2020 年,新冠疫情的爆发和大流行,迫使企业纷纷实行远程办公,Facebook、Twitter 等互联网公司甚至宣布永久远程办公。
自新冠疫情发生以来,远程办公已经成为一种常态,企业数字化转型也在加速。同时,企业对网络安全的诉求也发生了改变,零信任网络兴起,并成为业界一股热潮。去年 9 月,Gartner 把基于零信任的远程员工安全列为 2020 年度十大安全项目之一。
与以往不同,远程办公的员工不仅位于企业内网之外,而且使用自己的设备办公。如何保障员工安全地,且尽可能体验友好地访问企业网络和应用成为企业亟待解决的重要问题。如果还是使用传统的方法,那显然不可行。
据了解,传统的网络安全架构理念是基于边界的安全架构。企业在构建网络安全体系时,首先寻找边界,把网络划分为外网、内网、DMZ 区等不同的区域,然后在边界上部署防火墙、入侵检测、WAF 等产品。
这种理念通过“边界”来区分“可信”与“不可信”。在边界内,人、设备、系统和网络环境等都是默认可信的;边界之外,所有东西都不可信。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备和系统的信任,忽视加强内网安全措施。不法分子一旦突破企业的边界安全防护进入内网,就会像进入无人之境,后果不堪设想。
而“边界”在现实里正逐渐模糊,甚至在消失。yyang 在《零信任(下)》一文中写道:移动和云的使用挑战了逻辑上的网络边界,内部人威胁则否定了基于“边界”区分可信与“不可信”的有效性。
据 Fortinet 北亚区首席技术顾问谭杰介绍,在疫情发生后,许多企业的业务由线下转移到线上,企业对远程办公、云安全和终端安全的需求明显提升。另一方面,泛边界安全不断增多,包括用户边缘、5G 边缘、端点边缘、IoT 边缘等。在这样的背景下,零信任有了更大的舞台,可以发挥更大的作用。
Fortinet 北亚区首席技术顾问谭杰
据悉,零信任的最早雏形源自 2004 年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。2010 年,Forrester 的首席分析师 John 正式提出了零信任,明确了零信任架构的理念,该模型改进了耶利哥论坛上讨论的去边界化的概念,并提出三个核心观点:
在 Fortinet 北亚区首席技术顾问谭杰看来,零信任分为狭义概念和广义概念,其中狭义概念叫零信任网络访问(ZTNA),解决的是人、用户、物、设备和终端的信任问题。“由一个控制点控制它怎样对 IT 资源进行访问,授予它什么权限”。而广义概念指 NIST 提出的零信任架构(ZTA),它是基于数据的安全,从各方面采集多种数据,包括网络数据、安全数据、终端数据、身份数据等,利用这些数据做信任的计算和决策,真正动态的判断全网安全态势,最终做好决策后再交给部署在整个数字架构中各种各样的决策执行点(可能是一个网关、一个软件或 API),来决定是否允许此次访问以及能访问到何种程度。
简言之,零信任是一种思想理念或战略框架,它主要聚焦在用户身份与 IT 资源之间的互动关系、访问权限上。它通过一种持续的动态评估手段不断分析整个网络访问的安全态势,然后动态的授予访问者权限。
传统的访问控制是粗粒度授权,并且是静态的,但是黑客的攻击或恶意行为却在不断变化,因此,这会导致一系列安全问题,“零信任希望改变传统的静态安全策略带来的一些安全隐患”。
“如果我们的安全体系不能动态地适应威胁,企业还是采用静态规则,那么肯定跟不上形势,最终会产生各种各样的问题。”谭杰说。
目前,很多企业的员工远程访问主要依赖 VPN,即虚拟专用网络。以笔者为例,在家办公时会通过 VPN 访问公司 CMS 平台,但是不仅访问速度慢,而且经常无法连接上,整个体验很不好。
谭杰表示,相比 VPN,零信任的安全性更高,“传统 VPN 策略的粒度是比较粗的,一旦开放后,几乎处于不设防的状态”,零信任则针对每一种应用、每一次会话做一次安全控制,所以其安全性更好。我们知道,安全问题很多时候来自人为失误,因为操作太复杂,而零信任则把管理员和用户从复杂操作中解放出来,降低了犯错几率,从另一个角度提升了安全性。并且在用户体验上,零信任的易用性也会更友好一些。
根据 MarketsandMarkets 的数据,全球零信任安全市场规模预计将从 2020 年的 196 亿美元增长到 2026 年的 516 亿美元,从 2020 年到 2026 年的复合年增长率(CAGR)为 17.4%。Gartner 估计,到 2022 年,面向生态系统合作伙伴开放的 80% 新数字业务应用程序将通过零信任网络(ZTNA)进行访问。
据悉,国内对零信任技术的炒作从 2015 年开始逐步在各个行业市场展开。但是,它在当时并不成熟,且缺少可参考的案例。NIST(美国国家标准与技术研究院)在 2020 年发布的《SP800-207:Zero Trust Architecture》标准意味着零信任理念成熟。
谭杰称,市场上的零信任方案更多聚焦于身份和访问控制,验证用户身份确保其可信后,给用户分配有限权限。“但是恶意用户分好多种,既有外部黑客,也有内部被攻陷的主机,还有真正意义上的内鬼,这是零信任无法解决的”。
举个例子,微盟在去年发生“删库跑路”事件。该公司研发中心运维部核心运维人员通过 VPN 登入服务器,并对线上生产环境进行了恶意破坏,结果 300 万家商铺瘫痪,公司市值蒸发超 10 个亿。
针对内鬼问题,谭杰的建议是“对访问者行为和威胁进行持续性的监控和防御,与零信任这套基于身份和态势的访问控制相结合”。
此外,值得注意的是,零信任中依然要有内外网的划分。“零信任思想其实告诉我们一件事:不能仅仅根据用户 ID 和 IP 地址就充分授权,但是这并不意味着 ID 和 IP 不重要”。
做安全永远是在追求平衡,因为安全、效率和成本三者不可兼得。“做安全,一件重要的事情是对资产进行分类、分级和分域。假如我们完全不区分内网、外网,不区分任何场景,在任何地方都把安全等级按最严格部署,这肯定既不经济,也不科学。所以,我们在做安全建设前还是要先划分内网、外网“。
当然,在零信任中,信任边界会划分地更详细。企业资产的分类、分级、分域不能一概而论,还要结合企业的业务模型。“同时,结合《网络安全法》、‘等保 2.0’和信息安全管理体系(ISO 27001)等要求,再看企业业务对安全、性能和成本的要求,我们从中找到一个平衡点“。
谭杰说:“在整个零信任架构中,我们把它分成决策点、控制点两个最核心的组件。一个思路是控制点应尽可能覆盖数字化基础架构的各个节点,不管是终端,还是网络通道或是云端,我们都要有相应的策略实施点可以预先埋进去。当我们想在这个地方做一个信任域的划分和策略实施时,我们可以很快切入到零信任的架构中。“
目前,很多企业正走在零信任建设体系的路上。据谭杰介绍,零信任在业务生产环境落地上面临一些挑战:
对企业来说,零信任是安全理念战略的终极目标,不能一蹴而就。“零信任是一个持续过程,安全建设同样也是一个持续过程,所以用户应该选择一种混合式结构来循序渐进地部署零信任”。
针对改造难的老旧应用,谭杰提出“可以通过一些微创或非侵入式解决方案”,比如在网络上对用户行为进行中断。简单说,通过实时观察和分析访问者的身份和安全态势,一旦其风险达到预设值后,再把授予它的权限撤销,这样也能达到零信任的效果。
值得注意的是,大型企业在零信任落地上还将面临性能挑战。
谭杰对此表示,“这几年,我们谈软件定义一切,其好处不说了,但也容易遇到性能问题。因为 X86 平台没有做过特别优化,所有性能压力都压在软件上,效率是不是最高?是否容易遇到瓶颈?我们的一个理念是软件定义一切不代表要排斥硬件“。
在他看来,专用硬件是解决性能问题的一个方案。据悉,Fortinet 一直在研发专用硬件,该公司最新发布的 NP7 芯片能在 20W 功率下达到纯 X86 架构几十上百倍的吞吐能力。
另一种解决方案是利用云原生 Scale out(向外扩展)能力,比如做虚机云、容器云,用软件方式向外实现弹性扩展,从而满足企业对大规模访问的需求。
“我们有不少公有云用户,没办法使用专用硬件,只有 X86 虚拟机,我们做了 VSPU,即虚拟的安全处理器,也能在标准的 X86 硬件平台上获得很大的性能提升。同时,再配合云原生平台资源池的 Scale out 弹性扩展,来应对这种大规模访问的挑战。”他说。
谭杰认为,实施零信任对企业有三大好处:
从雏形到概念再到理念成熟和实践,零信任经历了十几年的发展,其落地越来越多,可参考案例也不断增加。
据谭杰介绍,互联网行业、先进制造业和金融行业都有 Fortinet 零信任架构的实践。以先进制造业为例,它在接入 OT 网时非常谨慎,因为里面是一些生产型设备,所以它对零信任的要求会更高。这要求零信任架构能严格控制所有端点到端点,从 IT 网控制系统到 OT 网的生产系统,不管是内网接入,还是服务商过来排错或升级操作,都要应用这套零信任框架,从而保证 OT 环境的安全。
采访嘉宾:
谭杰,现任 Fortinet 公司北亚区首席技术顾问,拥有 20 年信息安全从业经验,曾参与众多知名企业及机构安全建设,对网络信息安全主流技术、IT 前沿发展趋势、安全防御体系研究建设有深刻理解。
领取专属 10元无门槛券
私享最新 技术干货