證及配置策略,管控全過程,網關主要保護業務系統,防護各類網絡攻擊,只允許來自合法客戶端的流量通過。SDP 可將所有應用程序隱藏,訪問者不知應用的具體位置,同時所有訪問流量均通過加密方式傳輸,并在訪問端與被訪問端之間點對點傳輸,其具備的持續認證、細粒度的上下文訪問控制、信令分離等防御理念可有效解決企業業務拓展中的安全問題,成為了零信任理念的最佳踐行之一。
2)IAM(身份與訪問管理)
全面身份化是零信任架構的基石,零信任所需的 IAM 技術通過圍繞身份、權限、環境等信息進行有效管控與治理,從而保證正確的身份在正確的訪問環境下,基于正當理由訪問正確的資源。隨著 數字化轉型的不斷深入,業務的云化、終端的激增均使得企業 IT 環境變得更加復雜,傳統靜態且封閉的身份與訪問管理機制已不能適應這種變化,因此零信任中的 IAM 將更加敏捷、靈活且智能, 需要適應各種新興的業務場景,能夠采用動態的策略實現自主完善,可以不斷調整以滿足實際的安全需求。
3)MSG(微隔離)
微隔離通過細粒度的策略控制,可以靈活地實現業務系統內外部主機與主機的隔離,讓東西向流量可視可控,從而更加有效地防御黑客或病毒持續性大面積的滲透和破壞。當前微隔離方案主要有三種技術路線,分別是云原生微隔離、API 對接微隔離以及主機代理微隔離,其中主機代理微隔離更加適應新興技術不斷更迭及應用帶來的多變的用戶業務環境。
(3)零信任安全應用場景豐富
今年在疫情及新基建的雙重刺激下,遠程辦公、云計算得到快速發展,政府大數據快速推進,對于零信任安全建設的必要性亦大大增強。而基于零信任的安全架構可以很好地兼容云計算、大數據、物聯網等各類新興應用場景,支持遠程辦公、多云環境、多分支機構、跨企業協同等復雜網絡架構。如適用于遠程辦公的零信任安全架構,不再區分內外網,在人員、設備及業務之間構建虛擬的、基于身份的邏輯邊界,實現一體化的動態訪問控制體系,不僅可以減少攻擊暴露面,增強對企業應用和數據的保護,還可通過現有工具的集成大幅降低零信任潛在建設成本。在大數據中心的應用場景中,東西向流量大幅增加,傳統以南北向業務模型為基礎研發的安全產品已不適用,零信任架構可通過微隔離技術實現有效防護。
零信任架構具備多種靈活的實現部署方式,適應多場景。現代 IT 環境下,業務場景呈現多樣化趨勢,根據訪問主客體、流量模型以及業務架構可將這些場景歸納為三大類:業務訪問、數據交換以及服務網格場景。其中業務訪問場景是指用戶訪問業務應用的場景,是零信任架構的主要應用場景,包含移動辦公、PC 辦公等各類子場景,成功的零信任解決方案能夠滿足不同訪問主體(如內部員工、臨時員工以及外部人員等)、不同設備對各種應用協議的業務訪問需求,在保持整體相同架構情況下具有高度適應性。大數據時代下數據交換場景變得更加頻繁,相應的零信任解決方案需要有效應對接口多樣化、運行環境多樣化等挑戰。服務網格場景,即數據中心內部服務器間的多方交互場景,是對業務架構嵌入最深的場景,由于節點數量較多,對零信任架構中的動態訪問控制引擎及信任評估引擎要求更高。
2、零信任已從概念走向落地,迎來強勁風口
(1)中美雙雙加碼零信任安全
2019 年起美國相關組織陸續發布了多項零信任相關的報告或標準。2019 年 4 月,ACT-IAC(美國技術委員會—行業咨詢委員會)發布了《零信任網絡安全當前趨勢》,對當前零信任的技術成熟度及可用性進行評估,隨后 DIB(國防創新委員會)、NIST(美國國家標準委員會)均發表了零信任相關 的報告或標準,其中《零信任架構》標準正式版也于今年 8 月 11 日發布,此外,Forrester 在《 2019 年度預 測:轉型走向務實》中明確指出零信任將在美國某些特定的領域成為標準的、階段性的網絡安全架構。
值得注意的是,美國國防部已明確將零信任實施列為最高優先事項。無論是 DIB(國防創新委員會) 提出的《零信任架構(ZTA)建議》還是 2019 年美國的《國防部數字現代化戰略》中,均將零信任實施列為最高優先事項,側面反映出美國政府及軍隊對于零信任架構的深刻認知和重視。
我國零信任亦緊鑼密鼓地展開,標準及應用案例逐漸落地。2019 年 9 月,工信部發布的《關于促進網絡安全產業發展的指導意見(征求意見稿)》中將“零信任安全”列入需要“著力突破的網絡安全關鍵技術”。2019 年 7 月騰訊牽頭提交的《零信任安全技術—參考框架》行業標準通過評審,成為我國首個立項的零信任安全技術行業標準。此外,奇安信發起的零信任首個國家標準《信息安全技術零信任參考體系架構》已成功立項。同時,自 2019 年起國內部分機構也開始將零信任作為新建 IT 基礎設施的安全架構,能源、銀行、通信等行業也針對新型業務場景開展零信任技術的研究及試點工作。
(2)零信任安全正在普及應用
零信任架構成為企業 IT 安全建設的必然選擇。2019 年底,Cybersecurity Insiders 聯合 Zscaler 發布 的《2019 零信任安全市場普及行業報告》指出,62%的受訪者表示目前最大的應用程序安全挑戰是確保對分布在數據中心和云環境中的私有應用程序的訪問安全,對此企業所采用的安全措施主要是身份和訪問管理(72%)、數據丟失預防(51%)、BYOD/移動安全(50%)等,這些措施均與零信任相關。報告指出,78%的 IT 安全團隊希望在未來應用零信任架構,19%的受訪者正積極實施零信任,而 15%的受訪者已經實施了零信任,零信任安全正迅速流行起來。
此外,受訪者表示零信任被看重的優點在于零信任安全訪問能夠提供最低權限的訪問來保護私有應用程序(66%)、應用程序不再暴露給未經授權的用戶或互聯網(55%)以及訪問私有應用程序不再需要網絡訪問(44%)。而通過落地的零信任應用領域看,主要集中在安全訪問運行在混合和公共云環境中的私有應用程序(37%)、使用現代遠程訪問服務取代 VPN(33%),以及控制對私有應用程序的第三方訪問(18%)。
零信任作為全新的安全理念,需要基于業務需求、安全運營現狀、技術發展趨勢等對零信任能力進行持續完善和演進。零信任的遷移并不是一蹴而就,需要結合企業現狀、同一目標和愿景進行妥善規劃和分布建設。Gartner 的《零信任訪問指南》認為到 2022 年,在向生態合作伙伴開放的新數字業務應用程序中,80%將通過零信任進行網絡訪問,到 2023 年,60%的企業將采用零信任替代大部分遠程訪問虛擬專用網(VPN)。
(3)海外零信任產業已初具規模,國內即將步入建設高峰海外零信任起步較早,目前已初具規模。Google、Microsoft 等巨頭率先在企業內部實踐零信任并推出了完整的解決方案;OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為中心”的零信任方案;Cisco、Symantec、VMware、F5 等公司推出了偏重于網絡實施方式的零信 任方案;此外 Vidder、Cryptzone、Zscaler、Illumio 等創業公司亦表現。根據 Forrester 在 2020 年二季度對于零信任產業的統計數據,按照零信任解決方案收入規模,市場的供應商可分為三類,其中零信任相關營收超過 1.9 億美元的廠商已超過 10 家,海外零信任已經進入規模化產業發展階段。
國內安全廠商積極布局零信任。盡管 Forrester Wave 的零信任擴展的生態系統平臺提供商矩陣中未見國內安全廠商身影,但奇安信、深信服、啟明星辰、綠盟科技等廠商始終關注國際網絡安全技術發展趨勢,均推出了相應的零信任整體解決方案。此外,山石網科、云深互聯等廠商亦積極推動 SDP、微隔離等零信任技術方案的落地應用。在零信任快速普及的背景均有望迎來良好的發展機遇。
數字時代下,云大物移等新興技術的融合與發展使得傳統邊界安全防護理念逐漸失效,而零信任安全建立以身份為中心進行動態訪問控制,必將成為數字時代下主流的網絡安全架構。當前海外零信任產業已進入規模化發展階段,國內廠商已陸續推出自身的零信任產品或解決方案。在零信任安全逐漸普及的背景下,我們認為兩類廠商最為受益:一是綜合實力強勁并已有相應產品或解決方 案推出的網絡安全公司;二是在 SDP、IAM、MSG 或是某一應用場景具備突出優勢的廠商。