“零信任”:新安全模型準(zhǔn)則
軟件定義邊界安全模型的基礎(chǔ),正是“零信任(Zero-Trust)”原則,業(yè)界也稱之為“零信任網(wǎng)絡(luò)”或“無邊界網(wǎng)絡(luò)”。
早在2010年,時(shí)任Forrester首席分析師的John Kindervag創(chuàng)建了零信任架構(gòu)。Google在2013年開始向零信任架構(gòu)轉(zhuǎn)型,帶動(dòng)這種新安全架構(gòu)流行,逐漸成為主流。Forrester認(rèn)為,三年內(nèi),零信任將成為網(wǎng)絡(luò)安全領(lǐng)域最流行的框架之一。
所謂“零信任”你的網(wǎng)絡(luò),就是說,企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物。這種安全概念認(rèn)為,應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。
簡言之,零信任的策略就是不相信任何人,“不放過一個(gè)壞人”。除非網(wǎng)絡(luò)明確知道接入者的身份,否則任誰都別想進(jìn)入。什么IP地址、主機(jī)之類的,不知道用戶身份或者不清楚授權(quán)途徑的,統(tǒng)統(tǒng)不放進(jìn)來。用戶的訪問權(quán)限將不再受到地理位置的影響,但不同用戶將因自身權(quán)限級(jí)別的不同,擁有不同的訪問資源。同時(shí),過去從外網(wǎng)登陸內(nèi)網(wǎng)所需的VPN也將被一道廢棄。
2017 RSA大會(huì)上,基于零信任架構(gòu)準(zhǔn)則,Google闡述了其“BeyondCorp”安全觀:
- 從特定網(wǎng)絡(luò)連接,與你能獲得的服務(wù)沒有關(guān)系;
- 根據(jù)對(duì)用戶和設(shè)備的了解,來授予所獲得的服務(wù);
- 所有對(duì)服務(wù)的訪問都必須經(jīng)過認(rèn)證、授權(quán)和加密;
- 未來六年的使命:讓每位Google員工都能在不使用VPN的情況下,從不受信的網(wǎng)絡(luò)成功接入,開展工作
簡單說,就是無邊界設(shè)計(jì)、上下文感知和動(dòng)態(tài)訪問控制三大指導(dǎo)原則。
隨著網(wǎng)絡(luò)攻擊不斷進(jìn)化,變得更加復(fù)雜高端,防護(hù)企業(yè)系統(tǒng)及數(shù)據(jù)安全的壓力越來越大,傳統(tǒng)的安全方法早已“力不從心”,不能發(fā)揮作用的防火墻變得“形同虛設(shè)”。很明顯,企業(yè)不能再指望用VPN防護(hù)所有基礎(chǔ)架構(gòu)。
波耐蒙研究所《2017數(shù)據(jù)泄露研究》發(fā)現(xiàn),數(shù)據(jù)泄露事件所致平均損失為362萬美元。盡管該數(shù)字比上一年有所下降,但數(shù)據(jù)泄露事件的平均規(guī)模卻上升了1.8%,達(dá)到了平均每起事件泄露2.4萬條記錄之多。
看看那些最嚴(yán)重的的數(shù)據(jù)泄露事件,都是因?yàn)楹诳瓦M(jìn)入公司防火墻后,基本沒遇到什么阻礙,就能在內(nèi)部系統(tǒng)中來去自如。很大程度上,邊界已經(jīng)不存在了,防火墻已經(jīng)逼近到了需要保護(hù)的資產(chǎn)身邊。本質(zhì)上,零信任模型就是在和過去邊界式的防護(hù)思維說“再見”,是為新世界而生的安全架構(gòu)。
Google BeyondCorp組件和訪問流
業(yè)務(wù)擴(kuò)張、移動(dòng)化辦公、BYOD、云轉(zhuǎn)型……如今企業(yè)員工的工作方式是分布式的,用戶工作的地點(diǎn)可能是家、酒店、分支機(jī)構(gòu)或任何地方,不僅是公司辦公室。同時(shí),用戶使用的應(yīng)用程序可能來自內(nèi)部,也可能通過SaaS、其他網(wǎng)絡(luò)或云訪問。邊界已不再是那個(gè)邊界,IT專業(yè)人員需要以全新的方式思考安全架構(gòu)。
新安全架構(gòu)中的上下文是:“你是誰?是否經(jīng)過嚴(yán)格認(rèn)證?你使用什么設(shè)備?對(duì)你設(shè)備的了解情況如何?”零信任理念的核心是系統(tǒng)并不需要“證偽”,而是“若無法證明可被信任,即無法獲得權(quán)限”。
SDP:零信任背后的技術(shù)
零信任網(wǎng)絡(luò)實(shí)質(zhì)上就是一個(gè)SDP,后者也是零信任網(wǎng)絡(luò)的一種具體實(shí)現(xiàn)方式。網(wǎng)絡(luò)邊界并不是一個(gè)確認(rèn)可信度的有效方式。傳統(tǒng)數(shù)據(jù)中心基礎(chǔ)設(shè)施正在通過IaaS、PaaS和SaaS等外部云資源進(jìn)行擴(kuò)展。盡管AWS、Microsoft Azure和VMware等云基礎(chǔ)架構(gòu)各自擁有自己的網(wǎng)絡(luò)配置和安全模型,但其設(shè)計(jì)初衷并不是提供細(xì)粒度的訪問控制,或基于云服務(wù)器實(shí)例更改來調(diào)整用戶訪問。這正是SDP進(jìn)入的地方,為來自世界各地的、不同的網(wǎng)絡(luò)連接參與者建立安全邊界,無論在云端、DMZ、私有數(shù)據(jù)中心還是應(yīng)用服務(wù)器中。
云時(shí)代的安全邊界:無法被定義
Citrix認(rèn)為,新安全思維應(yīng)“以人為中心”,具體原則包括:構(gòu)建以用戶為中心的模型;無邊界的網(wǎng)絡(luò)安全;用戶不受地域和環(huán)境限制;對(duì)網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)實(shí)現(xiàn)基于上下文的行為感知;智能風(fēng)險(xiǎn)探測(cè);數(shù)據(jù)不落地。
實(shí)現(xiàn)動(dòng)態(tài)的、以身份為中心的安全,毫無疑問,這是一大進(jìn)步。Gartner預(yù)計(jì),到2021年,不少于25%的企業(yè)數(shù)據(jù)流量將繞過傳統(tǒng)邊界(目前是10%左右),并直接從移動(dòng)和便攜式設(shè)備流向云端。當(dāng)然,SDP正受益于Citrix這樣市場(chǎng)領(lǐng)導(dǎo)者,讓IT團(tuán)隊(duì)能夠基于NetScaler和XenDesktop工具,輕松創(chuàng)建軟件定義邊界模型,實(shí)現(xiàn)GDPR就緒。
Citrix數(shù)字安全圍欄框架
摒棄地理位置和內(nèi)部人員可信的概念,構(gòu)筑數(shù)字安全圍欄,將安全防護(hù)從邊界擴(kuò)展到企業(yè)員工和業(yè)務(wù)任何所到之處。Citrix數(shù)字安全圍欄的核心方法包括:通過數(shù)字安全工作空間為訪問者提供設(shè)備獨(dú)立性、應(yīng)用兼容性、位置靈活性。實(shí)現(xiàn)安全、高質(zhì)量和一致性的訪問體驗(yàn);統(tǒng)一供給和管理應(yīng)用和數(shù)據(jù),適應(yīng)各種混雜的私有和公有云基礎(chǔ)架構(gòu);為應(yīng)用和數(shù)據(jù)提供安全、高效和可視化的交付網(wǎng)絡(luò)。
通過識(shí)別安全風(fēng)險(xiǎn)來源與目標(biāo),作為隔離元素,Citrix可幫助企業(yè)有針對(duì)性地輕松構(gòu)建安全隔離解決方案,已成為大量企業(yè)事實(shí)上的安全標(biāo)準(zhǔn):Citrix HDX協(xié)議僅傳輸屏幕圖像、鍵鼠信息,可以有效隔離數(shù)據(jù)和應(yīng)用邏輯;發(fā)布平臺(tái)集中在數(shù)據(jù)中心,有效縮小企業(yè)安全邊界;NetScaler對(duì)傳輸數(shù)據(jù)進(jìn)行加密封裝;屏幕錄像功能可以起到事前威懾、事中監(jiān)控、事后追查的效果。細(xì)分落地方案包括網(wǎng)管資源隔離、數(shù)據(jù)隔離、生產(chǎn)系統(tǒng)運(yùn)行環(huán)境隔離、網(wǎng)絡(luò)間隔離(邏輯隔離)、內(nèi)外網(wǎng)隔離(網(wǎng)閘隔離)和互聯(lián)網(wǎng)隔離,面面俱到。
Citrix數(shù)字不落地的安全模型
Citrix數(shù)字安全圍欄 vs Google零信任網(wǎng)絡(luò)
Citrix數(shù)字安全圍欄與Google零信任模型具有高度一致的理念,異曲同工。與Google零信任模型相比,Citrix數(shù)字安全圍欄無需對(duì)現(xiàn)有應(yīng)用進(jìn)行任何改造,與企業(yè)現(xiàn)有IT架構(gòu)無縫融合,權(quán)限管理等手段簡單、強(qiáng)度中等。同時(shí),進(jìn)一步隔離了應(yīng)用邏輯和數(shù)據(jù)的交互,實(shí)現(xiàn)數(shù)據(jù)不落地。
還以為傳統(tǒng)邊界安全、防火墻能讓你“高枕無憂”?是時(shí)候把服務(wù)從Internet“大染缸”中分離出來了!當(dāng)然,過程和方法絕非簡單的網(wǎng)絡(luò)隔離所能及。Citrix SDP是個(gè)好思路。
關(guān)于思杰
- 成立于1989年,NASDAQ:CTXS
- 桌面和應(yīng)用虛擬化市場(chǎng)排名第一
- ADC市場(chǎng)技術(shù)第一
- 文檔分享市場(chǎng)領(lǐng)先
- 2016年度收入超過 34 億美元
- 全球員工人數(shù)超過9000
- 400,000 多家客戶
- 在 100 個(gè)國家有超過 10,000 家合作伙伴