新冠疫情全球蔓延,幾乎讓所有人都開始謹慎地減少外出,與他人保持社交距離。與之對應的是,人們有了更多的時間花費在電子設備和網絡世界當中。
相比較于病毒肆虐所造成的人身健康的威脅,網絡世界的安全威脅則顯得更難以察覺。但隨著企業(yè)和個人越來越多地將自身最重要的數據資產存放在網絡端和云端,網絡安全的威脅也正在變得棘手和嚴重起來。
2月底,SaaS服務商微盟的業(yè)務數據遭到內部員工故意刪庫,導致300萬個平臺商家的小程序全部宕機,眾多商家損失慘重,同時微盟市值大幅縮水。這一事件被業(yè)內視為企業(yè)數據安全的拐點性事件。
4月初,受疫情影響而出現用戶量暴增的遠程視頻軟件Zoom,卻被曝出重大安全漏洞,引發(fā)股東集體訴訟。漏屋偏逢連夜雨,最近Zoom又被曝出53萬條用戶網絡憑證掛在暗網低價出售。盡管Zoom數據泄露原因被指向是黑客的撞庫攻擊,但由于Zoom這一視頻會議軟件會涉及會議內容、攝像頭、遠程桌面等隱私問題,此次數據泄露再次引發(fā)媒體和眾多企業(yè)組織的抵制和禁用。
結合之前眾多國內企業(yè)在用戶數據安全、隱私保護上的暴露出的種種問題,我們會發(fā)現網絡安全仍然是企業(yè)在產品開發(fā)和運營當中的一大短板。
而現在,遠程協(xié)同辦公的興起也讓企業(yè)內網正在面臨著新的安全威脅,由傳統(tǒng)的VPN和防火墻構成的網絡安全架構,已經難以滿足企業(yè)員工的大量外網的接入需要。
一種早在10年前就提出,一直在蓄勢發(fā)展的“零信任安全”,成為當下可供企業(yè)網絡安全選擇的新架構。
不信任,才是邁向最佳安全性的第一步?
關于信任的一場安全危機,最早可能就來自于古希臘神話中的“特洛伊木馬”。希臘人制定的木馬計劃,騙取了特洛伊人的信任。木馬被他們自己迎接進了特洛伊城,而希臘人則從內部將其攻破。這一經典戰(zhàn)術啟發(fā)了互聯網時代最猖狂的網絡攻擊,通過在正常的程序中植入木馬程序,就可以實現對被感染計算機的遠程控制。
對現在很多企業(yè)的數據中心,傳統(tǒng)意義上的網絡安全就是通過一系列防火墻或者殺毒軟件的手段來防御這些外部威脅。但是如果是具有正當憑證以及權限的用戶進入系統(tǒng),這些外圍防御系統(tǒng)就會自動放過,而系統(tǒng)內部則隱含著對他們的信任關系,也就很難阻止這些用戶的不良行為。
一種是用戶賬戶被盜取后的黑客侵害行為;一種是用戶本人的侵害行為,就如微盟內部員工的“刪庫”,而這樣的內部損害也可能更為嚴重。
真正能夠做到系統(tǒng)內部的數據保護,目前最可行的一種方式就是零信任網絡訪問的模式。這一安全架構將改變企業(yè)數據保護的現有規(guī)則。
所謂零信任網絡訪問(Zero-Trust Network Access,簡稱“ZTNA)”),是在2010年由研究機構Forrester副總裁兼首席分析師約翰·金德瓦格(John Kindervag)提出。意思是:不能信任出入網絡的任何內容。應通過強身份驗證技術保護數據,創(chuàng)建一種以數據為中心的全新邊界。簡單說就是“從不信任,總是驗證”。
為什么企業(yè)需要進行零信任網絡訪問呢?
首先是全球經濟因為網絡安全問題導致的損失在逐年增加,預計到2021年因網絡網絡犯罪所致全球經濟損失總額將達6萬億美元。而世界上重大的數據泄露事件都是由于黑客攻破企業(yè)防火墻之后,在內部網絡擁有全部訪問權限而暢通無阻造成的。
盡管企業(yè)的信息網絡安全的支出每年都在增加,但是傳統(tǒng)的安全方法難以應對日趨嚴峻的安全威脅態(tài)勢,轉變舊的安全邊界的防護思維和方法成為破題之策。
另外,最重要的一個變化就是企業(yè)的安全邊界正在模糊。受到企業(yè)數字化轉型和云計算業(yè)務增長的影響,以防火墻和VPN為代表的傳統(tǒng)安全技術構建的企業(yè)邊界正在被云業(yè)務的場景模式給瓦解。眾多的外部訪問擴大了向企業(yè)內部滲透的攻擊威脅。
這樣“內部等于可信任”和“外部等于不可信任”的傳統(tǒng)網絡安全觀念就需要打破,而零信任網絡訪問的“驗證才信任”的優(yōu)勢也就突顯出來了。
如何實現零信任網絡安全?
零信任網絡訪問,需要企業(yè)根據用戶、所處位置和其他數據等條件,建立微隔離和細粒度邊界規(guī)則,來確定是否可以信任向企業(yè)特定范圍訪問權限發(fā)起請求的用戶、主機或者是應用。實現零信任網絡訪問,要做到:第一,要確認用戶身份,通過交叉驗證確保是用戶本人的登錄操作;第二,要保證用戶所用終端是否安全;第三,建立條件限制策略,明確訪問權限;第四、訪問控制需要符合最小權限原則進行細粒度授權,基于盡量多的屬性進行信任和風險度量,實現動態(tài)自適應訪問控制。
零信任網絡訪問需要依靠多因子身份認證、身份與訪問管理、編排、分析、加密、安全評級和文件系統(tǒng)權限等技術來做上述工作。
眾多企業(yè)的IT部門已經在其網絡環(huán)境中部署了多因子身份驗證、身份與訪問管理和權限管理通,常會采取軟件定義邊界(SDP)和微隔離技術,來有效阻隔服務器或者網段之間的訪問權限。
軟件定義邊界憑借更細粒度的控制、更靈活的擴展、更高的可靠性,正在改變傳統(tǒng)的遠程連接方式。而網絡微隔離是在傳統(tǒng)的區(qū)域架構下,進一步細分區(qū)域內的網絡以增強安全性。微隔離常用于數據中心網絡中,以細分區(qū)域內的應用程序,可以實現對工作流級別的細粒度隔離和可視化管理,正在成為虛擬化環(huán)境下網絡隔離優(yōu)選方案。
當然,建立零信任安全環(huán)境,不僅僅是實現這一單點技術,而是要在這些技術的應用中始終貫徹“無驗證即不信任”的理念。
零信任作為一種全新的安全理念,應該成為企業(yè)決策者未來堅持推行的舉措。據舊金山計算機安全研究所的統(tǒng)計,60%到80%的網絡濫用事件來自內部網絡,對內部人的信任所造成的危害程度,遠遠超過黑客攻擊和病毒造成的損失。企業(yè)需要調整思維方式,讓零信任理念也成為管理者和員工自覺遵守的行為準則。
實際上,零信任架構更適合于企業(yè)在向云端遷移的環(huán)境中搭建。而那些有著復雜IT環(huán)境和大量舊系統(tǒng)的大型企業(yè),需要把零信任架構遷移看做是多階段、長時間的一項整體工程來對待。零信任架構作為企業(yè)整體數字轉型戰(zhàn)略的一部分,實現那些有助于在云遷移過程中達成零信任的技術,然后淘汰掉那些老舊的遺留系統(tǒng)。
也就是先有整體設計,再采取相應技術。
零信任網絡安全的應用實踐
2018年,Gartner 提出零信任是進行持續(xù)自適應的風險和信任評估(CARTA)的第一步。零信任要按照需要對不同身份(設備、用戶和網絡流量)授予區(qū)別化和最小化的訪問權限,并通過持續(xù)認證改變“通過認證即被信任”的防護模式。
國內外企業(yè)基于對零信任安全框架的理解,開展了技術探索和布局。
在軟件定義邊界上,谷歌的Beyond Corp基于設備、用戶、動態(tài)訪問控制和行為感知策略實現其零信任構想,所有流量通過統(tǒng)一的訪問代理來實現認證和授權,實時更新信息庫中的用戶、設備、狀態(tài)、歷史用戶行為可信度等相關信息,利用動態(tài)的多輪打分機制對請求來源進行信任層級劃分,從而進一步實現層級內的最小權限控制。
筆者這里就有一個比較慘痛的教訓。我一直在嘗試找回一個十多年前注冊的Gmail賬戶,但因為使用的手機號碼已經注銷,因此通過其他任何方式驗證,我也始終無法再找回該賬戶。這可能也意味著谷歌的零信任驗證實在是過于謹慎了。
此外,像思科、Verizon以及國內的云深互聯等企業(yè)都推出了基于零信任的SDP服務方案。
在微隔離技術上,網絡安全初創(chuàng)企業(yè)Illumio的自適應安全平臺以微隔離技術為基礎,在分隔策略配置方面,應用人工智能學習網絡流量模式,提供多種便捷配置模式和可視化展示。國內的薔薇靈動、山石網科等企業(yè)也在微隔離、可視化安全解決方案上進行積極探索。
根據Gartner在《零信任網絡訪問市場指南》做出的戰(zhàn)略規(guī)劃假設,到2022年,80%向生態(tài)合作伙伴開放的新數字業(yè)務應用將通過零信任網絡訪問接入;到2023年,將有60%的企業(yè)將淘汰大部分的VPN,而使用零信任網絡訪問。
當前,在我國企業(yè)數字化轉型和業(yè)務上云等趨勢的推動下,業(yè)務模式轉換和遷移上云將為零信任網絡安全提供實踐的平臺,進而可以充分利用內部業(yè)務、數據、設備等信息,形成持續(xù)、動態(tài)和細粒度的零信任安全防護方案。
同時對于傳統(tǒng)的安全廠商而言,積極推動全新的網絡安全技術和安全理念的變革,將零信任理念與傳統(tǒng)身份管理與訪問控制等技術融合,發(fā)揮傳統(tǒng)安全廠商在身份管理領域的深耕優(yōu)勢,推動零信任理念與傳統(tǒng)技術的深度融合,這樣基于零信任的動態(tài)身份管理和訪問權限控制解決方案才有望加速落地。
正如前面微盟、Zoom案例所體現的,如果企業(yè)在網絡安全上沒有給予足夠的重視,在網絡安全意識和理念上仍然沿用傳統(tǒng)的技術思路,就會因為一次的失誤而引發(fā)極為嚴重的安全危機和巨大的經營風險。
在事關企業(yè)的生存與發(fā)展大事面前,將網絡安全當作企業(yè)的生命線也不為過,而推動零信任模式的網絡安全體系升級也就必須提上眾多企業(yè)的議事日程了。
京公網安備 11010502049343號