什么是零信任?
零信任是一种“假定泄露”安全模型,专为网络安全解决方案架构师、系统集成商和 DevOps 团队创建,旨在将必需的网络安全功能集成到无处不在的 IT 环境中,以支持网络安全规划和决策。
之前:信任网络边界内的每个人
从历史上看,组织使用了“城堡和护城河”模式来确保网络安全。默认情况下,位于网络边界内的所有用户和设备都被信任,这意味着他们在访问组织资源之前无需经过身份验证。只有位于网络边界之外的用户和设备才需要进行身份验证。当几乎所有员工和设备都位于办公楼的范围内,从而确保有明确定义的网络边界时,这是一个合乎逻辑的框架。
但早在新冠疫情之前,云计算和移动性就已削弱了“网络边界”的概念。 疫情封锁令的后果则彻底摧毁了它。为了支持所有新涌现的远程员工,各个组织被迫将数字化转型计划加快数月或数年。企业迅速迁移到基于云的环境(大多数是多云或混合云),这样他们的员工就可以从任何地方访问工作资源。这意味着需要进行身份验证和端到端加密的端点、网站、系统、数据库和应用的数量成倍增长。
IT 管理员试图将为同构的本地基础设施构建的迥异解决方案推至基于云的异构环境中,但他们发现无法实现网络和端点的全面可见性、安全性和控制力。由于威胁行为者利用了组织安全防御能力不足,城堡与护城河的模式崩溃了,网络攻击激增。
现在:不信任任何人
相较于城堡与护城河模式,零信任不信任任何人类用户或设备,无论它们位于何处。在零信任环境中,所有用户和设备都必须经过身份验证才能访问组织的资源。零信任让用户证明自己是谁,而不是依赖用户位于何处。
若实施得当,零信任网络访问可让 IT 管理员全面了解所有用户、系统和设备。人员、应用和服务可安全地通信,即使是跨网络环境亦是如此。无论用户是从家里、酒店、咖啡店还是机场连接,还是使用自己的设备,都无关紧要。管理员可以清楚地看到谁正在连接到网络,从何处连接,以及他们正在访问什么,而用户在明确证明自己是声称的身份之前根本无法进入。
三项指导原则构成了零信任安全的核心:
假定泄露。
任何人员或设备都可能发生泄露,即使他们是从办公室内部连接,这就是为什么第二项指导原则是…
明确验证。
在访问网络资源之前,所有人员和机器都必须证明自己是所说的真实身份。这还不是全部…
确保最低特权。
即使用户已经通过明确验证,他们也应该只有执行工作所需的最低网络访问权限,一点也不能更多。
零信任安全的六大支柱
Microsoft 建议围绕以下六大支柱来规划零信任的实施,所有这些支柱都必须经过评估,然后相应地进行更新或更换。3
身份
在零信任模式中,每个用户,无论是人类还是机器,都必须具有唯一的数字身份。每当此身份请求访问资源时,系统都必须通过严格的身份验证对其进行确认,并结合行为分析,以确保该用户的访问请求无异常。通过身份验证后,该身份进行网络访问必须遵循最低特权原则。
要实现这一点,应确保所有用户为每个帐户使用高强度的唯一密码,并在支持的地方启用多步验证 (MFA)。此外,部署实时检测、自动修复和互联智能解决方案,以监视帐户泄露情况,并应对潜在问题。
端点
只有合规且受信任的应用和设备才能被允许访问数据。在允许员工使用移动设备访问公司应用之前,应要求他们在移动设备管理 (MDM) 中注册设备,并进行一般运行状况和公司安全策略合规性验证。MDM 解决方案还使管理员能够了解设备运行状况和合规性,并能够强制执行策略和安全控制,例如阻止复制/粘贴或下载/传输。
在当今基于云的环境中,数据无处不在,必须对其驻留的任何地方进行管理。这包括根据最低特权原则严格控制和限制数据访问,并确保静态数据和传输数据都经过加密。
数据
在当今基于云的环境中,数据无处不在,必须对其驻留的任何地方进行管理。这包括根据最低特权原则严格控制和限制数据访问,并确保静态数据和传输数据都经过加密。
应用
必须像数据一样严格地控制和限制应用访问和特权。限制对应用的访问权限,监视应用的使用是否存在异常行为,使用基于角色的访问控制 (RBAC) 来确保用户的应用内权限适当,并遵循最低特权原则。
基础设施
管理本地基础设施和基于云的虚拟机、容器和微服务的权限具有挑战性。自动化尽可能多的流程。使用即时 (JIT) 访问来加强防御,部署安全分析以检测异常和攻击,并自动阻止和标记危险行为以进行进一步调查和修复。
网络
对网络进行分段以防范威胁行为者横向移动和访问敏感资源。使用“管道内”网络安全控制来增强可见性,包括用于实时威胁防护、端到端加密、监视和分析的工具。
部署零信任体系结构的最佳做法
实施零信任的最大挑战之一是知道从哪里开始。零信任有很多活动部分,并没有通用的“零信任实施” 标准。以下是一些规划您的组织零信任之旅的最佳做法。
意识到零信任是一项长期决心,而不是一次性的修复方案。
随着技术、工作流程和威胁环境都在发生转变和变化,零信任体系结构亦需变化。
确保您获得高级管理层的支持。
零信任需要各级领导和团队采取“全有或全无”的思维和坚定决心。高级管理层的支持是 CRA“冠军”的共同点,而缺乏支持则是继续努力采用零信任的组织提到的最大绊脚石。4
从小范围开始。
为避免业务中断,NIST 建议开始零信任部署时首先迁移低风险的业务资源,然后在团队获得更多零信任经验后再继续迁移更关键的资源。5
如果不确定,首先也是最重要的是专注于 IAM。
在 CRA 的零信任“冠军”中,身份和访问管理 (IAM) 是零信任中最常实施的部分,86% 的人已将零信任策略应用于其 IAM 流程和控制。6
选择零信任解决方案的最佳做法
有些人把零信任称为范式,而另一些人则称其为哲学、框架、模式甚至运动。不管把它叫成什么,要点是,零信任的最终目标不是部署特定的产品,而是实现预期的结果。就这一点来说,零信任之于网络安全就像 DevOps 之于软件开发:组织如何处理安全问题的根本转变。
市场上有许多兼容零信任的解决方案,但并非所有解决方案都适合您的特定数据环境和业务需求。NIST7 建议在选择零信任工具时考虑以下要点:
解决方案是否要求在客户端资产上安装组件?
客户端解决方案可能会限制业务流程并影响生产力。它们还会给您的 IT 团队带来额外的管理开销。
在本地存在业务流程资源的情况下,解决方案是否有效?
某些解决方案假定请求的资源位于云端(称为南北流量),而不是企业边界内(东西流量)。这在混合云环境中将造成问题,其中执行关键功能的遗留业务线应用可能需在本地运行,因为将它们迁移到云端不可行。
解决方案是否提供记录交互以进行分析的方法?
零信任访问决策在很大程度上取决于与流程相关的数据的收集和使用,尤其是对于特权访问帐户来说。
解决方案是否为不同的应用、服务和协议提供广泛的支持?
某些解决方案可能支持广泛的协议(SSH、Web 等)和传输(IPv4 和 IPv6),但其他解决方案可能仅适用于 Web 或电子邮件。
解决方案是否需要改变主体行为?
某些解决方案可能需要额外的步骤来执行给定的工作流程,这可能要求您的组织对现有工作流程进行更改。
Keeper 如何帮助您的组织采用零信任
Keeper 的零信任、零知识网络安全套件使组织能够对分布式员工采用零信任远程访问,提供强大的身份验证以及细粒度可见性和控制力。通过统一企业密码管理 (EPM)、机密管理 (SM) 和特权连接管理 (PCM),Keeper 为 IT 管理员和安全团队提供了一个普适单一管理平台,用于跟踪、记录、监视和保护来自各个位置的每台设备每位用户对所有允许的站点、系统和应用进行的事务处理。
- Keeper 的企业密码管理平台为组织提供了成功实施零信任安全模式所需的对员工密码使用情况的全面可见性和控制力。IT 管理员可以监视和控制整个组织的密码使用情况,并强制执行安全策略和控制措施,例如 MFA、RBAC 和最低特权访问。
- Keeper Secrets Manager 为 DevOps、IT 安全和软件开发团队提供了一个基于云的平台,用于管理您的所有基础设施机密,从 SSH 和 API 密钥到数据库密码和 RDP 凭据。所有服务器、CI/CD 管道、开发人员环境和源代码都可以从安全的 API 端点获取机密。每个机密都使用一个 256 位 AES 密钥进行加密,然后又由另一个 AES-256 应用密钥再次加密。客户端设备从 Keeper 云端检索加密的密文,机密在设备本地(而非在服务器上)进行解密。
- Keeper Connection Manager 是一款无代理的远程桌面网关,可让 DevOps 和 IT 团队通过网络浏览器对 RDP、SSH、数据库和 Kubernetes 端点轻松进行零信任网络访问 (ZTNA)。所有用户和设备在被允许访问组织资源之前都经过严格验证。
