新冠疫情全球蔓延,幾乎讓所有人都開始謹慎地減少外出,與他人保持社交距離。與之對應的是,人們有了更多的時間花費在電子設備和網絡世界當中。
相比較于病毒肆虐所造成的人身健康的威脅,網絡世界的安全威脅則顯得更難以察覺。但隨著企業和個人越來越多地將自身最重要的數據資產存放在網絡端和云端,網絡安全的威脅也正在變得棘手和嚴重起來。
2月底,SaaS服務商微盟的業務數據遭到內部員工故意刪庫,導致300萬個平臺商家的小程序全部宕機,眾多商家損失慘重,同時微盟市值大幅縮水。這一事件被業內視為企業數據安全的拐點性事件。
4月初,受疫情影響而出現用戶量暴增的遠程視頻軟件Zoom,卻被曝出重大安全漏洞,引發股東集體訴訟。漏屋偏逢連夜雨,最近Zoom又被曝出53萬條用戶網絡憑證掛在暗網低價出售。盡管Zoom數據泄露原因被指向是黑客的撞庫攻擊,但由于Zoom這一視頻會議軟件會涉及會議內容、攝像頭、遠程桌面等隱私問題,此次數據泄露再次引發媒體和眾多企業組織的抵制和禁用。
結合之前眾多國內企業在用戶數據安全、隱私保護上的暴露出的種種問題,我們會發現網絡安全仍然是企業在產品開發和運營當中的一大短板。
而現在,遠程協同辦公的興起也讓企業內網正在面臨著新的安全威脅,由傳統的VPN和防火墻構成的網絡安全架構,已經難以滿足企業員工的大量外網的接入需要。
一種早在10年前就提出,一直在蓄勢發展的“零信任安全”,成為當下可供企業網絡安全選擇的新架構。
不信任,才是邁向最佳安全性的第一步?
關于信任的一場安全危機,最早可能就來自于古希臘神話中的“特洛伊木馬”。希臘人制定的木馬計劃,騙取了特洛伊人的信任。木馬被他們自己迎接進了特洛伊城,而希臘人則從內部將其攻破。這一經典戰術啟發了互聯網時代最猖狂的網絡攻擊,通過在正常的程序中植入木馬程序,就可以實現對被感染計算機的遠程控制。
對現在很多企業的數據中心,傳統意義上的網絡安全就是通過一系列防火墻或者殺毒軟件的手段來防御這些外部威脅。但是如果是具有正當憑證以及權限的用戶進入系統,這些外圍防御系統就會自動放過,而系統內部則隱含著對他們的信任關系,也就很難阻止這些用戶的不良行為。
一種是用戶賬戶被盜取后的黑客侵害行為;一種是用戶本人的侵害行為,就如微盟內部員工的“刪庫”,而這樣的內部損害也可能更為嚴重。
真正能夠做到系統內部的數據保護,目前最可行的一種方式就是零信任網絡訪問的模式。這一安全架構將改變企業數據保護的現有規則。
所謂零信任網絡訪問(Zero-TrustNetworkAccess,簡稱“ZTNA)”),是在2010年由研究機構Forrester副總裁兼首席分析師約翰·金德瓦格(JohnKindervag)提出。意思是:不能信任出入網絡的任何內容。應通過強身份驗證技術保護數據,創建一種以數據為中心的全新邊界。簡單說就是“從不信任,總是驗證”。
為什么企業需要進行零信任網絡訪問呢?
首先是全球經濟因為網絡安全問題導致的損失在逐年增加,預計到2021年因網絡網絡犯罪所致全球經濟損失總額將達6萬億美元。而世界上重大的數據泄露事件都是由于黑客攻破企業防火墻之后,在內部網絡擁有全部訪問權限而暢通無阻造成的。
盡管企業的信息網絡安全的支出每年都在增加,但是傳統的安全方法難以應對日趨嚴峻的安全威脅態勢,轉變舊的安全邊界的防護思維和方法成為破題之策。
另外,最重要的一個變化就是企業的安全邊界正在模糊。受到企業數字化轉型和云計算業務增長的影響,以防火墻和VPN為代表的傳統安全技術構建的企業邊界正在被云業務的場景模式給瓦解。眾多的外部訪問擴大了向企業內部滲透的攻擊威脅。
這樣“內部等于可信任”和“外部等于不可信任”的傳統網絡安全觀念就需要打破,而零信任網絡訪問的“驗證才信任”的優勢也就突顯出來了。
如何實現零信任網絡安全?
零信任網絡訪問,需要企業根據用戶、所處位置和其他數據等條件,建立微隔離和細粒度邊界規則,來確定是否可以信任向企業特定范圍訪問權限發起請求的用戶、主機或者是應用。實現零信任網絡訪問,要做到:第一,要確認用戶身份,通過交叉驗證確保是用戶本人的登錄操作;第二,要保證用戶所用終端是否安全;第三,建立條件限制策略,明確訪問權限;第四、訪問控制需要符合最小權限原則進行細粒度授權,基于盡量多的屬性進行信任和風險度量,實現動態自適應訪問控制。
零信任網絡訪問需要依靠多因子身份認證、身份與訪問管理、編排、分析、加密、安全評級和文件系統權限等技術來做上述工作。
眾多企業的IT部門已經在其網絡環境中部署了多因子身份驗證、身份與訪問管理和權限管理通,常會采取軟件定義邊界(SDP)和微隔離技術,來有效阻隔服務器或者網段之間的訪問權限。
軟件定義邊界憑借更細粒度的控制、更靈活的擴展、更高的可靠性,正在改變傳統的遠程連接方式。而網絡微隔離是在傳統的區域架構下,進一步細分區域內的網絡以增強安全性。微隔離常用于數據中心網絡中,以細分區域內的應用程序,可以實現對工作流級別的細粒度隔離和可視化管理,正在成為虛擬化環境下網絡隔離優選方案。
當然,建立零信任安全環境,不僅僅是實現這一單點技術,而是要在這些技術的應用中始終貫徹“無驗證即不信任”的理念。
零信任作為一種全新的安全理念,應該成為企業決策者未來堅持推行的舉措。據舊金山計算機安全研究所的統計,60%到80%的網絡濫用事件來自內部網絡,對內部人的信任所造成的危害程度,遠遠超過黑客攻擊和病毒造成的損失。企業需要調整思維方式,讓零信任理念也成為管理者和員工自覺遵守的行為準則。
實際上,零信任架構更適合于企業在向云端遷移的環境中搭建。而那些有著復雜IT環境和大量舊系統的大型企業,需要把零信任架構遷移看做是多階段、長時間的一項整體工程來對待。零信任架構作為企業整體數字轉型戰略的一部分,實現那些有助于在云遷移過程中達成零信任的技術,然后淘汰掉那些老舊的遺留系統。
也就是先有整體設計,再采取相應技術。
零信任網絡安全的應用實踐
2018年,Gartner提出零信任是進行持續自適應的風險和信任評估(CARTA)的第一步。零信任要按照需要對不同身份(設備、用戶和網絡流量)授予區別化和最小化的訪問權限,并通過持續認證改變“通過認證即被信任”的防護模式。
國內外企業基于對零信任安全框架的理解,開展了技術探索和布局。
在軟件定義邊界上,谷歌的BeyondCorp基于設備、用戶、動態訪問控制和行為感知策略實現其零信任構想,所有流量通過統一的訪問代理來實現認證和授權,實時更新信息庫中的用戶、設備、狀態、歷史用戶行為可信度等相關信息,利用動態的多輪打分機制對請求來源進行信任層級劃分,從而進一步實現層級內的最小權限控制。
筆者這里就有一個比較慘痛的教訓。我一直在嘗試找回一個十多年前注冊的Gmail賬戶,但因為使用的手機號碼已經注銷,因此通過其他任何方式驗證,我也始終無法再找回該賬戶。這可能也意味著谷歌的零信任驗證實在是過于謹慎了。
此外,像思科、Verizon以及國內的云深互聯等企業都推出了基于零信任的SDP服務方案。
在微隔離技術上,網絡安全初創企業Illumio的自適應安全平臺以微隔離技術為基礎,在分隔策略配置方面,應用人工智能學習網絡流量模式,提供多種便捷配置模式和可視化展示。國內的薔薇靈動、山石網科等企業也在微隔離、可視化安全解決方案上進行積極探索。
根據Gartner在《零信任網絡訪問市場指南》做出的戰略規劃假設,到2022年,80%向生態合作伙伴開放的新數字業務應用將通過零信任網絡訪問接入;到2023年,將有60%的企業將淘汰大部分的VPN,而使用零信任網絡訪問。
當前,在我國企業數字化轉型和業務上云等趨勢的推動下,業務模式轉換和遷移上云將為零信任網絡安全提供實踐的平臺,進而可以充分利用內部業務、數據、設備等信息,形成持續、動態和細粒度的零信任安全防護方案。
同時對于傳統的安全廠商而言,積極推動全新的網絡安全技術和安全理念的變革,將零信任理念與傳統身份管理與訪問控制等技術融合,發揮傳統安全廠商在身份管理領域的深耕優勢,推動零信任理念與傳統技術的深度融合,這樣基于零信任的動態身份管理和訪問權限控制解決方案才有望加速落地。
正如前面微盟、Zoom案例所體現的,如果企業在網絡安全上沒有給予足夠的重視,在網絡安全意識和理念上仍然沿用傳統的技術思路,就會因為一次的失誤而引發極為嚴重的安全危機和巨大的經營風險。
在事關企業的生存與發展大事面前,將網絡安全當作企業的生命線也不為過,而推動零信任模式的網絡安全體系升級也就必須提上眾多企業的議事日程了。
