传统的基于边界的网络保护将普通用户和特权用户、不安全连接和安全连接,以及外部和内部基础设施部分结合在一起,创建了一个可信区域的假象,很多潜在的安全问题无法解决,越来越多的企业开始转向零信任网络访问来解决这个问题。
随着云计算、虚拟化、物联网 (IoT)、BYOD概念以及远程办公的蓬勃发展,移动设备数量剧增,网络的边界正变得越来越模糊。不仅内部系统和设备必须受到保护,外部系统和设备也需要额外的防御层。因此,传统的以边界为中心的方法正逐渐被淘汰。
零信任概念
2010 年,Forrester Research 分析师 John Kindervag 引入了零信任 (ZT) 的概念,作为对传统网络边界保护方法的改进。它背后的基本思想是,在公司网络内外部都不设任何安全区域或可信用户。
以下是在企业生态系统中模拟该模型的假设:
- 企业内部网络不被视为受信任区域。
- 内部网络上的设备可以由企业人员以外的其他人安装和配置。
- 默认情况下,不允许信任任何用户和资源。
- 并非所有企业数字资产都位于企业内部网络上。
- 所有的连接都可以被拦截和修改。
- 必须监控所有设备和资产的安全状态,并验证是否符合既定策略。
需要注意的是,零信任本身只是一个概念,是一组用于构建企业基础设施安全和控制访问权限的模糊要求,其可以以不同的方式实施。2018 年,Forrester的另一位专家 Chase Cunningham 提出了零信任扩展 (Zero Trust eXtended, ZTX) 方法,可以从技术、结构和组织变化方面评估零信任实施的效率。
在这一点上,零信任网络访问(ZTNA)是几乎所有市场参与者都认可的模式。ZTNA旨在将零信任的思想应用于实践。部署 ZTNA 后,边界保护工具的范围将超越传统技术和身份验证机制,例如代理、网络访问控制 (NAC) 和防火墙。此外,工作站和节点是否符合已建立的安全策略将受到持续监控。出色的可扩展性是 ZTNA 模型有别于传统模型的主要特征之一。
零信任网络访问
如前所述,零信任网络访问的目的是实现零信任原则。
也就是说,它是一种模型,用于在网络边界内外提供对最小资源范围内的最可控访问,以便用户可以完成其日常任务。
基于 ZTNA 的基础设施的基本原理如下:
- 受保护的区域分割。不要试图一次覆盖整个边界,而是将其划分为微边界(应用程序、设备、系统、网络等),针对每个微边界建立不同的安全策略、保护和控制。
- 强制加密。所有通信和网络流量都必须加密,防止恶意干扰。
- 访问控制。所有用户、系统、应用、设备和进程每次连接到任何受保护资源时都必须进行扫描。
- 各级最低特权原则。仅授予最低权限,即使对用户或系统有危害也不会导致对整个基础设施的未授权访问。
- 完全控制。持续收集和分析所有基础设施组件的事件、行为和状态,确保对安全事件的前期响应。
ZTNA 架构和组件
策略引擎 (PE) 和策略管理员 (PA) 是 ZTNA 模型的基本逻辑元素。前者在用户、设备、系统和应用四个层面管理访问策略,后者应用分配的策略,控制对资源的访问,并监控访问对象和主体的状态。
两者形成策略决策点 (PDP)——检查用户或设备以确定他们是否可以进行下一步,策略执行点 (PEP)——负责根据PA的命令连接和断开企业资源。这些组件构成了系统基础。用户和企业服务之间的良性屏障还包括下一代防火墙 (NGFW) 和云访问安全代理 (CASB)。
ZTNA部署
部署 ZTNA 模型有两种常用方法。它们的不同之处在于访问公司资源的设备上是否安装了其他软件(代理),由代理软件负责身份验证、建立连接、加密、状态监控等。
在有代理的情况下,用户或设备使用预先安装的代理启动连接。这种技术与软件定义边界 (SDP) 模型有很多共同之处,SDP旨在通过身份验证、基于身份的访问和动态生成的连接选项来控制访问。
这种 ZTNA 架构的主要优势包括对设备的完全控制以及禁止连接未经验证的设备。但从另一个角度来看,这对企业来说也是不利的,因为它施加了额外的限制。代理必须兼容不同的操作系统和平台版本,或者企业必须在设备上安装支持的操作系统版本并及时进行安全更新。
另一种方法是提供基于 ZTNA 的解决方案作为云服务。在这种情况下,围绕云基础设施或数据中心中的企业资源创建了一个逻辑访问边界,以便它们对外部用户隐藏。管理员工访问、控制网络流量和扫描连接的系统都是通过中介完成的,例如 CASB。
ZTNA架构作为云服务的优势如下:
- 快速、简单的部署。
- 成本相对较低。
- 集中管理。
- 良好的可扩展性。
- 无需安装额外的软件——因此,这消除了对连接设备的限制,并且在组织 BYOD 原则或远程办公时更方便。
主要缺点是缺乏对访问点的实时控制,这降低了安全级别。此外,缺少预装代理可能会增加DoS攻击的几率。
ZTNA实践
将零信任原则完全集成到企业基础设施中需要从头开始重建。这包括改变内部网络架构、设备、安全策略,甚至可能改变员工处理公司数字资产的方式。对于大多数大型组织而言,这样是行不通的,过程非常耗时且成本高昂。
另一种选择是基于当前资源和功能升级现有的基础设施。这似乎更合理,也更可行。为了在这种情况下成功地实施ZTNA原则,必须首先对企业的信息安全战略进行微调,使其符合零信任的概念。
然后对 IT 基础设施组件进行分析,看看哪些已经在使用的设备和技术可以成为 ZTNA 的基石,哪些需要更换。
首先需要落实以下机制:
- 识别所有用户和设备。
- 根据连接设备的状态、所采用的安全策略的合规性以及漏洞扫描的结果,对连接设备进行访问控制。
- 企业网络的分段,包括数据中心。
- 基于 BYOD 原则的访问控制。
- 与企业网络托管服务和基础设施交互的每个系统、设备和用户的身份验证和授权。
- 数据访问控制。
- 网络流量监控。
接着公司就可以开始实施 ZTNA 模型,通过将其与保护企业边界的传统方法相结合来保护云资源和远程连接。
全球 ZTNA 市场现状
尽管零信任的概念早在十多年前就出现了,但疫情带来的远程办公需求激增才是促使ZTNA发展的主要驱动力。
据 Gartner 称,到 2023 年,预计 60% 的公司将放弃使用虚拟专用网访问企业资源,转而使用零信任网络访问解决方案。Pulse Secure 在其 2020 年零信任访问报告中表示,大约 72% 的组织计划利用零信任来降低信息安全风险。
ZTNA也是SASE的关键组件,SASE是Gartner 在 2019 年提出的云安全综合方法。除了ZTNA,还包括软件定义广域网 (SD-WAN)、安全 Web 网关(SWG)、云访问安全代理 (CASB) 和防火墙即服务 (FWaaS) 。
零信任网络访问的概念是传统企业安全方法适应当今环境而产生的。尽管零信任概念越来越受欢迎,但对于某些企业而言,传统的信息安全方法仍然适用,因为云技术和远程访问对他们来说都是不可接受的。例如,这军事结构、政府以及处理机密信息的公司。
原文:Zooming Into Zero Trust Network Access (ZTNA) Philosophy
