什么是零信任安全性?
零信任是一种用于保护组织的安全模型,它的理念是默认不信任任何人员或设备,即使人员或设备已经位于组织的网络内也是如此。零信任方法在整个网络中(而不仅仅是在可信边界上)强制执行严格的身份验证和授权,以消除隐式信任。在此模型中,每个访问资源的请求都被视为来自不受信任的网络,系统会对其进行检查、身份验证和核实。
2010 年,Forrester Research 分析师 John Kindervag 首次提出了零信任安全模型。这标志着传统的 IT 安全模型逐渐被弃用,此类模型注重于保护网络边界的访问,并假定边界内的所有东西都是可信的。
遗憾的是,如果攻击者获得了对网络的访问权限,传统方法无法提供有效的防御。进入网络边界后,攻击者可以自由移动,并尝试将访问权限扩大到高价值数据和资源,这种技巧被称为横向移动。如今,随着资源和数据的分布越来越分散,这个问题在现代 IT 环境中变得更加棘手,导致企业很难从一个点对网络实施安全控制。
零信任方法可帮助公司增强 IT 环境的安全性并限制或防范攻击。
详细了解 Google 如何实现其 BeyondCorp 零信任云安全模型,以将访问权限控制从网络边界转移至具体的用户和设备。
零信任的定义
零信任是一种旨在保护现代组织的云安全模型,它消除了隐式信任并强制执行严格的身份验证和授权。在零信任模型中,每个用户、设备和组件始终被视为不可信,无论它们在组织的网络内部还是外部都是如此。
零信任的工作原理是什么?
零信任摒弃了可信网络边缘的概念,它假定任何请求访问权限的用户或服务都是潜在的威胁,即便它们位于您的网络中或之前已经连接过无数次也是如此。
许多人会将零信任定义简化为“不信任任何人和任何东西”或“永不信任,始终验证”,但这多少有些片面。零信任的核心概念是,假设互连系统中的任何人或任何东西(甚至是底层组件)受信任会带来巨大的安全风险。信任需要通过动态、情境化的安全政策和各种技术机制来建立并持续验证。
这种方法使用精细的政策控制来利用微细分,将网络划分为更小的分段和隔离的工作负载。政策是基于情境的,依据的是身份、位置、设备、正在访问的内容和应用等信息。政策是动态的,因此系统会定期重新评估政策,并根据情境的变化做出调整。
默认情况下,数据和资源无法访问。连接只有在通过身份验证并获得授权后,才会被授予严格控制的访问权限。此过程会应用于任何用户或已连接端点,并且系统会不断验证身份。此外,系统会密切记录、监控和分析所有网络流量,以判断是否有任何入侵迹象。
以下是一种更简单的理解方式:假设您的网络和基础设施是绝密的政府设施,并且安全系统是零信任模型。它可能包括标准边界安全以及警报和传感器,以检测未经授权的访问。
零信任模型会向边界内所有接入点添加安全措施。大楼的每个侧翼和每个房间也始终保持锁定状态,并且房门使用生物识别访问系统进行控制。即使通过了正门的安检,您还需要在房门处扫描指纹以证明自己的身份,并且只有持有正确的安全许可才能进入房间。您只能进入需要进入的区域,并且只能停留办完业务需要的时间。
三个零信任概念
目前,零信任模型有多种实现,包括零信任网络访问 (ZTNA)、零信任架构 (ZTA) 和零信任边缘 (ZTE)。不过,它们都基于相同的核心概念构建。
以下是塑造模型的三个零信任原则:
- 始终假设所有网络流量都是威胁。零信任认为每个用户都有恶意,并且在网络内外,威胁无处不在。因此,系统会自动拒绝所有没有明确权限的流量进行访问。在请求访问权限时,系统会持续对每个设备、用户和网络流进行身份验证、授权和批准。
- 强制执行最小访问权限。零信任安全方法授予最小访问权限,即在需要时授予必要资源的最低访问权限,而不影响完成任务的能力。最小访问权限有助于在账号或设备遭破解时阻止攻击者横向移动至更重要的资源。
- 时刻监控。零信任模型主张持续监控,并始终分析和管理网络上的活动。这样,您就可以实时了解哪些实体正在尝试访问资源,并能够识别潜在的威胁、活跃突发事件以及需要调查的异常情况。
由 Forrester 最初提出的这些零信任原则也与由美国国家标准与技术研究院 (NIST) 开发的零信任框架一致。我们强烈建议您阅读 NIST 的框架,以获取在您自己的组织中实现零信任安全模型所需的实际步骤的指导。
为何使用零信任模型?
当今发生得最多的数据泄露案例并不仅仅是攻击者设法突破网络边界的结果。随着云计算和远程办公的兴起,许多组织发现它们很难保护日益分散的环境和并不严密的边界。数据现在可在多个服务、设备、应用和人员中生成、存储和共享,并且可以从世界任何地方访问。
许多威胁行为体发现,在混合云环境中利用网络弱点和保护范围中的漏洞是一件有利可图的事情。越来越多的严重数据泄露由以下原因导致:攻击者利用社会工程学以及他复杂手段盗用账号、意外或有意的内部威胁,以及第三方供应商的安全薄弱环节。
安全团队现在认识到,威胁来自网络内部的可能性与来自外部一样大。
许多组织已尝试实施深度防御分层安全措施,以在某个措施失败时提供冗余和备份安全性。但是,这种方法的实施、管理和维护通常昂贵且复杂,因为在引入新系统、人员、服务和设备时需要不断调整和修改相关的设置。
零信任整合了深度防御策略,但目标是最大限度地减少威胁面并构建本质上安全的环境,而无需识别和缓解每个潜在威胁。其重点是实时阻止对任务关键型资产的访问并防止攻击者在网络中横向移动。零信任提供了一种统一的安全方法,可以对分布式环境进行全面且适应性强的保护,同时仍允许安全访问。
使用零信任模型的优势
提升了可见性
提升了可见性
零信任安全要求企业了解资产的位置,并持续监控哪些身份正在访问资源以及如何访问。这改善了流量、资产库存和风险管理的可见性和情境化。
限制数据泄露的危害范围
限制数据泄露的危害范围
由于身份被授予最小访问权限,如果发生数据泄露,零信任有助于限制危害的范围。这使团队能够更快地进行响应和缓解攻击,并最大限度地降低进一步暴露的风险。
现代 IT 环境中的访问权限控制
现代 IT 环境中的访问权限控制
在零信任架构中,安全政策基于身份并与特定的工作负载相关联。这使得安全措施靠近受保护的资产并可以随工作负载一起移动,而无需考虑环境。
安全性保持一致且适应性强
安全性保持一致且适应性强
在零信任模型中,安全政策集中管理,并根据情境自动迁移和更新。安全系统变得更敏捷并且扩缩能力更强,同时减轻了管理员的负担。
减小攻击面和风险
减小攻击面和风险
零信任会隔离流量并创建网络分段,可防止横向移动并阻止任何潜在感染传播到重要资源。系统可以检查到任何可疑活动,并通过政策和控制措施再次验证身份,从而降低成功入侵的可能性。
持续合规性
持续合规性
在零信任模型中,系统会记录和评估所有流量和请求。此外,它还会锁定对资源的访问权限。如果发生数据泄露,您不仅可以提供明确的审核跟踪记录,还可以更轻松地证明您已经采取了一切可能的措施来满足数据隐私权要求和标准。
使用零信任模型的挑战
当然,每种方法都会带来一些问题。转变为零信任模型可能需要数年时间,并且需要谨慎规划。
以下是使用零信任时面临的一些主要挑战:
- 保持一致。在正确实施的情况下,零信任能够提供它所宣称的出色安全性。但是,这也要求组织与战略保持一致。大多数组织在弃用传统安全解决方案时将需要分阶段进行更改,但还需要确保在此过程中不会产生漏洞。
- 阻碍工作效率。零信任会向大多数工作流添加额外的安全步骤,如果未正确实施,可能会影响工作效率。关键在于策略需要在支持工作与实现可靠的安全状况之间取得适当的平衡。如果流程变得太混乱,员工可能会设法绕过它们。
- 抗击内部威胁。虽然零信任可以通过最小访问权限缓解内部威胁,但它并不是灵丹妙药。攻击者经常会使用钓鱼式攻击或恐吓软件等手段诱骗用户提供敏感信息,从而窃取凭据并获取访问权限。或者,最糟糕的情况是,您面对的可能是有意滥用权限的恶意用户。为了使零信任有效防范内部威胁,您需要能够监控并检测整个组织中的任何异常模式。
- 维护政策和架构。您的业务不断发展壮大,这意味着零信任政策和权限结构也需要不断更新。零信任模型依赖于精确定义的政策和有效的政策管理,您还必须主动维护和配置这些政策,以防止数据泄露。
相关产品和服务
BeyondCorp 是 Google 的零信任网络架构实现,让您无需传统 VPN 即可从任何设备或网络进行安全访问。BeyondCorp 使用单点登录、Access Context Manager 和 Identity-Aware Proxy 等 Google Cloud 工具将边界从网络扩大到各个设备和用户。
BeyondCorp 提供了一套访问权限控制措施,可通过身份验证和授权工作流来验证身份,以授予对资源的访问权限。这使组织能够持续验证信任,而不会影响工作效率。
