#网络安全##渗透测试##信息安全#如何避免#数据泄露##黑客#
SASE=边缘零信任
在零信任领域,主要概念来自于两家世界级咨询公司Gartner与Forrester,而不得不澄清的是零信任与SASE的关系问题:
- 首先,Forrester提出零信任,成为近十年来最重要的安全创新理念。不妨把零信任比作如来佛祖。
- 然后,Gartner提出SASE(安全访问服务边缘),在零信任的基础上面向未来描绘了一幅美好边缘愿景。SASE的意图明显是想超越零信任,不妨把SASE比作齐天大圣,一心想跳出如来的手掌心。
- 最近,Forrester又提出ZTE(零信任边缘),且强调ZTE=SASE。意思是说,SASE你也别闹腾了,你不过就是零信任边缘或者边缘零信任,始终逃不出我零信任的手掌心。
本文评论了两家顶级咨询公司的三位顶级分析师提出的三个概念:零信任、SASE、ZTE。
总结一下:零信任=数据中心零信任 边缘零信任;边缘零信任=SASE=ZTE。SASE是零信任的一部分或子集;SASE是零信任面向未来的重要场景。
一、零信任的提出与发展
01 零信任的提出
零信任概念是由Forrester首席分析师John Kindervag于2010年提出的。
后来,其继任者(即现任)Forrester首席分析师Chase Cunningham,将零信任丰富为“零信任扩展(ZTX)生态系统”。包含零信任用户、零信任设备、零信任网络、零信任应用、零信任数据、零信任分析、零信任自动化等七大领域。
图1-零信任扩展(ZTX)生态系统的七大支柱
为此,Forrester还专门提供了一整套《零信任安全手册》,由12篇系列文章(持续更新)构成,为客户顺利融入零信任扩展生态系统,提供全面的参考文档。
02 零信任的发展
回顾历史,零信任的发展并不顺利。历经十年,才获得普遍认可。
Forrester将零信任概念扩大为ZTX生态系统,是为了将零信任做大做强。而2020年8月NIST SP 800-207零信任架构指南的正式发布,无疑就是零信任最好的名片和广告。
2020年5月,美国总统拜登发布行政命令以加强国家网络安全,明确指示美国联邦政府各机构实施零信任方法。美国国防部零信任参考架构也终于公开发布,其运行概念图如下所示:
图2-国防部零信任参考架构
该图最显著的特点是中间的两大块,分别代表了用户侧访问控制(客户端和身份保障)和数据侧访问控制(数据中心企业)。是一个相当完整的零信任架构。
二、SASE的提出与发展
01 SASE的提出
当Gartner认识到零信任的重要性后,其副总裁分析师Neil MacDonald在2018年12月发布的报告《零信任是CARTA路线图上的第一步》中提出,将零信任项目作为CARTA(持续自适应风险与信任评估)路线图的初始步骤。试图将零信任纳入CARTA框架。随后,在2019年4月又提出ZTNA(零信任网络访问)概念,它相当于SDP技术路线,从覆盖面上看有点狭窄。
接着,Gartner分析师Neil MacDonald再次于2019年8月放出大招——在《网络安全的未来在云端》报告中,提出面向未来的SASE(安全访问服务边缘,Security Access Service Edge)概念,开辟了边缘安全的新天地。
此后,Gartner大力推广SASE概念,在不到两年的时间里,获得了很大共识。
在本届RSAC上,Cisco在《Getting Started With SASE Connect Controland Converge With Confidence》报告中的一张图,非常形象地说明了SASE的含义:
图3-Cisco对SASE的名称解读
可以看出:
- SASE是集网络安全服务、下一代广域网、边缘计算于一体的云交付网络。
- SASE的实现必须以安全、网络、订阅、云四大条件为基础。
- SASE的难点:
- 在SASE的主要组成要素中,全球性分布式的边缘部署在实操层面中是最难的,而这也意味着对客户传统网络架构的重构。
02 边缘的概念
理解SASE的第一步,是理解边缘概念。在本届RSAC大会,Fortinet的议题《以面向所有边缘的安全驱动网络,增强混合劳动力》,对边缘概念解释得浅显易懂:
图4-对边缘的定义
上图的要点是:
- 边缘可以接触到物联网;
- 边缘在传统上是CDN(内容交付网络)提供商的优势领域。
03 零信任和SASE的对比
理解SASE的第二件事,是理解零信任与SASE的区别。在本届RSAC大会上,趋势科技在《混合云的零信任挑战:真相与神话》议题中,对此做了澄清:
图5-SASE和零信任的对比
上图中有句反话:“得益于SASE供应商们的过度营销,才使得我们对零信任和SASE更加困惑。” 笔者对此深有共鸣。
上图中的关键是:
- SASE是零信任的一种形式;
- SASE由单个供应商部署;
- 相对来说,零信任概念是比较宽泛的。
04 SASE的发展
在Gartner 2020年云安全炒作周期图中(因版权问题不便贴出),SASE已经站上希望之巅(Peak of Inflated Expectations)。但其深蓝颜色仍然表明,还是需要5-10年才能得以成熟。而且该图是针对国际而言的,在国内可能还要晚些。
值得期待的是,基于以下因素,SASE肯定会加速发展:
- Gartner大力推动SASE模型;
- Forrester开始跟进并提出ZTE(零信任边缘)模型(见下文);
- 零信任与SASE的融合趋势(见下文)。
三、ZTE的提出和策略
01 ZTE的提出
简单地说,Gartner的SASE(安全访问服务边缘)概念相当于“边缘安全”。Forrester很快认识到这个概念的前瞻性,于是在2021年1月发布的《为安全和网络服务引入零信任边缘(ZTE)模型》报告中,正式提出ZTE(零信任边缘,Zero Trust Edge)。
Forrester在该报告中指出,零信任主要有两类概念:
- 一是数据中心零信任:即资源侧的零信任。
- 二是边缘零信任:即边缘侧的零信任访问安全。而这正是ZTE(零信任边缘)。
Forrester零信任边缘(ZTE)模型如下:
图6-ZTE(零信任边缘)模型
02 ZTE和SASE的对比
2021年2月,Forrester在《将安全带到零信任边缘》报告中解释说:Forrester的零信任边缘(ZTE)模型与Gartner的SASE模型是相似的。而主要区别在于:零信任边缘模型的重点在零信任。
我们姑且将ZTE与SASE统称为“边缘安全”。既然ZTE与SASE相似,为什么Forrester还要提出ZTE概念?笔者认为,这正是Forrester的高明之处。Forrester通过引入一个通俗易懂的零信任边缘(ZTE)概念,就轻松地将SASE纳入了零信任版图。大家稍微想想就理解,虽然是同一回事,但"零信任边缘"(ZTE)要远比"安全访问服务边缘"(SASE)容易理解得多。
另外,笔者认为,ZTE和SASE在实施边缘安全的路径上有显著区别:
- 耦合程度区别:SASE强调网络和安全紧耦合,所以要求单一提供商提供全套SASE产品;ZTE强调网络和安全解耦,认为可以多个供应商集成。
- 实施路线区别:SASE强调网络和安全同步走;ZTE强调零信任先行,网络重构滞后。(参见下文)
笔者比较认同Forrester的思路,也就是网络和安全解耦的方式。在本届RSAC大会,趋势科技的安全副总裁Greg Young,在议题《怀疑论者指南》中,旗帜鲜明地表达了这种观点:"关于SASE、零信任、ZTE的定义,有些人会在里面添加网络技术,对此我表示怀疑。如果说一个零信任的解决方案里,谈论了很多关于SD-WAN的东西,你就要非常小心。我的零信任和SASE,当然要去适应和拥抱SD-WAN环境,但这并不意味着我自己一定要有SD-WAN。所以,对于把SD-WAN作为零信任解决方案进行售卖这样的做法,大家一定要非常警惕。"
03 ZTE的推进策略
2021年2月,Forrester在《将安全带到零信任边缘》报告中,针对ZTE/SASE的推进路线,特别指出:ZTE要先解决战术性“远程访问”问题,最后再解决战略性“网络重构”问题。原因在于,要重构企业网络结构,是个极大挑战,最好把这个硬骨头放到最后再解决。
具体而言,Forrester的“先战术、再战略”的推进思路如下:
- 第1步:先用ZTNA(即SDP型零信任)技术,解决远程访问问题;
- 第2步:再逐步追加其它的安全控制(如SWG、CASB、DLP);
- 第3步:最后使用SD-WAN技术,解决网络重构问题。
Forrester的边缘安全推进策略,显得相当务实,也更加重视零信任。相比之下,Gartner的边缘安全推进策略,就太理想化了。
四、零信任与SASE的融合
通过上面的解释,我们已经能够看出,Forrester正在将零信任和边缘安全融为一体(孙大圣已经被如来收入掌中)。
同时,我们注意到,在本届RSAC大会上,很多安全专家也已经在零信任和边缘安全相互融合的道路上做了探讨。
01 零信任的演进路线
在本届RSAC大会上,趋势科技在《混合云的零信任挑战:真相与神话》议题中,给出了通往零信任的各条路线:
图7-通往零信任的路线
上图可见:
- Gartner提出的SASE和ZTNA都已囊括在零信任的范畴中;
- Forrester的ZTE(零信任边缘)与Gartner的SASE已经统合在一起。
02 端到端零信任架构
在本届RSAC大会上,VMware在《零信任,零痛苦:一个具有内置安全性的实用实现》的议题中,给出了如下的端到端零信任架构:
图8-端到端零信任架构
VMware进一步给出了该架构的细节描述:
图9-端到端架构的组件
笔者认为,该图较好整合了零信任与边缘安全的概念。
03 网络安全的演进
在本届RSAC大会上,Fortinet在《以面向所有边缘的安全驱动网络,增强混合劳动力》议题中,给出了网络安全由碎片化向平台化发展的路线:
图10-网络安全向平台化发展
该路线融合了零信任、边缘安全、平台化的思路,非常符合安全的演进观念。图中最右侧实际上就是安全大脑:
- 安全大脑有两类完全不同的输入:一是威胁类(攻防派);二是身份类(管控派)。覆盖了威胁分析和零信任分析的全场景。
- 安全大脑连接各类DR(检测与响应)探针:包括CDR(云DR)、EDR(端点DR)、NDR(网络DR)、边缘DR等,符合典型的XDR模型。
- 这种"XDR 零信任"内外兼修的安全大脑,正是未来的发展方向。
04 结束语
既然大圣(SASE)已经被如来(零信任)收服,建议少用令人费解的"安全访问服务边缘(SASE)"术语,直接使用"零信任边缘(ZTE)"就好了。否则,我们还将在这些概念之间反复缠绕。
SASE与零信任,到底有什么关系?SASE(安全访问服务边缘)和零信任可以持续协同工作来保护企业资源,但它们不是一回事。
安全行业正在飞速发展,我们面临的威胁格局不断改变,企事业单位大规模数字化转型也不断深入发展。零信任作为新一代网络安全理念还饱受热议,但转眼间SASE也加入了赛道。各安全厂商纷纷阐述各自对SASE理解,推广相关产品和方案。在炒作和热议下,很多企业组织已经开始了零信任和SASE之旅,但建设之路似乎并不清晰。接下来,企业组织应该如何走好零信任和SASE建设之路?当威胁发生,我们如何能确保做好了充足的防护和应对准备?
在回答上述问题前,先来了解零信任与SASE分别是什么,它们之间有什么异同。
01 背景
自Gartner于2019年8月提出安全访问服务边缘(Secure Access Service Edge, SASE)至今,几乎所有大型安全厂商都发布了SASE安全架构或者解决方案或产品等服务。看了Gartner针对SASE的研究和调查,很多企业和组织可能会认为部署SASE就可以同时拥有零信任。然而,事实并非如此,部署零信任和SASE,企业需要采取各种不同的措施,才能正确地落地。
零信任101
零信任是一种安全理念,它强调不应该默认信任企业网络边界内外的任何事物,必须在授予访问权限之前进行身份验证。同时,信任也不应该基于特定连接、特定对象或者网络位置等某单一条件被授予给访问者。零信任要求用户(包括设备、数据、服务等)证明其应该被授予访问权限,并且仅授予其必要的、必需的访问权限。例如,若某员工不是财务部门人员,那么其账户不能访问财务数据。
为了防止账户冒用、泄漏等风险发生,企业员工还会使用无密码方式,如生物识别或安全密钥等方式登陆企业账户。相较于简单的用户名与密码登陆方式,这些方式使攻击者更难盗用账户。
SASE 101
与其他安全架构相似,SASE的目标也是为了保护用户、应用以及数据等。然而,如今用户、企业应用、数据等资产不仅存在于数据中心,还可能在云上、SaaS应用中,移动设备中。所以,SASE将安全能力转移到云端。
根据Gartner的定义,SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。其中,实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。它可以提供多种网络与安全能力,包括软件定义广域网(SD-WAN), Web安全网关(SWG), 云访问安全代理(CASB), 零信任网络访问(ZTNA)以及防火墙即服务(FWaaS)等核心能力。
SASE 将网络接入和安全能力融合,统一在云端管理和交付,将安全执行点部署在离用户更近的边缘节点,克服了分散集成和地理位置约束解决方案的成本及复杂性,从而实现安全能力的服务化和企业安全服务的托管。
02 零信任和SASE有包含关系吗?
Gartner将零信任网络访问 (ZTNA) 作为SASE的核心组件之一,这可能是让大众误解SASE是包含零信任的原因。实际上,零信任架构不等于零信任网络访问或ZTNA。
零信任网络访问(ZTNA)可以主要理解是传统VPN解决方案的一种替代方案,目的是为了提供更安全的远程访问。但这并不意味着部署了ZTNA,整体企业IT环境中就全面实现了零信任架构。因此,零信任不是SASE的组成部分。零信任是一种安全理念,而不是单一的产品。
那么SASE 是零信任的一部分吗?答案是,有可能的。因为SASE可以帮助企业针对某些IT资产践行零信任原则,虽然这也并不意味着整体环境中全面部署了零信任。
无论两者之间是否存在包含关系,SASE和零信任都有相同的共同目标——保护业务、基于身份与上下文的策略分配。
03 零信任和SASE有什么共同之处?
ZTNA被视为SASE核心要素之一,强调基于最小权限原则提供对服务的访问,它同时遵守一下几个零信任原则:
- 所有网络连接都应当经过身份验证,并且基于动态策略授予访问权限;
- 所有通信都是安全的,无论网络位置如何;
- 安全控制必须在最靠近资产的地方实施。
不同于像传统VPN远程访问解决方案,ZTNA 在应用层(第 7 层)保护对服务的访问。ZTNA向用户提供授权方式,并且通过身份验证的用户只能访问已批准的资产。
04 零信任和SASE有什么区别?
如前所述,零信任是一种安全理念,它并未聚焦在某些特定安全技术或者产品,而 SASE明确描述了几种网络和安全技术。
在零信任架构下,无论是部署杀毒软件、防火墙、IPS 还是新一代NDR 解决方案,零信任原则都应适用于系统的各个方面:人员、流程和技术等。
SASE则明确描述了几种网络和安全技术。此外,它还探讨了云服务厂商应该如何部署这些服务,以及企业应该如何使用这些服务。
05 零信任和SASE如何协同工作以保护现代基础设施?
SASE 将安全性迁移至云端,更接近工作负载、应用程序、用户和数据,但它依然依赖于“预防-检测-纠正”的网络安全方法,它还是会使企业资源暴露在危险之中。
例如,攻击者可以运用社会工程研究进行网络钓鱼活动,通过恶意广告侵害可靠的网站,或使用虚假登录表单获取更多渗透机会。最后,即使检测到威胁存在,攻击者也可以通过简单的代码改变使其几乎无法被检测到。结果,网络安全团队不断修补系统中的漏洞,并希望漏洞不会导致灾难性破坏。
零信任和SASE解决方案应当结合起来,因为它们能够帮助企业将最小权限访问方法与云安全保护架构很好地结合在一起。
06 总结
零信任是一种思维方式,它专注于根据需要进行的身份验证和数据访问授权,而SASE指的是部署在边缘的云交付平台,可为任何地方的数据提供广泛的保护。SASE不能被视作部署零信任的快车道,而应将SASE与零信任结合,采用零信任原则更好地保护基于云的服务以及本地服务。
无论架构、技术、概念如何改变,网络安全的核心依旧是要明确需要保护的资产,了解它们的价值和分类,以及谁需要访问、谁能获取权限访问权限。企业始终需要进行风险评估了解安全态势,做好安全意识培训,制定风险应急响应计划。
2019年,Gartner在报告《Hype Cycle for Enterprise Networking 2019》中首次提出了SASE(Secure Access Service Edge)的概念,如下图:
从图中直观地看,灵活接入的网络 按需的安全,就是SASE,实际上大致也是这样,只是SASE包含了比较多的细节内容,需要花点时间来梳理和理解。
这几年,SASE非常火,SASE国外主要厂商有Cato、Zscaler、Paloalto,国内大厂如阿里云、深信服、绿盟,也都正式推出了SASE产品。相比较于单一的安全产品,SASE头绪较多,理解起来不太容易把握住核心。因此,有必要以一个通俗移动的例子,白话的方式来讲清楚SASE的来龙去脉。
要理解SASE,首先要理解SD-WAN。SD-WAN,即软件定义广域网络,是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。
SD-WAN本质上,是网络去中心化的产物。什么叫去中心化?举个例子:
古代有一个钱庄,开展存取放贷的业务。起初规模较小,位于都城且没有分店。于是,全国各地的人来办业务,都需要长途跋涉到都城,前往银号。银号的所有银两和来往钱账,都是集中于一处的,我们可以叫“中心化”的模式。
后来,钱庄信誉良好,越开越大,客户遍布全国各地,且人数众多。于是,位于都城的总店,决定开分店,在全国各地主要的大城市,都开了分店,分别屯放备用银两,分别办业务,总店周期性汇总盘点。这时候,银号的所有银两和来往钱账,开始逐渐集中于多处分店了,我们可以叫去“中心化”的模式。
如果把分店比作网络,那么我们可以认为,这个时候,因为去中心化模式的产生,网络也开始去中心化,遍布各地了。那么,为了便于存钱取钱,总店就需要一种能力:随时随地按照客户所需,在不同的地方开设分店,甚至为大项目开“移动银行”业务。也就是说,一个强大的全国性钱庄,需要具备随时随地按需开通网店的能力。
SD-WAN也是这个道理,因为企业的数据中心去中心化,员工接入方式的去中心化,一个现代的企业,需要具备随时、随地接入不同企业数据中心的网络动态开通和管理能力。因此,SD-WAN技术就应运而生,典型架构见下图:
关于SD-WAN的详细技术细节,因为内容太多,此处暂不详细介绍了。
SD-WAN是好,但是安全怎么保证呢?
还是举上面的例子,钱庄总部,自然安保森严,但是分店呢?为了保护储户的安全,分店也需要建立如坚固的金库、有战斗力的保安、以及能保证路上安全的镖局队伍。这就是SASE在第一幅图中,右侧的部分:安全能力。简要来说,安全部分能力需要和SD-WAN相配称,即网络即服务的同时,要求安全如影随形,做到“安全即服务”。中外的SASE落地方案区别,主要是根据不同实际情况提供的安全服务内容不同,其实本质上是相似的。
2、主要的客户场景先铺垫一下,对于SASE,客户的需求最核心的就是:在任何场景,任何用户、任何设备、能够方便的访问任何的企业应用,且不降低安全性。简单归纳就是“四个任何”加“安全”。主要场景有三个,国内外这一点其实都比较类似:
1)远程办公场景
这种场景,企业的数据中心位于本地IDC和云上(公有云),移动办公用户,使用VPN/SDP通过互联网连接到企业数据中心或者云上数据中心,访问企业级数据和应用。移动办公,理论上属于企业内网的虚拟延伸。风险很容易感受到:用户身份会不会被盗用?移动设备是否带病毒木马?接下来他会不会泄露企业数据?按照数据流向视角看,有四处存在安全风险,见上图红圈标注位置。
现在再回头看SASE定义框图,安全部分,如下:
为什么零信任很重要?
随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。
- 访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。
- 业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。
- 资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。
零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。
零信任核心原则企业基于持续验证,动态授权和全局防御三个核心原则构建自己的零信任网络。
零信任核心原则
- 持续验证,永不信任,构建身份安全基石
- 零信任对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端状态等作为认证的动态考量因素,持续监测访问过程中的违规和异常行为,确保接入网络的用户和终端持续可信。
- 动态授权,精细访问控制,权限随需而动
- 零信任不依赖通过网络层面控制访问权限,而是将访问目标的权限细化到应用级、功能级、数据级,只对访问主体开放所需的应用、功能或数据,满足最小权限原则,极大收缩潜在攻击面。同时安全控制策略基于访问主体、目标客体、环境属性(终端状态、网络风险、用户行为等)进行权限动态判定,实现应用、功能、数据等维度的精细和动态控制。
- 全局防御,网安协同联动,威胁快速处置
- 零信任通过对终端风险、用户行为异常、流量威胁、应用鉴权行为进行多方面评估,创建一条完整的信任链。并对信任分低的用户或设备生成相应的处置策略,联动网络或安全设备进行威胁快速处置,为企业搭建一张“零信任 网安联动”的安全网络。
华为根据零信任核心原则与各行业监管部门共同制定了零信任的标准构架。
华为零信任架构
华为零信任架构分为策略执行层、策略控制层、安全管理层三个逻辑层。通过三个逻辑层的相互联动实现持续验证、动态授权和全局防御。
- 策略执行层
- 在策略执行层部署安全接入代理,环境感知代理。安全接入代理作为终端用户访问企业内网的控制设备,能够与策略控制层的身份引擎联动完成用户的持续认证。环境感知代理能够接收终端违规信息,并向终端下发控制策略。同时对终端环境状态和变化进行实时感知和度量,向安全管理层上报终端评分。
- 策略控制层
- 在策略控制层部署身份引擎、控制引擎。身份引擎负责统一人员身份管理和身份认证,包括用户管理、组织机构管理、用户身份核验、用户令牌管理、应用令牌管理等。控制引擎负责对访问数据业务的请求进行动态和精细化鉴权,当用户安全等级变更时,及时更新用户拥有的访问权限。
- 安全管理层
- 在安全管理层部署HiSec Insight作为安全大脑。HiSec Insight负责接收并分析环境感知代理发送的终端评分、身份引擎发送的认证日志、控制引擎发送的鉴权日志、从交换机汇聚的安全风险信息,对用户、终端、网络等进行全局安全评估。同时根据评估结果向控制引擎、安全接入代理下发处置策略,完成安全风险的全局防御
当前实施零信任是一个持续的渐进的工作。首先企业需要与华为一起评估如何在现有网络下部署零信任组网,典型组网如下所示,详细实施步骤请参见HUAWEI HiSec零信任安全解决方案最佳实践。然后根据华为提供的指导评估哪些应用或资源可以优先实施零信任,实现持续认证和动态授权。最后根据经验逐步全面实施。
华为零信任典型组网
,