征文|刘欢:漫谈零信任
☝戳链接了解本期征文详情
刘欢
某互联网公司安全负责人,曾参与过运营商、金融、军工等行业安全评估建设。目前主要负责企业内部安全防护体系的建设,主要研究方向为基础安全与数据安全。
01
写在前面
互联网早期兴起时候,没有考虑到会发展成为今天的规模。所以在网络设计时候也没用考虑其安全性。随着互联网以及物联网的发展,使用网络的人越来越多,而人又有分善恶之分于是也就有了江湖。
伴随着互联网技术发展,安全威胁攻击技术也在“与时俱进”,APT、勒索病毒等诸多攻击手段方式层出不穷,这个时候传统基于“墙”所构建的局域网络已经变得越来越不安全了。于是也就有了零信任网络的提出。
02
传统网络
传统网络是基于网络边界隔离与我们过去建设城堡的思路是一样的。通过一道道“墙”构建的一个防御模型,从而隔离内外网,分区域设置不同安全策略及对应检测防御手段。不可否认它在过去的确起到了很大的作用。但是其潜在的风险也是不可忽视的,依赖于对内部的信任维持边界网络模型,将网络安全性寄托与边界防护及区域隔离而忽视了人的因素。
明朝修了几百年的长城,终究还是因为“内鬼”没能抵挡女真的骑兵进入关内。今天的攻击手段层出不穷鱼叉攻击、水坑攻击、横向渗透等等攻击方式不停的演变。
03
零信任网络架构
零信任核心是企业内外部任何人、设备等任何访问主体均是不可信的,应对任何试图接入客体网络访问资源的人、设备等进行验证。
目前基于的技术常见的方案有软件定义边界、身份治理、微隔离等。因为网上及之前的几篇分享都有对零信任具体架构的详细介绍,当然也可以参考《零信任网络》这里就不再赘述了。
04
落地探索举例
在笔者进入现在所在公司时候,最初也是不无例外的构建“墙”,构建层层检测防御机制。但是随着对公司业务场景的深入了解,慢慢发现传统网络完全无法适应公司业务模式。于是开始去尝试基于零信任的思路逐步去改造从而达到安全目的。
公司是三总部,配合全国及东南亚多节点模式,包含诸多区域分支,门店,城市合作方等网络结构较复杂。依赖VPN、IP-SEC所构建的网络无法满足现有需求。部分城市工区较小,基于成本考量又不可能所有门店、区域办公地点都部署形如上网行为、防火墙、DLP、APT检测等设备。如果全国汇总到一个点又会造成带宽瓶颈、网络单点故障等问题。
首先是对系统的分类划分;
然后是网络架构的调整,过去需要访问线上服务必须所有请求必须通过IPsec或VPN转到北京再去访问内部网络。调整为除低频高敏感系统需要通过VPN拨入南方或北方总部,其它系统在通过安全改造后直接通过互联网直接访问;
对于非高敏感系统,我们结合应用网关实现了做了以下探索:
基于用户身份进行统一识别认证,增加OTP认证;
通过身份认证后,进行权限校验;
最后完成对数据权限的鉴别;
整个过程还会对日志数据进行异常审计。
上述只是针对应用网关一个落地案例,目前在实际中还会有设备准入、设备基线检查、弱口令检查、标准化软件检测等。但是所有改造或安全的投入都是基于一个原则,提高安全性同时提升业务体验。
05
后记
笔者认为不管零信任还是SDL等等并非是一个具体的技术,只是一种设计参考模型或者说是一种架构思路。如果为了零信任而去做零信任那大可不必。毕竟我们做企业安全的根本问题是解决企业实际问题,而每个企业由于规模不同其基础设施、技术架构也不同。所以将零信任思路融入企业安全建设中去与企业内部基于内部实际基础设施去改造才是真理。
注:本期征文延长一个月,即到2021年1月底。
三月主题:《数据安全面面观》
征文 | 顾伟:关于中国数据跨境传输合规之思考征文 | 赵锐:云端数据安全浅谈征文 | 蔚晨:数据驱动的安全防控体系探究征文 | 张喆:在开放共享环境下的数据安全安在征文,3月月奖是谁胜出?
四月主题:《一个人的安全》
征文 | 周逸传:一个人的安全?我笑了征文 | 武鑫:一个人的安全,在变化中促成长征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司征文 | 黄猛:一个人的安全?你不是一个人在战斗!征文 | 顾伟:一个信息安全从业者的自我修养安在征文,4月月奖是谁胜出?
五月主题:《网络安全“值钱”吗》
征文 | 陈欣炜:联合起来,让网络安全创造价值征文 | 顾伟:网络安全“值钱”吗?征文 | 赵锐 :从网络安全转向业务安全的价值实现安在征文,5月月奖是谁胜出?
七月主题:《社工记》
征文 | 沈青:网络安全社会工程学起源与应用征文 | 陈欣炜:邮件钓鱼测试和合规性要求征文 | 顾伟:从社会工程学到信息安全文化模型的创建征文 | 赵锐:无所不在的社会工程学安在征文,7月月奖是谁胜出?
十月主题:《攻防演练实务》
征文 | 黄乐:网络安全的矛与盾——企业视角看攻防演练征文 | 顾伟:攻防之道,红蓝对抗征文 | 叶翔:在企业内部搞攻防比赛,很难吗?征文 | 赵锐 :从漏扫到攻防演练,甲方如何选择安全测试?安在征文,10月月奖是谁胜出?
十一月主题:《不会做规划,怎么做安全》
征文 | 侯大鹏:利用5W1H方法,做企业信息安全规划征文 | 陈皓:年度安全规划–“我们不一样”征文 | 舒胤明:结构化分析,让5W2H贯穿信息安全规划全程2020征文
六月主题:《红蓝对抗中的心理博弈》
征文 | 王振东:红蓝对抗中的心理博弈
九~十月主题:《POC轶事》
征文 | 杨博涵:浅谈全流量安全分析系统POC测试征文 | 黄乐:安全产品POC那些事征文 | 金国峰:POC,不仅笑话与故事征文 | 李磊:安全运营视角下的POC测试征文 |蒋琼:从雾里看花到揭开面纱,新兴领域安全产品POC之我见“POC轶事”,安在征文大奖揭晓!
十一~十二月主题:《零信任》
征文 | 李磊:企业“零信任”落地实践探索与思考征文 | 肖文棣:零信任之学习、思考和实践征文|杨文斌:零信任之个人理解与实践 ▼加入诸子云
齐心抗疫 与你同在