根据定义,零信任安全模型提倡创建区域和分段来控制敏感的IT资源。这还需要部署技术来监视和管理区域之间的数据,更重要的是,一个区域内用户之间的交互。
零信任安全模型重新定义了公司范围内的可信网络的体系结构。这件事情至关重要,因为像云、DevOps和IoT这样的技术和过程已经模糊或完全移除传统边界的概念。
区域本身可以通过使用向下到主机或数据层的微分段来委托,以实施零信任模型。这意味着一个资源,比如一个服务器,甚至一个数据库,可以有多个区域来支持实现零信任所需的数据收集和监视。
零信任本质上建立了信任、验证和持续评估信任的模型,用于进一步访问和横向移动。
虽然零信任已经成为IT界的流行语,但在实践中,这种模式通常是不切实际的,或者说是不现实的。
本文将回顾零信任模型的实际缺点和局限性,并给出更好的解决方案。
01 零信任模式的成功之处
Forrester为成功实施零信任勾勒出了一个路线图。以下是Forrester的五步模型:
1、识别存储和传输中的敏感数据
执行数据发现和分类
根据数据分类对网络进行分段和分区
2、绘制敏感数据流入和流出的可接受路线图
对电子交换敏感数据所涉及的所有资源进行分类
评估数据工作流程,必要时重新设计
验证现有的工作流程,如PCI架构,并验证设计
3、构造零信任的微边界
围绕敏感数据确定微边界、区域和分段
使用物理和虚拟安全控件实施分段
基于这些控制和微边界设计建立访问
自动化规则和访问策略基线
审核并记录所有访问和更改控制
4、使用安全分析详细监控零信任环境
利用和确定组织内现有的安全分析解决方案
确定安全分析工具的逻辑架构和最佳位置
如果需要新的解决方案,请确定一个供应商,该供应商正在向与您的组织相同的安全方向发展,并且可以为您的其他安全解决方案提供分析
5、支持安全自动化和自适应响应
将业务流程转化为技术自动化
记录、评估和测试安全运营中心的政策和程序,以提高有效性和响应能力
将政策和程序与安全分析自动化相关联,并确定可以从手动流程中提升哪些内容
在您的环境和当前解决方案中验证自动化的安全性和实现
02 实现零信任的四大障碍
虽然许多建议的方法都有优点,而且似乎合乎逻辑,但由于几乎每个组织都面临以下问题,许多方法在实践中难以实现:
1. 技术兼容困难
如果您的组织开发自己的软件以供使用,并且应用程序已经使用了几年以上,那么将会出现技术兼容问题。
重新设计、重新编码和重新部署内部应用程序可能代价高昂,而且可能会造成服务中断。需要有一个正式的采取这些类型举措的业务需求。向现有应用程序添加安全参数来实现零信任感知并不总是可行的。很有可能您现有的应用程序无法实施零信任。
因此,这取决于自身系统对自定义应用程序的依赖程度,这将决定是否能够采用零信任,并确定所需的工作量和成本。当应用程序与微边界不兼容,或者缺少支持所需自动化的应用程序编程接口时,这种情况尤为明显。
2. 遗留系统问题
遗留应用程序、基础设施和操作系统肯定无法通过零信任感知。它们没有最小权限或横向移动的概念,也没有动态允许基于上下文使用进行修改的身份验证模型。
任何零信任实现都需要分层或包装方法来启用这些系统。然而,分层方法需要包装对资源的外部访问,并且很少能够与系统本身交互。这违背了零信任的前提。您无法使用不兼容应用程序来实施监测。您可以筛选抓取、按键记录、监控日志和网络流量以查找潜在的恶意行为,但其带来的反馈是有限的。因此只能将遗留应用程序的外部交互限制为用户或其他资源,而非响应本身。这限制了零信任的覆盖范围,并且基于遗留应用程序的特性,组织可能会发现,由于包括TLS 1.3在内的大量加密要求,甚至监视网络流量都是不可行的。
3.点对点技术违反零信任原则
如果您认为您的组织不使用点对点(P2P)网络技术,那么您可能不知道Windows 10中的默认设置。
从2015年开始,Windows 10启用了点对点技术,在对等系统之间共享Windows更新,以节省互联网带宽。当一些组织关闭它时,其他组织甚至不知道它的存在。这代表了系统之间的特权横向运动,而这种运动基本上是不受控制的。虽然此功能没有出现任何漏洞和攻击,但它确实提供了违反零信任模型的通信。即使在指定的微边界内也不应出现未经授权的横向移动。
此外,如果您使用ZigBee或其他网络技术协议,您会发现它们的操作完全与零信任背道而驰。它们需要点对点通信来操作,信任模型严格基于密钥或密码,没有用于身份验证修改的动态模型。
因此,如果你决定接受零信任,请调查你的组织是否有点对点或mesh网络技术,即使是无线网络。这些都是实现零信任所需的访问和微边界控制的巨大障碍。
4.数字化转型带来的考验
即使对于那些有能力建立一个新的数据中心、实现基于角色的访问模型并100%接受零信任的组织来说,数字化转型的考虑也会使零信任理论难以被接受。
云计算、DevOps和IoT推动的数字化转型本身并不支持零信任模型,因为它需要额外的技术来细分和实施这一概念。对于大型部署,这可能会导致成本高昂,甚至可能影响解决方案与多用户访问进行正确交互的能力。如果您对此表示怀疑,请仅考虑记录每个事件以动态访问项目范围内所有资源的存储要求和许可证成本。
一些人可能对云确实包含分段和零信任模型表示不赞同,但这都取决于如何使用云。将基础架构直接迁移到云端并不意味着零信任。如果您在云中开发一个新的应用程序作为一项服务,那么它肯定可以接受零信任。
然而,作为数字化转型的一部分,仅仅转移到云并不意味着直接能享受到零信任模型的益处。如果您决定接受零信任并将其纳入您的计划,那么在本文前面讨论的所有原因的分层处理之后,它可能无法按照理想状态实施工作。
03 当考虑使用零信任时应该怎么做
零信任唯一能够成功实现的方法就是,无论是市场营销还是实际应用,都要从一开始就实施零信任。当然,这不是所有人都能做到的,除非他们开始一个全新的计划。
特权访问管理 (PAM)
远程访问
漏洞管理
简单地说,如果您的组织还没有接受特权访问和最小特权的概念,并且仍然在维护共享的访问帐户,那么零信任将不起作用。
当一些PAM供应商在推销“零信任”解决方案时,这实际上只是一个零信任的开端。他们其实并没有提供一个包含的零信任的解决方案来解决整个问题,这是一项庞大的任务,通常需要从一开始就以零信任作为驱动安全原则来构建正确的IT架构。
不过,公平地说,接受零信任的第一步是接受PAM。
PAM的主要功能有删除管理权限、管理帐户和密码、删除共享帐户、合并会话记录、强制网络通信等。只有在正确实现的前提下,才能将其扩展到零信任,并且组织的其他部门在自动化、微边界访问控制、数据发现和安全分析方面都支持零信任。
并非所有的特权访问都发生在传统的公司范围内。零信任要求对资源进行严格控制,以实施微边界模型。
无论是刚起步的初创企业还是成熟的企业,对特权资源的零信任都无法管理不在范围内的内容。零信任要求对所有请求访问的内容进行完全控制,但当它位于外部时,它可能会产生变化。用户(远程员工、承包商等)和应用程序访问需要有特权的远程访问才能建立安全连接并管理来自非托管系统的威胁。
零信任模型对于确保人员和承包商在微边界以外的远程访问的便利性非常有限(如果有的话)。请考虑基于连接源及其凭据、上下文和权限的总体安全性对微边界的所有访问。
零信任专注于用户访问、基于角色的访问、横向移动、微边界、用户分析和行为。对于一个成熟的公司来说,零信任基于现有安全程序部署,但却忽略了一个最基本的流程:漏洞和补丁管理。
如果用户访问的资源容易受到其他类型的网络安全风险和漏洞攻击,那么控制用户是毫无意义的。因此不应授予易受攻击的应用程序管理权限。
横向移动和权限利用只能从两个攻击媒介中发生:
特权攻击媒介(由于帐户和密码管理不善)
漏洞和攻击组合
要使零信任有效,不仅需要考虑用户,还需要考虑资源本身的风险。如果资产具有可远程利用的关键缺陷,则永远不会在零信任模型中授予访问权限。零信任忽略了资源风险,而过分关注访问控制。
零信任模型已经并不新奇。像PCI这样的监管标准已经出台了很多年,包含了概念,分析和自动化。基本原理没有什么问题,但不考虑堆栈中的现有技术、战略方向以及用于远程访问和漏洞管理的技术的话,它就只是一种解释概念的理论方法,而不是一种可以购买的可对现有系统进行改造的解决方案。
本文作者:莫雷·J·哈伯(Morey J.Haber),BeyondTrust的首席技术官和首席信息安全官。
原文链接:
https://www.beyondtrust.com/blog/entry/why-zero-trust-is-an-unrealistic-security-model
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
