一、什麼是零信任
零信任是一種安全策略。要求所有用户在訪問有權限要求的企業IT系統或應用前,都必須經過身份驗證、授權並持續驗證。
之所以稱之“零信任”,是因為它基於“永不信任、始終驗證”的原則。任何用户或設備在其身份和授權得到驗證之前都不被信任,不能訪問資源。這個概念在2010年,由Forrester Research 分析師 John Kindervag首次提出。
零信任不但適用於企業內部網絡,例如:使用在家遠程登錄企業內網工作的員工,參加全球會議時使用移動設備的員工。也適用於該網絡之外的個人或終端設備。無論您之前是否訪問過網絡,訪問過多少次,您的身份都是不可信的,必須再次驗證。
二、為什麼需要零信任
傳統的IT安全策略,採用的是“先驗證,後信任”的模式,注重保護網絡邊界。比如公司內網,並假定邊界內所有東西都是可以信任的。如果攻擊者一旦獲得了網絡的訪問權限,就意味着大門敞開,攻擊者可以毫無阻攔的獲取企業內部數據和信息。
零信任的主要好處在於提高安全性。具體來説:
減少攻擊面和風險:只有授權用户才能訪問公司特定的資源,零信任會隔離流量並創建微分段,細顆粒度的訪問控制能將風險控制在一定範圍,從而在攻擊發生時將損害降至最低。
防範網絡攻擊:零信任通過要求多個身份驗證因素來減少用户憑據盜竊和網絡釣魚攻擊的影響。它有助於消除繞過傳統邊界型保護措施的威脅。
提高可見性:零信任持續地對設備、網絡和應用程序進行監控。可以及時識別和解決異常行為。還可以利用人工智能技術動態地檢測惡意軟件和實施防禦措施。
合規性:實時零信任模型後,您不僅可以提供明確的審核跟蹤記錄,還可以更輕鬆地證明您已經採取了一切可能的措施來滿足數據隱私權要求和標準。
隨着企業數字化技術的不斷進步,多雲、混合雲的使用,使企業傳統的IT邊界變得模糊或者變得“無邊界”,只有零信任模型才能重建企業IT安全防禦體系。
三、零信任的防護範圍
零信任可以保護整個IT生態,包括:
網絡應用:如OA、CRM、ERP系統等;
數據:如客户資料、產品資料、交易信息等;
終端設備:設備的權限、連接行為、固件版本、協議、操作系統、版本升級等;
用户身份&API:如登錄、支付、數據請求;
基礎設施:路由器、交換機、防火牆、網關、
服務器等網絡:內網、互聯網、VPN、物聯網等
四、零信任的工作原理
零信任的核心概念是,假設互連繫統中的任何人或任何東西(甚至是底層組件)受信任會帶來巨大的安全風險。信任需要通過動態、場景化的安全政策和各種技術機制來建立並持續驗證。
這種方法使用精細的規則控制來利用微分段,將網絡劃分為更小的分段和隔離的工作負載。規則是基於場景的,依據的是身份、位置、設備、正在訪問的內容和應用等信息。規則也是動態的,系統會定期重新評估政策,並根據場景的變化做出調整。
默認情況下,數據和資源都需要權限訪問。連接只有在通過身份驗證並獲得授權後,才會被授予嚴格控制的訪問權限。此過程會應用於任何用户或已連接端點,並且系統會不斷驗證身份。此外,系統會密切記錄、監控和分析所有網絡流量,以判斷是否有任何入侵跡象。
五、零信任框架
零信任框架通常包含三個部分:零信任網絡訪問 (ZTNA)、零信任安全網關 (SWG) 和微分段。
零信任網絡訪問 (ZTNA):是一種安全訪問控制技術,允許用户從任何位置安全地訪問企業內部資源,並且只有最小權限。適合遠程辦公、移動辦公、合作伙伴訪問等場景;
零信任安全網關 (SWG):主要功能是監控和管理用户的web訪問,防止惡意軟件入侵和數據泄露。SWG能夠監控和控制非瀏覽器應用程序;靈活地配置端口和協議;檢查和分析通過網絡傳輸的數據包內容。
微分段:微分段是一種將安全邊界劃分為小區域的做法,以分別維護對網絡各個部分的訪問。例如,將文件存放在利用微分段的單個數據中心的網絡可能包含數十個單獨的安全區域。未經單獨授權,有權訪問其中一個區域的個人或程序將無法訪問任何其他區域。
六、零信任的原則
零信任有三個原則:
1、始終假設所有網絡流量都是威脅。零信任認為每個用户都有惡意,並且在網絡內外,威脅無處不在。因此,系統會自動拒絕所有沒有明確權限的流量進行訪問。在請求訪問權限時,系統會持續對每個設備、用户和網絡流進行身份驗證、授權和批准。
2、強制執行最小訪問權限。零信任安全方法授予最小訪問權限,即在需要時授予必要資源的最低訪問權限,而不影響完成任務的能力。最小訪問權限有助於在賬號或設備遭破解時阻止攻擊者橫向移動至更重要的資源。
3、實時監控。零信任模型主張持續實時監控,並始終分析和管理網絡上的活動。這樣,您就可以實時瞭解哪些實體正在嘗試訪問資源,並能夠識別潛在的威脅、活躍突發事件以及需要調查的異常情況。
七、零信任的實施
零信任實施需要的關鍵步驟:
識別所有的網絡設備:獲得本地、雲環境和物聯網設備的可見性,可見性對於驗證用户和機器至關重要;
監控網絡流量:對所有應用和數據資產之間的網絡流量進行監控;
對網絡進行分區:將網絡分成更小的塊有助於確保在漏洞傳播之前及早進行遏制。微分段是實現此目的的有效方法;
驗證身份並授予雲訪問權限:為組織中的每個人應用最低權限原則,從高管到 IT 團隊,每個人都只應擁有他們所需的最少訪問權限。如果最終用户帳户遭到入侵,這可以最大限度地減少損失;
保持設備更新:需要儘快修補所有易受攻擊設備的漏洞;
忽略網絡邊界:除非網絡是完全硬件隔離的,否則IT涉及的所有互聯網或雲的連接都必須納入控制;
使用安全密鑰來實現 MFA :基於硬件的安全令牌顯然比通過短信或電子郵件發送的一次性密碼 (OTP) 等軟令牌更安全;
合併威脅情報:由於攻擊者不斷更新和改進他們的策略,訂閲最新的威脅情報數據源對於在威脅傳播之前識別威脅至關重要;
緩解最終用户的牴觸情緒:強制用户每小時進行一次多重身份因素驗證,可能會因過於頻繁使最終用户逃避使用;
減少安全冗餘措施:如儘量減少 VPN 和防火牆的使用,避免多重安全措施交叉;
八、零信任落地--德迅零域(微隔離)
德迅零域·微隔離安全平台可部署在混合數據中心架構中,實現跨平台的統一安全管理,通過自主學習分析、可視化展示業務訪問關係,實現細粒度、自適應的安全策略管理。產品在真實威脅中,可快速隔離失陷主機網絡,阻斷橫向滲透行為,讓零信任理念真正落地。
(一)、安全挑戰
在雲計算、虛擬技術的廣泛應用之下,現代企業內部網絡龐大且複雜,想要實施東西向控制會遇到許多挑戰,只有解決好這些痛點問題,才能使它成為解決安全問題的一把利刃。
~系統環境複雜多樣
~業務難梳理
~策略難運維
~正常業務受阻
(二)、平台概述
德迅零域·微隔離安全平台可部署在混合數據中心架構中,實現跨平台的統一安全管理,通過自主學習分析、可視化展示業務訪問關係,實現細粒度、自適應的安全策略管理。產品在真實威脅中,可快速隔離失陷主機網絡,阻斷橫向滲透行為,讓零信任理念真正落地。
德迅零域由Agent、計算引擎和控制枱組成,支持公有云、私有云、混合雲、物理機、虛擬機、容器等各種業務環境,異構環境對用户完全透明。
Agent:實時採集業務網絡連接和資產信息,接收服務端指令,管控主機防火牆。
計算引擎:聚合、統計網絡連接,進行可視化呈現,根據業務流量生成網絡策略,並分析策略的覆蓋。
控制枱:控制枱可清晰展示網絡連接和策略配置情況,用户通過控制枱集中管理網絡策略並進行隔離操作。
(三)、平台功能
數據庫審計:流量看得清——業務拓撲圖可視化展示訪問關係
自動學習業務訪問關係,並以多種拓撲圖清晰展示,結合資產信息,為策略制定提供基礎。
~拓撲圖上交互式設置,自動生成策略,提高效率。
~發現主機上無用的端口,減少風險暴露面。
~豐富的查詢方式和圖例,直觀評估策略配置情況。
策略好管理:多種策略形式實現自動化運維
依據不同管理場景,配置不同粒度的控制策略,並隨業務或環境變化自適應調整策略,實現自動化運維。
~提供業務組、標籤、端口、IP等不同粒度的策略管理。
~用標籤定義策略,形式精簡,降低運維成本。
~策略表達明白易讀,避免基於IP的安全策略。
策略易驗證:監控異常訪問並自動驗證策略
在不真實攔截流量的情況下,持續監控學習業務訪問關係,自動驗證策略準確性和覆蓋度。
~自動驗證策略正確性,減少人力成本。
~重保場景中,發現惡意橫向滲透行為。
~發現異常訪問,第一時間發出告警。
管控多選擇:根據管理要求選擇不同控制強度
訪問控制模式決定控制策略如何放行/阻斷網絡連接,配合不同的管理要求,支持不同強度的控制模式。
~主機控制模式:為每個業務端口配置策略,嚴密防護。
~服務控制模式:管控20%的關鍵端口,降低80%的風險。
威脅可隔離:失陷主機快速隔離防止威脅擴散
在發生真實攻擊場景下,提供應急響應手段,迅速隔離失陷主機網絡,防止威脅進一步擴散。
~出站、入站、雙向網絡流量,可選擇不同隔離方式。
~開放特定端口並指定訪問IP,給上機排查問題提供條件。
~威脅清除後遠程解除隔離,恢復正常通信。
保護更全面:非受控設備和DMZ區主機訪問控制
對未部署Agent的網絡設備和業務敏感主機實現保護,並可對DMZ區主機的外網訪問進行控制。
~對已部署和未部署Agent主機之間的訪問,進行安全控制。
~嚴格限制出入外網的流量,收縮DMZ區主機暴露面。
