零信任(或零信任网络、零信任模型等)这个概念最早是由John Kindervag于2010年提出的,他当时是Forrester的分析师。John Kindervag非常敏锐地发现传统的基于边界的网络安全架构存在缺陷,通常被认为“可信”的内部网络充满威胁,“信任”被过度滥用,并指出“信任是安全的致命弱点”。因此,他创造出了零信任(Zero Trust)这个概念。“从来不信任,始终在校验”(Never Trust,Always Verify)是零信任的核心思想。
传统的网络安全架构基于网络边界防护。企业构建网络安全体系时,首先把网络划分为外网、内网和DMZ区等不同的安全区域,然后在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护,构筑企业业务的数字护城河。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的信任,从而忽视内网安全措施的加强。
美国Verizon公司的《2017年数据泄露调查报告》指出,造成企业数据泄露的原因主要有两类:一是外部攻击,二是内部威胁。随着网络攻防技术的发展,新型的网络攻击手段层出不穷,攻击者面对层层设防的网络边界,往往会放弃代价高昂的强攻手段,转而针对企业内部网络中的计算机,采用钓鱼邮件、水坑攻击等方法渗透到企业网络内部,轻松绕过网络边界安全防护措施。由于人们往往认为内网是可信任的,因此攻击者一旦突破企业的网络安全边界进入内网,就会如入无人之境。此外,企业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权限,一旦出现凭证丢失、权限滥用或恶意非授权访问等问题,同样会导致企业的数据泄露。
基于这样的认知,零信任针对传统边界安全架构思想重新进行了评估和审视,并对安全架构思路给出了新的建议:默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用,而是应该基于认证和授权重构访问控制的信任基础,并且这种授权和信任不是静态的,它需要基于对访问主体的风险度量进行动态调整。
客观地说,John Kindervag提出零信任架构的开始几年,这一理念并没有获得网络安全行业的普遍关注,只是在一些社区有着小范围的讨论和实践,《零信任网络 在不可信网络中构建安全系统》的作者Evan Gilman和Doug Barth就是早期实践者之一。然而,2015年前后,情况发生了明显的变化。层出不穷的高级威胁和内部风险,以及监管机构对企业网络安全的监督力度逐渐加强,使得零信任架构变革的外部驱动力越来越强。随着企业数字化转型的逐渐深入,以云计算、微服务、大数据、移动计算为代表的新一代信息化建设浪潮愈演愈烈,IT基础设施的技术架构发生了剧烈的变革,导致传统的内外网络边界变得模糊,很难找到物理上的网络安全边界,企业自然无法基于传统的边界安全架构理念构筑安全基础设施。安全架构如果不能随需应变,自然会成为木桶最短的那块木板,零信任架构变革的内生驱动力也在持续加强。
2017年,Google对外宣布其基于零信任架构实践的新一代企业网络安全架构——BeyondCorp项目成功完成,为零信任在大型、新型企业网络的实践提供了参考架构。这一最佳实践成为零信任理念的助推剂,各大安全厂商、分析机构和大型企业快速跟进,对零信任的推广和宣传也持续升温,在RSAC 2019展会上达到高潮,零信任俨然成为网络安全界的新宠。
当然,任何一种新生事物都难免受到人们的质疑,零信任架构也不例外。在过去一年多时间推广和实践零信任的过程中,我们遇到最多的质疑是,零信任听起来并没有什么新技术,是不是“新瓶装旧酒”?的确,零信任是一种全新的安全架构,但其核心组件基于身份与访问管理技术、终端设备环境风险评估技术、基于属性的访问控制模型、基于机器学习的身份分析技术等构建,听上去并没有太多激动人心的新技术。并且,零信任的最佳实践反倒是推荐使用现有的成熟技术,根据具体的应用场景,按照全新的逻辑进行组合,就能起到完全不同的安全效果。
我们认为零信任的创新和价值恰恰不在于具体的组件技术本身,而在于架构理念和安全逻辑层面。零信任架构与传统的边界安全架构、传统的安全防护理念最大的不同之处在于以下几点。第一,在网络安全边界瓦解、攻击面难以穷尽的情形下,与传统的安全理念不同,零信任架构引导人们更加关注“保护面”而不是“攻击面”。首先识别需要重点保护的资源对象,然后穷举分析该资源对象的访问路径,最后采用恰当的技术手段做好每条路径的访问控制措施。第二,零信任架构认为网络是不可信任的,因此不再寄希望于在传统的网络层面增强防护措施,而是把防护措施建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面;采用智能身份分析技术,提升了内外部攻击和身份欺诈的发现和响应能力。第三,零信任架构在实践机制上拥抱灰度哲学,以安全与易用平衡的持续认证改进固化的一次性强认证,以基于风险和信任持续度量的动态授权替代简单的二值判定静态授权,以开放智能的身份治理优化封闭僵化的身份管理。因此,灰度哲学是零信任安全的内生逻辑,也是零信任安全实践的指导原则。
今天我们有幸邀请到了《零信任网络:在不可信网络中构建安全系统》译者奇安信身份安全实验室,来看看他们的所思所想:
异步社区:可以简单介绍一下咱们翻译团队吗?为什么想要翻译这本书?
奇安信身份安全实验室:
我们是奇安信身份安全实验室,是专注“零信任身份安全架构”研究的专业实验室。作为奇安信集团下属的创新业务实验室之一,实验室以“零信任安全,新身份边界”为技术思想,对零信任保持着持续关注,并积极地在国内进行零信任理念推广和落地实践,也推出了相关产品与解决方案。
但在此过程中,我们发现国内的安全界同仁对零信任的概念比较陌生,理解不够深入,为了加快国内对零信任这种先进的安全架构的采用,我们决定对《零信任网络:在不可信网络中构建安全系统》这本书进行翻译。
异步社区:最想将《零信任网络:在不可信网络中构建安全系统》这本书推荐给谁看?
奇安信身份安全实验室:
网络工程师、安全工程师、软件工程师、CTO、CISO等,每个人都可以从零信任模型的学习中受益。即便没有相关的专业背景知识,也可以很容易地理解本书描述的许多原则。
本书也能够帮助领导者理解零信任模型的基本概念,在零信任模型的实践中做出正确的决策,从而逐步改善组织的整体安全状况。
异步社区:零信任网络作为这两年安全领域的热门话题,可以简单介绍一下零信任的发展历史吗?
奇安信身份安全实验室:
零信任的早期雏形在2004年的耶利哥论坛就有所体现了,随后在2010年Forrester的分析师约翰·金德维格正式提出零信任的概念,金德维格先生基于对网络安全的深入洞察,提出默认不应该信任任何网络流量,而是需要基于强认证和细粒度授权来重建信任。
但在零信任概念推出的前几年,业界并未对其广泛关注,2017年是个分水岭,因为2017年,Google基于零信任的全新安全实践BeyondCorp项目取得成功,验证了零信任在大型网络场景下的可行性,业界受到Google BeyondCorp项目的鼓舞,开始大力跟进和开展零信任实践。
这两年,Forrester也对零信任的理念做了进一步的扩展,提出了零信任扩展ZTX的概念,将零信任从保护范围和安全能力两个维度进行了扩展。
异步社区:作为译者,请对《零信任网络:在不可信网络中构建安全系统》这本书的内容进行简单介绍。
奇安信身份安全实验室:
《零信任网络:在不可信网络中构建安全系统》是业界截至目前唯一的一本体系化讲解零信任的书籍。对零信任的背景、核心概念、关键技术要点都做了深入的讲解,特别是对零信任架构的两个核心术语网络代理和信任引擎做了大篇幅的介绍,全书还围绕用户、设备、应用、网络四个维度深入讲解了信任的建立方法。作者基于自己的零信任实践和对一些业界厂商的调研写作了此书,内容由浅入深,干货多多,我们在翻译此书的过程中,其实也是对零信任深入学习的过程,受益匪浅。
异步社区:根据你们的理解,零信任这种安全架构的核心能力应该包括哪些方面?
奇安信身份安全实验室:
结合业界的零信任模型和奇安信在国内大型部委、央企的零信任实践,我们认为零信任的核心能力包括以身份为基石、业务安全访问、持续信任评估和动态访问控制四个方面的核心能力。
以身份为基石:需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。
业务安全访问:零信任架构关注业务保护面的构建,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权。
持续信任评估:通过信任评估引擎,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。
动态访问控制:动态访问控制是零信任架构的安全闭环能力的重要体现。设置灵活的访问控制基线,基于信任等级实现分级的业务访问,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。
异步社区:最近的北京网络安全大会的主题是“聚合应变,内生安全”,你们认为零信任安全是否是一种内生安全?
奇安信身份安全实验室:
零信任架构是安全思维和安全架构进化的必然,聚焦身份、业务、信任和动态访问控制等维度的安全能力,而这些能力和客户的业务密不可分,所以零信任天生就应该是一种内生安全。
基于业务场景的人、流程、访问、环境等多维的因素,对信任进行评估,并通过信任等级对权限进行动态调整,这是一种动态自适应的安全闭环体系。
零信任的落地需要结合现状和需求,将零信任的核心能力和组件内嵌入业务体系,构建自适应内生安全机制,建议在业务建设之初进行同步规划,进行安全和业务的深入聚合。
异步社区:授“计算机”以鱼不如授“计算机”以渔。你们如何看?
奇安信身份安全实验室:
这个问题很有意思,我们还是围绕零信任来回答吧。在安全这个语境下,如果说传统的安全思维或静态的、边界化的安全产品和方案是安全的“鱼”,那么零信任无疑是安全的“渔”。作为一种内生安全,零信任具备自适应的能力,和客户的业务场景结合,零信任能对访问者的信任程度进行动态度量并实时调整访问策略,对未知威胁的缓解具有很强的自适应性。
零信任提供的自适应的身份安全、业务安全、信任评估、动态访问控制等能力是开放的、平台化的,一个组织可以将业务逐步迁移到零信任,迁入的业务都将具备这种自适应的安全能力,这样零信任就变成了组织业务流程的内生能力,持续为组织的安全赋能。
异步社区:你们觉得零信任的创新和价值在于什么?创新更多是需要领域内的一定的学术或设计经验积累,还是更需要像阿基米德那样的“灵光闪现”?或者说,创新者大多来自于务实派,还是空想派?
奇安信身份安全实验室:
零信任的创新之处在于对安全范式的颠覆,驱动安全范式从以网络为基础转变到以身份为基础,实现以身份为基石的动态访问控制体系,其安全价值在于助力企业实现全面身份化、风险度量化、授权动态化、管理自动化的新一代网络安全架构,帮助企业更快速更安全的采用新型IT技术,支撑企业数字化转型。
“灵光闪现”是需要大量理论、实践经验来支撑的,如果没有深厚的物理学知识支撑,把阿基米德老先生丢进浴缸100次估计也悟不出浮力原理,创新需要通过脚踏实地的务实派来完成。零信任理念的出现同样不是空想出来时,而是基于对安全架构的深入理解和对安全发展趋势的深度洞察才发展出来的。同样,零信任的落地实践也不能想当然,纸上得来终觉浅,需要结合客户场景,结合安全现状推出适合国内实际情况的零信任产品和解决方案。
异步社区:如何平衡工作和翻译工作?有什么提高效率的方法或诀窍推荐吗?
奇安信身份安全实验室:
老实说,翻译所需的工作量和难度是超出预期的,翻译团队的伙伴们本着对零信任的高度热情,在工作之余投入了巨大的精力去进行翻译和校对,在翻译过程中,在搭高铁、坐飞机的碎片时间,都被充分利用起来了,聚沙成塔,最终顺利完成本书翻译。
为了确保翻译质量,对每一章节基本上都经历了逐段翻译、脱稿校对、逐字检查的过程,确保最终成书的信达雅,当然,毕竟经验有限,难免有疏漏之处,还请大家多包涵并给我们反馈。
异步社区:作为《零信任网络:在不可信网络中构建安全系统》一书的译者,你们对阅读本书的建议是什么?
奇安信身份安全实验室:
零信任毕竟是一个全新的安全理念,本身在持续的发展和完善中,因此,原作者对零信任的理解也难免有不全面的地方。
大家学习本书的过程中,建议结合其他零信任相关资料进行对比,比如,Google关于BeyondCorp项目一共发表了六篇论文,详细讲解了BeyondCorp项目的理念、架构和迁移方法等,可以作为《零信任网络:在不可信网络中构建安全系统》一书的配套资料一起学习。
这六篇论文,奇安信身份安全实验室也做了翻译,大家可以从网络上免费获取。
零信任网络:在不可信网络中构建安全系统
作者:【美】埃文·吉尔曼(Evan Gilman),道格·巴斯(Doug Barth)
译者:奇安信身份安全实验室
推荐理由:
- 理解零信任模型是如何把安全内嵌入掌握零信任网络中主要组件的基本概念,包括网络代理和信任引擎;
- 使用现有的技术在网络参与者之间建立信任;
- 理解零信任模型是如何把安全内嵌入系统的运营管理,而不是建立在系统之上;
- 学习如何把基于边界安全模型的网络迁移到零信任网络 。
保护网络的边界安全防御措施并不如人们想象中那么牢不可破。防火墙保护之下的网络主机自身的安全防护非常弱,一旦“可信”网络中的某个主机被攻陷,那么攻击者很快就能以此为跳板,侵入数据中心。为解决传统边界安全模型固有的缺陷,本书为读者介绍了零信任模型,该模型认为整个网络无论内外都是不安全的,“可信”内网中的主机面临着与互联网上的主机相同的安全威胁。
- END -