早在2010年，當(dāng)時還是Forrester Research首席分析師的約翰·金德維格(John Kindervag)就率先提出了針對企業(yè)安全的“零信任”方法。

[[245942]]

如今，經(jīng)歷了近10年的時間，這種方法在具體實施方面仍然存在問題。企業(yè)想要有效地實施這種方法就必須清楚地了解其所帶來的變化，及其將會對客戶體驗造成的影響。

該零信任安全模式是將單一的邊界保護轉(zhuǎn)移到公司內(nèi)的每個端點和用戶。其中心思想是企業(yè)不應(yīng)自動信任內(nèi)部或外部的任何人/事/物，且必須在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。

簡單來說，零信任的策略就是不信任任何人/事/物。除非網(wǎng)絡(luò)明確接入者的身份，否則任誰也無法進入。這種方法建立在身份驗證、設(shè)備驗證、可信端點、網(wǎng)絡(luò)隔離、訪問控制以及用戶和系統(tǒng)信息的基礎(chǔ)之上，是保護和管理應(yīng)用程序及數(shù)據(jù)免受新型和高危風(fēng)險侵害的關(guān)鍵。

零信任是關(guān)于如何創(chuàng)建組織的網(wǎng)絡(luò)安全態(tài)勢的思考過程和方法，其基本上打破了舊式的“網(wǎng)絡(luò)邊界防護”思維。在舊式思維中，專注點主要集中在網(wǎng)絡(luò)防御邊界，其假定已經(jīng)在邊界內(nèi)的任何事物都不會造成威脅，因此邊界內(nèi)部事物基本暢通無阻，全都擁有訪問權(quán)限。而就零信任模型而言，其對邊界內(nèi)部或外部的網(wǎng)絡(luò)統(tǒng)統(tǒng)采取不信任的態(tài)度，必須經(jīng)過驗證才能完成授權(quán)，實現(xiàn)訪問操作。

推動零信任模型日漸流行的現(xiàn)實因素有很多，例如：

1. 黑客和惡意威脅

事實證明，很多規(guī)模龐大的數(shù)據(jù)泄露事件都是由于黑客在繞過公司防火墻后，幾乎可以暢通無阻地訪問內(nèi)部系統(tǒng)造成的。

2. 工作流的移動化和云端化

如今，可以說網(wǎng)絡(luò)邊界已經(jīng)根本不存在了。單純由內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在，企業(yè)應(yīng)用一部分在辦公樓里，一部分在云端，分布各地的員工、合作伙伴和客戶都可以通過各種設(shè)備遠程訪問云端應(yīng)用。

面對這樣的新形勢，我們應(yīng)該如何保護自身安全成為了一個重要命題，而零信任模型也由此應(yīng)運而生并流行開來。

然而，實施零信任模型并不是一件容易的事情，它更像是一場重視過程的修行，而不是為了實現(xiàn)而實現(xiàn)的目的地。但是很顯然，并不是所有人都能明白這一道理。如今，供應(yīng)商們都在爭先恐后、全力以赴地實施零信任模型，將其作為下一階段最重要的一件大事，以便能夠?qū)?ldquo;零信任”作為最新宣傳噱頭來推廣自身的安全產(chǎn)品和平臺。

事實上，實現(xiàn)零信任模型所涉及的許多內(nèi)容都是無聊且繁瑣的工作，比如創(chuàng)建并維護有關(guān)數(shù)據(jù)訪問的策略，以及授權(quán)訪問讀取和寫入數(shù)據(jù)的應(yīng)用程序等等。在實現(xiàn)零信任模型的過程中不存在一勞永逸的方法，也沒有什么“萬能靈丹”，繁瑣枯燥的工作只能依靠熟知企業(yè)業(yè)務(wù)啟動因素和核心資產(chǎn)的內(nèi)部團隊。

以下是安全專家總結(jié)的有關(guān)企業(yè)在實現(xiàn)零信任的道路上必須采取的一些關(guān)鍵步驟：

1. 定義零信任

安全專家表示，啟動零信任模型的第一步，就是將您的團隊聚在一起，就零信任的定義達成共識。然而，根據(jù)達成的具體共識來制定實施目標，以及實現(xiàn)這些目標的路線圖。需要注意的是，這并不意味著要拋棄目前所部署的保護邊界的技術(shù)。但是，在保護您的核心資產(chǎn)方面，企業(yè)必須愿意采取不同的思維方式并進行組織變革。

如今，部分企業(yè)的IT部門已經(jīng)實現(xiàn)了零信任的很多方面。他們通常已經(jīng)部署了多因素身份驗證、IAM以及權(quán)限管理等技術(shù)。然而，建立零信任環(huán)境不僅僅是實現(xiàn)這些單個技術(shù)，而是應(yīng)用這些技術(shù)來實現(xiàn)“無法證明可被信任即無法獲取權(quán)限”的理念。企業(yè)必須清楚地了解零信任在您的環(huán)境中意味著什么，再去考慮如何實現(xiàn)零信任以及確定哪些技術(shù)有助于實現(xiàn)這一理念。

與其病急亂投醫(yī)地花冤枉錢，不如先了解清楚問題再出去購買適合自己的零信任產(chǎn)品，如此才能真正地發(fā)揮其效用，當(dāng)然，這也是實現(xiàn)零信任模型并不容易的體現(xiàn)之一。除此之外，在實施零信任的過程中，獲取高層領(lǐng)導(dǎo)的明確承諾和理解也是關(guān)鍵所在。

2.了解用戶體驗

在規(guī)劃零信任方法時，還需要考慮該模型將對用戶體驗造成的影響。遵循“永不信任且始終驗證”原則的零信任方法會改變用戶與您的系統(tǒng)和數(shù)據(jù)交互的方式。因為，在零信任模式下，您需要知道您的用戶是誰，他們正在訪問哪些應(yīng)用程序，他們是如何連接到您的應(yīng)用程序的，以及您為保護訪問權(quán)限所需采取的控制措施等。

在啟動零信任模型進行組織變革之前，請確保您已經(jīng)了解了未來的用戶體驗。考慮清楚您將采取何種計劃在所有應(yīng)用程序和所有用戶之間實現(xiàn)零信任，以及您希望采取何種機制來以細粒度和一致性的方式控制訪問?

除此之外，還要問問自己是否需要分布式控制，例如，讓應(yīng)用程序所有者定義自己的安全策略。或者，通過集中式IT或安全小組門戶策略是否會產(chǎn)生更好的效果?您還需要考慮如何確保并保持對安全數(shù)據(jù)訪問要求的遵從性等內(nèi)容。

一旦組織確定了他們希望用戶與其系統(tǒng)進行交互的方式，他們就必須接受這種轉(zhuǎn)變不可能在一夕之間實現(xiàn)的現(xiàn)實。首先，他們需要進行小范圍“踩點試驗”，針對最危險的用例實現(xiàn)零信任模型，并花時間不斷完善并正確實施該模型。隨著時間的推移，小范圍的“踩點”勝利將最終融合成一個完整的轉(zhuǎn)型。記住，這一過程是每一次勝利累積的質(zhì)變結(jié)果，并非一蹴而就之功。

3. 選擇正確的架構(gòu)

不存在任何一種單一的方法和技術(shù)能夠?qū)崿F(xiàn)零信任模型。在最基本的層面上，零信任是通過確保只有經(jīng)過安全驗證的用戶和設(shè)備才能夠訪問您的系統(tǒng)，以此來保護您的應(yīng)用程序和數(shù)據(jù)安全。您在網(wǎng)絡(luò)上的位置(邊界內(nèi)部還是外部)無關(guān)乎身份驗證和設(shè)備驗證的結(jié)果。

事實上，在各種各樣的現(xiàn)有技術(shù)和監(jiān)管過程支撐之下，零信任方法才得以完成保護企業(yè)IT環(huán)境的使命。據(jù)安全專家介紹，目前，市場上主要存在3種最具競爭力的方法可用于實現(xiàn)零信任模型——微分段(microsegmentation)、軟件定義邊界(SDP)以及零信任代理。

在基本網(wǎng)絡(luò)用語中，“分段”是指將以太網(wǎng)劃分為子網(wǎng)絡(luò)(也就是子網(wǎng))，以管理并控制網(wǎng)絡(luò)流量，而不是將所有數(shù)據(jù)包發(fā)送給所有節(jié)點。網(wǎng)絡(luò)分段提供了基礎(chǔ)工具，提升了網(wǎng)絡(luò)性能，并在傳統(tǒng)靜態(tài)網(wǎng)絡(luò)中引入了安全性。

微分段基于這一基本理念，抽象出新的虛擬化及控制層。使用微分段，數(shù)據(jù)中心被劃分為邏輯單元，這些邏輯單元往往是工作負載或應(yīng)用。這樣IT能夠針對每個邏輯單元制定獨特的安全策略與規(guī)則。一旦周邊被滲透，微分段能夠顯著減少惡意行為的攻擊面，并限制攻擊的橫向(東西)移動。因為，傳統(tǒng)防火墻能夠?qū)崿F(xiàn)常見的南北向防護，但微分段明顯地限制了企業(yè)內(nèi)工作負載之間不必要的東西向通信。

這種零信任方式顯著改變了網(wǎng)絡(luò)攻擊模式：攻擊者進行邊界滲透并監(jiān)視網(wǎng)絡(luò)活動等待時機到來，注入惡意軟件并控制核心系統(tǒng)，最終剽竊有價值的數(shù)據(jù)或者破壞業(yè)務(wù)活動。

雖然具備種種優(yōu)點，但是在軟件定義技術(shù)出現(xiàn)之前，采用微分段需要依賴傳統(tǒng)的物理防火墻以及VLAN。手工配置時需要針對橫向(東西)流量控制配置內(nèi)部防火墻——并隨著時間的變化對配置進行維護——這一過程除了非常難實現(xiàn)之外，代價也十分大。

安全技術(shù)在發(fā)展初期，對于邊界的安全防范主要是在網(wǎng)絡(luò)出口布置硬件防火墻，隨著IT架構(gòu)的變化，邊界越來越模糊，云的租戶不滿足共用防火墻，希望得到更個性化的服務(wù)。軟件定義邊界(SDP)方案應(yīng)運而生。

通過SDP，組織可以基于可信簽名構(gòu)建每個終端的“VPN隧道”，形成零信任網(wǎng)絡(luò)，拒絕一切外部攻擊威脅。不同于傳統(tǒng)的VPN隧道，SDP的隧道是按照業(yè)務(wù)需求來生成的，也就是說這是一種單包和單業(yè)務(wù)的訪問控制，SDP控制器建立的訪問規(guī)則只對被授權(quán)的用戶和服務(wù)開放，密鑰和策略也是動態(tài)和僅供單次使用的。通過這種類似“白名單”的訪問控制形式，網(wǎng)絡(luò)中未被授權(quán)的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的。

但是，正如微分段技術(shù)一樣，SDP也存在其弊端——即一旦隧道建立，SDP幾乎無法再確保交易的安全性和完整性。

第三種方法——也是Akamai公司已經(jīng)采取的一種方式，就是使用零信任代理來建立經(jīng)過身份驗證的用戶和應(yīng)用程序之間的按需邊界(on-demand perimeter)，以及內(nèi)聯(lián)行為(in-line behavioral)和有效負載分析。總體而言，零信任代理能夠有效地將前兩種技術(shù)的最佳功能和有效負載分析，結(jié)合到一個可以逐步部署的可管理系統(tǒng)之中。

4. 實施強大的措施來驗證用戶和設(shè)備

零信任模型需要組織重新思考如何保護每個應(yīng)用程序、端點、基礎(chǔ)設(shè)施及用戶。零信任最大的改變在于將執(zhí)行機制從單一的網(wǎng)絡(luò)邊界轉(zhuǎn)移到每個目標系統(tǒng)和應(yīng)用程序。其重點是驗證用戶的身份以及他們所使用的設(shè)備，而不是基于某人是否從受信或不受信的網(wǎng)絡(luò)中訪問企業(yè)資源的安全策略。

用戶方面需要使用多因素身份驗證(MFA)來增強密碼強度，并使用其他驗證步驟來確定授權(quán)的訪問級別。無論用戶類型(終端用戶、特權(quán)用戶、外包IT、合作伙伴或客戶)或訪問的資源如何，都需要應(yīng)用零信任原則。除此之外，您的訪問決策還需要具有適應(yīng)性和動態(tài)性(即隨變化而變)。

通過了零信任模型也就意味著系統(tǒng)能夠信任試圖訪問您資產(chǎn)的設(shè)備，因為畢竟只有經(jīng)過驗證的設(shè)備/人才能授權(quán)訪問您的系統(tǒng)。這也就是說，我們必須采取措施來確保已通過驗證的用戶注冊其設(shè)備，以便在未來的驗證過程中能夠有效地識別它們。如果用戶通過他們每天都會使用的注冊設(shè)備來獲取訪問權(quán)限，他們就會擁有一定程度的信任。而一旦他們試圖從網(wǎng)吧的工作站訪問服務(wù)，或是使用之前從未使用過的設(shè)備獲取權(quán)限，這種信任窗口就會自動關(guān)閉。

設(shè)備驗證還涉及為條目設(shè)置最低限度的安全要求，并確保只有滿足該閥值的設(shè)備才能夠訪問網(wǎng)絡(luò)。設(shè)備是否進行過“越獄”操作?設(shè)備設(shè)置是否符合公司政策，如硬盤加密、病毒防護以及最新補丁?這些都是必須考慮在內(nèi)的問題。

5. 為迎接挑戰(zhàn)做好準備

不要低估實施零信任框架所涉及的工作量，尤其是在大型組織中實施零信任模型。無論您處于網(wǎng)絡(luò)上的哪個位置(邊界內(nèi)/外)，想要從的單一的邊界保護轉(zhuǎn)移到允許對每個應(yīng)用程序和設(shè)備進行身份驗證和授權(quán)訪問的模型都不是易事。對于許多組織來說，定義并開發(fā)一個在整個企業(yè)范圍內(nèi)一致的數(shù)據(jù)訪問策略需要花費大量時間，且極具挑戰(zhàn)性。除此之外，實現(xiàn)和管理統(tǒng)一授權(quán)和訪問控制系統(tǒng)，并識別所有提供關(guān)鍵數(shù)據(jù)訪問的應(yīng)用程序也是一項重大且艱巨的任務(wù)。

尋找到限制用戶訪問和特權(quán)的方法是另一項重大挑戰(zhàn)。組織需要做出的最大改變是為用戶提供他們完成工作所需的足夠權(quán)限，并在不會對用戶體驗造成不必要影響的情況下，提示其使用多因素身份驗證(MFA)機制。他們需要確保授予使用的任何權(quán)限都是臨時的、有時間限制且會自動撤銷的。

舉例來說，對于Akamai公司而言，其零信任過程中最大的實施障礙在于其非Web應(yīng)用程序，因為其中許多非Web應(yīng)用程序都無法支持MFA等功能。該公司花費了大量時間來構(gòu)建處理此類應(yīng)用程序的功能，并最終構(gòu)建了一個輕量級代理，允許非Web應(yīng)用程序更好地使用零信任代理。該公司目前正在部署這種輕量級的客戶端應(yīng)用程序隧道，為現(xiàn)今企業(yè)中分布的非Web應(yīng)用程序提供認證訪問服務(wù)。

究其本質(zhì)，零信任意味著確保用戶身份安全，以及保護應(yīng)用程序。這一過程可以通過提供“由內(nèi)向外連接(inside-out connectivity)，精確訪問，零信任加密等方式來實現(xiàn)。這也就是說，如果我們能夠確保用戶的身份安全，了解他們所使用的應(yīng)用程序，并確保這些應(yīng)用程序安全，那么端點設(shè)備和網(wǎng)絡(luò)就會變得無關(guān)緊要，無論設(shè)備或位置如何，用戶都會是安全的。這是一個巨大的轉(zhuǎn)變。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文