零信任是由Forrester Research的分析師John Kindervag在2009開發,並在2010年正式提出的。在過去的10年間,隨着雲計算、移動互聯等技術發展以及全球范圍內部威脅的不斷涌現,零信任越來越為產業界所接受。
Google從2011年開始探索和實踐零信任,並在2014年發表了BeyondCorp系列研究論文,成為零信任大規模實施的典范。
Gartner在2017年發布的其自適應安全3.0的版本CARTA框架,持續自適應的風險與信任評估的思想與零信任內涵和邏輯高度一致,進一步推進了產業界對零信任投入和研究。
NIST在2019和2020也連續發表了SP800-207零信任架構草案第一和第二版本,探討零信任體系結構(ZTA)網絡策略的核心邏輯組件。 從2018開始,Forrester 開始發布零信任擴展生態系統ZTX研究報告,探索零信任架構在企業中的應用,系統性對零信任廠商的能力進行評估。
Forrester對廠商的評估包括多個維度的一系列的指標,例如收入,廠商的零信任的戰略和對零信任的宣傳,以及API集成能力等。本文主要關注的是Forrester在零信任評估中所涉及的7個主要技術維度,即
網絡安全
設備安全
人員/身份安全
工作負載/應用安全
數據安全
可見性和分析
自動化和編排
本文基於2019年第四季度Forrester Wave™報告中的評估數據做一個簡單分析。在報告中,7個技術維度,每個都分別打分,有不同的權重,每項得分有了1、3、5三個不同的值,其中1分最低,5分是最高分,本文將從這7個技術維度逐一展開說明。
一、網絡安全
網絡安全能力是零信任最初關注的核心能力,在ZTX模型中,主要關注的是如何實現網絡隔離和分段,以及最終安全性的原理是什么。在這個維度中,得到最高分5分的廠商最多,達到了7家,這也與零信任最初的切入點吻合。這7家分別是Check Point、Cisco、Palo Alto Networks、Symantec、Forcepoint、Okta、Cyxtera Technologies。簡單來說,零信任的網絡安全能力可以理解為是支持微分段和微邊界的NGFW產品定義的能力,產品形態可以是硬件形態也可以是虛擬化設備或其它可以提供同等能力的軟件形態。
零信任網絡安全的關鍵架構組件包括網絡分段網關,微內核和微邊界。網絡分段網關作為網絡的核心,集成了各個獨立安全設備的功能和特點,從防火牆、IPS、WAF、NAC、VPN等。它支持高速多個10GB接口,可以高性能的檢查所有流量。通過微內核和微邊界,連接到“網絡分段網關”的每個接口都有自己的交換區。每個交換區都有一個微內核和microperiodier(MCAP),具有相同的安全信任級別。這實際上將網絡划分為並行、安全的網段,這些網段可以都單獨擴展,以滿足特定的法律合規性要求或管理需求。下面以幾個典型產品為例簡單說明。
Check Point的零信任網關可以在整個IT基礎架構以及私有/公共雲和公司網絡環境中對網絡進行微分段,它可以全面控制所有東西向流量,可以准確地檢查和阻止網段之間的未授權流量,同時僅允許絕對最小的合法流量。
Palo Alto的零信任網關主要是其下一代防火牆,它是單通道軟件架構來實現這一目標,具有獨立的控制和數據平面,加上特定功能的並行處理硬件引擎來處理流量。
二、設備安全
零信任安全架構中的設備安全的能力需要持續監控網絡上的所有設備。除了“看到”傳統服務器、PC、筆記本電腦和智能手機之外,還包括在連接到網絡的物聯網和IOT設備、外設、網絡基礎設施組件和惡意的設備,虛擬機、工作負載等軟設備形態。根據預先收集的有關設備類型設備允許、拒絕或限制對內部網絡資源的訪問,從而強制讓設備的行為符合執行預期。同時還可以根據已建立的策略發出通知並啟動設備修復。連接后,平台持續監視設備,以確保設備行為不會偏離策略。關鍵點在於對設備的持續發現和安全性檢查的能力,這一點有別於傳統的NAC設備一次檢查永久信任的模式。
設備安全相對比較容易理解,Forrester Wave™評分中得到5分有4家企業,分別是Forescout、Cisco、Proofpoint、MobileIron。下面以Forescout為例簡單說明。
Forescout是傳統NAC的標志性廠商,它通過對SecurityMatters的收購,將設備安全的能力擴展到了IOT環境中。它的零信任設備安全實踐很有代表意義。它可以全面了解企業內所有的IP連接設備,包括數據中心、雲和IOT設備,並對設備安全性和配置狀態的深入檢查,以確定設備的風險態勢。Forescout策略引擎根據設備的風險態勢,將企業的安全策略和分段策略轉換為單個實施產品應用的規則。
三、人員/身份安全
人員/身份安全是關注於使用網絡和業務基礎架構的人員的安全,減少這些合法用戶身份所帶來和造成的威脅。攻擊者獲取敏感數據的最簡單方法之一就是憑證盜用。一旦進入目標網絡,攻擊者一般都會擴大攻擊范圍,並在網絡中橫向移動,尋找特權帳戶和憑據,幫助他們訪問組織最關鍵的基礎設施和敏感數據。人員安全主要是身份和訪問管理(IAM),大多數應用程序和服務交互都與角色和權限(用戶、組和服務帳戶)有某種關聯,因此零信任策略對象的重要主體是身份和賬號。
這應該是零信任中最容易被理解的一個維度了,在Forrester Wave™評分中得到5分有6家,分別是Akamai、Cisco、Google、Proofpoint、Okta、MobileIron。下面以Okta為例簡單說明
Okta的身份認證邏輯分為三個階段,1、實現統一身份訪問管理。對訪問管理系統下進行整合,通過單點登錄(SSO)完成的第一階段整合。2、實現上下文訪問管理。通過收集關於用戶上下文信息(即他們是誰?他們是一個有風險的用戶群嗎?),應用程序上下文(即用戶試圖訪問的應用程序)、設備上下文、位置和網絡等信息進行綜合判斷,對於可能存在風險用戶配合多因子身份認證進行二次驗證。3、自適應的身份鑒別。這是與傳統上身份驗證區別最大的地方,不再是一次驗證通過就獲得這次會話的完全信任,而是通過自適應的、基於風險的評估來識別潛在威脅,在用戶體驗的整個過程中持續進行。這是第2階段的上下文響應中添加了一個智能的、基於風險的引擎,並允許基於這些上下文信號的風險評分來確定特定身份驗證事件的風險,並基於這種判斷提示進行附加的身份驗證。這里的關鍵是要避免因為誤報而導致對用戶正常操作的干擾。
四、工作負載/應用安全
過去10多年伴隨着雲計算的蓬勃發展,工作負載安全的重要性日趨凸顯,無論是私有雲還是公共雲中的工作負載,例如應用程序、虛擬機、容器、Serverless等都容易受到攻擊。要實現基於零信任的工作負載安全,首先要弄清楚組織內部的工作負載資產情況,構建工作負載、安全組、實例和防火牆的實時拓撲,通過自適應訪問策略,根據工作負載的任何變化自動調整,這些策略是強制執行,可以自動發現並糾正錯誤的工作負載系統配置,同時,可以通過調用IPS、惡意軟件檢測等安全引擎實現威脅防護。
在產品和能力提供上,零信任的工作負載安全通過提供基於身份的代理網關,降低了應用和工作負載的暴露面,無論應用和工作負載在什么地方,未經授權的人員和設備都是看不見這些資源的。同時可以配合其它的傳統安全手段,強化應用和工作負載的安全性。
應用和工作負載的零信任,在Forrester Wave™評分中得到5分有3家,分別是Akamai、Google、Cyxtera 。他們都是SDP的實踐者,下面以Akamai為例簡單說明。
Akamai是CDN的發明者和服務提供商,它原有的24萬台服務器的代理平台也是它轉型到以SDP提供零信任服務的重要因素。Akamai的IAP模型與Google的Beyond Corp模式相似。它通過企業應用程序訪問(EAA)雲產品提供工作負載保護的服務。
EAA允許企業通過Internet(無論是托管在雲中還是在數據中心中)提供對私有應用程序的訪問,並執行最小特權和零信任的原則。只有經過身份驗證的用戶和設備才能訪問他們有權訪問的內部應用程序,並且不需要打開或維護入站防火牆端口。EAA將數據路徑保護,單點登錄,身份訪問,應用程序安全以及管理可見性和控制功能集成到由Akamai智能平台支持的基於雲的單個服務中。它最終可以保護私有企業應用程序,從而最大程度地減少了攻擊面並使企業基礎結構和數據對公眾不可見。 它是基於雲的服務,並從一個單一窗口訪問基於Web的應用程序,框架內也可以與傳統的安全服務集成,例如高級威脅防護,Web應用程序防火牆等。
五、數據安全
零信任架構的核心是回歸本源,聚焦於保護數據的安全,構建以數據為中心的安全。從數據安全着手建立零信任體系相對容易落地,也更容易以最好的ROI產生效果。無論數據處於在終端、應用服務器、數據庫、SaaS應用程序之中,無論在組織網絡內部或外部,無論數據是處於流動狀態還是使用狀態,都需要通過一定的技術手段,防止數據的泄露。Forrester Wave™在評估時主要關注如何實現數據的分類,隔離,加密和控制等安全措施。
雖然零信任架構的實踐目前以網絡微隔離、增強IAM(IDAAS等)、SDP這些形式為主,但本質上這些零信任的實踐還是圍繞是以實現數據安全為核心。在Forrester Wave™7個技術維度的權重中,數據安全權重17%也是最高的(網絡安全權重12%,身份安全權重15%)。但是在數據安全這個維度中拿到最高分5分的企業卻只有一家,遠小於網絡安全等其它維度,這是一個很有意思的現象。
零信任數據安全的保護應用於數據本身,與數據的位置無關。為了有效,敏感信息應在進入組織的IT生態系統后立即被自動標識出來,並應通過在整個數據生命周期中持續的保護。
典型實現包括安裝在每個終端上的部署代理,在雲和網絡上部署探針設備,這些代理和探針由一個集中管理控制台控制,管理員在該控制台中為每個終端代理、每個用戶、每個探針定義數據類型和采用適當的保護形式。作為以數據為中心的網絡設計,該設計本質是在特定數據或資產周圍放置了微邊界,以便可以執行更細粒度的規則。這個一般分為4個步驟:
1、識別敏感數據:這看似簡單,但要落地,遠比想象的更具挑戰性。保護看不見的數據是不可能的。識別數據后,有必要使數據分類有用,而簡化是關鍵。
2、映射敏感數據的數據流:了解數據如何在網絡內、跨網絡以及在用戶和資源之間流動。這里的數據既包括結構化半結構化數據,也包括非結構化的文檔數據,數據流的形成是一個必要而艱難的過程。
3、創建自動化規則庫:確定訪問控制的規則,形成數據安全策略。要定義這些規則,必須了解哪些用戶、應用和數據之間的關系。
4、持續監控持續調整:通過持續監控,並根據用戶的行為和風險,自適應的調整用戶的安全策略,采用不同的響應手段。
常見數據安全防護的技術包括文檔加密、數據庫加密、磁盤加密、數據脫敏、DLP(數據防泄漏)、數據庫審計、虛擬沙箱、UEBA、CASB等。與SDP、IDAAS、微隔離等相比,這些看似不是新的名詞和定義,理論上應該有更好的表現,但Forrester Wave™選的14家廠商中只有ForcePoint拿到了最高分5分,數據安全整體得分是7個技術維度中最低的,甚至長期在GartnerDLP魔力象限領導者的Symantec也只被評估為3分,為什么會出現這種情況?這是一個很有意思的話題,Forrester評價Symantec產品組合中唯一真正的缺陷是其傳統的DLP方法。客戶“並未真正按預期使用DLP”。但是,實際上,對於當今行業中的大多數DLP工具來說,這很常見。傳統DLP的問題本文就不展開討論了。不過,筆者一直認為,數據安全相對而言是零信任理念和架構最容易落地的一個維度,一個好的數據安全方案和產品可以基本不改變用戶原有的網絡架構,不改造用戶原有的應用系統,不影響用戶原有的使用習慣,以輕量級代理的模式介入到用戶環境中,達到一個性價比相對價高的零信任安全結果。因為Forrester Wave™在數據安全維度下只有ForcePoint得到最高的5分,下面以ForcePoint為例簡單說明。
Forcepoint的解決方案是圍繞DLP和CASB構建數據安全平台,同時關注用戶在終端上的行為監控和實體行為分析。Forcepoint將數據分為兩大類,一類是個人信息類數據,另一類是知識產權類數據。對個人信息類數據,它集成各種合規檢查和報告,可以幫助用戶實現數據隱私法規的合規,例如GDPR、CCPA、PCI DSS等。對於知識產權類數據通過機器學習、指紋等方式定義和識別數據,制定數據訪問規則,並持續監控、分析和調整。Forcepoint將看似無關的數據安全事件進行關聯分析,通過事件風險排序(IRR)將不同的指標融合到機器學習模型中,以評估數據風險發生的可能性。它通過一個儀表板為管理員提供了整個企業(包括端點,網絡和雲應用程序)受保護數據的統一視圖。
六、可見性和分析
這一個維度相對來說入圍的各個廠商都做了不少工作,因為沒有對安全的可見性和分析,產品的價值是無法體現出來的。看不見或看不懂的東西是無法被保護的,Forrester在這個維度主要關注技術或解決方案是否提供有用的分析和數據支撐,並盡量消除系統和基礎架構中存在的死角。這在不同的關注維度下有不同的支撐場景和實現,需要在對需求,客戶、業務和技術多維度的綜合認知指引下,定義出產品自身的分析和可視化邏輯,本文就不展開分析了。
在Forrester Wave™評分中得到5分有7家企業,分別是Check Point、Cisco、Palo Alto Networks、Forcepoint、Forescout、Unisys、Illumio。下面以Illumio為例簡單說明。
Illumio的自適應安全平台提供實時的應用程序依賴關系映射和安全分段,以阻止數據中心和雲環境內部的橫向移動。這對對跨異構計算環境的工作負載之間的連通性的可見性有較高的要求,它提供了異構環境中工作負載的實時顯示,自動的發現和分類和全面的可視化審核。Illumio的核心能力是在整個基礎架構中提供定義明確且清晰可見的資產圖。
七、自動化和編排
零信任安全體系結構要發揮最大的價值,需要與更廣泛的IT環境集成,可以改進的事件響應的速度,提高策略的准確性和並自動分配任務等。Forrester在這個維度主要關注技術或解決方案如何實現基於零信任原則的自動化和編排,並使企業能夠對不同的系統進行更強大的控制。它認為如果工具具有輔助自動化和編排的技術能力,並且還可以進行細分,還不足以成為平台。但是,如果工具或技術支持微隔離和加密,集成了自動化和編排功能,並且具有完善的API,開發人員可以通過該API內置其他零信任功能,則可以將其視為平台。
通過自動化和編排,可以將重復和繁瑣的安全任務轉換為自動執行、計划執行或事件驅動的自定義工作流。可以動態地將安全策略中的對象與外部資料關聯(如AD等IAM身份管理系統),以釋放大量的工作人員時間,並減少由於人為錯誤而出錯的機會。可以通過使用算法和經驗值來自動識別安全事件,並更改訪問策略規則進行響應,響應的方式也可以通過編排自動對接第三方工具和產品。同時也可以與第三方SIEM產品深度集成,提供更完整准確的分析。
在Forrester Wave™評分中得到5分有4家企業,分別是Okta、Palo Alto Networks、Proofpoint、Illumio。下面以Palo Alto Networks為例簡單說明。
Palo Alto Networks這一塊的功能主要是通過對Demisto的收購實現的。通過為SOC分析人員提供單一平台來管理事件,自動化和標准化事件響應流程以及在事件調查方面進行協作,來優化安全操作的效率。它利用機器學習(ML)來支持諸如事件分類等功能,或為SOC分析人員提供下一步建議。同時為分析人員提供了一個作戰室,以便他們協作調查事件,並自動記錄事件發生后的報告。Palo Alto Networks提供強大的事件/案例管理和劇本自動化功能,以及300多種現成的產品集成。
這7個維度是John Kindervag的繼任者,現在Forrester 首席分析師Chase Cunningham在其零信任擴展框架中提煉出的7個支撐維度。在用戶視角看,目前實現全面的零信任的改造存在復雜性和風險。但從不同用戶具體的IT基礎設施的實際出發,從最關切的風險出發,可以逐步落實零信任的原則和理念。
本質上,包括零信任在內的一切新的概念和總結,出發點都是為了解決網絡安全和信息安全的本源問題,即應用和系統的可用性問題,數據的機密性問題。圍繞可用性、機密性和完整性的原則,不斷迭代新的理念和技術,為用戶的業務提供更好的支撐和保障,這些零信任產品的發展也是各個廠商在某相對擅長的領域,為了更好的解決客戶問題的自然演進。
所以零信任的7個維度划分也不是鐵律,我們可以分解來看,一定程度上就是更細的網絡邊界,應用切分,數據定義,用戶身份的多次驗證,更細的強制訪問控制,在永不信任,持續驗證的理念下,如何在不影響用戶體驗的情況下,提供更好的安全保障和服務。
轉自freebuf