零信任和安全架構(gòu)傳道者,。專注于解析國(guó)外先進(jìn)網(wǎng)絡(luò)安全體系,,為國(guó)內(nèi)軍政企首席安全官提供參考,。帳號(hào)主體為柯善學(xué)博士,現(xiàn)任職360研發(fā)中心,。自2020年7月起,,本訂閱號(hào)只做原創(chuàng),其中文章觀點(diǎn),,不代表所在公司立場(chǎng),。謝謝關(guān)注!
零信任硬幣的一面是訪問(wèn)控制和身份管理,,硬幣的另一面是主機(jī)微分段,。前者本質(zhì)上仍是由外到內(nèi)的方法,而后者則是由內(nèi)到外的方法,。兩者雖然都要解決訪問(wèn)問(wèn)題,,但前者是從用戶角度來(lái)看,而后者則是從應(yīng)用程序和工作負(fù)載的角度來(lái)看,。
實(shí)現(xiàn)國(guó)防部零信任網(wǎng)絡(luò)安全框架的目標(biāo),,是一個(gè)多階段的過(guò)程。在實(shí)現(xiàn)了訪問(wèn)控制和身份管理等基本階段后,,國(guó)防部可能開(kāi)始向零信任的中高級(jí)階段邁進(jìn),,即更加以數(shù)據(jù)為中心的安全方法。
訪問(wèn)控制永遠(yuǎn)是至關(guān)重要的,,但它只是零信任旅程中重要的第一步,。SolarWinds復(fù)雜網(wǎng)絡(luò)攻擊事件為美國(guó)國(guó)防部加速向零信任的中高級(jí)階段邁進(jìn),提供了更具說(shuō)服力的理由,。
本文是《Illumio六部曲》系列的第5篇,,重點(diǎn)揭示了美國(guó)國(guó)防部零信任與主機(jī)微分段技術(shù)的關(guān)系。
從本文的邏輯看,,在統(tǒng)領(lǐng)零信任框架方面,,Gartner的零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)的確是不完整的,而Forrester的零信任生態(tài)擴(kuò)展(ZTX)框架顯然更勝一籌,。
目 錄
1. 零信任硬幣的兩面
1)零信任的兩種視角
2)硬幣的一面是訪問(wèn)控制和身份管理
3)硬幣的另一面是主機(jī)微分段
2. 為何要重視主機(jī)微分段
1)實(shí)現(xiàn)微分段的三種途徑辨析
2)兩種零信任視角的對(duì)比
3. 國(guó)防部零信任的兩個(gè)階段
1)國(guó)防部零信任的基本階段
2)國(guó)防部零信任的中高級(jí)階段
3)現(xiàn)實(shí)示例:用事實(shí)說(shuō)話
4)讓兩種方法并駕齊驅(qū)
一,、零信任硬幣的兩面
01 零信任的兩種視角
NIST SP 800-207(零信任架構(gòu)指南)指出,“零信任是一套不斷發(fā)展的網(wǎng)絡(luò)安全模式的術(shù)語(yǔ),,它將防御從靜態(tài)的,、基于網(wǎng)絡(luò)的邊界,轉(zhuǎn)移到關(guān)注用戶,、資產(chǎn)和資源上,。” 筆者認(rèn)為,,這里的“用戶,、資產(chǎn)和資源”應(yīng)該被分解為兩部分:一是用戶(訪問(wèn));二是資產(chǎn)和資源,。因?yàn)閮烧邔?duì)應(yīng)于不同的視角,。
我們知道,,最小權(quán)限訪問(wèn)是零信任的核心。這表明,,國(guó)防部需改變傳統(tǒng)的“允許所有訪問(wèn),、拒絕指定訪問(wèn)”的理念,轉(zhuǎn)向“拒絕所有訪問(wèn),、允許指定訪問(wèn)”的原則,。
問(wèn)題的關(guān)鍵在于,對(duì)于所有這些訪問(wèn):一方面是從用戶角度來(lái)看,;另一方面是從應(yīng)用程序和工作負(fù)載的角度來(lái)看,。
顯然,美國(guó)聯(lián)邦政府和國(guó)防部已經(jīng)在致力于改善零信任的用戶訪問(wèn),;然而,,在一個(gè)零信任環(huán)境中,關(guān)注點(diǎn)正在逐漸轉(zhuǎn)移到保護(hù)其資產(chǎn)和資源上,。
02 硬幣的一面是訪問(wèn)控制和身份管理
美國(guó)聯(lián)邦政府和國(guó)防部已經(jīng)開(kāi)始認(rèn)真考慮零信任,。而且零信任的一個(gè)重要方面,即關(guān)于零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA,,Zero Trust Network Access)的初步工作已經(jīng)完成,。
然而,這主要還是一種由外到內(nèi)(outside-in)實(shí)現(xiàn)零信任的方法,。
03 硬幣的另一面是主機(jī)微分段
零信任更加重要的一個(gè)方面,,與應(yīng)用程序和工作負(fù)載的連接有關(guān)。而這正是攻擊者的目標(biāo)所在,,但目前聯(lián)邦政府和國(guó)防部在這一方面還沒(méi)有得到足夠保護(hù),。
零信任的“另一面”,即基于主機(jī)的微分段方法,,將帶來(lái)由內(nèi)到外(inside-out)的更高安全性,,并將阻止惡意軟件的橫向移動(dòng)。
NIST SP 800-207專門(mén)將微分段定義為在一個(gè)或多個(gè)端點(diǎn)資產(chǎn)上使用軟件代理或防火墻,。這些網(wǎng)關(guān)設(shè)備動(dòng)態(tài)地向來(lái)自客戶端,、資產(chǎn)或服務(wù)的單個(gè)請(qǐng)求授予訪問(wèn)權(quán)限。而這也是在《2020財(cái)年FISMA首席信息官指標(biāo)》報(bào)告中專門(mén)提出的保護(hù)高價(jià)值資產(chǎn)(HVA)的最佳方式,。
二、為何要重視主機(jī)微分段
01 實(shí)現(xiàn)微分段的三種途徑辨析
因?yàn)榱阈湃蔚暮诵氖亲钚?quán)限的概念,,所以如果發(fā)生失陷,,則失陷理應(yīng)被鎖定在一臺(tái)服務(wù)器、工作負(fù)載或筆記本電腦上,。這是實(shí)現(xiàn)零信任的由內(nèi)到外的方法,。
從系統(tǒng)架構(gòu)的角度來(lái)看,,這種零信任的方法可以通過(guò)三種方式實(shí)現(xiàn):軟件定義網(wǎng)絡(luò)(SDN)、網(wǎng)絡(luò)防火墻,、基于主機(jī)的微分段,。
1)SDN或網(wǎng)絡(luò)虛擬化方法:是實(shí)施強(qiáng)制執(zhí)行的一個(gè)弱安全選項(xiàng),因?yàn)樗P(guān)注網(wǎng)絡(luò)安全并使用自由形式的標(biāo)記和標(biāo)簽結(jié)構(gòu),。由于在管理用于標(biāo)識(shí)工作負(fù)載的元數(shù)據(jù)方面缺乏治理,,使得管理和提供策略變得困難。跟蹤IP地址會(huì)增加復(fù)雜性并阻止規(guī)模的擴(kuò)展,。它還需要一個(gè)完整的網(wǎng)絡(luò)升級(jí),,并且是昂貴的。記?。篠DN中的“N”代表網(wǎng)絡(luò),。因此,任何SDN控制器部署的任何分段,,都是一種以網(wǎng)絡(luò)為中心的方法,,都被實(shí)現(xiàn)為聚焦網(wǎng)絡(luò)挑戰(zhàn),而非主機(jī)挑戰(zhàn),。
2)網(wǎng)絡(luò)防火墻方法:為了控制東西向流量的移動(dòng),,需要部署額外的防火墻。然而,,硬件防火墻太“硬”了,,缺乏靈活性。而對(duì)于內(nèi)部/數(shù)據(jù)中心防火墻,,當(dāng)環(huán)境被虛擬化和高度自動(dòng)化時(shí),,要想跟蹤區(qū)域、子網(wǎng),、IP地址,、規(guī)則順序,也變得相當(dāng)笨拙和困難,。隨著環(huán)境變得更加復(fù)雜,,在防火墻規(guī)則變更期間中斷應(yīng)用程序的可能性也會(huì)增加。與SDN方法類似,,應(yīng)用程序到應(yīng)用程序的流量缺乏可見(jiàn)性,,大型部署可能很昂貴,并且這仍然是一種以網(wǎng)絡(luò)為中心的方法,。
3)基于主機(jī)的微分段方法:是對(duì)駐留在每個(gè)主機(jī)中的本機(jī)狀態(tài)防火墻進(jìn)行編程,。從本質(zhì)上講,關(guān)注應(yīng)用程序,,可以將分段與網(wǎng)絡(luò)架構(gòu)解耦,。它部署簡(jiǎn)單,,易于擴(kuò)展,成本較低,,可以在任何架構(gòu)中推出,,包括云、容器,、混合和裸機(jī),。它可以與防火墻、負(fù)載均衡器,、網(wǎng)絡(luò)交換機(jī)等異構(gòu)硬件資產(chǎn)協(xié)同工作,,并提供實(shí)時(shí)應(yīng)用程序和工作負(fù)載依賴關(guān)系圖。首席信息官和首席信息安全官終于頭一回可以看到,,他們的應(yīng)用程序和工作負(fù)載在做什么,。
02 兩種零信任視角的對(duì)比
用戶采取何種角度/路線來(lái)實(shí)現(xiàn)零信任架構(gòu),將決定其實(shí)現(xiàn)的難易程度,。
如果用戶可以實(shí)時(shí)創(chuàng)建應(yīng)用程序和工作負(fù)載地圖時(shí),,則他們可以顯著降低零信任的實(shí)施復(fù)雜性。因?yàn)?,正確地創(chuàng)建一個(gè)基準(zhǔn)應(yīng)用程序和工作負(fù)載依賴關(guān)系圖,,對(duì)于在整個(gè)機(jī)構(gòu)的計(jì)算體系架構(gòu)中嵌入安全性非常重要。用戶得以查看應(yīng)用到應(yīng)用和工作負(fù)載的流量,,以便正確分段,。
雖然,零信任需要強(qiáng)大的身份管理工具,;但用戶還需要對(duì)工作負(fù)載和應(yīng)用程序進(jìn)行分段,,以防止可能?chē)?yán)重影響機(jī)構(gòu)或任務(wù)的非法橫向移動(dòng)。
兩種不同的方法:用戶到應(yīng)用和設(shè)備到應(yīng)用的流量監(jiān)控,,需要對(duì)憑證托管,、強(qiáng)身份驗(yàn)證、身份管理的顯著依賴關(guān)系,;而機(jī)器到機(jī)器或工作負(fù)載到工作負(fù)載的連接,,通常是基于API的,需要不同的方法,。
兩面可以同時(shí)進(jìn)行,。憑證依賴于網(wǎng)絡(luò)安全;強(qiáng)制執(zhí)行策略則側(cè)重于應(yīng)用程序安全,,而應(yīng)用程序安全并不需要網(wǎng)絡(luò),。所以,事實(shí)上,零信任硬幣的兩面都可以同時(shí)進(jìn)行,。
零信任的前進(jìn)之路意味著,過(guò)去對(duì)網(wǎng)絡(luò)邊界的強(qiáng)調(diào),,必須由對(duì)用戶,、數(shù)據(jù)、應(yīng)用程序的更加重視所取代,。
更進(jìn)一步講,,采用由內(nèi)到外(inside-out)的方式保障高價(jià)值資產(chǎn),是啟動(dòng)零信任試點(diǎn)項(xiàng)目的最審慎的方式,。這個(gè)建議,,與2019年11月國(guó)土安全部發(fā)布微分段作為CDM(持續(xù)診斷和緩解)計(jì)劃的推薦能力,是一致的,。
三,、美國(guó)國(guó)防部零信任的兩個(gè)階段
01 國(guó)防部零信任的基本階段
實(shí)現(xiàn)零信任愿景,是一個(gè)多階段的努力,。美國(guó)國(guó)防信息系統(tǒng)局(DISA)和國(guó)家安全局(NSA)正在合作開(kāi)發(fā)零信任參考架構(gòu),,也在建立新的零信任實(shí)驗(yàn)室。
如果詢問(wèn)美國(guó)聯(lián)邦和國(guó)防部IT部門(mén)的人“零信任意味著什么”,,你可能會(huì)聽(tīng)說(shuō)它是關(guān)于訪問(wèn)控制的:即在沒(méi)有首先驗(yàn)證用戶或設(shè)備的情況下,,決不允許訪問(wèn)任何系統(tǒng)、應(yīng)用程序,、網(wǎng)絡(luò),,即便用戶是內(nèi)部人士。
在國(guó)防信息系統(tǒng)局(DISA)對(duì)零信任的解釋清單上,,排名第一的術(shù)語(yǔ)是“從不信任,、始終驗(yàn)證”,緊隨其后的是“始終假設(shè)網(wǎng)絡(luò)環(huán)境中已經(jīng)存在對(duì)手”和“顯式驗(yàn)證”,。這些都對(duì)應(yīng)于國(guó)防部零信任成熟度模型的基本階段,。
基本階段,即訪問(wèn)控制和身份管理,,確實(shí)是零信任的第一個(gè)重要組成部分,,國(guó)防部正在積極開(kāi)展這項(xiàng)工作。目前,,美國(guó)陸軍,、空軍、海軍,、DISA都有一些試點(diǎn)項(xiàng)目在進(jìn)行中,,這些項(xiàng)目側(cè)重于從外到內(nèi)(outside-in)的零信任,其重點(diǎn)是使用零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)方法,來(lái)升級(jí)身份管理和用戶憑證,。然而,,ZTNA并不顯示工作負(fù)載到工作負(fù)載的連接和數(shù)據(jù)流。這些工作只能說(shuō)明問(wèn)題的一半,。
在之前的《美國(guó)國(guó)防部零信任的支柱》和《美軍網(wǎng)絡(luò)安全 | 用零信任替代中間層安全,?》中,介紹過(guò)國(guó)防部的零信任建設(shè)思路,,的確主要是以身份管理和SDP為主的,。
02 國(guó)防部零信任的中高級(jí)階段
國(guó)防部零信任之旅并沒(méi)有就此結(jié)束。國(guó)防部(DoD)和國(guó)土安全部(DHS)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)的官員在2月說(shuō),,要針對(duì)SolarWinds攻擊中使用的復(fù)雜網(wǎng)絡(luò)攻擊建立真正有效的防御措施,,需要進(jìn)一步采用零信任安全。該事件也為美國(guó)國(guó)防部加速向零信任的中高級(jí)階段邁進(jìn),,提供了一個(gè)更具說(shuō)服力的理由,。
再者,美國(guó)國(guó)防部一直尋求,,在無(wú)需購(gòu)買(mǎi)新設(shè)備的條件下,,利用零信任來(lái)改善網(wǎng)絡(luò)安全,而基于主機(jī)的微分段,,通過(guò)允許代理來(lái)編程本地防火墻,,使得國(guó)防部的安全思路成為可能。
另外,,國(guó)防部的數(shù)字現(xiàn)代化戰(zhàn)略(DMS,,Digital Modernization Strategy)已將“將數(shù)據(jù)視為戰(zhàn)略資產(chǎn)”作為其主要目標(biāo)之一,國(guó)防部最近發(fā)布了一份單獨(dú)的《國(guó)防部數(shù)據(jù)戰(zhàn)略》,,將“數(shù)據(jù)治理”列為實(shí)施該戰(zhàn)略的第一步,。應(yīng)用層即第七層,是零信任的核心,,它涉及應(yīng)用程序和以數(shù)據(jù)為中心的安全性,。
把零信任的基本階段(身份/訪問(wèn)控制)想象成一個(gè)類似于保護(hù)一個(gè)房子的前門(mén),甚至可能是從一個(gè)房間通向另一個(gè)房間的內(nèi)門(mén),。你要確保每個(gè)進(jìn)入者都經(jīng)過(guò)驗(yàn)證和認(rèn)證,,即使他們想從家里進(jìn)入另一個(gè)房間。
但是前門(mén)并不是唯一的入口,。還有側(cè)門(mén),、后門(mén)、地下室的門(mén),、各種窗戶,,也需要保護(hù),。對(duì)于這些門(mén)窗,主要關(guān)注的應(yīng)該是數(shù)據(jù),。國(guó)防部IT人員需要確保他們能夠通過(guò)多云/多應(yīng)用程序可見(jiàn)性以及對(duì)進(jìn)出側(cè)門(mén)和后門(mén)的任何數(shù)據(jù)進(jìn)行命令和控制,,以了解所有門(mén)窗的活動(dòng)。如果沒(méi)有這些控制,,數(shù)據(jù)可能會(huì)泄漏,,從而暴露敏感信息。
上一任DISA局長(zhǎng),、美國(guó)海軍中將Nancy Norton曾說(shuō),“零信任將影響我們網(wǎng)絡(luò)領(lǐng)域的每一個(gè)領(lǐng)域,,允許我們通過(guò)關(guān)閉船上的每個(gè)隔間來(lái)更好地保護(hù)我們的數(shù)據(jù),。” 要做到這些,,顯然需要超越訪問(wèn)控制或只保護(hù)前門(mén),。
隨著國(guó)防部向零信任成熟度模型的中級(jí)和高級(jí)階段邁進(jìn),確保其成功的關(guān)鍵能力包括:對(duì)多云環(huán)境的完全可見(jiàn)性,;用于評(píng)估用戶行為的安全分析,;針對(duì)已批準(zhǔn)應(yīng)用程序、未經(jīng)批準(zhǔn)應(yīng)用程序,、和更重要的國(guó)防部編寫(xiě)的任務(wù)應(yīng)用程序的高級(jí)數(shù)據(jù)保護(hù)的動(dòng)態(tài)策略執(zhí)行,;在混合云環(huán)境中自動(dòng)化和編排的威脅檢測(cè)。
03 現(xiàn)實(shí)示例:用事實(shí)說(shuō)話
上面說(shuō)了一堆大道理和邏輯,,現(xiàn)在讓我們舉幾個(gè)現(xiàn)實(shí)中的例子,。
眾所周知,在疫情大流行期間,,云的使用率和威脅情況都急劇上升,。國(guó)防部在短短幾個(gè)月內(nèi)就向一百多萬(wàn)用戶部署了商用虛擬遠(yuǎn)程(CVR)云生產(chǎn)力工具,并在2020年迅速擴(kuò)大了他們的云使用量,。最近的一份報(bào)告發(fā)現(xiàn),,2020年前4個(gè)月里,來(lái)自非托管設(shè)備的云使用量翻了一番,,而針對(duì)云帳戶的外部攻擊則增加了6倍以上,。因此,通過(guò)保護(hù)前門(mén)以外的安全來(lái)保護(hù)數(shù)據(jù)尤其重要,,因?yàn)閲?guó)防部的許多人都在遠(yuǎn)程環(huán)境中工作,,從多個(gè)云環(huán)境和混合云環(huán)境訪問(wèn)數(shù)據(jù)和應(yīng)用程序。
假設(shè)某個(gè)軍種成員正在個(gè)人計(jì)算設(shè)備上工作,,而不是通過(guò)該部門(mén)的VPN,,并且希望通過(guò)云服務(wù)Microsoft Teams訪問(wèn)一個(gè)應(yīng)用程序,。雖然該部門(mén)有與Microsoft Teams的安全連接,但應(yīng)用程序插件可能由另一個(gè)云提供商托管,,它可能是安全的,,但也可能不安全。這種云到云的連接,,打開(kāi)了一個(gè)洞,、一扇側(cè)門(mén),需要被鎖上以防止敏感數(shù)據(jù)暴露,。訪問(wèn)控制無(wú)助于這種情況,;這是統(tǒng)一云策略數(shù)據(jù)保護(hù)的角色。
讓我們舉一個(gè)更具技術(shù)性的后門(mén)例子,。Open S3(簡(jiǎn)單存儲(chǔ)服務(wù))數(shù)據(jù)桶是最近數(shù)據(jù)泄露的罪魁禍?zhǔn)?,因?yàn)楫?dāng)配置錯(cuò)誤時(shí),可能導(dǎo)致數(shù)據(jù)泄漏,。一個(gè)開(kāi)放的數(shù)據(jù)桶,,就像是一個(gè)沒(méi)有安全保護(hù)的后門(mén)。S3桶可以設(shè)置為公開(kāi)或者私有,,可能出現(xiàn)錯(cuò)誤的設(shè)置,,尤其是當(dāng)技術(shù)人員過(guò)度工作和跨企業(yè)管理多個(gè)桶時(shí)。選擇錯(cuò)誤的設(shè)置,,將會(huì)意外地向公眾打開(kāi)這扇后門(mén),。同樣,訪問(wèn)控制和身份管理不能解決這個(gè)問(wèn)題,,但是中間階段的多云數(shù)據(jù)保護(hù)解決方案可以解決這個(gè)問(wèn)題,。
04 讓兩種方法并駕齊驅(qū)
實(shí)現(xiàn)國(guó)防部零信任網(wǎng)絡(luò)安全框架的目標(biāo),是一個(gè)多階段的過(guò)程,。計(jì)劃推出的DISA/NSA零信任參考架構(gòu)將有助于國(guó)防部更好地前進(jìn),。在實(shí)現(xiàn)了訪問(wèn)控制、身份管理,、從端點(diǎn)到云端的數(shù)據(jù)流加密等基本階段后,,國(guó)防部可能開(kāi)始向零信任的中高級(jí)階段邁進(jìn)。
初期行動(dòng)正在從身份管理或ZTNA的角度展開(kāi),;然而,,下一步需要更多地關(guān)注由內(nèi)到外的方法,即一種基于主機(jī)的微分段方法,,來(lái)實(shí)現(xiàn)零信任,。這樣做將有助于防止橫向移動(dòng)的蔓延,利用現(xiàn)有設(shè)備改善國(guó)防部機(jī)構(gòu)或司令部的網(wǎng)絡(luò)安全態(tài)勢(shì),,并提供前所未有的實(shí)時(shí)可見(jiàn)性地圖,。
總之,,要以零信任方式關(guān)閉國(guó)防部的所有網(wǎng)絡(luò)門(mén)窗。零信任硬幣的兩面可以同時(shí)進(jìn)行,,也應(yīng)該并駕齊驅(qū),。