我最近参加了一个安全会议,有许多演讲者涵盖了各种各样的主题——其中一个主题, “零信任架构”(ZTA), 是某个供应商写的吗, 于是我决定静坐倾听. 几分钟后, 两个事实变得非常明显——演讲者, 谁将保持无名, 1)没有真正理解什么是零信任架构,以及实现零信任意味着什么, 2)这是一场伪装成教育研讨会的推销活动.
不幸的是, 关于这个和其他主题的演讲通常使用大量的流行语,这些流行语实际上并没有贡献价值或促进理解. 当前面提到的会议结束时,会议过渡到Q&在听到一些问题后,我对我们的网络安全爱好者失去了更多的希望. 以下是其中的一些:
从治疗中走出来,恢复意识之后, 我决定从我的一天中抽出一点时间来让人们了解零信任架构,并揭开它的神秘面纱. 首先,ZTA不是一项新技术. 如下图所示 帕洛阿尔托的网络百科文章在美国,实现零信任通常被认为是代价高昂且复杂的. 然而, 零信任是建立在您现有的体系结构之上的,不需要您剥离和替换现有的技术. 没有零信任产品. 有些产品在零信任环境下运行良好,有些则不然.
零信任是一组不断发展的网络安全范例的术语,这些范例将网络防御从广泛的网络边界转移到狭隘地关注单个或小组资源. 在ZTA策略中,没有基于系统的物理或网络位置(例如.e.,局域网vs. 互联网). 通俗地说,零信任的基本原则是:
- 假设网络始终是敌对的
- 外部和内部的威胁总是存在的
- 内部网络不足以获得同等信任
- 每个设备、用户和网络流都必须经过验证
- 你必须记录和检查所有的流量
这些安全原则与大多数组织当前实现的安全原则形成鲜明对比, 哪种是基于边界的安全, 它采用以下基本安全原则:
- 内部 访问 受信任的
- 外部 访问 不可信的
基于周界的安全防范的主要缺点是:
- 内部访问并不总是友好的
- 现代的攻击是由内而外,而不是由外而内
- 可信系统会引入攻击者
- 内部访问管理较为松散
大多数组织会更进一步,实现逻辑分段, 例如,在它们自己的子网中分离不同的组织组件, 实现非军事区(DMZ), Web应用程序防火墙(WAF)等. 然而, 这种方法开始显示出它的年龄,因为基于边界的安全的基础主要遵循“信任和验证”,,这与ZTA的“验证”模式转变有着根本的不同, 然后 信任.”
另一个与ZTA搭配良好的基本概念是信任随时间推移(TOT)。, 这本质上归结为系统和资产的风险随着时间的推移而增加,需要更新的概念, 由于偏离基线. 随着时间的推移减少操作风险, 诸如轮换凭证和替换证书之类的活动将限制折衷和重用.
ZTA本质上是要求我们对所有的流量进行端到端的认证和加密. 任何地方,任何地方. 为了正确实现ZTA,加密不能简单地基于周界. 设备或应用程序都需要加密. 应该将端点配置为丢弃任何未加密的内容. 这是一个相当高的要求,并且有可能中断或完全破坏一个操作流程或技术机制,具体取决于实现和环境. SANS研究所的Justin Henderson在他的SEC 530网络广播研讨会上做了很好的工作,进一步详细介绍了利用当前技术栈实现ZTA的更多示例.
总之,实现零信任不需要采用任何新技术. 这只是一种“永不信任”的网络安全新方法, 总是验证,或者消除任何信任, 这与更常见的基于边界的安全方法相反,该方法假定用户身份没有受到损害, 所有的人类行为者都是负责任的,是可以信任的. 信任我们网络内部的任何东西的概念从根本上是有缺陷的,新闻中所有的数据泄露都证明了这一点, 大多数入侵都是由于滥用特权凭证造成的.
