2020年注定要和一個(gè)詞緊緊聯(lián)系在一起,那就是安全。
新冠疫情全球蔓延��,幾乎讓所有人都開(kāi)始謹(jǐn)慎地減少外出��,與他人保持社交距離�����。與之對(duì)應(yīng)的是,人們有了更多的時(shí)間花費(fèi)在電子設(shè)備和網(wǎng)絡(luò)世界當(dāng)中�����。
相比較于病毒肆虐所造成的人身健康的威脅��,網(wǎng)絡(luò)世界的安全威脅則顯得更難以察覺(jué)���。但隨著企業(yè)和個(gè)人越來(lái)越多地將自身最重要的數(shù)據(jù)資產(chǎn)存放在網(wǎng)絡(luò)端和云端���,網(wǎng)絡(luò)安全的威脅也正在變得棘手和嚴(yán)重起來(lái)���。
2月底,SaaS服務(wù)商微盟的業(yè)務(wù)數(shù)據(jù)遭到內(nèi)部員工故意刪庫(kù)�����,導(dǎo)致300萬(wàn)個(gè)平臺(tái)商家的小程序全部宕機(jī)���,眾多商家損失慘重�,同時(shí)微盟市值大幅縮水��。這一事件被業(yè)內(nèi)視為企業(yè)數(shù)據(jù)安全的拐點(diǎn)性事件�。
4月初,受疫情影響而出現(xiàn)用戶量暴增的遠(yuǎn)程視頻軟件Zoom�����,卻被曝出重大安全漏洞����,引發(fā)股東集體訴訟����。漏屋偏逢連夜雨��,最近Zoom又被曝出53萬(wàn)條用戶網(wǎng)絡(luò)憑證掛在暗網(wǎng)低價(jià)出售�。盡管Zoom數(shù)據(jù)泄露原因被指向是黑客的撞庫(kù)攻擊,但由于Zoom這一視頻會(huì)議軟件會(huì)涉及會(huì)議內(nèi)容�、攝像頭、遠(yuǎn)程桌面等隱私問(wèn)題��,此次數(shù)據(jù)泄露再次引發(fā)媒體和眾多企業(yè)組織的抵制和禁用�。
結(jié)合之前眾多國(guó)內(nèi)企業(yè)在用戶數(shù)據(jù)安全、隱私保護(hù)上的暴露出的種種問(wèn)題���,我們會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)安全仍然是企業(yè)在產(chǎn)品開(kāi)發(fā)和運(yùn)營(yíng)當(dāng)中的一大短板�����。
而現(xiàn)在�,遠(yuǎn)程協(xié)同辦公的興起也讓企業(yè)內(nèi)網(wǎng)正在面臨著新的安全威脅�,由傳統(tǒng)的VPN和防火墻構(gòu)成的網(wǎng)絡(luò)安全架構(gòu)����,已經(jīng)難以滿足企業(yè)員工的大量外網(wǎng)的接入需要。
一種早在10年前就提出,一直在蓄勢(shì)發(fā)展的“零信任安全”��,成為當(dāng)下可供企業(yè)網(wǎng)絡(luò)安全選擇的新架構(gòu)���。
不信任�����,才是邁向最佳安全性的第一步�����?
關(guān)于信任的一場(chǎng)安全危機(jī)���,最早可能就來(lái)自于古希臘神話中的“特洛伊木馬”。希臘人制定的木馬計(jì)劃�,騙取了特洛伊人的信任。木馬被他們自己迎接進(jìn)了特洛伊城���,而希臘人則從內(nèi)部將其攻破����。這一經(jīng)典戰(zhàn)術(shù)啟發(fā)了互聯(lián)網(wǎng)時(shí)代最猖狂的網(wǎng)絡(luò)攻擊����,通過(guò)在正常的程序中植入木馬程序���,就可以實(shí)現(xiàn)對(duì)被感染計(jì)算機(jī)的遠(yuǎn)程控制。
對(duì)現(xiàn)在很多企業(yè)的數(shù)據(jù)中心�,傳統(tǒng)意義上的網(wǎng)絡(luò)安全就是通過(guò)一系列防火墻或者殺毒軟件的手段來(lái)防御這些外部威脅。但是如果是具有正當(dāng)憑證以及權(quán)限的用戶進(jìn)入系統(tǒng)���,這些外圍防御系統(tǒng)就會(huì)自動(dòng)放過(guò)�����,而系統(tǒng)內(nèi)部則隱含著對(duì)他們的信任關(guān)系��,也就很難阻止這些用戶的不良行為��。
一種是用戶賬戶被盜取后的黑客侵害行為��;一種是用戶本人的侵害行為��,就如微盟內(nèi)部員工的“刪庫(kù)”�,而這樣的內(nèi)部損害也可能更為嚴(yán)重�����。
真正能夠做到系統(tǒng)內(nèi)部的數(shù)據(jù)保護(hù)����,目前最可行的一種方式就是零信任網(wǎng)絡(luò)訪問(wèn)的模式。這一安全架構(gòu)將改變企業(yè)數(shù)據(jù)保護(hù)的現(xiàn)有規(guī)則���。
所謂零信任網(wǎng)絡(luò)訪問(wèn)(Zero-Trust Network Access���,簡(jiǎn)稱“ZTNA)”),是在2010年由研究機(jī)構(gòu)Forrester副總裁兼首席分析師約翰·金德瓦格(John Kindervag)提出�����。意思是:不能信任出入網(wǎng)絡(luò)的任何內(nèi)容����。應(yīng)通過(guò)強(qiáng)身份驗(yàn)證技術(shù)保護(hù)數(shù)據(jù),創(chuàng)建一種以數(shù)據(jù)為中心的全新邊界����。簡(jiǎn)單說(shuō)就是“從不信任,總是驗(yàn)證”�����。
為什么企業(yè)需要進(jìn)行零信任網(wǎng)絡(luò)訪問(wèn)呢?
首先是全球經(jīng)濟(jì)因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題導(dǎo)致的損失在逐年增加�,預(yù)計(jì)到2021年因網(wǎng)絡(luò)網(wǎng)絡(luò)犯罪所致全球經(jīng)濟(jì)損失總額將達(dá)6萬(wàn)億美元。而世界上重大的數(shù)據(jù)泄露事件都是由于黑客攻破企業(yè)防火墻之后��,在內(nèi)部網(wǎng)絡(luò)擁有全部訪問(wèn)權(quán)限而暢通無(wú)阻造成的�����。
盡管企業(yè)的信息網(wǎng)絡(luò)安全的支出每年都在增加����,但是傳統(tǒng)的安全方法難以應(yīng)對(duì)日趨嚴(yán)峻的安全威脅態(tài)勢(shì),轉(zhuǎn)變舊的安全邊界的防護(hù)思維和方法成為破題之策���。
另外����,最重要的一個(gè)變化就是企業(yè)的安全邊界正在模糊����。受到企業(yè)數(shù)字化轉(zhuǎn)型和云計(jì)算業(yè)務(wù)增長(zhǎng)的影響,以防火墻和VPN為代表的傳統(tǒng)安全技術(shù)構(gòu)建的企業(yè)邊界正在被云業(yè)務(wù)的場(chǎng)景模式給瓦解�����。眾多的外部訪問(wèn)擴(kuò)大了向企業(yè)內(nèi)部滲透的攻擊威脅。
這樣“內(nèi)部等于可信任”和“外部等于不可信任”的傳統(tǒng)網(wǎng)絡(luò)安全觀念就需要打破�,而零信任網(wǎng)絡(luò)訪問(wèn)的“驗(yàn)證才信任”的優(yōu)勢(shì)也就突顯出來(lái)了。
如何實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全��?
零信任網(wǎng)絡(luò)訪問(wèn)����,需要企業(yè)根據(jù)用戶�、所處位置和其他數(shù)據(jù)等條件,建立微隔離和細(xì)粒度邊界規(guī)則�����,來(lái)確定是否可以信任向企業(yè)特定范圍訪問(wèn)權(quán)限發(fā)起請(qǐng)求的用戶�、主機(jī)或者是應(yīng)用。實(shí)現(xiàn)零信任網(wǎng)絡(luò)訪問(wèn)���,要做到:第一��,要確認(rèn)用戶身份���,通過(guò)交叉驗(yàn)證確保是用戶本人的登錄操作;第二���,要保證用戶所用終端是否安全���;第三�,建立條件限制策略��,明確訪問(wèn)權(quán)限�。第四、訪問(wèn)控制需要符合最小權(quán)限原則進(jìn)行細(xì)粒度授權(quán)�,基于盡量多的屬性進(jìn)行信任和風(fēng)險(xiǎn)度量,實(shí)現(xiàn)動(dòng)態(tài)自適應(yīng)訪問(wèn)控制���。
零信任網(wǎng)絡(luò)訪問(wèn)需要依靠多因子身份認(rèn)證���、身份與訪問(wèn)管理、編排�����、分析���、加密���、安全評(píng)級(jí)和文件系統(tǒng)權(quán)限等技術(shù)來(lái)做上述工作��。
眾多企業(yè)的IT部門(mén)已經(jīng)在其網(wǎng)絡(luò)環(huán)境中部署了多因子身份驗(yàn)證����、身份與訪問(wèn)管理和權(quán)限管理通��,常會(huì)采取軟件定義邊界(SDP)和微隔離技術(shù)�,來(lái)有效阻隔服務(wù)器或者網(wǎng)段之間的訪問(wèn)權(quán)限��。
軟件定義邊界憑借更細(xì)粒度的控制��、更靈活的擴(kuò)展�����、更高的可靠性��,正在改變傳統(tǒng)的遠(yuǎn)程連接方式���。而網(wǎng)絡(luò)微隔離是在傳統(tǒng)的區(qū)域架構(gòu)下�,進(jìn)一步細(xì)分區(qū)域內(nèi)的網(wǎng)絡(luò)以增強(qiáng)安全性���。微隔離常用于數(shù)據(jù)中心網(wǎng)絡(luò)中��,以細(xì)分區(qū)域內(nèi)的應(yīng)用程序���,可以實(shí)現(xiàn)對(duì)工作流級(jí)別的細(xì)粒度隔離和可視化管理���,正在成為虛擬化環(huán)境下網(wǎng)絡(luò)隔離優(yōu)選方案。
當(dāng)然�����,建立零信任安全環(huán)境���,不僅僅是實(shí)現(xiàn)這一單點(diǎn)技術(shù)���,而是要在這些技術(shù)的應(yīng)用中始終貫徹“無(wú)驗(yàn)證即不信任”的理念。
零信任作為一種全新的安全理念��,應(yīng)該成為企業(yè)決策者未來(lái)堅(jiān)持推行的舉措����。據(jù)舊金山計(jì)算機(jī)安全研究所的統(tǒng)計(jì),60%到80%的網(wǎng)絡(luò)濫用事件來(lái)自內(nèi)部網(wǎng)絡(luò)���,對(duì)內(nèi)部人的信任所造成的危害程度�,遠(yuǎn)遠(yuǎn)超過(guò)黑客攻擊和病毒造成的損失。企業(yè)需要調(diào)整思維方式��,讓零信任理念也成為管理者和員工自覺(jué)遵守的行為準(zhǔn)則���。
實(shí)際上���,零信任架構(gòu)更適合于企業(yè)在向云端遷移的環(huán)境中搭建。而那些有著復(fù)雜IT環(huán)境和大量舊系統(tǒng)的大型企業(yè)�����,需要把零信任架構(gòu)遷移看做是多階段�、長(zhǎng)時(shí)間的一項(xiàng)整體工程來(lái)對(duì)待��。零信任架構(gòu)作為企業(yè)整體數(shù)字轉(zhuǎn)型戰(zhàn)略的一部分���,實(shí)現(xiàn)那些有助于在云遷移過(guò)程中達(dá)成零信任的技術(shù)����,然后淘汰掉那些老舊的遺留系統(tǒng)�。
也就是先有整體設(shè)計(jì)����,再采取相應(yīng)技術(shù)���。
零信任網(wǎng)絡(luò)安全的應(yīng)用實(shí)踐
2018年�����,Gartner 提出零信任是進(jìn)行持續(xù)自適應(yīng)的風(fēng)險(xiǎn)和信任評(píng)估(CARTA)的第一步�。零信任要按照需要對(duì)不同身份(設(shè)備���、用戶和網(wǎng)絡(luò)流量)授予區(qū)別化和最小化的訪問(wèn)權(quán)限�,并通過(guò)持續(xù)認(rèn)證改變“通過(guò)認(rèn)證即被信任”的防護(hù)模式��。
國(guó)內(nèi)外企業(yè)基于對(duì)零信任安全框架的理解��,開(kāi)展了技術(shù)探索和布局�。
在軟件定義邊界上,谷歌的Beyond Corp基于設(shè)備��、用戶����、動(dòng)態(tài)訪問(wèn)控制和行為感知策略實(shí)現(xiàn)其零信任構(gòu)想���,所有流量通過(guò)統(tǒng)一的訪問(wèn)代理來(lái)實(shí)現(xiàn)認(rèn)證和授權(quán),實(shí)時(shí)更新信息庫(kù)中的用戶�、設(shè)備、狀態(tài)���、歷史用戶行為可信度等相關(guān)信息�,利用動(dòng)態(tài)的多輪打分機(jī)制對(duì)請(qǐng)求來(lái)源進(jìn)行信任層級(jí)劃分��,從而進(jìn)一步實(shí)現(xiàn)層級(jí)內(nèi)的最小權(quán)限控制��。
筆者這里就有一個(gè)比較慘痛的教訓(xùn)�。我一直在嘗試找回一個(gè)十多年前注冊(cè)的Gmail賬戶,但因?yàn)槭褂玫氖謾C(jī)號(hào)碼已經(jīng)注銷��,因此通過(guò)其他任何方式驗(yàn)證���,我也始終無(wú)法再找回該賬戶。這可能也意味著谷歌的零信任驗(yàn)證實(shí)在是過(guò)于謹(jǐn)慎了�。
此外,像思科����、Verizon以及國(guó)內(nèi)的云深互聯(lián)等企業(yè)都推出了基于零信任的SDP服務(wù)方案���。
在微隔離技術(shù)上,網(wǎng)絡(luò)安全初創(chuàng)企業(yè)Illumio的自適應(yīng)安全平臺(tái)以微隔離技術(shù)為基礎(chǔ)��,在分隔策略配置方面���,應(yīng)用人工智能學(xué)習(xí)網(wǎng)絡(luò)流量模式���,提供多種便捷配置模式和可視化展示。國(guó)內(nèi)的薔薇靈動(dòng)�����、山石網(wǎng)科等企業(yè)也在微隔離���、可視化安全解決方案上進(jìn)行積極探索���。
根據(jù)Gartner在《零信任網(wǎng)絡(luò)訪問(wèn)市場(chǎng)指南》做出的戰(zhàn)略規(guī)劃假設(shè),到2022年�,80%向生態(tài)合作伙伴開(kāi)放的新數(shù)字業(yè)務(wù)應(yīng)用將通過(guò)零信任網(wǎng)絡(luò)訪問(wèn)接入;到2023年���,將有60%的企業(yè)將淘汰大部分的VPN�,而使用零信任網(wǎng)絡(luò)訪問(wèn)。
當(dāng)前�����,在我國(guó)企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)上云等趨勢(shì)的推動(dòng)下���,業(yè)務(wù)模式轉(zhuǎn)換和遷移上云將為零信任網(wǎng)絡(luò)安全提供實(shí)踐的平臺(tái)�,進(jìn)而可以充分利用內(nèi)部業(yè)務(wù)���、數(shù)據(jù)����、設(shè)備等信息����,形成持續(xù)、動(dòng)態(tài)和細(xì)粒度的零信任安全防護(hù)方案�����。
同時(shí)對(duì)于傳統(tǒng)的安全廠商而言��,積極推動(dòng)全新的網(wǎng)絡(luò)安全技術(shù)和安全理念的變革���,將零信任理念與傳統(tǒng)身份管理與訪問(wèn)控制等技術(shù)融合����,發(fā)揮傳統(tǒng)安全廠商在身份管理領(lǐng)域的深耕優(yōu)勢(shì)��,推動(dòng)零信任理念與傳統(tǒng)技術(shù)的深度融合�,這樣基于零信任的動(dòng)態(tài)身份管理和訪問(wèn)權(quán)限控制解決方案才有望加速落地。
正如前面微盟�����、Zoom案例所體現(xiàn)的�����,如果企業(yè)在網(wǎng)絡(luò)安全上沒(méi)有給予足夠的重視��,在網(wǎng)絡(luò)安全意識(shí)和理念上仍然沿用傳統(tǒng)的技術(shù)思路��,就會(huì)因?yàn)橐淮蔚氖д`而引發(fā)極為嚴(yán)重的安全危機(jī)和巨大的經(jīng)營(yíng)風(fēng)險(xiǎn)����。
在事關(guān)企業(yè)的生存與發(fā)展大事面前,將網(wǎng)絡(luò)安全當(dāng)作企業(yè)的生命線也不為過(guò),而推動(dòng)零信任模式的網(wǎng)絡(luò)安全體系升級(jí)也就必須提上眾多企業(yè)的議事日程了�����。
