2020 年 2 月 12 日,NIST(美国国家标准与技术研究院)发布《零信任架构》标准草案第 2 版,与之前 2019 年 9 月发布的NIST《零信任架构》草案第一版相比,此版本对零信任的定义进行了细节性和针对性的修改, 这表明零信任架构的标准化进程正在加速推进中,美国政府希望能够尽快采用并过渡到零信任架构。

当前,全球已进入数字化转型时期。在此过程中,现实世界与网络空间的边界消弭,网络空间的安全问题会直接投射现实世界中,以边界为核心的网络安全保护已经难以应对复杂多变的网络安全形式,企业当下更加紧要的目标是保护有价值的核心数据和关键业务,以往“创可贴”式的安全将难以达到新形势下的网络安全要求。同时,网络和网络安全体系的不足已经逐渐凸显出来,我们需要在整体架构层面上进行设计和优化。面对新的安全形势和安全环境,以“零信任”为代表的新型安全架构应运而生, 推动网络安全领域乃至军事领域新发展。

一 网络安全领域新态势

数字化转型的时代浪潮推动着信息技术的快速演进,云计算、大数据、物联网、移动互联等新兴 IT 技术为网络安全领域带来了新的生产力,以“零信任”为代表的安全架构出现,传统网络安全边界正在逐渐瓦解,基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施等,网络安全领域呈现新的发展格局。

1、传统网络安全在数据安全时代开始失效

日益普及的互联网业务和肆意泛滥的社交网络,从网络安全到数据安全转变的根本原因是数据价值的无限提高。在很多机构,数据已经成为其核心财富甚至是最大财富,甚至有“抢银行不如抢数据”的说法。在数据财富无限快速放大的过程中,数据财富的管理并没有发生本质的变化,基本处于裸奔状态。因此,那些缺乏保护的数据财富在不断诱惑企业的员工、合作伙伴犯错,不断诱惑黑客来攫取。随着数据价值的凸显,特别是人工智能的兴起,我们正在把现实社会发生的一切进行数字化和数据化。可以预见,在不远的将来,数据世界很快就会成为现实世界的一个投影或镜像, 现实生活中的抢劫、杀人等犯罪行为会映射为数字世界中的“数据破坏”。

2、网络安全面临的“四化”挑战

在云计算更加普及的数字化转型时代,网络安全也将面临新的挑战。对手组织化:对手从普通的网络犯罪变成了组织化的攻击,攻击方式从通用攻击转向了专门定向攻击,边界防御思想已经被完全打破,难以应对,体系化防御势在必行。

环境“云化”:新一代信息技术的全面应用,带来了信息化和信息系统的“云化”,典型特征是终端智能、应用系统、IT 设施的全面云化,集中化的IT 系统对攻击者具有更大的吸引力。

目标数据化:新一代信息化建设以数据共享为基础,“数据”在经济社会中的价值越来越高,数据和业务应用成为网络攻击的重要目标。

战法实战化:面对新的安全形势和安全环境,安全防护体系建设从合规导向转向能力导向,网络安全防护和监管都转向关注实战化,实网攻防演习成为常态化手段。

3、从物理边界防护向零信任安全转变

网络安全正在从传统的物理边界防护向零信任安全转变。伴随着云计算、移动互联网、物联网、5G 等新技术的崛起,万物互联的数字经济时代已经到来,各行各业开始向数字化智能化转型。业务上云、数据互联互通, 给企业带来深刻变革的同时,也让企业 IT 架构发生了翻天覆地的变化,一场关于网络安全架构的技术革命正在发生并被越来越多的专家和企业所关注和认可。同时,零信任安全从概念走向落地,国内外企业基于对零信任安全框架的理解,开展了技术探索和布局,目前多用于解决身份管理和访问控制的问题,聚焦于软件定义边界(SDP)、微隔离等方向。软件定义边界凭借更细粒度的控制、更灵活的扩展、更高的可靠性,正在改变传统的远程连接方式。

二 零信任特点及架构风险

1、零信任内涵及特点

零信任(或零信任网络、零信任架构、零信任安全)最早由研究机构Forrester 的首席分析师约翰·金德维格(John Kindervag)在 2010 年提出, 简而言之,零信任的核心思想就是:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制。


图 1 零信任内涵图

当前,零信任的各种不同维度的观点也在持续发展、融合,并最终表现出较强的一致性。随着零信任的持续演进,以身份为基石的架构体系逐渐得到业界主流的认可,这种架构体系的转变与移动计算、云计算的大幅采用密不可分。在其不断发展过程中,我们要认清它的特点:

1)零信任是一个演进式的框架,而不是革命性的方法

它建立在现有的安全概念之上,并没有引入一种全新的网络安全方法。与大多数安全概念一样,零信任依赖于对组织的服务、数据、用户、端点的基本理解。关于前期资源投资, 没有“免费午餐”。策略定义、部署概念、信任确定(和衰退)、执行机制、日志聚合等,都需要在部署解决方案之前考虑。也就是说,许多大型机构(如谷歌、Akamai 和Purdue)都已进行了投资,显示出安全投资的真正回报。

2)零信任本身并不是一项技术,而是网络安全设计方法的转变

当网络设计将多个供应商的产品集成到一个全面的解决方案中时,当前的解决方案领域显示出非常成熟且经过验证的解决方案。无论是寻求零信任网络的解决方案是什么,诸如软件定义的网络和身份、凭证和访问管理(ICAM)等要素,都是成功的长期零信任策略的重要组成部分。零信任可以增强和补充其他网络安全工具和实践,而不是取代它们。威胁情报、持续监视、红队演习仍然是零信任网络环境和全面安全方法的重要组成部分。


3)零信任不是万能的,但它可以改善网络安全态势

许多联邦机构面临复杂的数据和服务与其他组织的相互依赖性的挑战, 在将零信任扩展到关键任务、多组织的工作流之前,必须仔细考虑这些依 赖关系。零信任是一个成熟的策略,可以提供积极的网络安全投资回报, 但它可能需要前期投资,这取决于机构有哪些已经到位。

2、零信任安全架构风险

Gartner 认为当前网络和网络安全体系架构是针对一个正在逝去的时代而设计的,很难满足数字化转型企业对移动设备、云计算、边缘计算、物联网环境中动态安全访问的需求。面对外部威胁、内部威胁和 IT 新环境下边界瓦解的现状,零信任安全所倡导的全新安全思路,已然成为企业数字化转型过程中应对安全挑战的主流架构之一,所有参与零信任架构的实践者们正接受着全新的挑战,但更满怀信心地迎接着值得期待的崭新未来。

从目前落地零信任概念 Google BeyondCorp、Google ALTS、Azure Zero Trust Framework 等可以看出,零信任架构(ZTA)可以减少整体风险暴露和保护共同威胁。不过,ZTA 也存在一些独特的威胁风险。

1)ZTA 决策过程的受损

在ZTA 中,策略引擎(PE)和策略管理器(PA)组件是整个企业的关键组件。企业资源之间不会发生连接,除非经过 PE 和 PA 批准和可能的配置。这意味着必须正确配置和维护这些组件。任何具有 PE 规则的配置访问权限的企业管理员,都可以执行未经批准的更改(或误操作),这些更改可能会中断企业运行。同样,失陷的 PA 可能允许访问未经批准的资源(例如, 受损的个人拥有设备)。要缓解相关风险,必须正确配置和监控 PE 和 PA 组件,并且必须记录任何配置更改并接受审计。

2)拒绝服务或网络中断

在ZTA 中,PA 是资源访问的关键组件。未经 PA 的许可和可能的配置操作,企业资源不能相互连接。如果攻击者中断或拒绝对策略执行点(PEP) 或 PA 的访问(即拒绝服务攻击),则可能对企业操作造成不利影响。大多 数企业可通过将策略强制驻留在云中或按照网络弹性指南在多个位置备份, 来缓解此威胁。

3)内部威胁

正确实施 ZTA 策略、信息安全和弹性策略、最佳实践,可以降低内部攻击的风险。ZTA 确实可以防止失陷的账户或系统,访问其正常权限之外或正常访问模式之外的资源。为网络访问实施多因素认证(MFA)还可以降低对失陷账户访问的风险。但是,与传统企业一样,具有有效凭证的攻击者(或恶意内部人员)可能仍然能够访问已授予账户访问权限的资源。

4)网络可见性

ZTA 需要检查并记录网络上的所有流量,并对其进行分析,以识别和应对针对企业的潜在攻击。然而,如前所述,企业网络上的一些(可能是大多数)流量对于网络分析工具来说可能是不透明的。此流量可能来自非企业所有的系统(例如,使用企业基础设施访问 Internet 的外包服务)或抗被动监视的应用程序。企业无法执行深度数据包检查(DPI)或检查加密的通信,必须使用其他方法评估网络上可能的攻击者。这并不意味着企业无法分析它在网络上看到的加密流量。企业可以收集有关加密流量的元数据, 并使用这些元数据检测网络上可能存在的恶意软件通信或活动攻击者。机器学习技术可用于分析无法解密和检查的流量。采用这种类型的机器学习, 将允许企业将流量分类为有效的,或可能恶意并需要补救的。在 ZTA 部署中,只需要检查来自非企业所有系统的流量,因为所有企业流量都经过了PA(通过 PEP)的分析。

5)网络信息的存储

网络流量分析的一个相关威胁是分析组件本身。如果存储网络流量和元数据以进行进一步分析,则该数据将成为攻击者的目标。与网络拓扑、配置文件和其他各种网络架构文档一样,这些资源也应该受到保护。如果攻击者能够成功地访问存储的流量信息,则他们可能能够深入了解网络架构并识别资产以进行进一步的侦察和攻击。零信任网络上攻击者的另一个侦察信息来源是用于编码访问策略的管理工具。与存储的通信流量一样, 此组件包含对资源的访问策略,可以向攻击者提供最有价值的账户信息(例如,可以访问所需数据资源的账户)。与所有有价值的企业数据一样,应提供足够的保护,以防止未经授权的访问和访问尝试。由于这些资源对安全至关重要,因此它们应该具有最严格的访问策略,并且只能从指定(或专用)管理员账户进行访问。

6)对专有数据格式的依赖

ZTA 依赖多个不同的数据源来做出访问决策,包括关于请求用户的信息、使用的系统、企业和外部情报、威胁分析等。通常,用于存储和处理这些信息的系统在如何交互和交换信息方面没有一个通用的、开放的标准。

与 DoS 攻击一样,这种风险并非 ZTA 独有,但由于 ZTA 严重依赖信息的动态访问(企业和服务提供商双方),中断可能会影响企业的核心业务功能。为降低相关风险,企业应综合考虑供应商安全控制、企业转换成本、供应链风险管理等因素,对服务提供商进行评估。

7)ZTA 管理中非个人实体(NPE)的使用

人工智能和其他基于软件的代理正在部署,以管理企业网络上的安全问题。这些组件需要与 ZTA 的管理组件(例如,PE、PA 等)交互,有时代替了人工管理员。在实施 ZTA 策略的企业中,这些组件如何对自己进行身份验证是一个开放性问题。假设大多数自动化技术系统在使用到资源组件的一个 API 时,将使用某种方式进行身份验证。相关的风险是,攻击者将能够诱导或强制非人员实体(NPE)代理执行某些攻击者无权执行的任务。与人类用户相比,软件代理可能具有较低的认证标准(例如,应用程序接口密钥与多因子身份验证),以执行管理或安全相关任务。还有一个潜在的风险是,攻击者可以在执行任务时访问到软件代理的凭证并模拟该代理。

三 零信任产业格局

2019 年的 RSAC 带动了“零信任”的又一波新高潮,越来越多的企业意识到需要在企业内部和外部生态环境中营造信任。下一代互联网访问,零信任已成必然趋势。

1、整体概况

Gartner 行业报告《Market Guide for Zero-Trust Network Access》做了如下预测:到 2022 年,面向生态系统合作伙伴开放的 80%的新数字业务应用程序将通过零信任网络(ZTNA)进行访问。到 2023 年,60%的企业将淘汰大部分远程访问虚拟专用网络( VPN ), 转而使用 ZTNA 。在Cybersecurity Insiders 联合 Zscaler 发布的《2019 零信任安全市场普及行业报告》中指出,零信任作为一种基于上下文控制(用户、设备、应用程序等)提供对私有应用程序最低权限访问的新安全模型正迅速流行起来。许多 IT 团队正在优先规划采用现代的云安全技术,取代传统的基础设施如VPN 和 DMZ。同时报告指出在接下来一年时间内,59%的 IT 安全团队计划采用零信任网络访问(ZTNA)服务;而 10%的企业将在近 3 个月内就采用零信任 ZTNA 建设方案。

当前包括Microsoft、Google、Cisco、Symantec 等在内的国际巨头均在进军此领域,而 Zscaler 和Okta 作为创业公司,凭借其在零信任安全领域的技术创新已经在纳斯达克上市,市值在短时间内从20 亿美金飞速发展到100 亿美金以上。

2、产业格局

随着云计算、大数据、移动网络、5G 等趋势的推动,零信任安全的市场需求正在呈现爆发式增长,零信任的浪潮已经到来。

1)行业领头羊冲锋在前

这一类厂商代表企业自身经过漫长的实践后对外推出解决方案,既体现一种势在必行的决心,也为终端用户增加了一份信任。自己做出的产品, 要自己首先来使用,才能真真正正的从一个用户的角度来发现问题,以Google、Akamai 为代表。最近,Google 基于 Beyond Corp 安全模型,推出了“企业情境感知访问(Context-Aware Access for Enterprise)”的平台,面向企业用户,提供更简单的权限访问,并实施精细的控制。情境感知访问权限建立在Google Cloud 全球基础架构之上,与 Google 身份即服务(IDaaS) 解决方案 Cloud Identity、Cloud Armor(DDoS 防护)集成。Akamai 针对企业终端用户推出的Enterprise Application Access 2019 年被Forrester wave 列入零信任厂商领导者象限。

2)巨头厂商提前布局

对于零信任安全访问的未来,不是所有公司都有 Google 和 Akamai 这样的实力与决心,但并不影响各安全巨头用自己的方式开始布局,事实上他们已经走在前列。例如:思科、派拓、赛门铁克、Unisys、Proofpoint 这样的巨头玩家,多以收购的方式实现在零信任网络访问的纵深和业务的横向布局。

作为网络领域的佼佼者,思科在安全类目上一直鲜有明星产品。近年来,一系列的零信任布局收购:Duo Beyond、Tetration、SD-Access,让我们看到了其在安全领域卷土重来的决心。尤其是对 Duo 的收购:Duo 的优势在于强大的身份验证和易操作性,通过收购 Duo,大大增强了思科安全产品的功能。此外,结合思科的网络和设备工具,针对分析和云负载的新产品以及 Duo 对用户和端点的关注,支持多组件、部署和易用性成为了整个产品组合的特点。

赛门铁克收购Luminate Security 后推出 Symantec Secure Access Cloud, 平台中针对“零信任”的最有趣的功能是对风险结构系统的更新。这包括分析上下文以及在问题映射到行为和威胁活动时纠正问题的能力。

Unisys 是一家非常特殊的零信任厂商,主要为美国联邦政府内某些受高度保护的机密组织提供零信任网络访问服务。一定程度上,也证明了本身的实力。代表产品有 Stealth。此外,Unisys 在协议级别设计并构建自己的创新专有产品,实现了微隔离和零信任。

还有比较值得关注的一起零信任收购案例来自老牌网络安全公司Proofpoint,它于 2019 年 5 月以 1.1 亿美元现金收购零信任创业公司 Meta Networks。Meta Networks 利用云原生的全球骨干网,以用户为中心取代以站点为中心的网络安全,帮助企业实现人员、应用程序、云、数据中心和办公室的快速连接。通过收购,Meta Networks 的 ZTNA 技术将与 Proofpoint 的CASB 和 Web 隔离产品线集成,帮助其云安全产品和自适应控制得到进一步发展。

同时,派拓也进行了多次收购,例如:PureSec, RedLock, Twistlock, 以实现从网络到云和负载的拓展,并与思科、Akamai 一起入围 Forrester Wave 零信任供应商的领导者。

3)独角兽创业公司不断涌现

从表 1 近年零信任独角兽创业公司看出,这些企业在以下领域曾有特定的积累:

CASB:CASB 的供应商,平台根植于云,员工/合作伙伴可以方便远程登录使用企业各种网络服务,不会导致企业的敏感信息泄露。有着天然的优势转型零信任。

WAF: WEB 应用程序通过基于反向代理的 WAF 来提供服务,进行流量检查,同样具备演变零信任架构的基础。

表 1 近年零信任独角兽创业公司


4)初创公司展露锋芒

Gartner2019 发布的Hype Cycle for Cloud Security 指出:零信任网络访问距离进入成熟的平台期依旧有 5 年左右的时间。对于初创公司,要在这

个赛道冲出重围,机会窗口依旧存在。由表 2 零信任初创公司看出,目前

也有一些细分赛道的初创公司展露锋芒。

表 2 近年零信任初创公司

四 零信任安全军事领域新发展

随着越来越多的用户和终端接入网络,网络攻击面增加,现有网络安全设备正面临严峻考验。美国防部网络安全形势正处于关键时刻,网络规模和复杂性都在不断增长,需要进行大量的快速数据传输,以保持对网络和物理战场的态势感知能力。美政府、军队和商业部门正在重新评估目前基于“边界”的网络安全架构,并正在考虑采用零信任新架构以提高网络安全性。

1、零信任架构越来越受到美军的重视

美国国防部不断加强的身份与访问管理(IdAM)实践,已经充分展示了美国国防部对身份边界的重视,越来越明确地表明美国国防部要向零信任架构演进。

2019 年 10 月 27 日国防创新委员会(DIB)发布的《零信任架构(ZTA) 建议》报告中,第一条建议就是:国防部应将零信任实施列为最高优先事项,并在整个国防部内迅速采取行动,因为国防部目前的安全架构是不可持续的。

2019 年 7 月发布的《美国国防部数字现代化战略:国防部信息资源管理战略计划 FY19-23》中,提及了国防部向零信任发展的明确方向,并指出:零信任是一种网络安全策略,它将安全嵌入到整个体系结构中,以阻止数据泄露。零信任这种以数据为中心的安全模型,消除了受信任或不受信任的网络、设备、角色或进程的概念,并转变为基于多属性的信任级别, 使身份验证和授权策略在最低特权访问概念下得以实现。

2019 年 7 月发布的《国防信息系统局(DISA)战略计划 2019-2022 》中,给出了 DISA 技术路线图。可见,以身份和访问管理(ICAM)、持续多因素认证、移动持续多因素认证为代表的零信任架构,是美国国防部安全建设的重中之重。

2019 年 4 月发布的《5G 生态系统:对美国国防部的风险与机遇》称: “国防部必须采用„零信任网络模式’。边界防御模型已经被证明是无效的, 5G 只会加剧这个问题,因为更多的系统被连接到一个共同的网络。不应仅仅通过连接到特定网络来授予信息访问权限,而应通过网络内的各种安全检查授予信息访问权限。”

2、美军开始零信任架构的实践探索

为响应美国防部正在推动的“零信任”网络安全战略,国防信息系统局、美国安局和网络司令部在去年初便已启动一个针对“零信任”技术的试点项目,目前这几家机构正在总结试点项目已取得的成果,探讨如何将“零信任” 技术融入到美国防部体系中。

2019 年 8 月 7 日,美国启动“零信任试点项目”以加强五角大楼网络安全。美国国防信息系统局(DISA)、网络司令部正在启动一个“零信任试点项目(Zero-Trust Pilot Program)”,该项目将重点放在三个关键领域:创建一个框架,用于持续监控和检查网络不同层的访问;构建管理身份和访问的工具;在五角大楼内推出这些解决方案。他说,根据调查结果,五角大楼可能会调整现有的政策和工具,以提高安全。国防部已经确定了未来几年支持试点项目的资金。

2019 年 7 月,美国防创新委员会敦促国防部实施零信任架构,提高网络安全性。在美国防创新委员会(DIB)通过《通往零信任安全之路》白皮书中,敦促军方尽快实施零信任架构(ZTA)。白皮书描述了零信任安全架构所涉及的内容,对传统边界安全架构与零信任安全架构进行对比,探讨国防部如何实施该技术,并提出一系列问题以了解技术实施是否有效。传统边界安全架构与零信任安全架构。

3、美军加速推进零信任架构的应用

2019 年 10 月 24 日,美国国防创新委员会(DIB)发布报告《零信任架构(ZTA)建议》(Zero Trust Architecture (ZTA) Recommendations),主要提供了关于国防部零信任实施层面的建议。

2019 年9 月 发 布 的NIST 《 零 信 任 架 构 》 草 案(《NIST.SP.800-207-draft-Zero Trust Architecture》)。2020 年 2 月 12 日,NIST发布《零信任架构》标准草案第 2 版(《NIST.SP.800-207-draft2 Zero Trust Architecture》)。近期零信任标准两次的修订,表明零信任架构的标准化进程正在加速推进中,美政府及军队希望能够尽快采用并过渡到零信任架构。

五 结束语

零信任架构对传统的边界安全架构思想重新进行了评估和审视, 它是一种全新的安全理念和架构,不仅仅在企业网络边界上进行粗粒度的访问控制,而是应该对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对新型 IT 环境下已知和未知威胁的“内生安全”机制。面对外部威胁、内部威胁和 IT 新环境下边界瓦解的现状,零信任安全所倡导的全新安全思路,已然成为企业数字化转型过程中应对安全挑战的主流架构之一,所有参与零信任架构的实践者们正接受着全新的挑战,但更要满怀信心地迎接着值得期待的崭新未来。