信息來源：安全牛

兩個多月前，安全牛曾發(fā)表一篇題為《“零信任”時代，VPN必將被SDP取代》的文章，引發(fā)了較大爭議，有人認(rèn)為SDP（零信任的一種實現(xiàn)框架）無法取代VPN，也有人認(rèn)為零信任才是最終答案。但是，新冠疫情已經(jīng)將VPN與SDP/零信任的對決大大提前，因為VPN在全球性的大規(guī)模遠(yuǎn)程辦公巨變中，資源消耗和“卡頓”問題被成倍放大。

如果新冠疫情發(fā)展成持久戰(zhàn)，VPN與零信任架構(gòu)的“決勝局”勢必將提前上演。

在國內(nèi)疫情較為嚴(yán)重的時期，不少科技公司遠(yuǎn)程辦公的工程師就曾吐槽VPN服務(wù)器因負(fù)載過高頻頻崩潰。如今，隨著國外疫情后浪推前浪，谷歌、Twitter等科技巨頭也紛紛開啟遠(yuǎn)程辦公模式，遠(yuǎn)程辦公的工作負(fù)載呈幾何級數(shù)飆升。下面是Zoom最近的全球用戶數(shù)增長統(tǒng)計表，可以直觀感受下：

除了對Zoom和Slack高峰期卡頓（類似企業(yè)微信和釘釘在國內(nèi)疫情高峰期的遭遇）的各種吐槽外，國外工程師對VPN的糟糕表現(xiàn)更是直接爆了粗口：所有VPN都是垃圾。

前不久技術(shù)專家Matthew Sullivan寫了一篇博客專門吐槽企業(yè)VPN的安全性問題和可用性，他的觀點是：

盡量別用VPN。

為什么？因為：

所有的VPN都是垃圾。

Sullivan認(rèn)為，VPN需要精心配置，否則就是給黑客留門。但要命的是，這種精心配置只存在于理論層面，現(xiàn)實中絕大多數(shù)用戶壓根做不到或者不屑做！

零信任取代VPN？

Sullivan認(rèn)為，相比VPN，零信任網(wǎng)絡(luò)安全架構(gòu)具備以下三大優(yōu)點：

1. 不存在網(wǎng)絡(luò)橋接，不會劫持用戶流量。

2. VPN設(shè)備的一大問題，在于需要匹配專有軟件/操作系統(tǒng)配置——這類配置正是阻礙自動修復(fù)程序的元兇，而零信任架構(gòu)可以選擇的OpenSSH安全記錄要好得多，自2003年以來，OpenSSH從未因默認(rèn)配置中的漏洞而遭遇未經(jīng)授權(quán)的遠(yuǎn)程訪問。細(xì)粒度的應(yīng)用與流量監(jiān)控和微分段，使得攻擊者即使成功侵入網(wǎng)絡(luò)入口點位置，其實也沒有什么后續(xù)空間可以利用。

3. 與VPN一旦用戶登錄就獲得完全授信不同，零信任的主機(jī)保護(hù)解決方案會對每個應(yīng)用程序進(jìn)行嚴(yán)密監(jiān)控，記錄應(yīng)用的所有活動并執(zhí)行流量過濾。如此一來，即使攻擊者成功侵入私有云VPC網(wǎng)絡(luò)入口點位置，其實也沒有什么后續(xù)空間可以利用。

但是對于零信任取代VPN，安全牛的讀者們看法不一，有人認(rèn)為Sullivan對VPN橋接和流量劫持的說法不準(zhǔn)確，指出：

IPSec支持IP載荷直接傳輸?shù)姆菢蚪幽Ｊ?。該協(xié)議是經(jīng)過大量安全研究者分析過的，其他協(xié)議不說實現(xiàn)，本身協(xié)議安不安全就是個問題。而且協(xié)議問題的發(fā)現(xiàn)需要時間。

也有讀者支持Sullivan的觀點，認(rèn)為：

現(xiàn)有的VPN方案確實都垃圾，IPsec (基于strongSwan) 算好的了，但I(xiàn)Psec本身的復(fù)雜度讓配置變得麻煩，而且不同客戶端的支持也有管理成本。OpenVPN性能比較差。而商業(yè)的要特定的客戶端……

為什么是零信任？

零信任不是產(chǎn)品或服務(wù)，當(dāng)然也不僅僅是流行語。相反，它是網(wǎng)絡(luò)安全的一種特殊方法。它的意思正如其名——不是“先驗證，然后信任”，而是“永遠(yuǎn)不要信任，永遠(yuǎn)要驗證”。

本質(zhì)上，零信任關(guān)系到通過限制對數(shù)據(jù)的訪問來保護(hù)數(shù)據(jù)。企業(yè)不會自動信任任何人或任何東西，無論是在企業(yè)網(wǎng)絡(luò)安全邊界范圍之內(nèi)還是之外。相反，零信任方法要求在授予訪問權(quán)限之前，對試圖連接到企業(yè)內(nèi)網(wǎng)的應(yīng)用程序或系統(tǒng)的每個人、設(shè)備、帳戶等進(jìn)行驗證。

可是等等，傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計不就是實現(xiàn)這種安全控制嗎？難道零信任僅僅是一種錦上添花的技術(shù)？回想一下微盟刪庫事件的情節(jié)——微盟的一位核心運(yùn)維人員通過VPN登錄堡壘機(jī)然后進(jìn)入生產(chǎn)環(huán)境上演“電鋸狂人”，傳統(tǒng)網(wǎng)絡(luò)安全工具和控制形同虛設(shè)，雖然微盟刪庫事件有其特殊性，且問題的根源主要是缺乏內(nèi)部威脅的預(yù)案和安全管理策略，但也從一定程度上暴露出了包括VPN、堡壘機(jī)、防火墻之類的傳統(tǒng)安全防御工具和方法的“二哈”屬性。

其實，零信任框架也并非空中樓閣，包括許多企業(yè)已廣泛使用的安全技術(shù)來保護(hù)其數(shù)據(jù)。但是，零信任的價值在于，它代表了一種全新的網(wǎng)絡(luò)安全防御方法和體系，不僅可以保護(hù)整個企業(yè)范圍內(nèi)的總體邊界，還可以將企業(yè)的安全邊界移動到組織內(nèi)外的每個網(wǎng)絡(luò)、系統(tǒng)、用戶和設(shè)備。強(qiáng)調(diào)身份、多因素身份驗證、受信任的端點、網(wǎng)絡(luò)分段、訪問控制和用戶歸因來分隔和規(guī)范對敏感數(shù)據(jù)和系統(tǒng)的訪問，從而使更細(xì)粒度和更高效的安全訪問控制成為可能。

簡而言之，零信任是一種新的思考網(wǎng)絡(luò)安全的方法，可幫助組織在當(dāng)今瞬息萬變的威脅形勢下保護(hù)其數(shù)據(jù)，客戶和自己的競爭優(yōu)勢。

現(xiàn)在部署零信任是不是太早了點？

數(shù)據(jù)安全是2020年企業(yè)高管和CISO們的頭號任務(wù)，幾乎所有企業(yè)高管都已經(jīng)感受到保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)的壓力。投資者和“數(shù)據(jù)主體”（客戶和消費(fèi)者）也迫切需要更好的數(shù)據(jù)安全保障。

尤其是當(dāng)部分?jǐn)?shù)據(jù)和應(yīng)用程序在本地部署，而另外一些在云中時（混合云模式），安全問題將變得尤為復(fù)雜——從員工到承包商和合作伙伴的每一方都使用來自多個位置的各種設(shè)備來訪問這些應(yīng)用程序。同時，各國政府和行業(yè)法規(guī)正在提高保護(hù)重要數(shù)據(jù)的標(biāo)準(zhǔn)和要求，零信任度可以幫助企業(yè)更好地合規(guī)。

對于企業(yè)來說，目前部署零信任最大的顧慮無疑是方法和技術(shù)的成熟度以及成本問題，沒有人想做小白鼠，也沒有人去貿(mào)然嘗試尚處于“臨床測試”階段的“方子”。目前市場上已經(jīng)有大量經(jīng)過生產(chǎn)環(huán)境驗證的零信任應(yīng)用方案/供應(yīng)商和技術(shù)框架（包括谷歌和微軟等大型企業(yè)用例）。

根據(jù)Forester 2019年四季度的市場報告，目前市場上的零信任代表性廠商如下：

但是值得注意的是，正如以下我們將要介紹的，零信任架構(gòu)的本質(zhì)是一次安全范型的轉(zhuǎn)移或者變革，因此成功實施零信任架構(gòu)的決定性因素并非廠商或產(chǎn)品，而是企業(yè)CISO自身對零信任架構(gòu)的理解、實踐方法、策略和路徑。因此在實施零信任架構(gòu)的過程中，對于國內(nèi)企業(yè)用戶來說，包括安恒信息、奇安信、青藤云安全、締盟云安全、深信服等眾多對零信任有一定積累的網(wǎng)安企業(yè)基于各自產(chǎn)品和不同標(biāo)準(zhǔn)框架的零信任方案并沒有一個唯一的評判標(biāo)準(zhǔn)，最合適的才是最好的。

以下，我們簡要介紹幾種目前已經(jīng)比較成熟的零信任框架和實踐路徑。

零信任網(wǎng)絡(luò)的三種實現(xiàn)方法

支持零信任的網(wǎng)絡(luò)安全技術(shù)近年來正在迅速發(fā)展，為零信任的落地提供了豐富而實用的工具、框架和方法。目前，沒有實現(xiàn)零信任網(wǎng)絡(luò)安全框架的單一方法或者技術(shù)，換而言之就是對于不同的企業(yè)來說，并沒有唯一的標(biāo)準(zhǔn)答案，可謂條條大路通羅馬?？傊?，你要做的就是將各種技術(shù)模塊、方法整合在一起確保只有經(jīng)過安全驗證的用戶和設(shè)備才能訪問目標(biāo)應(yīng)用程序和數(shù)據(jù)。

例如，最小化訪問權(quán)限原則，僅為用戶提供完成工作所需的數(shù)據(jù)和權(quán)限。這包括實施到期特權(quán)和一次性憑證，這些憑證在不需要訪問后會自動作廢。此外，還需實施連續(xù)檢查和流量記錄，并限制訪問范圍，以防止數(shù)據(jù)在系統(tǒng)和網(wǎng)絡(luò)之間未經(jīng)授權(quán)的橫向移動。

零信任框架使用多種安全技術(shù)來增加對敏感數(shù)據(jù)和系統(tǒng)的訪問粒度。例如身份和訪問管理（IAM）、基于角色的訪問控制（RBAC）、網(wǎng)絡(luò)訪問控制（NAC）、多因素身份驗證（MFA）、加密、策略執(zhí)行引擎、策略編排、日志記錄、分析以及評分和文件系統(tǒng)權(quán)限等。

同樣，你也可以使用技術(shù)標(biāo)準(zhǔn)和協(xié)議來實現(xiàn)零信任方法。云安全聯(lián)盟（CSA）開發(fā)了一種稱為軟件定義邊界（SDP）的安全框架，該框架已用于某些零信任案例的實施中?；ヂ?lián)網(wǎng)工程任務(wù)組（IETF）通過批準(zhǔn)主機(jī)標(biāo)識協(xié)議（HIP）為零信任安全模型做出了貢獻(xiàn)，該協(xié)議代表了OSI堆棧中的新安全網(wǎng)絡(luò)層。許多網(wǎng)絡(luò)安全供應(yīng)商都在這些技術(shù)的基礎(chǔ)上將零信任解決方案推向市場。

基于這些技術(shù)，標(biāo)準(zhǔn)和協(xié)議，組織可以使用三種不同的方法來實現(xiàn)零信任安全性：

1、網(wǎng)絡(luò)微分段（微隔離）

將網(wǎng)絡(luò)雕刻到小的粒度節(jié)點，一直到單個機(jī)器或應(yīng)用程序。安全協(xié)議和服務(wù)交付模型是為每個唯一的細(xì)分市場設(shè)計的。

2、SDP

基于一種需要了解的策略，其中在授予對應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的訪問權(quán)限之前，先驗證設(shè)備的狀態(tài)和身份。

3、零信任代理

可充當(dāng)客戶端和服務(wù)器之間的中繼，有助于防止攻擊者入侵專用網(wǎng)絡(luò)。

哪種方法最適合取決于您所在企業(yè)的應(yīng)用場景和需求——所保護(hù)的應(yīng)用程序、當(dāng)前存在的基礎(chǔ)結(jié)構(gòu)、實施是未開發(fā)的環(huán)境還是涵蓋舊有環(huán)境以及其他因素。

構(gòu)建零信任環(huán)境的五個步驟

建立零信任框架并不一定意味著一整套的技術(shù)轉(zhuǎn)型。企業(yè)可以采用循序漸進(jìn)的方法，以受控的迭代方式進(jìn)行，從而幫助確保最佳結(jié)果，同時對用戶和操作的干擾降到最低。

1、定義保護(hù)面

零信任體系中，你的關(guān)注重點不是攻擊面而是保護(hù)面。所謂保護(hù)面就是對公司最有價值的關(guān)鍵數(shù)據(jù)、應(yīng)用程序、資產(chǎn)和服務(wù)（DAAS）。保護(hù)面的實例包括信用卡信息、受保護(hù)的健康信息（PHI）、個人身份信息（PII）、知識產(chǎn)權(quán)（IP）、應(yīng)用程序（現(xiàn)成的或定制的軟件）、SCADA控件、銷售點終端、醫(yī)療設(shè)備、制造資產(chǎn)和IoT設(shè)備等資產(chǎn)以及DNS、DHCP和Active Directory等服務(wù)。

定義保護(hù)面后，你可以實施緊密的控制，使用簡潔、精確和可理解的策略聲明來創(chuàng)建一個微邊界（或分隔的微邊界）。

2、映射交易流

流量在網(wǎng)絡(luò)中的移動方式?jīng)Q定了其保護(hù)方式。因此，您需要獲得有關(guān)DAAS相互依賴關(guān)系的上下文信息。記錄特定資源的交互方式可以幫你確定合適的安全控制并提供有價值的上下文，以確保在提供最佳網(wǎng)絡(luò)安全防護(hù)的同時，對用戶和業(yè)務(wù)運(yùn)營的干擾降到最低。

3、構(gòu)建零信任IT網(wǎng)絡(luò)架構(gòu)

零信任度網(wǎng)絡(luò)是完全自定義的，并沒有唯一的標(biāo)準(zhǔn)和設(shè)計參考?？偟脑瓌t是，零信任體系架構(gòu)應(yīng)當(dāng)圍繞保護(hù)面（資產(chǎn)、數(shù)據(jù)、應(yīng)用和服務(wù)等）構(gòu)建。一旦定義了保護(hù)面并根據(jù)業(yè)務(wù)需求映射了業(yè)務(wù)流程，就可以從下一代防火墻開始設(shè)計零信任架構(gòu)。下一代防火墻可以充當(dāng)分段網(wǎng)關(guān)，在保護(hù)面周圍創(chuàng)建一個微邊界。使用分段網(wǎng)關(guān)，您可以強(qiáng)制執(zhí)行附加的檢查和訪問控制層，一直延伸到第7層，管控任何嘗試訪問保護(hù)面內(nèi)部資源的訪問。

4、創(chuàng)建零信任安全策略

完成零信任網(wǎng)絡(luò)架構(gòu)的構(gòu)建后，你將需要創(chuàng)建零信任策略來確定訪問規(guī)則，你需要知道您的用戶是誰，他們需要訪問哪些應(yīng)用程序，為什么他們需要訪問，他們傾向于如何連接到這些應(yīng)用程序，以及可以使用哪些控件來保護(hù)該訪問。

通過實施這種精細(xì)粒度的策略，可以確保僅允許合法應(yīng)用或者流量的進(jìn)行通訊。

5、監(jiān)控和維護(hù)零信任網(wǎng)絡(luò)

這最后一步包括檢查內(nèi)部和外部的所有日志，側(cè)重于零信任的運(yùn)維方面。由于零信任是一個反復(fù)迭代的過程，因此檢查和記錄所有流量將提供寶貴的見解，以了解如何隨著時間的推移持續(xù)改進(jìn)零信任網(wǎng)絡(luò)。

其他注意事項和最佳做法

對于考慮采用零信任安全模型的組織，以下是一些有助于確保成功的最佳實踐：

選擇架構(gòu)或技術(shù)之前，請確保您具有正確的策略。零信任是以數(shù)據(jù)為中心的，因此，重要的是考慮數(shù)據(jù)的位置，需要訪問的人以及可以使用哪種方法來保護(hù)數(shù)據(jù)。Forrester建議將數(shù)據(jù)分為三類-公開，內(nèi)部和機(jī)密-每個“數(shù)據(jù)塊”都應(yīng)當(dāng)有自己的微邊界。

從小處著手以獲得經(jīng)驗。為整個企業(yè)實施零信任架構(gòu)的規(guī)模和范圍可能是巨大的。例如，谷歌花了七年時間才完成BeyondCorp項目的實施。

考慮用戶體驗。零信任框架不必也不應(yīng)該破壞員工的正常工作流程/體驗，即使他們（及其設(shè)備）正受到訪問權(quán)限驗證的審查。零信任的部分認(rèn)證和授權(quán)流程應(yīng)當(dāng)盡量“透明化”，在用戶根本覺察不到的后臺進(jìn)行。

對用戶和設(shè)備身份驗證實施強(qiáng)有力的措施。零信任的根基是，在沒有驗證獲得完全授權(quán)之前，沒有任何人或任何設(shè)備可以信賴。因此，基于強(qiáng)身份、嚴(yán)格的身份驗證和非永久權(quán)限的企業(yè)范圍的IAM系統(tǒng)是零信任框架的關(guān)鍵構(gòu)建塊。

將零信任框架納入數(shù)字化轉(zhuǎn)型項目。為零信任網(wǎng)絡(luò)重新設(shè)計工作流程時，還可以借此機(jī)會完成企業(yè)安全模型的轉(zhuǎn)型。

總結(jié)

2020年，企業(yè)迎來實施零信任架構(gòu)的最佳時機(jī)，萬事俱備，技術(shù)已經(jīng)成熟，協(xié)議和標(biāo)準(zhǔn)已經(jīng)就緒，與此同時新的安全威脅、挑戰(zhàn)和期望也都使得零信任架構(gòu)成為未來一段時間企業(yè)安全投資和戰(zhàn)略有效性的最佳保障。