目錄
概述什麼是零信任網路
零信任網路的邏輯組成
技術元件
技術壁壘
應用場景
最佳實踐
市場前景
「零信任網路」是在2023年被forrester的首席分析師johnkindervag提出,他認為:「企業不應自動信任內部或外部的任何人/事/物,應在授權前對任何試圖接入企業系統的人/事/物進行驗證。」這個概念一經提出就飽受爭議,有人說其是這是安全產品未來趨勢,也有人擔心這個概念難以落地而不被看好,然而隨著底層元件技術的不斷發展,這個概念也被逐步驗證成為現實。
在談到「零信任」前不得不提到「基於網路邊界建立信任」的理念,傳統網路安全防護大都通過在網路邊界部署防火牆、ids、入侵監測系統等防護裝置,對企業網路層層防護,從外向內地將攻擊攔截在外從而保障企業網路的安全。然而現在的網路架構和使用模式正在對這種基於邊界的防護策略發起挑戰:缺乏內部流量的檢查、主機部署缺乏物理和邏輯上的靈活性、存在單點故障。比如:位於網路防護邊界之外的遠端使用者和移動裝置的接入,雲上資產的訪問與防護等問題,一旦某個單點被突破,就給了攻擊者橫行移動、進一步入侵的可能,傳統防護策略逐漸顯得力不從心。
零信任模型旨在解決「基於網路邊界建立信任」這種理念本身固有的問題。零信任模型的核心思想是不基於網路位置建立信任,任何在授權前的人/裝置/應用程式都視為不被信任的、在訪問資料前都應取得信任,細粒度資料訪問許可權,採用最小許可權原則,將網路防禦的物件從邊界縮小到了單個或者更小的資源組。
如果把企業網路比作一座城的話,那麼傳統邊界防護就是給城修城牆、設柵欄,而在零信任網路下就是給乙個城市居民配置一名守衛兵。傳統基於邊界訪問的「城牆」不會消失——它還能抵禦大部分入侵,僅靠配置「守衛兵」的方式又回占用太多的資源和頻寬,兩者還需在實用性和安全性上作出平衡。
在組織和企業中,構成零信任架構部署的邏輯元件通常有很多,《nist sp800-207:零信任架構草案》中描述了一種典型的方案邏輯及核心產品元件:
策略引擎(policy engine, pe)。元件負責最終決定是否授予指定訪問主體對資源(訪問客體)的訪問許可權。策略引擎使用企業安全策略以及來自外部源(例如ip黑名單,威脅情報服務)的輸入作為「信任演算法」的輸入,以決定授予或拒絕對該資源的訪問,策略引擎的核心作用是信任評估。
策略管理器(policy administrator, pa)。元件負責建立客戶端與資源之間的連線。它將生成客戶端用於訪問企業資源的任何身份驗證令牌或憑據。它與策略引擎緊密相關,並依賴於其決定最終允許或拒絕連線,策略管理器的核心作用是策略判定點,是零信任動態許可權的判定元件。
策略執行點(policy enforcement point, pep)。這實際上是乙個元件系統,負責開始,持續監控、並最終結束訪問主體與訪問客體之間的連線。策略執行點實際可分為兩個不同的元件:客戶端元件(如使用者膝上型電腦上的agent)與資源端元件(如資源前控制訪問的閘道器),策略執行點確保業務的安全訪問。
除了以上核心元件外,還有進行訪問決策時為策略引擎提供輸入和策略規則的許多資料來源。包括本地資料來源和外部資料來源,具體包括:
零信任技術需要根據使用者身份、使用者所處位置、上下文資訊和其他資料等條件,利用微隔離和細粒度邊界規則,來確定是否信任請求企業特範圍訪問權的使用者/主機/應用。首先是建立資產清單庫,至少包括使用者清單庫、裝置清單庫。且能夠根據企業組織架構調整、人員變動、裝置丟失等情況對資產進行生命週期管理,且動態維護相關聯的屬性特徵。如人員職級、角色,裝置證書狀態、裝置是否安裝了最新的補丁等。
身份認證可以對現有技術進行融合,如多因子身份驗證(mfa)、可信身份認證(fido)、身份與訪問管理(iam)、sso等。
需要做到:
做到細粒度許可權訪問:
內網流量也要求全部加密。通過tls、ipsec等技術建立安全通道,並通過pki/ca/x.509等基礎設施實現流量的保密性和完整性。同時,所有流量必須被記錄和監控。
自學習、自適應的動態模型。利用機器學習,通過使用者及實體行為分析(ueba)識別異常行為等。
除了技術方面,人的觀念轉變和高層支援更加重要。否則,零信任根本難以起步。
按目前零信任網路的發展來看,零信任網路還有很多不足。比如bgp、身份和訪問管理(iam)服務等路由協議之間缺乏整合。路由如果足夠智慧型,可以將具有子ip位址的源裝置儲存在乙個子ip網路中,並通過ip位址和應用程式將資料報傳送到目標子ip網路。此外,雖然現在iam可以用於網路,但它並不用於確定資料報是如何路由的。下圖說明了零信任網路正在將路由器的路由表與目錄的aaa策略結合起來,以允許或拒絕乙個包從源到目的地的**。與目前的二進位制規則相比,更精細的規則可以應用到路由中,後者可以提高網路效能和安全控制。
任何企業網路都可以在設計時考慮零信任原則。如今,大多數組織的企業基礎架構已經具有了零信任的某些要素,或者正在通過實施資訊保安和彈性策略以及最佳實踐來實現。有幾種場景可以更輕鬆地實施零信任體系架構。例如,zta易於在地理廣泛分布和/或具有高度移動性的員工隊伍的組織中扎根。也就是說,任何具有多種資源的大型網路的組織,都可以從零信任架構中獲益。在下面的用例中,沒有明確指出zta,因為企業可能同時擁有遺留和(可能)zta基礎設施。zta元件和遺留網路基礎設施在企業中同時執行可能會有一段時間。
1. 分支機構訪問業務系統
2. 多雲企業
3.存在外包服務和/或非員工訪問的企業
4. 跨企業協同1. google的beyondcorp
作為零信任網路的先行者,谷歌花了6年時間才從其vpn和特權網路訪問模式遷移到beyondcorp零信任環境。期間谷歌不得不重新定義和調整其職位角色及分類,建立起全新的主控庫存服務以跟蹤裝置,並重新設計使用者身份驗證及訪問控制策略。
國外microsoft、google、cisco、symantec等國際巨頭紛紛進軍零信任領域,2023年google基於零信任構建的beyondcorp專案成功完成。創業公司代表:zscaler和okta,憑藉其在零信任安全領域的技術創新已經在納斯達克上市,市值也從20億美金飛速發展到100億美金以上。
《gartner2019零信任網路訪問市場指南》**:到2023年,有60%的企業將淘汰大部分的vpn,而使用ztna(零信任網路訪問)
國內2023年,工信部公開徵求對《關於促進網路安全產業發展的指導意見(徵求意見稿)》的意見;
零信任安全首次被列入網路安全需要突破的關鍵技術;
中國資訊通訊研究院首次將零信任安全技術和5g、雲安全等並列為我國網路安全重點細分領域技術。
無疑,零信任已經成為安全界的新寵。
零信任安全廠商
以及一些獨角獸創業公司。
reference:
讓零讓零信任回歸本質信任回歸本質
自從2010年forrester資深分析師john kindervag第一次提出,並經過google beyondcorp專案落地之後,零信任概念在業界已經得到廣泛傳播,並且有深厚基礎。而近幾年在零信任基礎上發展起來的微分域 micro segmentation 軟體定義邊界 sdp 等技術也已經走...
零信任方案20200717
背景 疫情催生遠端辦公需求,加速企業數位化轉型。現狀 企業數位化轉型使得使用者和裝置及應用程式和資料正在向傳統企業邊界和控制區域之外遷移,攻擊面擴大,傳統基於邊界的安全訪問模型已不再適用。解決1 vpn解決遠端辦公問題時,存在埠暴露 資料遺失等安全問題,缺乏足夠的安全性。解決2 零信任架構 一種企業...
零信任學習筆記
一 什麼是零信任架構 二 零信任的核心原則 1 將身份作為訪問控制的基礎 零信任的信任關係來自於對所有參與物件的身份驗證。所有參與物件共同構成端到端信任關係的基礎,這些參與物件包括基礎網路 裝置 使用者 應用等。零信任架構為所有物件賦予數字身份,基於身份而非網路位置來構建訪問控制體系。2 最小許可權...