文/柯善学
SANS研究院于2020年9月发布了白皮书《How to Create a Comprehensive Zero Trust Strategy》,该白皮书的赞助者为CISCO(思科)。本文是该白皮书主体内容的全文翻译。
该白皮书认为:零信任的核心是一种现代的最小特权访问,它是动态更新的,并同时与基于网络和基于身份的行为和组件相关联。在零信任模型中,数据和应用程序行为是所有隔离和分段策略的中心焦点。零信任方法并不意味着消除边界,反而是利用网络微分段,将边界尽可能靠近特权应用程序和保护面区域,同时持续评估身份关系和特权使用。
该白皮书以微分段技术为主线,特别强调:企业在设计动态安全架构模型时采用的首要主题是特定工作负载和应用程序流量模式的微分段。认为它有助于实现“零信任”访问控制模型。
零信任架构的控制应包括:身份认证和授权的控制、网络访问和检查的控制、既针对网络又针对端点的监控/强制执行的控制。
本文目录
一、微分段演进
二、微分段技术挑战
三、实施零信任的关键能力
1)策略发现
2)策略验证和模拟
3)基于主机的强制执行和好处
4)运行挑战
四、合规性示例
五、领导层的零信任路线图
六、结论
一、微分段演进
安全专家正在开始重新考虑他们的网络安全和访问控制方法。他们意识到需要解决的一些问题包括:
关注环境中所有组件之间的信任关系和系统间关系。今天企业网络中的大多数通信要么完全不必要,要么与业务真正需要的系统或应用程序无关。
将整个环境视为不受信任或受到损害,而不是从“由外到内”的攻击向量来思考。越来越严重的是,由于先进的恶意软件和网络钓鱼行为会危害最终用户,因此最具破坏性的攻击场景几乎完全是内部的。
更好地理解网络上的应用程序行为,并了解哪些类型的网络通信批准的应用程序应该真正传输。
强调与数据分类类型和处理环境保持一致的保护方法。
如今,许多传统的静态网络分割和访问控制已经不能实现这些目标。使这一挑战更加复杂的是高度虚拟化和融合的工作负载以及本质上非常动态的公有云工作负载的使用增加。有许多工具和控制可用于监控内部系统和数据在日益混合的基于软件的环境之间的移动。然而,企业在设计动态安全架构模型时开始采用一个首要主题:特定工作负载和应用程序流量模式的微分段,这可能有助于实现“零信任”访问控制模型。
零信任是一种模型,其中数据和应用程序行为是所有隔离和分段策略的中心焦点,并且IT运行环境中的所有资产都默认被视为潜在不可信,除非网络流量和行为得到了验证和批准。在早期的迭代中,零信任的概念指的是跨越位置和托管模型对网络进行分段和保护。然而当今,在单个服务和工作负载中有了更多的集成,以检查应用程序组件、二进制文件、在应用程序架构中通信的系统的行为。零信任方法并不意味着消除边界。取而代之的是,它利用网络微分段,将边界尽可能靠近特权应用程序和保护面区域,同时持续评估身份关系和特权使用。到目前为止,已经采取了各种各样的方法来实现零信任这一首要概念。
为了实现零信任模型,安全和运行团队传统上关注两个关键概念:
第一,安全控制通常集成到工作负载本身中,随实例和数据移动到它们可能运行的任何地方(在数据中心、虚拟基础设施、云环境等中)。通过创建一个策略强制执行层,无论工作负载在何处,组织都有更大的机会保护数据,而不管系统在哪里运行。在某种意义上,这将安全策略和访问控制转移回单个实例,而非仅驻留在网络本身中。但这种基于主机的方法,通常与零信任产品和工具有关。
第二,需要更好地理解每个系统上运行的应用程序和服务的实际行为,系统和应用程序之间的关系,需要比以往任何时候都更加严格的审查,以促进一个高度受限、零信任的运行模型,且该模型不会对网络连接产生不利影响。动态资产,如虚拟实例(运行在VMware内部或Amazon Web Services和Microsoft Azure等技术上)和容器,很难定位在“固定”网络强制执行点之后。这导致组织寻求采用一种网络隔离策略,只允许流量在经过批准的系统和连接之间流动,而不管它们处于什么环境中。
二、微分段技术挑战
NIST最近发布了SP800-207“零信任架构”,该架构聚焦于零信任架构模型。该模型包含了满足零信任原则的一种综合性数据/网络安全策略中的以下要素:
身份:用户/帐户访问的角色和权限定义;
凭证:身份认证控制,如口令和密钥;
访问管理:用于管理哪些资产和服务可被访问以及从何处访问的控制和策略;
运行:定义、实施、维护、监控零信任架构所需的首要工具和流程;
端点:作为零信任环境一部分的不同的系统和工作负载;
托管环境:实施零信任架构的环境(例如,数据中心或云提供商基础设施);
互联基础设施:促进在零信任架构内部和外部的资产的连接性的工具和平台。
以这些组件和原理为基础,零信任架构已经发展到包括各种各样的控制,这些控制可以促进保护系统和数据的综合性方法。
实现微段访问控制模型并不总是那么简单。许多组织在寻求实施微分段时遇到了许多挑战,包括:
1)技术竖井。在大多数组织中,有各种各样的技术,可能包括遗留操作系统和应用程序、开发工具和平台、第三方应用程序和服务、“自制”应用程序等。通常,这些技术类型中的一些不能很好地与其他类型一起工作,从而导致技术竖井。例如,单一的主网络供应商不能与其他网络工具进行互操作、硬件限制或特定的操作系统版本不支持在无性能问题情况下对关键应用程序的更新。零信任架构和技术通常需要对基础设施和平台的广泛访问,大量的技术竖井会降低效率。
2)缺乏技术集成。为了使零信任技术提供最大的效益,必须进行某种程度的技术集成。例如,端点代理需要安装在系统和移动设备上,这种集成的任何问题都很容易破坏零信任实现。类似地,零信任的策略引擎应该能够与正在使用的用户目录存储集成,以持续评估帐户、角色和权限。当第三方解决方案和平台不可用或无法在特定的云提供商基础设施上运行时,最要命的技术集成障碍可能出现。随着越来越多的组织转向混合或公有云部署模型,这个问题可能造成严重后果。
3)快速变化的威胁面和威胁格局。当然,威胁形势在不断变化,这可能会对那些只关注一种环境或在部署模式上受到限制的零信任技术带来挑战。例如,许多攻击者现在瞄准最终用户作为进入网络的主要进入权向量,并且可以在功能上“假定”该用户和设备的身份。如果没有将强大的机器学习与行为建模和动态更新结合起来的零信任技术,很可能会漏掉我们今天看到的攻击中最关键的一些问题。其中包括:
系统间横向运动:这是当今攻击活动中常见的一种情况,在这种情况下,最初进入网络环境后通常会进行探测,并试图破坏附近的其他系统。检测和预防横向移动,需要了解环境中的信任关系,以及实时监控和响应能力。
内部威胁:众所周知,这些类型的威胁很难被发现,因为内部人员通常已经被授予访问权限,因此在零信任设计中,最好能限制那些特定于身份或端点的控制能力的效力。只有深入理解特定的面向用户的数据和应用程序交互中的预期或意外的行为,才能帮助检测内部威胁。
4)缺乏简单易用性。安全技术越复杂,就越不可能有效地或持续地应用它。目前零信任和微分段工具的最大挑战之一是复杂性和缺乏简单的管理和策略设计/实施。直观的控制台和策略引擎、设计良好的报告和指标、对端点和工作负载代理的轻松安装和监控,以及对众多技术和平台(尤其是云环境)的强大支持,对于任何寻求帮助组织实现零信任的企业级技术来说都是至关重要的。
5)新的基础设施要求。为了支持新一代防火墙和软件定义的网络基础设施,许多组织需要升级和修改其基础设施。这可能包括诸如交换机和路由器之类的网络系统、融合环境和云环境中的虚拟设备、监控工具和服务。
三、实施零信任的关键能力
为有效实施零信任,应提供多种关键解决方案:
策略发现;
政策验证和模拟;
基于主机的强制执行;
应对多种运行挑战的能力。
我们将在下面的部分中更详细地描述这些功能。
1、策略发现
首先,策略发现工作是至关重要的,尤其是在棕地环境中,此时许多现有技术已经在运行。大多数微分段和零信任技术都包括某种形式的扫描和发现工具,用于查找身份使用和权限分配、正在使用的应用程序组件、系统之间发送的流量、设备类型以及环境中的行为趋势和模式。安全团队应与IAM(身份和访问管理)团队或负责关键IT运营角色和功能(如用户配置和管理)的团队合作,以了解环境中的不同组和用户,以及他们执行作业功能所需的访问类型。对于所有类型的用户设备,主要是特权用户使用的笔记本电脑和台式机,都应该采取同样的措施。
2、策略验证和模拟
一旦完成了一些基本的发现,任何成熟的访问控制(微分段)策略引擎,都应该能够开始将检测到的和声明的身份(用户、组、设备、权限集等)与跨系统的特定服务和应用程序组件生成的网络流量相链接起来。为了从零信任策略中获得最大收益,计划和项目实施的这一阶段需要仔细考虑以业务和应用程序为中心的用例。安全团队应该计划评估哪些类型的行为在环境中实际是必要的,而不只是那些可以明确允许或“不被拒绝”的行为。这需要时间和仔细分析正在运行的系统。
这种规划和讨论应该引导安全和网络团队制定策略,根据流量和身份要求,在一个环境中隔离和划分应用程序和特定流量。微分段解决方案应允许模拟网络分段,一旦发现这些分段,这些分段将与特定类型的系统或工作负载紧密结合。零信任关于网络微分段的传统概念,致力于防止攻击者使用未经批准的网络连接攻击系统、从受损的应用程序或系统横向移动,或执行任何与环境无关的非法网络活动。从本质上讲,零信任有助于创建关联策略(affinity policies),其中,系统具有关系和允许的应用程序和通信流量,而任何尝试的通信都根据这些策略进行评估和比较,以确定是否应允许这些行为。这种情况持续发生,有效的零信任控制技术还将包括某种机器学习功能,以执行对尝试行为的分析处理,并随着时间推移可动态适应工作负载和应用程序环境的变化。这些能力,应该在任何部署的策略验证和模拟阶段随时被测试。本质上,所选平台应该能够基于检测到的流量和通信模式生成策略,并模拟能够证明策略有效性的攻击或不允许的流量模式。
通过潜在地消除横向移动,零信任微分段模型还降低了当攻击者非法获得数据中心或云环境中的资产访问权限时的风险。安全架构和运营团队(通常是DevOps和云工程团队)将此称为对一个攻击“限制爆炸半径”,因为任何损害都包含在最小的表面积上,攻击者无法利用一个受损资产访问另一个。这不仅通过控制资产到资产的通信,而且还通过评估实际运行的应用程序和评估这些应用程序试图做什么来工作。例如,如果应用程序工作负载(web服务,如NGINX或Apache)被合法地允许与数据库服务器通信,攻击者将不得不攻陷系统,然后完美地模拟web服务,尝试横向移动到数据库服务器(甚至直接从安装的本地二进制文件和服务发出流量)。
3、基于主机的强制执行和好处
要管理各种工作负载和网络环境之间的访问,任何解决方案都应包含某种类型的基于主机的强制执行能力。大多数微分段解决方案,通过将自定义代理部署到包含自定义防火墙控制的任何工作负载上来实现这一点。在某些情况下,微分段代理包括(或可以与)反恶意软件集成并利用保护功能和工具。对恶意签名和行为的端点监控,可以显著改善受信任工作负载的安全状况,而自动隔离和消除检测到的威胁将带来更大的价值。
通过将基于主机的安全能力与一个(包含网络流量监控和身份角色和权限的)监控和强制执行引擎相集成,组织可以创建和维护一个更完整的零信任模型。
4、运行挑战
随着向微分段和零信任的转变,会出现许多运行问题。图1显示了实施的关键阶段。
图1-实施的关键阶段
任何零信任实施的关键阶段划分应包括:
1)发现:发现、编目和分类数据和资产。发现阶段是零信任架构模型中更重要的阶段之一,因为任何环境中的不同类型的资产和数据都需要根据定义的策略持续发现和评估。在大多数传统数据中心,由于缺乏对所有网络分段的一致可见性,发现能力在大规模上具有挑战性。在零信任环境中,发现应聚焦于网络监控,以在所有存储和应用程序部署中发现、编目和分类数据。为敏感数据场景映射数据流是发现工具应该促进的另一项重要功能。
此阶段的运行挑战包括:在所有网段分段中实现代理和网络监控,以及对应用程序和资产进行适当分类。
2)部署:微边界和架构。在零信任部署中,必须有某种微分段引擎来执行由中央策略引擎定义的访问控制策略。该引擎可能包括云原生微分段工具(如Amazon EC2安全组)以及内部身份感知策略引擎,这些引擎可以限制在本地数据中心和云提供商环境中运行的资产之间的访问。一旦身份得到确认和验证——通过与目录服务和其他身份存储的集成——最小权限访问模型就应该通过策略强制执行。
此阶段的运行挑战包括:与身份存储的集成;用户、组和角色的分类;以及为特定应用程序场景或用例确定适当的权限。
3)检测:网络和应用程序流量监控。将实施监控,以持续检测和跟踪环境中的网络流量和本地系统进程,以映射应用程序、公开服务、用户交互模型、网络行为模式在预期和意外应用程序使用场景中的使用情况。
运行挑战包括:将安全运行团队和事件调查工作流与任何检测到的异常或异常工作负载活动进行协调。
4)响应:策略和自动化行动。在当今的动态环境中,针对特定的用例和剧本,自动响应行动变得越来越普遍。响应行动可以通过持续监控和检测可能表明泄露或企图泄露的事件和行为来“触发”,可能包括隔离资产、暂停或删除系统和工作负载、暂停或删除用户帐户和身份等。为了成规模实现该目标,大多数企业可能需要强大的分析和环境集成。
运行挑战:主要是策略调节和调整。
除了这些特定的战术挑战,许多组织也会发现更大的组织治理挑战出现。在微分段和零信任的采用周期早期,团队应该做出的关键决策之一是策略所有权和输入(policy ownership and input)。网络团队、身份团队、安全团队在制定策略方面都有明确的利害关系,如果可能的话,他们应该采用策略开发和更新的协作模型。单个团队“拥有”微分段平台和工具是很常见的,但策略需要包括各种利益相关者以供输入和讨论。
另一个关键的运行挑战是正在进行的“第二天合规性”(Day 2 compliance),换句话说,一旦实施了解决方案和策略,就要维护配置和合规性状态。由于微分段和零信任对于任何组织来说都是主要的技术转变,因此必须对策略的有效性和出现的问题进行例行评估,并为应用程序和环境变化时的策略故障排除制定升级路径。对于高度动态的云基础设施和工作负载来说尤其如此。
四、合规性示例
微分段和零信任计划可以通过多种方式对合规性要求和控制的选择产生积极影响。在下面几节中,我们将演示几个可以通过微分段技术有效满足的行业合规性要求的示例。
1)SWIFT客户安全计划(CSP)
SWIFT(全球银行间金融电信协会,Society for Worldwide Interbank Financial Telecommunication)是全球金融信息服务提供商。银行和其他金融机构使用SWIFT发送安全消息并在全球范围内协调金融交易,SWIFT用户必须遵守一些严格的安全要求。表1显示了零信任技术如何满足SWIFT要求。
表1-零信任满足SWIFT要求
2)HITRUST公司
HITRUST(健康信息信任联盟,Health Information Trust Alliance)公共安全框架(CSF)是一个强大的隐私和安全控制框架,已被广泛用于评估和认证必须遵守安全和隐私法规(如HIPAA(健康保险携带和责任法案,Health Insurance Portability and Accountability Act))的医疗保健相关组织。零信任部署可能有助于满足表2中所示的HITRUST CSF控制要求。
表2-零信任满足HITRUST要求
3)PCI DSS
PCI DSS(支付卡行业数据安全标准,Payment Card Industry Data Security Standard)概述了接受或处理信用卡支付的组织必须具备的一套安全控制和实践。PCI DSS适用于全球范围内涉及信用卡支付处理的各种规模的商户和服务提供商。微分段可以帮助满足PCI DSS合规性要求,包括表3中的要求。
表3-零信任满足PCI DSS要求
五、领导层的零信任路线图
执行官们应该仔细评估这个领域的技术,并确定哪些解决方案最能满足组织的需求。他们还应该寻找在内部和公有云环境中都能工作的产品,这几乎总是需要基于代理的解决方案。在实施零信任微分段策略时,请遵循以下基本路线图:
从被动应用程序发现开始,通常通过网络流量监控来实现。留出几个星期的时间来发现存在的适当关系,并与熟悉“正常”流量模式和系统间通信的利益相关者进行协调。在确认了应该建立的适当关系以及应用程序行为之后,应该稍后制定强制执行策略。
根据数据在网络中的移动方式以及用户和应用程序如何访问敏感信息,设计零信任架构。这将有助于确定如何划分网络,以及在不同网络分段的边界之间使用虚拟机制和/或物理设备定位保护和访问控制的位置。
花时间对系统和应用程序进行分类,这将有助于构建应用程序流量基线和行为。更高级的零信任工具与资产“身份”集成,资产“身份”可能是应用程序架构的一部分,与业务部门或组保持一致,或代表特定的系统类型。
零信任的核心实际上是一种现代的最小特权访问,它是动态更新的,并同时与基于网络和基于身份的行为和组件相关联。对于任何零信任项目,帮助构建一个最小权限的业务案例是至关重要的,该案例着眼于一个健壮的零信任使能技术能够全面提高访问控制和组织安全性的各种方式。常见的业务驱动因素包括:
不同的端点和用户:在一个组织内运作的端点和用户/组的数量和类型正在增长,在某些情况下迅速增长。特别是对于拥有大量和多样化的技术和用户变体的大型组织,选择一种能够适应所有这些方面的技术,可以在可预见的将来大大简化访问控制操作的实施和维护。
云和新的服务层:随着向混合和公有云部署模型的转变,寻找支持广泛托管和基础设施部署的技术的需求迅速增长。如今,很少有零信任访问控制平台在众多云提供商环境以及场内数据中心中具有强大的支持。整合、集成、部署支持可以很容易地帮助将最低权限策略转变为在所有环境中都能工作的统一技术解决方案。
业务连续性和应急计划:许多组织现在意识到,业务连续性和应急计划需要更好地应对未来可能很容易发生的意外和未知情况。没有办法对所有场景进行规划,但是采用更灵活的端点技术方法和快速变化的业务用例,可以推动访问控制模型朝着无处不在的零信任策略和技术实现迈进。
机器学习/AI增强:简而言之,机器学习就是训练机器解决问题。这通常适用于可以通过反复训练和模式识别开发来解决的问题。机器学习和人工智能技术可以帮助安全专家和技术识别数据中的模式,这在大规模场景中非常有用。例如,收集到的威胁情报数据提供了攻击者来源、失陷指标、攻击行为趋势的透视图。威胁情报数据可以聚合,使用机器学习进行大规模分析,并通过似然/可预测性模型进行处理,然后反馈给零信任访问控制策略和平台,以帮助动态更新检测和响应能力。
随着零信任部署的成熟和更加稳定,组织将希望确定该方法在其环境中的有效性。行业范围内的零信任度量指标目前很少,因为大多数组织仍处于部署的早期阶段,还没有为这种类型的架构开发成熟的长期策略。零信任策略的潜在指标可能包括:
识别和映射的应用程序数量(通常按网络范围、业务部门或地理区域进行跟踪);
已编目的被跟踪和打标签的身份的数量;
网络访问控制告警的减少百分比(在实施强制执行策略后);
实施零信任后,失陷的系统和应用程序工作负载的减少百分比。
六、结论
零信任架构应包括身份认证和授权的控制、网络访问和检查的控制、同时针对网络和端点的监控/强制执行的控制。目前没有任何一种单一技术,能够提供完全的零信任设计和实现。组织需要一个工具和服务的组合,来提供全面的必要覆盖。对大多数人来说,零信任和现有基础设施的混合方法将需要在一段时间内共存,并应侧重于能够适当实现这两者的共同组件和控制类别,例如通过目录服务集成进行身份和访问管理,端点安全和策略的强制执行,以及网络监控和流量检查。随着零信任框架的成熟和发展,标准和平台互操作性也将随之发展,可能会促进整体上更为简化和有效的方法。
声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
