零信任最早是由John Kindervag在2010年擔任Forrester Research公司分析師時提出的。它的工作方式是,企業必須確保網絡上的每個文件請求、數據庫查詢或其他操作都來自具有正確權限的用戶。新設備必須在訪問每個網絡應用程序之前進行注冊和驗證,并且每個試圖登錄的用戶都被認為是惡意的,除非得到證明可信。如果操作得當,它承諾將用戶從更主流的網絡安全方法的許多限制中解放出來,提高安全防御能力。
自從Kindervag提出這個想法以來,他創建了一家管理服務公司,該公司提供了他創建的數十種解決方案之一。如今,幾乎所有主要的安全提供商都有一種服務或產品將零信任作為其產品名稱的一部分,思科系統股份有限公司等一些公司最近也發布了新產品公告,將其定位在零信任領域。
但在實踐中,盡管推出這些產品,零信任解決方案在很大程度上仍然是不完整的,在某些情況下甚至沒有使用。Gartner公司分析師John Watts在該公司去年12月的年度預測備忘錄中寫道,“在零信任的情況下從理論轉向實踐是一項挑戰,目前只有不到1%的大型企業真正在使用它。”
此外,Watts預測,“到2025年,60%以上的企業將把零信任作為安全的起點,但超過一半的企業將無法意識到其好處。”與此同時,麻省理工學院林肯實驗室的Nathan Parde在去年5月發表的一份報告中估計,典型的零信任部署將需要三到五年的時間。當然,這是一個令人沮喪的消息。
這些結果與其他供應商的調查結果大相徑庭。Okta公司的《2022年8月零信任安全狀況》報告發現,在接受調查的700家企業中,幾乎所有企業都已經啟動了零信任計劃,或者有在未來幾個月啟動零信任倡議的明確計劃。
但這些結果多少有一些誤導。首先,從開始到完成零信任的推出可能需要數年時間。其次,說和做是截然不同的兩件事,而在這項調查中也表明有一些是零信任的有效執行者。
網絡安全的簡史
隔離網絡基礎設施以更好地保護各種資源的想法始于20世紀90年代中期出現的第一批網絡防火墻和虛擬專用網絡(VPN)。早在2008年,DarkReading公司就對許多可以被稱為防火墻發明者的作者進行了研究。大多數分析人士會說,最早將防火墻商業化的是CheckPoint軟件技術有限公司,該公司至今仍在銷售防火墻。至于全球第一個VPN協議,大多數人都認為是由微軟公司在1996年創建的,然后在本世紀初開始流行,思科、瞻博網絡和其他公司仍在出售網絡防火墻和VPN。
防火墻和VPN的作用是通過制定各種策略來隔離網絡:來自內部營銷數據庫的網絡流量將被允許進入這部分網絡,而來自內部人事數據庫的網絡流量則不允許。或者允許來自外部網絡的查詢訪問企業的web服務器,但不允許訪問其他任何數據。如何構建這些策略是這兩款產品的秘密,網絡安全專家經過培訓和實踐才能弄清楚這一切。
在那個網絡邊界嚴格且定義明確的時代,這沒什么問題。但隨著網絡應用程序分散在網絡上,邊界不再是一個可行的想法,也不可能強制執行。隨著企業使用更復雜的軟件供應鏈,它們變得依賴于那些應用程序編程接口,并且對各種軟件和組件如何組合在一起了解較少。
網絡攻擊者知道他們最終可以找到進入網絡的方法。VPN和防火墻成為新的安全隱患,尤其是隨著越來越多不受信任的遠程設備已經加入企業網絡。
進入零信任
這就是Kindervag提出零信任理念的由來。Kindervag表示,不能相信任何人或任何應用程序,必須審查每次互動,這是一些安全專業人士所說的“最低特權”。它開啟了一個自適應身份驗證的時代,用戶和應用程序最初并沒有獲得100%的訪問權限,但企業會根據具體情況逐步批準。
例如,如果人們向銀行查詢當前余額,必須證明自己擁有合法的賬戶。如果想轉移資金,則必須做更多的事情,如果想把資金轉移到一個新的海外賬戶,還必須做更多的事情。
如今的零信任創造了“信任經紀人”的概念,即交易雙方都信任的調解人或中立的第三方。設置這些機制并不容易,特別是在雙方不一定直接了解或信任對方的情況下,特別是在不同的情況、應用程序和用戶類型需要不同代理的情況下。
這種復雜性就是當今的零信任實現所處的位置。OpenText公司旗下的NetIQ公司在其“企業零信任狀態”報告中說,“當大量數據和工作負載現在生活在傳統網絡之外時,將企業系統、應用程序和數據放在一個位置,并依靠多層安全工具和控制來將攻擊者拒之門外已經不夠了。零信任不是一個單一的軟件,而是一個戰略框架。”將其可視化的一種方法是Gartner公司如何將其架構圖顯示為一系列相互連接的部分,例如處理用戶身份、威脅情報和應用程序。
人們需要了解“戰略”和“框架”,以及它們對零信任實現的意義。“戰略”意味著,在任何可靠的網絡安全計劃的核心,都需要盡可能地實現零信任。這正是美國總統拜登在兩年前發布的《改善國家網絡安全行政命令》所試圖推動的目標,其目標是讓美國政府機構實施零信任安全。
盡管這是值得稱贊的,但仍遠未實現。即使是采用行政命令也無法通過法令實現零信任,盡管最近,美國聯邦機構被告知要取消對VPN和路由器等各種網絡設備的互聯網訪問,這對任何信息技術管理者來說都應該是顯而易見的。
去年發布在《安全周刊》的一篇文章指出,“保證零信任的唯一方法就是眾所周知的拔掉電腦的插頭,把它包裹在六英尺厚的混凝土里,然后把它扔進深海。”但這阻礙了可用性。因此,其訣竅在于從這種極端和不可行的位置轉向能夠提供安全性和業務利益并且實際上也有用的東西。這就是框架部分需要考慮的地方。
身份驗證提供商Nok Nok Labs公司的首席執行官Phil Dunkelberger表示,“實現零信任框架沒有對錯之分,但它基本上是一個很好的結構。細節決定成敗,由于沒有一刀切的用戶和用例,因此很難部署。”
他的觀點是,在制定零信任實施計劃時,IT和安全管理人員提出了錯誤的問題。他說:“零信任能帶來更好的業務成果嗎?我們會有更安全的應用程序,或者提高這些基礎設施投資的回報嗎?”
重新思考信任
也許很多人對零信任的理解是錯誤的。信任用戶或應用程序需要一個連續的過程,就像自適應身份驗證一樣。企業開始時要采取一些步驟來實現完全信任,每次提供一點。從全有或全無的方式來看,這種模式更適合當今世界。
零信任概念化的一種方法是考慮采用微分段來隔離應用程序,本質上是將防火墻抽象到特定的工作負載和用戶。Gartner公司的Watts表示,這意味著“首先實施零信任,改善最關鍵資產的風險緩解,因為這將產生最大的風險緩解回報。”
Gartner公司使用了五個考慮因素來定義零信任:交付平臺是什么,如何安全地實現遠程工作,如何管理各種信任策略,如何保護任何地方的數據,以及與第三方產品的集成情況。對于一個框架或一系列產品來說,這都是需要實現的許多接觸點。
Watts在他的預測報告中說:“零信任可以作為一種思維方式、范式、戰略或特定架構和技術的實施。”他提出了一些建議,以幫助企業更成功地實施,包括在項目開始時定義零信任控制的適當范圍和復雜程度,限制對設備和應用程序的訪問,以及應用持續的基于風險的訪問策略。
他說:“從根本上說,零信任意味著消除構成許多安全計劃基礎的隱性信任(以及信任的代理),建立基于身份和場景的信任。這需要改變安全程序和控制目標的設置方式,尤其是改變對訪問級別的期望。”
亞馬遜網絡服務公司(AWS)最近在加利福尼亞州阿納海姆舉辦的re:Inforce會議展示了這將如何運作的例子。AWS公司網絡防火墻總經理Jess Szmajda展示了現有的零信任服務(例如驗證訪問和VPC Lattice)將如何與一系列新的零信任服務協同工作,從而使AWS更加安全。它們包括經過驗證的權限和GuardDuty威脅監控工具的擴展功能,以增加更好的安全策略粒度和更多的預防性控制。AWS公司稱之為“無處不在的身份驗證”。
其結果是,企業應該為零信任的實施做好漫長而曲折的準備。特別是如果他們能展示出直接的商業效益,那么邁出第一步是值得的。
