在迈向零信任架构的过程中,可能会发现部分基础架构无法实施零信任。为了解决这一问题,2023年2月7日,英国国家网络安全中心发布了《零信任:构建混合资产(Zero trust: building a mixed estate)指南1.0》

指南探讨了无法采用零信任的原因,提出建构一种新的混合资产架构”,并通过零信任代理和托管虚拟专用网络(VPN)两种方法实现其访问,同时保持整个系统零信任的安全优势。本文详细介绍了该架构的概念与实现方法,仅供学习参考。

英国国家网络安全中心发布《零信任:构建混合资产》指南1.0

编译:网安观察员 雪容融与冰墩墩

全文摘要与关键词

1.混合资产架构:概念,与零信任不兼容的五个主要现实原因

2.构建混合资产的两种方法:零信任代理+托管虚拟专用网络VPN

3.评析:该指南为解决零信任不兼容问题提出了新的解决视角与方法,其中托管VPN遵循更传统的远程访问方法,零信任代理提供了一种提供远程访问的创新模式。实际应用中,需要重点考虑某种技术如何满足组织的需求。

01

混合资产架构是什么?

在迈向零信任架构的过程中,会发现部分基础架构无法实施零信任,英国国家网络安全中心提出了混合资产架构,即:可采用2种解决方案实现安全访问,保证整个系统的零信任安全优势。零信任架构应覆盖核心服务和客户端设备,为不能采用零信任架构的系统业务活动,提供零信任的所有优势和安全性。

与零信任不兼容的五个原因:

并非所有系统、服务和应用程序都可以集成到零信任网络中,原因如下:

1) 与策略引擎不兼容。应用程序不支持现代身份验证方法。如开放标准令牌格式(SAML和OIDC),通常由策略引擎发布,并由策略实现解析确定访问请求。

2) 不支持安全协议。通信不能确保安全,限制了在连接中建立信任和接收数据的能力。

3) 产品过时。由于服务或软件不受支持,而无法修补软件漏洞,则会限制信任。

4) 使用旧式或传统身份验证方法。身份验证由应用程序自身处理,则很难与零信任体系架构集成。

5)成本过高。此外,即使系统在技术上可以支持零信任原则,这样做的成本也非常高,因此在实践中,系统同样也不适合零信任。

02

混合资产两种构建方法

零信任代理+托管虚拟专用网络VPN

2.1 零信任代理

零信任代理通常在零信任结构中作为连接媒介,位于最终用户设备和传统系统之间。客户端连接到代理,然后代理根据零信任策略管理对应用程序的访问。使用零信任代理可以安全地远程访问本地无法支持的零信任应用程序。

零信任代理的工作原理

零信任代理通常分为:代理服务器和代理控制器

代理服务器作为策略实施点,使用最低特权模型控制对应用程序的访问。为了实现访问决策,策略实施点与策略引擎通信。策略引擎授权客户访问应用程序权限后,代理会将流量从客户端转发到代理控制器。代理控制器开启与代理服务器的安全双向通道(通常使用TLS),为通过代理服务器访问应用程序的客户端提供传输中的数据保护,客户端本身不支持安全通信。控制器必须部署在应用程序可见的位置,允许与代理服务器建立出站连接。同样,发送该应用程序的所有流量都要通过代理控制器。应用程序只允许在网络层有防火墙限制情况下与代理控制器的连接。

图 1 零信任代理-通用部署的高级体系架构

零信任代理的功能

代理负责提供对旧系统的零信任访问,因此应确保它具有某些功能:

1) 支持安全和现代身份验证:如SAML2.0、OIDC或FIDO2,能够与策略引擎通信,并做出访问决策。用户在被允许与应用程序通信之前应该经过身份验证,在此之前不应该被允许。符合NCSC零信任原则第4条:使用策略授权的请求;和第5条:在任何地方进行身份验证和授权。

2) 与代理进行安全通信:代理服务器两端的连接都必须是安全的,因此代理服务器、代理控制器和最终用户设备必须支持安全通信协议(如TLS)。符合NCSC零信任原则第7条:不信任任何网络,包括自己的网络。

3) 代理控制器的出站连接:理想情况下,代理控制器将出站连接到代理服务器建立的安全双向通道上。当代理控制器创建出站连接时,不会在网络外围中创建入口点,以减少攻击面。

4) 托管在云端:理想情况下,采用软件即服务(SaaS)模式,托管到云上由提供商进行管理。云托管可以实现与任何现有的基于云的身份服务和策略引擎进行集成。NCSC云安全指南可帮助确定是否应信任某项服务。

5) 访问审核:当设备访问应用程序或资源时,代理服务器提供审核支持。检测设备是否遭到入侵,或者未经授权尝试访问应用程序,同时允许进行用户行为分析,做出更加智能的访问决策。符合NCSC零信任原则,即将监控重点放在用户、设备和服务上,并评估用户行为、服务和设备运行状况。

实现零信任代理的注意事项

1) 大多数零信任代理解决方案特定于一组应用程序或协议,如某些代理仅支持Web协议。在支持富客户端应用程序等内容时,可能会增加复杂性。在某些利基应用程序中,协议支持可能存在问题。

2) 零信任代理可能无法在具有多个应用程序或解决方案环境中使用,可能需要为每一个应用程序设置一个代理,需要更多的基础设施(如虚拟机)来托管代理控制器,额外增加维护的开销。

3) 需要考虑如何确保所有流量都通过零信任代理路由,没有使用不安全协议和身份验证方法的途径。可能需要在本地网络上进行新配置,如防火墙规则,将流量限制为进到代理控制和应用程序。

零信任代理旨在为传统或旧版应用程序提供策略实施点。提供使用零信任进行安全访问应用程序。对于大多数用例来说,可能是一个很好的解决方案,但需要检查协议支持并了解它们是否适合环境中应用程序数量。

2.2 托管VPN

托管VPN允许根据配置的规则有选择地将流量发送到隧道外部。为了支持混合资产,可以将支持零信任服务的流量在隧道外部路由,旧系统的流量可以在隧道内路由,从而允许安全访问无法实施零信任原则的应用程序。

托管VPN的适合时机

VPN为流向不支持安全协议的应用程序流量提供数据传输保护。使用托管VPN可以改善用户体验、可用性,并减少维护工作量,因为只有流向旧系统的流量才会通过VPN传输。托管VPN是开启零信任应用程序数量增长的第一步。NSCS提供了有关VPN和“花园围墙架构”的进一步指导。

图 2 托管VPN-通用部署的高级体系架构

实现托管VPN注意事项

1) 在传统网络中使用托管VPN时,可能意味着某些应用程序继续依赖于网络的固有信任。

2) 不支持零信任的应用程序无法通过策略引擎访问,无法验证访问数据或服务的每个请求,带来风险(如横向移动的风险增加)。

3) 采用托管VPN可能需要对架构进行少量的重写,不需要安装新的零信任代理或创建新的防火墙规则,VPN还将支持各种协议的安全隧道。与零信任代理相比具有优势,其中一些利基协议可能不受支持。

4) 考虑如何管理和支持托管VPN也很重要,因为它会产生额外的维护开销。托管隧道的不正确配置可能会导致信息泄露。

5) 使用VPN通过会将流量汇聚到网络的中心点,并且会略微增加延迟。对于大规模延迟敏感的应用程序(如视频通话),可能是一个问题。

6) 托管VPN可能更适合在零信任开始时,只有少数应用程序能够实施零信任原则。

03

结 语

尽管构建混合资产很复杂,但该指南提供了一个起点,并帮助完成零信任,每种方法都有其优点。

托管VPN遵循更传统的远程访问方法,很容易理解,而零信任代理提供了一种远程访问的创新模式,同时消除了远程访问解决方案的一些缺点。没有适合所有情况的解决方案,因此考虑某种技术如何满足组织的需求非常重要。在决定实现方法时,需要特别注意解决方案的规模以及对某些协议的支持。

除了指南中的两种方法之外,可能还存在其他更适合某些特定场景的方法,无论哪种方式,无论采用哪种解决方案开启零信任之路,能为无法实施零信任原则的系统提供相同级别的安全性至关重要。

原文地址:https://www.ncsc.gov.uk/guidance/zero-trust-building-a-mixed-estate

文章内容编译自网络,本文观点不代表本公众号立场。欢迎交流讨论,批评指正。

声明:本文来自认知认知,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。