“零信任”概念沒有統(tǒng)一定義難理解?NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)梳理了7大“零信任”原則,幫助用戶更好的保護網(wǎng)絡(luò)安全。
近年來,坊間不乏有關(guān)零信任的定義,你一定聽到過諸如原則、支柱、基本原理和宗旨之類的術(shù)語。雖然對零信任還沒有一個統(tǒng)一的定義,但是業(yè)界對于一個概念有共同的理解還是很有必要的。為此,NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)發(fā)布了NIST SP 800-207零信任架構(gòu),描述了以下關(guān)于零信任的七大原則:
01 所有數(shù)據(jù)源和計算服務(wù)都被視為資源
僅將終端用戶設(shè)備或服務(wù)器視為資源的時代早已過去了。今天的網(wǎng)絡(luò)包括一系列層出不窮的設(shè)備,從服務(wù)器和端點設(shè)備等傳統(tǒng)設(shè)備,到FaaS(函數(shù)即服務(wù))等更動態(tài)的云計算服務(wù),不一而足,它們可能需要對你環(huán)境中的其他資源擁有特定的訪問權(quán)限才能執(zhí)行。
對于你環(huán)境中的所有數(shù)據(jù)和計算資源而言,除了最低權(quán)限訪問控制措施外,你還必須確保已經(jīng)實施了基本的驗證控制措施,必要時還要實施高級的驗證控制措施。與后幾條原則密切相關(guān)的是,所有這些資源在某種程度上相互關(guān)聯(lián),可以提供信號上下文,以幫助推動零信任中的架構(gòu)組件做出決策,這將在第七個原則中進行討論。
02 無論網(wǎng)絡(luò)位置如何,所有通信都是安全的
零信任環(huán)境中落實了ZTNA(零信任網(wǎng)絡(luò)訪問)這個概念。這與傳統(tǒng)的遠程訪問模式形成了對比;在傳統(tǒng)的遠程訪問模式中,用戶完成身份驗證連接至VPN,然后在網(wǎng)絡(luò)內(nèi)/網(wǎng)絡(luò)上可以不受限制地訪問。
在ZTNA環(huán)境中,訪問策略是默認(rèn)拒絕訪問,必須對特定資源授予明確的訪問權(quán)。此外,在ZTNA環(huán)境中操作的用戶如果沒有明確的訪問授權(quán),甚至不會意識到環(huán)境中存在的應(yīng)用程序和服務(wù)。你很難把注意力轉(zhuǎn)移到你不知道存在的東西上。
如今,地理位置分散的員工們因為新冠肺炎疫情而更加分散,這使得第二條原則對企業(yè)來說更重要,現(xiàn)在企業(yè)中有很大一部分勞動力要從許多不同的地方和設(shè)備訪問內(nèi)部資源。
03 基于每個會話授予訪問單個企業(yè)資源的權(quán)限
“就像季節(jié)一樣,人也在變化”。這句話對于數(shù)字化身份來說更是如此。面對具有動態(tài)性的分布式計算環(huán)境、云原生架構(gòu)以及不斷暴露在一連串威脅面前的分布式員工隊伍,信任應(yīng)該僅限于單一會話。
你在前一次會話中信任一個設(shè)備或身份,并不意味著你在后面的會話中能繼續(xù)信任他們。每次會話都需要同樣嚴(yán)謹(jǐn)?shù)卮_定設(shè)備和身份對你的環(huán)境構(gòu)成的威脅。與用戶相關(guān)的異常行為或設(shè)備安全態(tài)勢方面的變化都可能會發(fā)生,應(yīng)該與每個會話結(jié)合起來,以決定訪問和訪問程度。
04 對資源的訪問取決于動態(tài)策略(包括客戶身份、應(yīng)用程序/服務(wù)和所請求資產(chǎn)的可觀察狀態(tài)),可能包括其他行為屬性和環(huán)境屬性
現(xiàn)代計算環(huán)境很復(fù)雜,遠遠超出了企業(yè)的傳統(tǒng)邊界。應(yīng)對這種現(xiàn)狀的方法之一是,利用所謂的“信號”,在你的環(huán)境中做出訪問控制決策。
直觀顯示信號的一種方法是借助微軟的Conditional Access(條件訪問)圖。訪問和授權(quán)決策應(yīng)該考慮到信號,信號可以是諸如此類的信息:用戶及位置、設(shè)備及相關(guān)的安全態(tài)勢、實時風(fēng)險以及應(yīng)用程序上下文。這些信號應(yīng)支持決策過程,比如授予全面訪問、有限訪問或根本不允許訪問。你還可以根據(jù)信號采取額外的措施,以請求更高級別的驗證保證,比如MFA(多因子驗證),并根據(jù)這些信號限制授予的訪問級別。
