兩個(gè)多月前，安全牛曾發(fā)表一篇題為《“零信任”時(shí)代，VPN必將被SDP取代》的文章，引發(fā)了較大爭議，有人認(rèn)為SDP（零信任的一種實(shí)現(xiàn)框架）無法取代VPN，也有人認(rèn)為零信任才是最終答案。但是，新冠疫情已經(jīng)將VPN與SDP/零信任的對決大大提前，因?yàn)閂PN在全球性的大規(guī)模遠(yuǎn)程辦公巨變中，資源消耗和“卡頓”問題被成倍放大。

如果新冠疫情發(fā)展成持久戰(zhàn)，VPN與零信任架構(gòu)的“決勝局”勢必將提前上演。

在國內(nèi)疫情較為嚴(yán)重的時(shí)期，不少科技公司遠(yuǎn)程辦公的工程師就曾吐槽VPN服務(wù)器因負(fù)載過高頻頻崩潰。如今，隨著國外疫情后浪推前浪，谷歌、Twitter等科技巨頭也紛紛開啟遠(yuǎn)程辦公模式，遠(yuǎn)程辦公的工作負(fù)載呈幾何級數(shù)飆升。下面是Zoom最近的全球用戶數(shù)增長統(tǒng)計(jì)表，可以直觀感受下：

除了對Zoom和Slack高峰期卡頓（類似企業(yè)微信和釘釘在國內(nèi)疫情高峰期的遭遇）的各種吐槽外，國外工程師對VPN的糟糕表現(xiàn)更是直接爆了粗口：所有VPN都是垃圾。

前不久技術(shù)專家Matthew Sullivan寫了一篇博客專門吐槽企業(yè)VPN的安全性問題和可用性，他的觀點(diǎn)是：

盡量別用VPN。

為什么？因?yàn)椋?/p>

所有的VPN都是垃圾。

Sullivan認(rèn)為，VPN需要精心配置，否則就是給黑客留門。但要命的是，這種精心配置只存在于理論層面，現(xiàn)實(shí)中絕大多數(shù)用戶壓根做不到或者不屑做！

零信任取代VPN？

Sullivan認(rèn)為，相比VPN，零信任網(wǎng)絡(luò)安全架構(gòu)具備以下三大優(yōu)點(diǎn)：

1. 不存在網(wǎng)絡(luò)橋接，不會(huì)劫持用戶流量。

2. VPN設(shè)備的一大問題，在于需要匹配專有軟件/操作系統(tǒng)配置——這類配置正是阻礙自動(dòng)修復(fù)程序的元兇，而零信任架構(gòu)可以選擇的OpenSSH安全記錄要好得多，自2003年以來，OpenSSH從未因默認(rèn)配置中的漏洞而遭遇未經(jīng)授權(quán)的遠(yuǎn)程訪問。細(xì)粒度的應(yīng)用與流量監(jiān)控和微分段，使得攻擊者即使成功侵入網(wǎng)絡(luò)入口點(diǎn)位置，其實(shí)也沒有什么后續(xù)空間可以利用。

3. 與VPN一旦用戶登錄就獲得完全授信不同，零信任的主機(jī)保護(hù)解決方案會(huì)對每個(gè)應(yīng)用程序進(jìn)行嚴(yán)密監(jiān)控，記錄應(yīng)用的所有活動(dòng)并執(zhí)行流量過濾。如此一來，即使攻擊者成功侵入私有云VPC網(wǎng)絡(luò)入口點(diǎn)位置，其實(shí)也沒有什么后續(xù)空間可以利用。

但是對于零信任取代VPN，安全牛的讀者們看法不一，有人認(rèn)為Sullivan對VPN橋接和流量劫持的說法不準(zhǔn)確，指出：

IPSec支持IP載荷直接傳輸?shù)姆菢蚪幽Ｊ?。該協(xié)議是經(jīng)過大量安全研究者分析過的，其他協(xié)議不說實(shí)現(xiàn)，本身協(xié)議安不安全就是個(gè)問題。而且協(xié)議問題的發(fā)現(xiàn)需要時(shí)間。

也有讀者支持Sullivan的觀點(diǎn)，認(rèn)為：

現(xiàn)有的VPN方案確實(shí)都垃圾，IPsec （基于strongSwan） 算好的了，但I(xiàn)Psec本身的復(fù)雜度讓配置變得麻煩，而且不同客戶端的支持也有管理成本。OpenVPN性能比較差。而商業(yè)的要特定的客戶端……

為什么是零信任？

零信任不是產(chǎn)品或服務(wù)，當(dāng)然也不僅僅是流行語。相反，它是網(wǎng)絡(luò)安全的一種特殊方法。它的意思正如其名——不是“先驗(yàn)證，然后信任”，而是“永遠(yuǎn)不要信任，永遠(yuǎn)要驗(yàn)證”。

本質(zhì)上，零信任關(guān)系到通過限制對數(shù)據(jù)的訪問來保護(hù)數(shù)據(jù)。企業(yè)不會(huì)自動(dòng)信任任何人或任何東西，無論是在企業(yè)網(wǎng)絡(luò)安全邊界范圍之內(nèi)還是之外。相反，零信任方法要求在授予訪問權(quán)限之前，對試圖連接到企業(yè)內(nèi)網(wǎng)的應(yīng)用程序或系統(tǒng)的每個(gè)人、設(shè)備、帳戶等進(jìn)行驗(yàn)證。

可是等等，傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)不就是實(shí)現(xiàn)這種安全控制嗎？難道零信任僅僅是一種錦上添花的技術(shù)？回想一下微盟刪庫事件的情節(jié)——微盟的一位核心運(yùn)維人員通過VPN登錄堡壘機(jī)然后進(jìn)入生產(chǎn)環(huán)境上演“電鋸狂人”，傳統(tǒng)網(wǎng)絡(luò)安全工具和控制形同虛設(shè)，雖然微盟刪庫事件有其特殊性，且問題的根源主要是缺乏內(nèi)部威脅的預(yù)案和安全管理策略，但也從一定程度上暴露出了包括VPN、堡壘機(jī)、防火墻之類的傳統(tǒng)安全防御工具和方法的“二哈”屬性。

其實(shí)，零信任框架也并非空中樓閣，包括許多企業(yè)已廣泛使用的安全技術(shù)來保護(hù)其數(shù)據(jù)。但是，零信任的價(jià)值在于，它代表了一種全新的網(wǎng)絡(luò)安全防御方法和體系，不僅可以保護(hù)整個(gè)企業(yè)范圍內(nèi)的總體邊界，還可以將企業(yè)的安全邊界移動(dòng)到組織內(nèi)外的每個(gè)網(wǎng)絡(luò)、系統(tǒng)、用戶和設(shè)備。強(qiáng)調(diào)身份、多因素身份驗(yàn)證、受信任的端點(diǎn)、網(wǎng)絡(luò)分段、訪問控制和用戶歸因來分隔和規(guī)范對敏感數(shù)據(jù)和系統(tǒng)的訪問，從而使更細(xì)粒度和更高效的安全訪問控制成為可能。

簡而言之，零信任是一種新的思考網(wǎng)絡(luò)安全的方法，可幫助組織在當(dāng)今瞬息萬變的威脅形勢下保護(hù)其數(shù)據(jù)，客戶和自己的競爭優(yōu)勢。

現(xiàn)在部署零信任是不是太早了點(diǎn)？

數(shù)據(jù)安全是2020年企業(yè)高管和CISO們的頭號任務(wù)，幾乎所有企業(yè)高管都已經(jīng)感受到保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)的壓力。投資者和“數(shù)據(jù)主體”（客戶和消費(fèi)者）也迫切需要更好的數(shù)據(jù)安全保障。

尤其是當(dāng)部分?jǐn)?shù)據(jù)和應(yīng)用程序在本地部署，而另外一些在云中時(shí)（混合云模式），安全問題將變得尤為復(fù)雜——從員工到承包商和合作伙伴的每一方都使用來自多個(gè)位置的各種設(shè)備來訪問這些應(yīng)用程序。同時(shí)，各國政府和行業(yè)法規(guī)正在提高保護(hù)重要數(shù)據(jù)的標(biāo)準(zhǔn)和要求，零信任度可以幫助企業(yè)更好地合規(guī)。

對于企業(yè)來說，目前部署零信任比較大的顧慮無疑是方法和技術(shù)的成熟度以及成本問題，沒有人想做小白鼠，也沒有人去貿(mào)然嘗試尚處于“臨床測試”階段的“方子”。目前市場上已經(jīng)有大量經(jīng)過生產(chǎn)環(huán)境驗(yàn)證的零信任應(yīng)用方案/供應(yīng)商和技術(shù)框架（包括谷歌和微軟等大型企業(yè)用例）。

根據(jù)Forester 2019年四季度的市場報(bào)告，目前市場上的零信任代表性廠商如下：

但是值得注意的是，正如以下我們將要介紹的，零信任架構(gòu)的本質(zhì)是一次安全范型的轉(zhuǎn)移或者變革，因此成功實(shí)施零信任架構(gòu)的決定性因素并非廠商或產(chǎn)品，而是企業(yè)CISO自身對零信任架構(gòu)的理解、實(shí)踐方法、策略和路徑。因此在實(shí)施零信任架構(gòu)的過程中，對于國內(nèi)企業(yè)用戶來說，包括安恒信息、奇安信、青藤云安全、締盟云安全、深信服等眾多對零信任有一定積累的網(wǎng)安企業(yè)基于各自產(chǎn)品和不同標(biāo)準(zhǔn)框架的零信任方案并沒有一個(gè)唯一的評判標(biāo)準(zhǔn)，最合適的才是比較好的。

以下，我們簡要介紹幾種目前已經(jīng)比較成熟的零信任框架和實(shí)踐路徑。

零信任網(wǎng)絡(luò)的三種實(shí)現(xiàn)方法

支持零信任的網(wǎng)絡(luò)安全技術(shù)近年來正在迅速發(fā)展，為零信任的落地提供了豐富而實(shí)用的工具、框架和方法。目前，沒有實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全框架的單一方法或者技術(shù)，換而言之就是對于不同的企業(yè)來說，并沒有唯一的標(biāo)準(zhǔn)答案，可謂條條大路通羅馬?？傊阋龅木褪菍⒏鞣N技術(shù)模塊、方法整合在一起確保只有經(jīng)過安全驗(yàn)證的用戶和設(shè)備才能訪問目標(biāo)應(yīng)用程序和數(shù)據(jù)。

例如，最小化訪問權(quán)限原則，僅為用戶提供完成工作所需的數(shù)據(jù)和權(quán)限。這包括實(shí)施到期特權(quán)和一次性憑證，這些憑證在不需要訪問后會(huì)自動(dòng)作廢。此外，還需實(shí)施連續(xù)檢查和流量記錄，并限制訪問范圍，以防止數(shù)據(jù)在系統(tǒng)和網(wǎng)絡(luò)之間未經(jīng)授權(quán)的橫向移動(dòng)。

零信任框架使用多種安全技術(shù)來增加對敏感數(shù)據(jù)和系統(tǒng)的訪問粒度。例如身份和訪問管理（IAM）、基于角色的訪問控制（RBAC）、網(wǎng)絡(luò)訪問控制（NAC）、多因素身份驗(yàn)證（MFA）、加密、策略執(zhí)行引擎、策略編排、日志記錄、分析以及評分和文件系統(tǒng)權(quán)限等。

同樣，你也可以使用技術(shù)標(biāo)準(zhǔn)和協(xié)議來實(shí)現(xiàn)零信任方法。云安全聯(lián)盟（CSA）開發(fā)了一種稱為軟件定義邊界（SDP）的安全框架，該框架已用于某些零信任案例的實(shí)施中。互聯(lián)網(wǎng)工程任務(wù)組（IETF）通過批準(zhǔn)主機(jī)標(biāo)識協(xié)議（HIP）為零信任安全模型做出了貢獻(xiàn)，該協(xié)議代表了OSI堆棧中的新安全網(wǎng)絡(luò)層。許多網(wǎng)絡(luò)安全供應(yīng)商都在這些技術(shù)的基礎(chǔ)上將零信任解決方案推向市場。

基于這些技術(shù)，標(biāo)準(zhǔn)和協(xié)議，組織可以使用三種不同的方法來實(shí)現(xiàn)零信任安全性：

1.網(wǎng)絡(luò)微分段（微隔離）

將網(wǎng)絡(luò)雕刻到小的粒度節(jié)點(diǎn)，一直到單個(gè)機(jī)器或應(yīng)用程序。安全協(xié)議和服務(wù)交付模型是為每個(gè)唯一的細(xì)分市場設(shè)計(jì)的。

2.SDP

基于一種需要了解的策略，其中在授予對應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的訪問權(quán)限之前，先驗(yàn)證設(shè)備的狀態(tài)和身份。

3.零信任代理

可充當(dāng)客戶端和服務(wù)器之間的中繼，有助于防止攻擊者入侵專用網(wǎng)絡(luò)。

哪種方法最適合取決于您所在企業(yè)的應(yīng)用場景和需求——所保護(hù)的應(yīng)用程序、當(dāng)前存在的基礎(chǔ)結(jié)構(gòu)、實(shí)施是未開發(fā)的環(huán)境還是涵蓋舊有環(huán)境以及其他因素。

構(gòu)建零信任環(huán)境的五個(gè)步驟

建立零信任框架并不一定意味著一整套的技術(shù)轉(zhuǎn)型。企業(yè)可以采用循序漸進(jìn)的方法，以受控的迭代方式進(jìn)行，從而幫助確保優(yōu)質(zhì)結(jié)果，同時(shí)對用戶和操作的干擾降到很低。

1.定義保護(hù)面

零信任體系中，你的關(guān)注重點(diǎn)不是攻擊面而是保護(hù)面。所謂保護(hù)面就是對公司最有價(jià)值的關(guān)鍵數(shù)據(jù)、應(yīng)用程序、資產(chǎn)和服務(wù)（DAAS）。保護(hù)面的實(shí)例包括信用卡信息、受保護(hù)的健康信息（PHI）、個(gè)人身份信息（PII）、知識產(chǎn)權(quán)（IP）、應(yīng)用程序（現(xiàn)成的或定制的軟件）、SCADA控件、銷售點(diǎn)終端、醫(yī)療設(shè)備、制造資產(chǎn)和IoT設(shè)備等資產(chǎn)以及DNS、DHCP和Active Directory等服務(wù)。

定義保護(hù)面后，你可以實(shí)施緊密的控制，使用簡潔、精確和可理解的策略聲明來創(chuàng)建一個(gè)微邊界（或分隔的微邊界）。

2.映射交易流

流量在網(wǎng)絡(luò)中的移動(dòng)方式?jīng)Q定了其保護(hù)方式。因此，您需要獲得有關(guān)DAAS相互依賴關(guān)系的上下文信息。記錄特定資源的交互方式可以幫你確定合適的安全控制并提供有價(jià)值的上下文，以確保在提供優(yōu)秀網(wǎng)絡(luò)安全防護(hù)的同時(shí)，對用戶和業(yè)務(wù)運(yùn)營的干擾降到很低。

3.構(gòu)建零信任IT網(wǎng)絡(luò)架構(gòu)

零信任度網(wǎng)絡(luò)是完全自定義的，并沒有唯一的標(biāo)準(zhǔn)和設(shè)計(jì)參考?？偟脑瓌t是，零信任體系架構(gòu)應(yīng)當(dāng)圍繞保護(hù)面（資產(chǎn)、數(shù)據(jù)、應(yīng)用和服務(wù)等）構(gòu)建。一旦定義了保護(hù)面并根據(jù)業(yè)務(wù)需求映射了業(yè)務(wù)流程，就可以從下一代防火墻開始設(shè)計(jì)零信任架構(gòu)。下一代防火墻可以充當(dāng)分段網(wǎng)關(guān)，在保護(hù)面周圍創(chuàng)建一個(gè)微邊界。使用分段網(wǎng)關(guān)，您可以強(qiáng)制執(zhí)行附加的檢查和訪問控制層，一直延伸到第7層，管控任何嘗試訪問保護(hù)面內(nèi)部資源的訪問。

4.創(chuàng)建零信任安全策略

完成零信任網(wǎng)絡(luò)架構(gòu)的構(gòu)建后，你將需要?jiǎng)?chuàng)建零信任策略來確定訪問規(guī)則，你需要知道您的用戶是誰，他們需要訪問哪些應(yīng)用程序，為什么他們需要訪問，他們傾向于如何連接到這些應(yīng)用程序，以及可以使用哪些控件來保護(hù)該訪問。

通過實(shí)施這種精細(xì)粒度的策略，可以確保僅允許合法應(yīng)用或者流量的進(jìn)行通訊。

5.監(jiān)控和維護(hù)零信任網(wǎng)絡(luò)

這最后一步包括檢查內(nèi)部和外部的所有日志，側(cè)重于零信任的運(yùn)維方面。由于零信任是一個(gè)反復(fù)迭代的過程，因此檢查和記錄所有流量將提供寶貴的見解，以了解如何隨著時(shí)間的推移持續(xù)改進(jìn)零信任網(wǎng)絡(luò)。

其他注意事項(xiàng)和優(yōu)秀做法

對于考慮采用零信任安全模型的組織，以下是一些有助于確保成功的優(yōu)秀實(shí)踐：

選擇架構(gòu)或技術(shù)之前，請確保您具有正確的策略。零信任是以數(shù)據(jù)為中心的，因此，重要的是考慮數(shù)據(jù)的位置，需要訪問的人以及可以使用哪種方法來保護(hù)數(shù)據(jù)。Forrester建議將數(shù)據(jù)分為三類-公開，內(nèi)部和機(jī)密-每個(gè)“數(shù)據(jù)塊”都應(yīng)當(dāng)有自己的微邊界。

從小處著手以獲得經(jīng)驗(yàn)。為整個(gè)企業(yè)實(shí)施零信任架構(gòu)的規(guī)模和范圍可能是巨大的。例如，谷歌花了七年時(shí)間才完成BeyondCorp項(xiàng)目的實(shí)施。

考慮用戶體驗(yàn)。零信任框架不必也不應(yīng)該破壞員工的正常工作流程/體驗(yàn)，即使他們（及其設(shè)備）正受到訪問權(quán)限驗(yàn)證的審查。零信任的部分認(rèn)證和授權(quán)流程應(yīng)當(dāng)盡量“透明化”，在用戶根本覺察不到的后臺(tái)進(jìn)行。

對用戶和設(shè)備身份驗(yàn)證實(shí)施強(qiáng)有力的措施。零信任的根基是，在沒有驗(yàn)證獲得完全授權(quán)之前，沒有任何人或任何設(shè)備可以信賴。因此，基于強(qiáng)身份、嚴(yán)格的身份驗(yàn)證和非永久權(quán)限的企業(yè)范圍的IAM系統(tǒng)是零信任框架的關(guān)鍵構(gòu)建塊。

將零信任框架納入數(shù)字化轉(zhuǎn)型項(xiàng)目。為零信任網(wǎng)絡(luò)重新設(shè)計(jì)工作流程時(shí)，還可以借此機(jī)會(huì)完成企業(yè)安全模型的轉(zhuǎn)型。

總結(jié)

2020年，企業(yè)迎來實(shí)施零信任架構(gòu)的合適時(shí)機(jī)，萬事俱備，技術(shù)已經(jīng)成熟，協(xié)議和標(biāo)準(zhǔn)已經(jīng)就緒，與此同時(shí)新的安全威脅、挑戰(zhàn)和期望也都使得零信任架構(gòu)成為未來一段時(shí)間企業(yè)安全投資和戰(zhàn)略有效性的優(yōu)質(zhì)保障。

責(zé)任編輯：ct