安全動(dòng)態(tài)

新冠終結(jié)VPN?打造零信任網(wǎng)絡(luò)的五個(gè)步驟

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-03-17    瀏覽次數(shù):
 

信息來源:安全牛


兩個(gè)多月前,安全牛曾發(fā)表一篇題為《“零信任”時(shí)代,VPN必將被SDP取代》的文章,引發(fā)了較大爭議,有人認(rèn)為SDP(零信任的一種實(shí)現(xiàn)框架)無法取代VPN,也有人認(rèn)為零信任才是最終答案。但是,新冠疫情已經(jīng)將VPN與SDP/零信任的對(duì)決大大提前,因?yàn)閂PN在全球性的大規(guī)模遠(yuǎn)程辦公巨變中,資源消耗和“卡頓”問題被成倍放大。

如果新冠疫情發(fā)展成持久戰(zhàn),VPN與零信任架構(gòu)的“決勝局”勢(shì)必將提前上演。

在國內(nèi)疫情較為嚴(yán)重的時(shí)期,不少科技公司遠(yuǎn)程辦公的工程師就曾吐槽VPN服務(wù)器因負(fù)載過高頻頻崩潰。如今,隨著國外疫情后浪推前浪,谷歌、Twitter等科技巨頭也紛紛開啟遠(yuǎn)程辦公模式,遠(yuǎn)程辦公的工作負(fù)載呈幾何級(jí)數(shù)飆升。下面是Zoom最近的全球用戶數(shù)增長統(tǒng)計(jì)表,可以直觀感受下:

除了對(duì)Zoom和Slack高峰期卡頓(類似企業(yè)微信和釘釘在國內(nèi)疫情高峰期的遭遇)的各種吐槽外,國外工程師對(duì)VPN的糟糕表現(xiàn)更是直接爆了粗口:所有VPN都是垃圾。

前不久技術(shù)專家Matthew Sullivan寫了一篇博客專門吐槽企業(yè)VPN的安全性問題和可用性,他的觀點(diǎn)是:

盡量別用VPN。

為什么?因?yàn)椋?

所有的VPN都是垃圾。

Sullivan認(rèn)為,VPN需要精心配置,否則就是給黑客留門。但要命的是,這種精心配置只存在于理論層面,現(xiàn)實(shí)中絕大多數(shù)用戶壓根做不到或者不屑做!

零信任取代VPN?

Sullivan認(rèn)為,相比VPN,零信任網(wǎng)絡(luò)安全架構(gòu)具備以下三大優(yōu)點(diǎn):

1. 不存在網(wǎng)絡(luò)橋接,不會(huì)劫持用戶流量。

2. VPN設(shè)備的一大問題,在于需要匹配專有軟件/操作系統(tǒng)配置——這類配置正是阻礙自動(dòng)修復(fù)程序的元兇,而零信任架構(gòu)可以選擇的OpenSSH安全記錄要好得多,自2003年以來,OpenSSH從未因默認(rèn)配置中的漏洞而遭遇未經(jīng)授權(quán)的遠(yuǎn)程訪問。細(xì)粒度的應(yīng)用與流量監(jiān)控和微分段,使得攻擊者即使成功侵入網(wǎng)絡(luò)入口點(diǎn)位置,其實(shí)也沒有什么后續(xù)空間可以利用。

3. 與VPN一旦用戶登錄就獲得完全授信不同,零信任的主機(jī)保護(hù)解決方案會(huì)對(duì)每個(gè)應(yīng)用程序進(jìn)行嚴(yán)密監(jiān)控,記錄應(yīng)用的所有活動(dòng)并執(zhí)行流量過濾。如此一來,即使攻擊者成功侵入私有云VPC網(wǎng)絡(luò)入口點(diǎn)位置,其實(shí)也沒有什么后續(xù)空間可以利用。

但是對(duì)于零信任取代VPN,安全牛的讀者們看法不一,有人認(rèn)為Sullivan對(duì)VPN橋接和流量劫持的說法不準(zhǔn)確,指出:

IPSec支持IP載荷直接傳輸?shù)姆菢蚪幽J?。該協(xié)議是經(jīng)過大量安全研究者分析過的,其他協(xié)議不說實(shí)現(xiàn),本身協(xié)議安不安全就是個(gè)問題。而且協(xié)議問題的發(fā)現(xiàn)需要時(shí)間。

也有讀者支持Sullivan的觀點(diǎn),認(rèn)為:

現(xiàn)有的VPN方案確實(shí)都垃圾,IPsec (基于strongSwan) 算好的了,但I(xiàn)Psec本身的復(fù)雜度讓配置變得麻煩,而且不同客戶端的支持也有管理成本。OpenVPN性能比較差。而商業(yè)的要特定的客戶端……

為什么是零信任?

零信任不是產(chǎn)品或服務(wù),當(dāng)然也不僅僅是流行語。相反,它是網(wǎng)絡(luò)安全的一種特殊方法。它的意思正如其名——不是“先驗(yàn)證,然后信任”,而是“永遠(yuǎn)不要信任,永遠(yuǎn)要驗(yàn)證”。

本質(zhì)上,零信任關(guān)系到通過限制對(duì)數(shù)據(jù)的訪問來保護(hù)數(shù)據(jù)。企業(yè)不會(huì)自動(dòng)信任任何人或任何東西,無論是在企業(yè)網(wǎng)絡(luò)安全邊界范圍之內(nèi)還是之外。相反,零信任方法要求在授予訪問權(quán)限之前,對(duì)試圖連接到企業(yè)內(nèi)網(wǎng)的應(yīng)用程序或系統(tǒng)的每個(gè)人、設(shè)備、帳戶等進(jìn)行驗(yàn)證。

可是等等,傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)不就是實(shí)現(xiàn)這種安全控制嗎?難道零信任僅僅是一種錦上添花的技術(shù)?回想一下微盟刪庫事件的情節(jié)——微盟的一位核心運(yùn)維人員通過VPN登錄堡壘機(jī)然后進(jìn)入生產(chǎn)環(huán)境上演“電鋸狂人”,傳統(tǒng)網(wǎng)絡(luò)安全工具和控制形同虛設(shè),雖然微盟刪庫事件有其特殊性,且問題的根源主要是缺乏內(nèi)部威脅的預(yù)案和安全管理策略,但也從一定程度上暴露出了包括VPN、堡壘機(jī)、防火墻之類的傳統(tǒng)安全防御工具和方法的“二哈”屬性。

其實(shí),零信任框架也并非空中樓閣,包括許多企業(yè)已廣泛使用的安全技術(shù)來保護(hù)其數(shù)據(jù)。但是,零信任的價(jià)值在于,它代表了一種全新的網(wǎng)絡(luò)安全防御方法和體系,不僅可以保護(hù)整個(gè)企業(yè)范圍內(nèi)的總體邊界,還可以將企業(yè)的安全邊界移動(dòng)到組織內(nèi)外的每個(gè)網(wǎng)絡(luò)、系統(tǒng)、用戶和設(shè)備。強(qiáng)調(diào)身份、多因素身份驗(yàn)證、受信任的端點(diǎn)、網(wǎng)絡(luò)分段、訪問控制和用戶歸因來分隔和規(guī)范對(duì)敏感數(shù)據(jù)和系統(tǒng)的訪問,從而使更細(xì)粒度和更高效的安全訪問控制成為可能。

簡而言之,零信任是一種新的思考網(wǎng)絡(luò)安全的方法,可幫助組織在當(dāng)今瞬息萬變的威脅形勢(shì)下保護(hù)其數(shù)據(jù),客戶和自己的競爭優(yōu)勢(shì)。

現(xiàn)在部署零信任是不是太早了點(diǎn)?

數(shù)據(jù)安全是2020年企業(yè)高管和CISO們的頭號(hào)任務(wù),幾乎所有企業(yè)高管都已經(jīng)感受到保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)的壓力。投資者和“數(shù)據(jù)主體”(客戶和消費(fèi)者)也迫切需要更好的數(shù)據(jù)安全保障。

尤其是當(dāng)部分?jǐn)?shù)據(jù)和應(yīng)用程序在本地部署,而另外一些在云中時(shí)(混合云模式),安全問題將變得尤為復(fù)雜——從員工到承包商和合作伙伴的每一方都使用來自多個(gè)位置的各種設(shè)備來訪問這些應(yīng)用程序。同時(shí),各國政府和行業(yè)法規(guī)正在提高保護(hù)重要數(shù)據(jù)的標(biāo)準(zhǔn)和要求,零信任度可以幫助企業(yè)更好地合規(guī)。

對(duì)于企業(yè)來說,目前部署零信任最大的顧慮無疑是方法和技術(shù)的成熟度以及成本問題,沒有人想做小白鼠,也沒有人去貿(mào)然嘗試尚處于“臨床測(cè)試”階段的“方子”。目前市場上已經(jīng)有大量經(jīng)過生產(chǎn)環(huán)境驗(yàn)證的零信任應(yīng)用方案/供應(yīng)商和技術(shù)框架(包括谷歌和微軟等大型企業(yè)用例)。

根據(jù)Forester 2019年四季度的市場報(bào)告,目前市場上的零信任代表性廠商如下:

但是值得注意的是,正如以下我們將要介紹的,零信任架構(gòu)的本質(zhì)是一次安全范型的轉(zhuǎn)移或者變革,因此成功實(shí)施零信任架構(gòu)的決定性因素并非廠商或產(chǎn)品,而是企業(yè)CISO自身對(duì)零信任架構(gòu)的理解、實(shí)踐方法、策略和路徑。因此在實(shí)施零信任架構(gòu)的過程中,對(duì)于國內(nèi)企業(yè)用戶來說,包括安恒信息、奇安信、青藤云安全、締盟云安全、深信服等眾多對(duì)零信任有一定積累的網(wǎng)安企業(yè)基于各自產(chǎn)品和不同標(biāo)準(zhǔn)框架的零信任方案并沒有一個(gè)唯一的評(píng)判標(biāo)準(zhǔn),最合適的才是最好的。

以下,我們簡要介紹幾種目前已經(jīng)比較成熟的零信任框架和實(shí)踐路徑。

零信任網(wǎng)絡(luò)的三種實(shí)現(xiàn)方法

支持零信任的網(wǎng)絡(luò)安全技術(shù)近年來正在迅速發(fā)展,為零信任的落地提供了豐富而實(shí)用的工具、框架和方法。目前,沒有實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全框架的單一方法或者技術(shù),換而言之就是對(duì)于不同的企業(yè)來說,并沒有唯一的標(biāo)準(zhǔn)答案,可謂條條大路通羅馬??傊?,你要做的就是將各種技術(shù)模塊、方法整合在一起確保只有經(jīng)過安全驗(yàn)證的用戶和設(shè)備才能訪問目標(biāo)應(yīng)用程序和數(shù)據(jù)。

例如,最小化訪問權(quán)限原則,僅為用戶提供完成工作所需的數(shù)據(jù)和權(quán)限。這包括實(shí)施到期特權(quán)和一次性憑證,這些憑證在不需要訪問后會(huì)自動(dòng)作廢。此外,還需實(shí)施連續(xù)檢查和流量記錄,并限制訪問范圍,以防止數(shù)據(jù)在系統(tǒng)和網(wǎng)絡(luò)之間未經(jīng)授權(quán)的橫向移動(dòng)。

零信任框架使用多種安全技術(shù)來增加對(duì)敏感數(shù)據(jù)和系統(tǒng)的訪問粒度。例如身份和訪問管理(IAM)、基于角色的訪問控制(RBAC)、網(wǎng)絡(luò)訪問控制(NAC)、多因素身份驗(yàn)證(MFA)、加密、策略執(zhí)行引擎、策略編排、日志記錄、分析以及評(píng)分和文件系統(tǒng)權(quán)限等。

同樣,你也可以使用技術(shù)標(biāo)準(zhǔn)和協(xié)議來實(shí)現(xiàn)零信任方法。云安全聯(lián)盟(CSA)開發(fā)了一種稱為軟件定義邊界(SDP)的安全框架,該框架已用于某些零信任案例的實(shí)施中?;ヂ?lián)網(wǎng)工程任務(wù)組(IETF)通過批準(zhǔn)主機(jī)標(biāo)識(shí)協(xié)議(HIP)為零信任安全模型做出了貢獻(xiàn),該協(xié)議代表了OSI堆棧中的新安全網(wǎng)絡(luò)層。許多網(wǎng)絡(luò)安全供應(yīng)商都在這些技術(shù)的基礎(chǔ)上將零信任解決方案推向市場。

基于這些技術(shù),標(biāo)準(zhǔn)和協(xié)議,組織可以使用三種不同的方法來實(shí)現(xiàn)零信任安全性:

1、網(wǎng)絡(luò)微分段(微隔離)

將網(wǎng)絡(luò)雕刻到小的粒度節(jié)點(diǎn),一直到單個(gè)機(jī)器或應(yīng)用程序。安全協(xié)議和服務(wù)交付模型是為每個(gè)唯一的細(xì)分市場設(shè)計(jì)的。

2、SDP

基于一種需要了解的策略,其中在授予對(duì)應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的訪問權(quán)限之前,先驗(yàn)證設(shè)備的狀態(tài)和身份。

3、零信任代理

可充當(dāng)客戶端和服務(wù)器之間的中繼,有助于防止攻擊者入侵專用網(wǎng)絡(luò)。

哪種方法最適合取決于您所在企業(yè)的應(yīng)用場景和需求——所保護(hù)的應(yīng)用程序、當(dāng)前存在的基礎(chǔ)結(jié)構(gòu)、實(shí)施是未開發(fā)的環(huán)境還是涵蓋舊有環(huán)境以及其他因素。

構(gòu)建零信任環(huán)境的五個(gè)步驟

建立零信任框架并不一定意味著一整套的技術(shù)轉(zhuǎn)型。企業(yè)可以采用循序漸進(jìn)的方法,以受控的迭代方式進(jìn)行,從而幫助確保最佳結(jié)果,同時(shí)對(duì)用戶和操作的干擾降到最低。

1、定義保護(hù)面

零信任體系中,你的關(guān)注重點(diǎn)不是攻擊面而是保護(hù)面。所謂保護(hù)面就是對(duì)公司最有價(jià)值的關(guān)鍵數(shù)據(jù)、應(yīng)用程序、資產(chǎn)和服務(wù)(DAAS)。保護(hù)面的實(shí)例包括信用卡信息、受保護(hù)的健康信息(PHI)、個(gè)人身份信息(PII)、知識(shí)產(chǎn)權(quán)(IP)、應(yīng)用程序(現(xiàn)成的或定制的軟件)、SCADA控件、銷售點(diǎn)終端、醫(yī)療設(shè)備、制造資產(chǎn)和IoT設(shè)備等資產(chǎn)以及DNS、DHCP和Active Directory等服務(wù)。

定義保護(hù)面后,你可以實(shí)施緊密的控制,使用簡潔、精確和可理解的策略聲明來創(chuàng)建一個(gè)微邊界(或分隔的微邊界)。

2、映射交易流

流量在網(wǎng)絡(luò)中的移動(dòng)方式?jīng)Q定了其保護(hù)方式。因此,您需要獲得有關(guān)DAAS相互依賴關(guān)系的上下文信息。記錄特定資源的交互方式可以幫你確定合適的安全控制并提供有價(jià)值的上下文,以確保在提供最佳網(wǎng)絡(luò)安全防護(hù)的同時(shí),對(duì)用戶和業(yè)務(wù)運(yùn)營的干擾降到最低。

3、構(gòu)建零信任IT網(wǎng)絡(luò)架構(gòu)

零信任度網(wǎng)絡(luò)是完全自定義的,并沒有唯一的標(biāo)準(zhǔn)和設(shè)計(jì)參考??偟脑瓌t是,零信任體系架構(gòu)應(yīng)當(dāng)圍繞保護(hù)面(資產(chǎn)、數(shù)據(jù)、應(yīng)用和服務(wù)等)構(gòu)建。一旦定義了保護(hù)面并根據(jù)業(yè)務(wù)需求映射了業(yè)務(wù)流程,就可以從下一代防火墻開始設(shè)計(jì)零信任架構(gòu)。下一代防火墻可以充當(dāng)分段網(wǎng)關(guān),在保護(hù)面周圍創(chuàng)建一個(gè)微邊界。使用分段網(wǎng)關(guān),您可以強(qiáng)制執(zhí)行附加的檢查和訪問控制層,一直延伸到第7層,管控任何嘗試訪問保護(hù)面內(nèi)部資源的訪問。

4、創(chuàng)建零信任安全策略

完成零信任網(wǎng)絡(luò)架構(gòu)的構(gòu)建后,你將需要?jiǎng)?chuàng)建零信任策略來確定訪問規(guī)則,你需要知道您的用戶是誰,他們需要訪問哪些應(yīng)用程序,為什么他們需要訪問,他們傾向于如何連接到這些應(yīng)用程序,以及可以使用哪些控件來保護(hù)該訪問。

通過實(shí)施這種精細(xì)粒度的策略,可以確保僅允許合法應(yīng)用或者流量的進(jìn)行通訊。

5、監(jiān)控和維護(hù)零信任網(wǎng)絡(luò)

這最后一步包括檢查內(nèi)部和外部的所有日志,側(cè)重于零信任的運(yùn)維方面。由于零信任是一個(gè)反復(fù)迭代的過程,因此檢查和記錄所有流量將提供寶貴的見解,以了解如何隨著時(shí)間的推移持續(xù)改進(jìn)零信任網(wǎng)絡(luò)。

其他注意事項(xiàng)和最佳做法

對(duì)于考慮采用零信任安全模型的組織,以下是一些有助于確保成功的最佳實(shí)踐:

選擇架構(gòu)或技術(shù)之前,請(qǐng)確保您具有正確的策略。零信任是以數(shù)據(jù)為中心的,因此,重要的是考慮數(shù)據(jù)的位置,需要訪問的人以及可以使用哪種方法來保護(hù)數(shù)據(jù)。Forrester建議將數(shù)據(jù)分為三類-公開,內(nèi)部和機(jī)密-每個(gè)“數(shù)據(jù)塊”都應(yīng)當(dāng)有自己的微邊界。

從小處著手以獲得經(jīng)驗(yàn)。為整個(gè)企業(yè)實(shí)施零信任架構(gòu)的規(guī)模和范圍可能是巨大的。例如,谷歌花了七年時(shí)間才完成BeyondCorp項(xiàng)目的實(shí)施。

考慮用戶體驗(yàn)。零信任框架不必也不應(yīng)該破壞員工的正常工作流程/體驗(yàn),即使他們(及其設(shè)備)正受到訪問權(quán)限驗(yàn)證的審查。零信任的部分認(rèn)證和授權(quán)流程應(yīng)當(dāng)盡量“透明化”,在用戶根本覺察不到的后臺(tái)進(jìn)行。

對(duì)用戶和設(shè)備身份驗(yàn)證實(shí)施強(qiáng)有力的措施。零信任的根基是,在沒有驗(yàn)證獲得完全授權(quán)之前,沒有任何人或任何設(shè)備可以信賴。因此,基于強(qiáng)身份、嚴(yán)格的身份驗(yàn)證和非永久權(quán)限的企業(yè)范圍的IAM系統(tǒng)是零信任框架的關(guān)鍵構(gòu)建塊。

將零信任框架納入數(shù)字化轉(zhuǎn)型項(xiàng)目。為零信任網(wǎng)絡(luò)重新設(shè)計(jì)工作流程時(shí),還可以借此機(jī)會(huì)完成企業(yè)安全模型的轉(zhuǎn)型。

總結(jié)

2020年,企業(yè)迎來實(shí)施零信任架構(gòu)的最佳時(shí)機(jī),萬事俱備,技術(shù)已經(jīng)成熟,協(xié)議和標(biāo)準(zhǔn)已經(jīng)就緒,與此同時(shí)新的安全威脅、挑戰(zhàn)和期望也都使得零信任架構(gòu)成為未來一段時(shí)間企業(yè)安全投資和戰(zhàn)略有效性的最佳保障。



 
 

上一篇:解讀《信息安全技術(shù)個(gè)人信息安全規(guī)范》

下一篇:2020年03月17日 聚銘安全速遞