5 個方面實現(xiàn)零信任的落地

■本刊編輯部

如今，企業(yè)員工期望能擁有靈活的工作方式；各種應(yīng)用正在遷移到云上；公司的IT 設(shè)備和應(yīng)用越來越多樣化……所有這些因素正在打破企業(yè)的安全邊界，這使得傳統(tǒng)的安全防護手段變得過時，但同時也為零信任的發(fā)展鋪平了道路。

傳統(tǒng)的安全防護方式將企業(yè)網(wǎng)絡(luò)中的所有內(nèi)容（用戶、設(shè)備和應(yīng)用）大致歸類為可信任的。這些模型通過利用諸如VPN 和網(wǎng)絡(luò)訪問控制（NAC）之類的傳統(tǒng)安全技術(shù)，在授予訪問權(quán)限之前驗證外部用戶的憑證。因此，其防護重點就是加強網(wǎng)絡(luò)邊界，然后在成功驗證憑證之后授予訪問者對企業(yè)內(nèi)部數(shù)據(jù)的訪問權(quán)限。有時也將其形容為“城堡與護城河”（Castle and Moat）模型，其中，城堡指的是擁有重要數(shù)據(jù)和應(yīng)用的企業(yè)，而護城河則是指阻止?jié)撛谕{的防護體系。

但是，在當今復(fù)雜的IT世界中，用戶可以從各類型的設(shè)備（移動設(shè)備、臺式機、物聯(lián)網(wǎng)等）來訪問各種類型的應(yīng)用程序（SaaS、On-Prem、本地應(yīng)用、虛擬應(yīng)用等）。無論是在企業(yè)網(wǎng)絡(luò)內(nèi)部還是外部，都需要擁有動態(tài)、靈活和簡單的安全模型。而近年來新興安全模型中最著名的也許就是零信任（Zero Trust）。

“零信任”是Forrester公司首席分析師John Kindervag 在2010 年首次提出的一個概念，用于描述使安全人員擺脫傳統(tǒng)以邊界為中心的無效方式，并指導(dǎo)他們建立基于對每臺設(shè)備與用戶之間的信任來進行連續(xù)驗證的模型。它通過從“信任并認證”轉(zhuǎn)向“永不信任且始終認證”的方法來做到這一點。實際上，該模型將所有資源視為外部資源，并在僅授予所需訪問權(quán)限之前不斷進行安全認證。

當然，從理論上講，這些都是有意義的。但是在落地實踐中，該如何實現(xiàn)零信任呢？在與客戶討論如何建立零信任安全架構(gòu)時，我們將重點介紹五個主要方面：設(shè)備信任（Device Trust）；用戶信任（User Trust）；傳輸/ 會話信任（Transport/Session Trust）；應(yīng)用信任（Application Trust）和數(shù)據(jù)信任（Data Trust）。

接下來將分別深入探討這些方面，以及建立對這幾個方面的信任所需的基礎(chǔ)技術(shù)。

設(shè)備信任

對于零信任而言，IT 管理員首先需要了解設(shè)備，然后才能信任它們。您必須有一個清單，該清單包括了組織里已經(jīng)部署并控制的設(shè)備。IT 人員必須具有監(jiān)視、管理和控制這些設(shè)備的解決方案。通過檢測設(shè)備的狀態(tài)，可以基于預(yù)定的安全策略來確定該設(shè)備是否可信任，以及該設(shè)備是否可控。統(tǒng)一端點管理（UEM）解決方案能夠使IT 團隊通過一個控制臺就可以做到對跨平臺的管理、監(jiān)視和控制所有設(shè)備，包括移動設(shè)備、臺式設(shè)備、便攜式設(shè)備以及IoT 等。并且，通過集成端點檢測和響應(yīng)（EDR）技術(shù)，可以對可能的惡意端點活動的檢測來進一步改善設(shè)備安全狀況。

用戶信任

事實一再證明，基于密碼的用戶身份認證效率低下。因此，作為零信任的一部分，組織必須使用更安全的用戶身份認證的方法。例如，強大的條件接收引擎（Conditional Access Engine）可以使用動態(tài)和上下文數(shù)據(jù)進行決策。通過構(gòu)建blocks，可以使條件訪問引擎技術(shù)實現(xiàn)包括無密碼身份認證（例如生物識別）、多因素身份認證（MFA）、條件接收策略和動態(tài)風(fēng)險評分等功能。

傳輸/會話信任

零信任的另一個關(guān)鍵要素是最小權(quán)限原則。即用戶或系統(tǒng)應(yīng)當具有完成任務(wù)所必需的最小權(quán)限集合——不多也不少。最小權(quán)限原則授予了用戶執(zhí)行其工作所需的最小權(quán)限，并限制了用戶的越權(quán)訪問行為。實現(xiàn)最低權(quán)限訪問的技術(shù)包括微分段、傳輸加密和會話保護。作為一個特定示例，Per-app 通道可以對某些單個應(yīng)用程序進行控制來訪問內(nèi)部資源。這種限制意味著可以允許某些應(yīng)用程序訪問內(nèi)部資源，而阻止其他應(yīng)用程序與后端系統(tǒng)通信。

應(yīng)用信任

使員工能夠從任何設(shè)備安全無縫地訪問應(yīng)用程序，包括傳統(tǒng)的Windows 應(yīng)用，這對于創(chuàng)建數(shù)字工作區(qū)（Digital Workspace）和實施零信任至關(guān)重要。隨著用戶身份認證的不斷改善，實現(xiàn)對應(yīng)用的單點登錄（SSO）不僅能夠獲得良好的安全性，而且還改善了用戶體驗。而對于那些非零信任的傳統(tǒng)應(yīng)用，我們可以以隔離的形式來實現(xiàn)安全防護。為了對傳統(tǒng)應(yīng)用程序?qū)崿F(xiàn)隔離，可以利用虛擬桌面或應(yīng)用環(huán)境作為實現(xiàn)從傳統(tǒng)架構(gòu)向未來零信任架構(gòu)轉(zhuǎn)變的橋梁。

數(shù)據(jù)信任

歸根結(jié)底，最重要的是數(shù)據(jù)，這也是我們需要進行安全防護工作的原因。我們必須防止數(shù)據(jù)泄露，并確保與用戶交互數(shù)據(jù)是正確的且未經(jīng)篡改的。數(shù)據(jù)泄露防護（DLP）等技術(shù)可有效防止敏感數(shù)據(jù)的外泄或被破壞。盡管數(shù)據(jù)分類和完整性在很大程度上是由應(yīng)用程序來處理的，但在構(gòu)建零信任架構(gòu)時，我們應(yīng)盡可能提高信任級別。

一旦建立了以上五個方面的信任，就可以做出準確的安全策略來進行授權(quán)或拒絕訪問。在做出授予訪問權(quán)限的決定后，不斷進行再次認證是至關(guān)重要的。一旦信任級別發(fā)生變化，則組織必須能夠立即采取措施。此外，通過在五個方面之間建立信任關(guān)系，我們可以獲得可見性，并且可以跨數(shù)字工作區(qū)環(huán)境來收集分析數(shù)據(jù)。借助可見性和分析功能，我們可以構(gòu)建自動化和編排。