零信任網(wǎng)絡(luò)能提供更好的數(shù)據(jù)泄露防護(hù)，但通往零信任網(wǎng)絡(luò)的道路卻困難曲折。零信任模型的核心思想，是網(wǎng)絡(luò)邊界內(nèi)外的任何東西，在沒經(jīng)過驗(yàn)證之前都不予信任。用傳統(tǒng)安全方法擋不住數(shù)據(jù)泄露的公司企業(yè)目前越來越關(guān)注零信任網(wǎng)絡(luò)模型了。

[[237340]]

但是，想要實(shí)現(xiàn)該模型的公司企業(yè)，首先就需要拋棄長期以來深植于內(nèi)部人可信和公司網(wǎng)絡(luò)可信思維基礎(chǔ)上的那些操作。

零信任模型

2010年，佛瑞斯特研究所構(gòu)造了“零信任”這個(gè)術(shù)語，用以描述嘗試連接網(wǎng)絡(luò)資產(chǎn)的任何用戶和任何設(shè)備都被當(dāng)成不可信對(duì)象處理的一種安全模型。該模型突出設(shè)備憑證和用戶憑證的使用，而不以網(wǎng)絡(luò)位置來作為允許或拒絕網(wǎng)絡(luò)資產(chǎn)訪問的基礎(chǔ)。

佛瑞斯特和其他業(yè)內(nèi)人士宣稱，零信任方法可防止攻擊者在突破網(wǎng)絡(luò)邊界后藏身網(wǎng)絡(luò)內(nèi)部繼續(xù)摸查高價(jià)值目標(biāo)。因?yàn)閭鹘y(tǒng)安全控制和數(shù)據(jù)泄露預(yù)防工具無法發(fā)現(xiàn)，使用被盜憑證的外部攻擊者所做的惡意活動(dòng)。因?yàn)椋梢宰杂蓙砣?。最近幾年?shù)據(jù)泄露事件大量爆發(fā)，問題的根源，在于公司企業(yè)長期以來所持有的隱式信任用戶和內(nèi)網(wǎng)流量的做法。只將外部用戶當(dāng)做不可信對(duì)象加以驗(yàn)證，怎么能防住日益嚴(yán)重的內(nèi)部人威脅呢?

黑客攻擊者還不是唯一的問題。移動(dòng)辦公和云服務(wù)托管的增長，也令很多公司企業(yè)難以確立起網(wǎng)絡(luò)邊界。傳統(tǒng)筑起邊界長城守護(hù)內(nèi)部資源的安全方法，隨著企業(yè)數(shù)據(jù)的分散化和數(shù)據(jù)訪問方式的多樣化而不再有效。

信任是個(gè)危險(xiǎn)的漏洞，容易被攻擊者利用。用戶和網(wǎng)絡(luò)分為可信及不可信的觀念，是公司企業(yè)首先需要拋棄的。

零信任概念中，任何人、任何設(shè)備、任何網(wǎng)絡(luò)都不可信。必須要摒棄“人以網(wǎng)分”的想法，將注意力集中在網(wǎng)絡(luò)中四處流通的數(shù)據(jù)包上。要監(jiān)視所有流量，而不僅僅是外部流量。

漫漫零信任路

實(shí)現(xiàn)零信任網(wǎng)絡(luò)可能會(huì)很困難。作為零信任網(wǎng)絡(luò)的先行者，谷歌花了6年時(shí)間才從其VPN和特權(quán)網(wǎng)絡(luò)訪問模式遷移到BeyondCorp零信任環(huán)境。期間谷歌不得不重新定義和調(diào)整其職位角色及分類，建立起全新的主控庫存服務(wù)以跟蹤設(shè)備，提升App可見性，并翻新用戶身份驗(yàn)證及訪問控制策略。從董事會(huì)層面自頂向下地支持并推進(jìn)零信任網(wǎng)絡(luò)建設(shè)。

邁向零信任之路時(shí)應(yīng)遵循的一條關(guān)鍵原則是，在被驗(yàn)證可信之前，任何人任何設(shè)備都不能訪問內(nèi)部資源。網(wǎng)絡(luò)本身不可以確定用戶可以訪問哪些服務(wù)。

賦予用戶的信任，不能基于用戶嘗試訪問公司應(yīng)用的位置——公司網(wǎng)絡(luò)邊界內(nèi)部或外部，而應(yīng)基于用戶信息、設(shè)備信息和所訪問的資源。

重點(diǎn)應(yīng)放在安全驗(yàn)證用戶、知曉用戶角色及訪問權(quán)限，以及能夠識(shí)別出異常用戶/設(shè)備行為上。這也意味著要能夠安全驗(yàn)證設(shè)備，識(shí)別設(shè)備使用上下文，并確保對(duì)設(shè)備應(yīng)用了全部該有的安全控制措施。在這樣的環(huán)境中，多因子身份驗(yàn)證(MFA)和用戶及實(shí)體行為分析(UEBA)之類的功能，是確立用戶信任的關(guān)鍵。零信任的目標(biāo)，就是轉(zhuǎn)換到“從不信任，總是驗(yàn)證”的模式。

從內(nèi)而外設(shè)計(jì)安全

規(guī)劃零信任時(shí)，切記不能像當(dāng)前大多數(shù)企業(yè)所做的那樣由外而內(nèi)地設(shè)計(jì)安全，而應(yīng)由內(nèi)而外地規(guī)劃。應(yīng)少考慮攻擊界面，而更多地關(guān)注“防護(hù)界面”——公司實(shí)際需要保護(hù)的數(shù)字資產(chǎn)。

應(yīng)以將安全及訪問控制措施盡可能地貼近防護(hù)界面為目標(biāo)，而不應(yīng)將這些防護(hù)措施遠(yuǎn)遠(yuǎn)安置在網(wǎng)絡(luò)邊界。人們常將網(wǎng)絡(luò)分隔與零信任搞混，但如果我們不知道防護(hù)界面，那還做網(wǎng)絡(luò)分隔干什么呢?

為實(shí)現(xiàn)零信任環(huán)境，內(nèi)容分發(fā)網(wǎng)絡(luò)公司阿卡邁已清除了其企業(yè)邊界。這是因?yàn)橛脩粑恢靡巡辉倌軌蛸x予用戶信任度了。

今年晚些時(shí)候，阿卡邁還將下架遠(yuǎn)程員工的所有VPN訪問，徹底棄用口令也就在不遠(yuǎn)的將來。想要訪問該公司應(yīng)用和系統(tǒng)的任何人——包括該公司員工，都會(huì)被當(dāng)成來賓先進(jìn)行驗(yàn)證。只有通過了用戶驗(yàn)證、訪問權(quán)限驗(yàn)證和設(shè)備驗(yàn)證，才會(huì)被賦予信任。

安全邊界仍然圍繞個(gè)人設(shè)備展開，但企業(yè)邊界背后的特權(quán)網(wǎng)絡(luò)概念就已落伍。零信任模型比以邊界為中心的方法更能提供統(tǒng)一又安全的企業(yè)資產(chǎn)訪問。

在零信任之路上，沒什么東西比可見性更重要的了?？梢娦允顷P(guān)鍵第一步，是創(chuàng)建整個(gè)策略的基石。阿卡邁啟動(dòng)零信任遷移時(shí)所做的第一步工作，就是為其所有應(yīng)用和設(shè)備建立其全面的庫存清單。

想要保護(hù)敏感數(shù)據(jù)，首先得知道這些數(shù)據(jù)都在哪兒，知道數(shù)據(jù)在企業(yè)網(wǎng)絡(luò)中的流動(dòng)方式，知曉都有哪些用戶在用哪些設(shè)備訪問這些數(shù)據(jù)。正如谷歌指出的，當(dāng)你無法信任網(wǎng)絡(luò)來提供對(duì)企業(yè)資產(chǎn)的安全訪問時(shí)，你就得有可靠的實(shí)時(shí)數(shù)據(jù)來告訴你有哪些人和系統(tǒng)正在訪問公司資產(chǎn)。

實(shí)現(xiàn)零信任的另一關(guān)鍵，是要有強(qiáng)大的方法來安全識(shí)別并驗(yàn)證用戶及設(shè)備。舉個(gè)例子，谷歌的網(wǎng)絡(luò)上就僅容許經(jīng)該公司采購并管理的設(shè)備。所有設(shè)備都具有基于設(shè)備證書的唯一ID，且需滿足嚴(yán)格的安全控制才可以訪問網(wǎng)絡(luò)。該公司使用與HR過程耦合的數(shù)據(jù)庫來識(shí)別用戶并確保職位和訪問權(quán)限信息實(shí)時(shí)更新。

谷歌在BeyondCorp相關(guān)白皮書中曾寫道：“對(duì)公司資源的所有訪問都經(jīng)過全面驗(yàn)證和授權(quán)，并基于設(shè)備狀態(tài)和用戶憑證予以全面加密。”

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文