请输入关键字
top
专题·原创 | 从量变到质变,零信任的明道优术历程
2022.04.02


原文发表于《中国信息安全》杂志。阅读原文

权威刊物 重要平台 关键渠道

邮发代号 2-786



文│志翔科技高级副总裁 伍海桑


在信息技术演进的时间轴上,零信任概念的历史不算长。随着网络和服务模式的逐渐成熟,用户开始关注更加安全有效地获取信息、数据和服务,因此安全被逐步提上设计者的日程。作为新一代的网络安全防护理念,零信任是随着业务演进而逐步进化出来的一个理念。


一、零信任概念的发展

零信任的概念最早可以追溯到美国国防部在 21世纪初提出的“黑核”(Black core) 理念,认为安全模型应该从基于边界逐步演进到基于单次交易。零信任作为专业术语,在 2010 年由 Forrester 分析师最早正式提出,他总结了传统网络架构中隐含式信任的潜在风险,认为安全会跟随服务模式而变化,在去边界化的时代,安全会基于零信任的原则来演进。
2014 年,谷歌对外公开了其内部项目零信任安全模型 BeyondCorp 的研究成果,项目当时的主要目的是提高内部员工的生产效率,不区分公司内外网并逐渐淘汰虚拟专用网络(VPN),推行员工随处可访问公司内部应用和数据的零信任模式。
其后几年,“去边界化”和“零信任接入”迅速演进。2020 年爆发的全球新冠疫情,更是极大地促进了“随时、随地、远程、安全”的网络服务和应用需求,催生了零信任相关标准和实践的进一步完善。2020 年 8 月 12 日,美国国家标准与技术研究院发布《零信任架构》正式版,是迄今为止最为权威的零信任架构标准。2020 年底,谷歌发布了 BeyondCorp Enterprise,与 2014 年的 BeyondCorp相比,BeyondCorp 的企业版开始对外提供谷歌的零信任能力,是谷歌云的对外商用平台,为其全球云租户提供端到端的零信任平台。
2021 年 9 月 7 日,美国政府管理和预算办公室(OMB)发布了《联邦零信任战略》,该战略遵循和支持美国政府第 14028 号《改善国家网络安全》行政令,其目的是逐步基于零信任原则改变民用机构的企业安全架构。这份战略明确要求政府各级机构在 2024 年 9 月底之前实现包括身份、设备、网络、应用、数据等在内的五大“具体零信任安全目标”,并确保将这些目标添加至机构实施计划当中。
时至今日,零信任作为新一代的网络安全防护理念,已经得到了各界的高度肯定。而拨开风口上的泡沫,有关零信任的分析和解构也相当充分,标准和实践不断演进。


二、对零信任概念的思考

在比较权威和技术的出版物中,零信任被公认为是一种理念、原则、新模式、思维方式 , 甚至一种安全框架范式。这些词都是框架性的,而不是针对某个技术和网元的具体定义。可以说,零信任实际上不是某个具体的产品或平台,而是一种安全框架。零信任对厂商和业界来说,不是一个“结果驱动”的事物,例如安全厂商喜欢描述销售了多少零信任,零信任市场份额有多大等。
当零信任作为定语时,修饰其后的具体名词才具有实践意义。首先,零信任架构(ZTA)首当其冲,它指基于零信任理念和原则,面向企业网络各部件关系、工作流规划和访问策略的企业信息安全架构。其次,零信任网络访问则是一个更具体的场景描述,指的是应用零信任原则的网络和业务访问方式与流程。
如果说零信任是“道”,那么在零信任范式下进行的架构变革,就走向了“术”。在操作层面上,“术”是最好理解的。各种对零信任能力的解读和总结有很多,笔者认为零信任能力主要包含两方面内容,安全权限需以身份为基础,而且须显式方可授予;持续、动态、自适应。
第一条涉及以身份为核心来改变应用实现架构,目前业界对此没有太多异议。《联邦零信任战略》提出的五大目标,第一个目标就在身份领域。对于第二条的这些关键词解读,以社交工具举例,无论是发消息还是支付,“你是谁”是辨别权限的标准,“你是谁”包括了账号、手机号、手机设备等几类信息,这些信息组合起来就构成了一个用户的身份和安全态势。在使用小程序、服务号、换手机、换网络的时候,每次都要重新校验和授权,体现了“身份”是访问服务的基础。
用支付场景举例可简单说明显式授权的必要性。每次支付行为,都要输入密码或指纹,这些权限不会因为手机不变、商家不变、用户不变而默认地赋予使用者,这就是“必须显式”授权。异常的大额支付、异常地点的交易以及其他的可疑行为等,则必须持续监控,并且动态地提权或降权来保证安全。最后,零信任也要考虑到用户体验,因此小额免密就是系统为用户开放的一种自适应便利性。
要真正用好零信任理念来服务新场景新应用,我们必须清楚地认识以下几点。首先,零信任不是某个产品或方案,而是一种安全框架范式。其次,既然是框架,显然零信任不是灵丹妙药,不能瞬间实现药到病除。最后,零信任框架在起步时,是新瓶装旧酒,这个框架下的安全机制,如终端安全、身份认证、授权接入、微隔离、可视化、应用程序编程接口(API)安全等大多是已有的机制,在这些已有机制的基础上,在云服务和云生态的推动下,零信任框架逐渐演进出原生态的“新酒”。


三、零信任落地的趋势分析

零信任自提出以来,曾经在冷板凳上呆了好几年,在过去两年也经历了一段过度营销。作为安全框架,零信任衍生的架构和产品,大体上也遵循安全机制与其服务的 IT 设施和业务的关系来发展。时至今日,随着标准和实践不断演进,零信任已经从概念迈向实际落地阶段。
信息安全一直是跟随其服务的对象而发展。过去几十年,促进信息安全发展的几个因素,包括了IT 基础架构和技术的发展,行业的信息化和数字化进程,以及作为高科技本身的安全技术自身的发展。
近二十年来,在 IT 基础架构和技术发展中,虚拟化和云计算对科技行业基础设施的影响是颠覆性的,这些技术成为现代数据中心和业务建设的主流方式。2014 年,美国的软件即服务(SaaS)业务标志性地首次超越基础设施即服务(IaaS)业务,其后,亚马逊、微软、谷歌和 IBM 带领的美国公有云 SaaS 业务,从此一飞冲天。云计算的迅猛发展带来了对云安全的新需求,也催生了“去边界”和“以身份为基石”的潮流。以往基于物理防火墙的安全边界,随着云业务的灵活开展,不得不逐渐让位于隐形的“边界”,也就是用户的身份权限,而云与生俱来的联邦属性也让身份管理和聚合走到了新高度。
传统物理边界变得模糊后,安全的边界也不再是数据中心边缘和企业网边缘的某个盒子。在云计算时代,应该基于以数据为中心的原则来部署安全,关心的问题是:是谁,以及能访问什么业务和数据,应该授予何种访问权限,为什么需要这些权限,在授权范围访问是如何进行的等,而不再是“业务在哪里”和“边界在哪里”。换句话说,传统安全边界变成了无处不在的边界能力——动态创建、策略强化、权限管控、安全访问。以身份为基石的架构体系,会成为业界主流;以身份为中心进行访问控制的零信任安全,必将得到越来越多行业客户的认可与肯定。
不同行业的信息化、数字化进程千差万别,带来不同阶段的安全需求。互联网行业天然是云计算上半场的主力玩家,因此,零信任技术体系在电商、社交、移动支付等新兴商业领域最早应用和完善。国内外互联网企业,如谷歌、脸书、阿里、腾讯,不但接受“动态认证”“最小化权限管理”“事中转事前”等安全理念,并且积极拥抱和创造。传统行业如石油电力、机械生产、智能制造等,随着数字化改造的逐步完成,将成为云计算下半场的主力。这些行业的安全体系如工控安全、工业物联网安全等,都会站在零信任的肩膀上继续发展。
信息安全技术本身是构筑在数学和信息学基础上的高科技,安全与威胁,既是对立事物,也在互相促进,在摩尔定律的激励下不断自我更新、交替前进。例如,新的加密算法,基于大数据分析技术做用户及实体行为分析(UEBA),利用沙箱技术来识别恶意代码和异常行为,利用机器学习和人工智能技术还原攻击链,这些技术的发展都让“持续”“动态”“自适应”这些零信任的基础理念变得可能。
我国信息安全产业起点不算高,虽然增长迅速,但和发达国家相比差距仍然明显。云计算带来的信息安全下半场竞争,我国可能会在零信任领域真正追上并领跑。大型公有云运营商中,全球规模最大的八家都在中国和美国。中国在移动支付和社交网络方面的发展世界领先,为零信任理念在特定领域的率先落地提供了沃土。而在数据安全和隐私保护方面,中国和欧洲一起走到了合规监管的最前列,合规的动力也必然带来零信任在网络安全各个环节的落地实施。


四、零信任战略判断和践行

零信任相关的机制和标准,涵盖从云到边、端的各种场景,包括远程办公、业务访问、分支安全接入、数据交换、大数据中心、云平台、物联网等。作为新安全范式,对安全厂商和用户,如何真正落地零信任?
空讲概念不如枚举场景,场景是决定如何实施零信任的最重要考量,抛开场景来谈零信任的框架只会是空中楼阁。前文谈到的美国《联邦零信任战略》,列举的五大场景目标,就是身份、设备、网络、应用和数据,并对每个场景都提出了相关的实现机制基线。
新冠疫情给全世界都带来了远程办公的刚需,也带来了对零信任关注的升温。
目前,VPN 几乎是所有 IT 人员解决远程接入需求的第一选项,但是在超大规模和应用精细化的要求下,VPN 表现的捉襟见肘。尽管 VPN 一定程度上满足了远程接入需求,但其“接入即安全”的模式,往往给予过多的隐含权限,这正好是零信任原则的对立面,所以,取代 VPN 成为零信任应用最经典的场景之一。但更重要的是,企业的安全机制需要的是平稳过渡,客户绝不会接受立刻关闭VPN。因此,零信任落地的正确路线是“大胆假设,小心求证”。
从 2014 年创立以来,志翔科技就以“无边界安全”和“零信任原则”作为产品和方案的理念基础,把握去边界化的趋势,在特定场景中实现零信任机制。针对企业的现实情况和需求,志翔结合自身产品能力,找到与企业现有 VPN 形成最佳补充的场景来入手。例如,企业用户如何安全访问企业应用,即零信任网络接入;企业工作负载之间的精细化保护等。
企业客户首先会关注自己的数字资产和业务如何管理,后疫情时代则更关注如何远程安全的访问这些业务。志翔与客户共同探索出的方法,是逐步建立身份化的体系,然后从大颗粒开始,通过诸如志翔“至安盾”零信任网关等形式,建立不影响当前业务管控的基本框架,再基于行为做精细化管控和持续优化。在服务端逐步引入基于用户身份的微隔离比如志翔“至明”安全探针等,对服务器、虚拟机、容器等工作负载进行更精细化的监测、保护以及安全可视化。在设备侧通过引入主机安全管理,保证设备的安全基线合规并检测响应安全事件。
当然,挑战永远存在。接入侧的场景非常复杂,用户行为差异化很明显,需要不断积累场景才能提升产品通用性。服务侧的稳定性和业务敏捷是一对矛盾体,如何隔离和协调异种工作负载等都是难题。可以说,零信任承担的责任,对安全而言就是演进的大挑战。无论政策、标准、运维、安全可视化和安全管理,还是南北向和东西向的网络、基础架构、身份安全、数据安全等,零信任面临的机遇和挑战并存共生,这也恰是其魅力所在。

(本文刊登于《中国信息安全》杂志2022年第2期)