最近关于零信任网络的讨论很多,但对于它们实际是什么却鲜有共识。与 DevOps 或软件定义网络类似,零信任对每个人来说意味着略有不同的东西正变得清晰起来。 也就是说,我们可以达成共识的一件事是:网络不可信任。
从本质上讲,零信任是一种安全模型。任何以完全消除对底层网络信任的方式运行的系统都被认为符合该模型。正如您可能想象的那样,有很多方法可以实现这个目标,其中一些方法比其他方法更稳健。 然而,所有零信任实现都依赖于广泛的身份验证和授权过程,这些过程可以自由地散布在整个基础设施中。
零信任领域可用的商业选项很少,即使这样,这些选项也远非全面。 大多数都面临供应商锁定挑战,并且没有一个提供完整的端到端实现,这将需要诸如安全引入和工作负载真实性等复杂性。 尽管如此,构建零信任网络是大多数组织都具备的能力,这样做将有助于确保它们能够很好地应对未来几年无疑会发生的架构变革。
构建零信任
最初由 John Kindervag 构思的零信任模型,旨在解决现代计算机网络安全中的大多数挑战。 特别是横向移动,在零信任下几乎被消除,大多数网络钓鱼攻击和其他常见的成功向量也是如此。 尽管现成的商业解决方案很难找到,但通过使用从零信任模型中吸取的教训,在逐步提高安全态势方面仍有一些唾手可得的成果。
1. 停止部署未经身份验证的服务。
改造安全性很困难。 确保它在未来得到应用要容易得多。 通过划清界限并确保所有未来的部署都符合要求,可以以一种有影响力的方式避免技术债务的积累。
由于零信任网络上的所有流量都必须经过身份验证和授权(无论是在数据中心的服务器之间还是在客户端和企业资源之间),因此向前迈出的简单一步是禁止部署不利用强身份验证的新服务。 与其仅仅检查请求的源地址,不如要求强身份验证,这在很大程度上缓解了横向移动以及与 WAN 通信相关的危险。 这在跨云/混合云部署中尤为重要。
2. 开始收集设备数据。
零信任网络的基石是知道期望什么。 网络应在白名单模式下运行,其中每个流都由其策略启用和授权,否则它将无法工作。 当然,这是一个不小的挑战。 解决它的关键是确切了解您已插入网络的内容以及该事物的作用。
我们将此真理来源称为设备清单。 设备清单是网络中所有物理资产(无论是服务器还是最终用户设备)的数据库,其中包含有关其用途或意图的信息。 例如,服务器可以用其在数据中心内的角色进行注释,客户端设备可以用分配给它的用户或部门进行注释。 收集后,此数据用于获得对特定资源的访问请求是否已授权的信心。
[ 接下来阅读:什么是零信任? ]
3. 开始配置基于主机的防火墙。
零信任网络通常是从内向外构建的。 与其从防火墙开始,然后在防火墙后面构建数据,不如从围绕数据或资源本身构建安全控制开始。 虽然基于主机的防火墙本身并不符合零信任模型(它们通常依赖于网络传递的数据来授权请求),但它们为改变您对网络安全思考方式提供了一个良好的起点。
这并不是说您应该在基于主机的防火墙上打孔,直到应用程序工作为止。 相反,应努力了解每个应用程序的确切要求,并将其编入本地防火墙。 当然,这很快就会变得乏味,因此需要利用某种自动化或流程(即使它像“这是 X 类型主机的防火墙策略”一样简单)。 完成此操作后,您可能会发现构建真正的零信任网络所需的数据源触手可及。
4. 开始提出更多问题。
开始构建零信任网络的最简单方法也许就是开始提出更多问题。 零信任网络完全是关于思维方式的转变——曾经信任的东西不再被信任。 因此,改变组织思考和处理系统设计的方式不仅将加强其安全态势,而且还将在最大限度地减少不可避免的向零信任转变时造成的 disruption 方面大有帮助。
要问的好问题是:如果攻击者插入其交换机或 VLAN,此服务或主机是否容易受到攻击? 如果是这样,为什么? 另一个好问题可能是:如果此主机被入侵,攻击者将获得什么访问权限?
最重要的是,问题的设计应旨在更好地了解新服务或资源的通信要求和暴露情况。 通过提出正确的问题,除了在此过程中提高您的整体安全态势外,您还将开始将组织思维转变为零信任模型所体现的原则。 构建和参考结构化威胁模型也很有帮助。 这样做将确保所提出的问题具有适当的目标和范围。
结论
使用当今的技术绝对可以构建零信任网络,但这并非没有巨大的代价,无论是商业软件、工程时间还是两者兼而有之。 随着越来越多的选项在这个快速增长的领域中可用,不可避免地会达到一个临界点。 在这个领域成为落后者是不可取的。 尽早理解零信任概念——并确保在部署新技术时考虑到这些概念——对于任何组织为即将到来的安全转型做好准备都至关重要。 如果没有充分的准备,与采用零信任相关的成本可能会变得无法克服。 考虑到这一点,永远不要忘记古老的安全格言:跑得更快,坚持更久。
评论已关闭。