部署零信任访问的五个关键点
“零信任”的概念可以追溯到2010年。因为受信任的内部网络和不受信任的外部网络已经逐渐不再真实,而导致传统边界安全模型无法提供足够的防护。这个解决方案的目的就是改变信任模型,使得没有用户可以自动被信任。
如今,零信任访问(Zero Trust Access, ZTA)已经成为行业的流行用语,许多厂商都表示他们提供ZTA解决方案。在最新的总统行政令中,拜登都要求强制推行零信任方案。虽然说这个名词处处可见,但是具体落地依然在拖延。落地缓慢的一个巨大原因在于人们依然对ZTA有太多 的不解与困惑,比如它到底意味着什么,以及从哪开始着手。
这里有五个企业可以如何有效落地ZTA的信息。
● ZTA抛弃了间接信任
ZTA的关键在于知道和控制哪些人、哪些东西在自己的网络上。CISO们可以以此减少因员工带来的风险,并且移除基于间接信任运作的系统来更有效地管理组织的网络。
通过对用户的接入进行限制,同时启用进一步的身份认证,ZTA可以减少隐患,从而只有合法用户才能接入与他们身份相关的系统——至少是“需要知晓”等级的接入权限。
● ZTA和ZTNA不同
ZTA考虑的不仅仅是谁在网络上,还有“什么”在网络上。大量增加的网络连接设备可能包括从打印机到加热通风设备、门禁系统等物联网设备。这些无用户界面的设备没有用户名和口令来识别它们自己以及它们的角色。对于这些设备,网络准入控制解决方案可以发现和控制接入。通过使用网络准入控制策略,零信任最小接入原则可以应用到物联网设备,确保这些设备有足够的网络接入权限进行他们的工作,并且不超出它们所需的权限。
零信任网络接入(Zero Trust Network Access, ZTNA)是ZTA的一个组件,用于控制应用的接入,无论应用的用户或者应用本身在哪。用户可能在一个企业网络上、可能在家工作、或者其他某个地方。应用可能存在于企业的数据中心、在私有云、或者在公共网络上。ZTNA将零信任模型从网络侧继续延展,通过将应用从互联网上隐藏减少攻击面。
● 网络准入控制是ZTA的起点
如果要落地ZTA,首先要知道网络上所有的设备。一个网络准入控制解决方案可以准确发现和识别每个在网络上或者试图接入网络的设备,对其进行扫描以确保设备并没有已经遭到攻击,然后为该设备建立角色和权限。
网络准入控制会记录所有设备,从用户电话和笔记本电脑,到网络服务器、打印机、以及如HVAC控制器或者安全读卡器等无界面物联网设备。
● 微隔离是关键
一旦知道了网络上有些什么,就可以用网络准入控制的动态网络微隔离将每个设备分配到适合的网络区域。决定哪个是正确的区域会基于一系列的因素,包括设备类型、功能、网络上的目的等。
网络准入控制同样可以支持基于目的隔离,可以通过下一代防火墙平台智能化分隔设备。分隔区可以基于业务目标,比如GDPR隐私法律的合规要求,或者PCI-DSS的交易保护。在有基于目的的分区情况下,无论在网络何处的资产,都会基于其标签符合合规需求,从而减少满足合规需要的时间和成本。
● ZTA需要终端软件
为了解决离线设备接入客户端或者云的解决方案,需要在终端上运行相关软件。这个软件必须在终端提供持续的防护以及基于行为的检测,防止设备沦陷,无论用户是否在线。
这类软件同样需要能够通过VPN连接、流量扫描、URL过滤和沙箱能力确保远程接入安全。共享终端的安全状态是认证和授权流程的一部分,包括对终端进行遥测,收集终端的操作系统和应用、已知漏洞和补丁,以及安全状态,从而准确赋予设备接入规则。
ZTA很重要,不只是一个时髦词
在当下这个环境,远程办公以及大量员工设备已经成为常态。ZTA已然成为了网络安全的一个关键方面。组织有机会转向ZTA框架,以识别、分隔、持续监控所有设备。ZTA确保数据、应用和知识产权等内部资源始终安全。
除了简化整体网络以及安全管理,零信任方案同样能增加组织中的可视化以及控制能力,包括离线的设备。ZTA应成为任何一个有效安全策略的基础。只要零信任正确落地,它会只允许正确的人或者实体快速接入完成他们工作所需要的资源,同时减少因未授权接入产生的风险和下线时间。
从本文的建议中不难发现,零信任访问的关键之一在于网络准入控制——或者说零信任访问是现有网络准入控制的未来形态。不仅是从技术层面,从逻辑层面也需要对企业的网络进行改变。零信任理念的扩展必然会让网络控制准入解决方案厂商开辟新的市场。
参考阅读