零信任安全架构方案(打破边界后再重构边界)(1)

图片来源@视觉中国

文 | 菠萝财经

岁末年关,网络安全领域再次展示了它“不安全”的一面。

近日,美国网络安全公司FireEye 发布分析报告称,SolarWinds 旗下的Orion 基础设施管理平台的发布环境遭到攻击者入侵,产品被攻击者植入后门,受到了严重的供应链攻击。所谓的“供应链攻击”,是攻击者将恶意代码隐藏在第三方提供的合法软件的一种攻击方式,通过这种供应链隐藏,其可以获取目标系统的访问权限,从而窃取系统和平台上的敏感数据。

把此次“Solarwinds供应链攻击事件”列为2020年十大网络安全事件一点都不为过。要知道连美军五大部队、美国国务院、NASA、NSA、美国总统办公室等等都是Solarwinds的客户,其波及范围可想而知。

实际上,SolarWinds自己本身就是一家主营网络安全管理软件产品的公司。纵使是这样,仍旧发生了“网络安全公司”自己被攻击的事件,这种“黑色幽默”也让人充分意识到了,当今网络世界丝毫都不安全的现实。

当前,随着云服务、边缘终端、便携设备、移动办公等新技术的普及,企业内外网的边界逐渐模糊。传统基于边界的安全防护逻辑开始逐步失效。网络安全行业亟需一种“永远信任,始终要验证”的零信任安全架构。

可以预测,从“有边界防护”到“无边界管控”,零信任安全的这种全新逻辑,将给整个网络安全行业带来极大的颠覆,其或将重构整个网络安全的格局。那些能够敏捷转身、顺势而为者,很有可能会在全球越发重视网络安全的当下,快速地崛起。

全球安全事件频发,传统网络安全架构错在“太老了”

从委内瑞拉国家电网干线受攻击,造成全国大面积停电,到丹麦126万公民的纳税人身份证号码被意外曝光;从美国天然气管道商遭攻击,被迫关闭压缩设施,到葡萄牙能源巨头EDP遭网络攻击,被勒索近1,000万欧元……即将结束的2020年,依旧是网络安全事件频频发生的一年。

相比于上述大部分案例,此次Solarwinds供应链攻击事件,无论从波及面还是影响程度来说,都要严重得多。消息显示,此次事件的受害者遍及北美、欧洲、亚洲和中东地区的政府、科技公司和电信公司,覆盖军工、能源等多个涉及国家安全的行业。

SolarWinds此前曾坦诚,“有‘少于18,000 家’企业受到了影响。”话音刚落,在这18,000家企业里面,越来越多的企业就被“确定”,这其中不乏思科、英特尔、英伟达、VMware等知名企业。

美国联邦政府已宣布旗下所有机构,都要立即放弃 SolarWinds 的 IT 管理系统。

马化腾曾经说过一句非常扎心的话,“你什么都没错,错就错在太老了”。其实,把这句话嫁接到网络安全行业,也同样非常适合。传统网络安全行业经过这么多年的发展和迭代,向前迈出的每一步,都存在着严重的“路径依赖”。具体来说,传统网络安全架构的“老”,主要体现在以下四个弊端上:

第一,是逻辑弊端。相比于“零信任”,某种角度上,传统网络安全架构的逻辑可看成是“全信任”——我信任你们,但是我要全方位、一层一层地检查。殊不知,但凡信任之后再检查,就始终有疏忽的地方。

第二,是边界弊端。传统网络安全架构有内外网的边界概念。潜意识里认为内网的就是安全的,外网的就是要防护的。然而就像前面所说,内外网的边界如今已经变得极为模糊,在这种背景下,何谈后续的防护?而且,即使是内网,也经常存在各种非法、间谍的情况。

第三,是场景兼容的弊端。近年来随着5G、云计算、大数据的飞速发展,加之今年新冠疫情的催化,出现了企业核心应用“云化”、业务节点“边缘化”、办公场地“多样化”、服务形式的“网络化”、内部流程的“数字化”等等各种“新态势”,传统网络安全架构,在兼容性和扩展性上满足不了新的需求。

第四,是管控颗粒度的弊端。传统网络安全架构,颗粒度比较粗糙,“内外网”成了最重要的分界线。然而,现如今的攻击,以此SolarWinds 供应链攻击为例,攻击者通过获取正规厂商的证书并利用其对自身进行签名,导致了所有信任该证书的企业、机构都存在遭受入侵的风险。可见,“内外网”这种极为粗糙的颗粒度管控方式,是远远跟不上时代发展的。

所以,从以上四大弊端来看,在全球范围内,用零信任安全架构对传统网络安全架构进行迭代升级,既是迫在眉睫也是大势所趋。就像奇安信的齐向东所言,“网络被彻底打开,传统边界属性改变,传统的IT安全架构已经跟不上时代发展,需要探索全新的安全解决方案。”

网络安全的破局者,为什么是零信任安全?

自从Forrester Research的分析师John Kindervag在2010年正式提出“零信任”这一概念后,零信任就持续获得了业务的关注和认可。根据美国国家标准与技术研究院(NIST)在《零信任架构标准》中的定义:“零信任(Zero Trust,ZT)提供了一系列概念和思想,旨在面对被视为受损的网络时,减少在信息系统和服务中执行准确的、权限最小的按请求访问的决策时的不确定性。”

这一翻译过来的定义,其实说白了就是,不信任内部或外部的任何人员/设备/应用/等,必须在授权前对任何试图接入企业系统的人员/设备/应用/等进行验证,对数据、资源、应用、接口、服务等的访问,遵循“只有必要,方才授予”的原则。

John Kindervag最初在提出“零信任”概念时,提到的三个原则:一是不应该区分网络位置;二是所有的访问控制都应该是最小权限且严格限制的;三是所有的访问都应当被记录和跟踪。这三大原则一方面既保证了数字资产、数字业务最小程度地暴露给网络,从根源上降低被攻击的风险;另一方面,又提高了访问的灵活性、敏捷性、易用性、够用性、以及可溯源性、可扩展性。

更具体点来讲,零信任安全架构之所以能够在近年来快速崛起,有三大优势不可忽视,这三大特点也契合了数学的三种思想。这种“思想”层面的领先型,或许才是零信任安全架构终将颠覆传统网络安全架构的最坚实底座。

首先,是极限思想。零信任安全“不相信任何人/事/物”,不管其是什么级别、所处何种网络。零信任的企业业务应用系统默认关闭所有端口,拒绝内外部一切访问,只对合法客户端的IP定向动态开放端口,由此就可以直接避免任何非法的扫描和攻击。

其次,是连续思想。零信任对外部的访问,不是一次性验证的,而是持续性验证的,而且还会根据验证、监控的结果,对访问进行信任评估和权限调整。这种“连续性的响应”,可以全程保证访问都在管控之下。

再次,是最小化思想。最小化思想或者说最小化原则,在保证访问“够用”的同时,也极大地缩小了被攻击的攻击面;在此基础上加之微隔离的手段,就可以最大程度地避免攻击的范围,以及阻断攻击的传染性。

市场研究公司Markets and Markets预计,到2024年,全球零信任安全的市场规模将达到386.3亿美元(约合人民币 2585.6亿元),年均复合增长率为19.9%。

庞大的市场空间和快速的增长潜力,也让一众参与零信任市场角逐的公司,在今年的二级资本市场上,取得了一个丰收年。从2019年12月31日至2020年12月23日,Zscaler上涨了346.2%,Okta上涨了136.2%,CrowdStrike则大涨了348.2%。

美国投行Wedbush的分析师丹尼尔•艾夫斯认为,“Zscaler将在未来10年的云网络安全转型中占据主导地位。”其实,比这句话更严谨的应该是,零信任将在未来10年的云网络安全转型中占据主导地位。

群雄逐鹿零信任安全,网络安全迎来剧变期

在移动互联网、云计算、大数据、人工智能背景下零信任显然是不是网络安全迭代的终点。当前, ,零信任的高维高阶概念“SASE”就已经被推向了前台。

按照Gartner的定义,SASE(Security Access Service Edge,安全访问服务边缘),指的是集下一代广域网、网络安全服务以及边缘计算于一体的云交付网络。Gartner的预计,到2024年,至少40%的企业将有明确的策略采用SASE。

显而易见,各路IT厂商如果想通往未来的星辰大海SASE,当下零信任安全的一战就不可避免。这也是为什么对零信任安全,各路诸侯都开始群雄逐鹿的原因所在。

在国外,Google、思科、Akamai等厂商最为积极。以谷歌为例,其大名鼎鼎的BeyondCorp已广为人知。经过多年的迭代升级,BeyondCorp已融入大部分谷歌员工的日常工作,让每位谷歌员工都可以在不借助VPN的情况下,通过不受信任的网络顺利开展工作。不仅如此,在BeyondCorp基础上,成功开发出来的基于身份识别的访问代理 IAP,已经成为谷歌云平台上新增加的服务。这也意味着谷歌在零信任安全的商业化方面,已经取得了不小的进展。

而在国内,更是有奇安信、深信服、网宿科技等一众企业开始了对零信任安全的角逐。比如,奇安信就推出了奇安信TrustAccess动态可信访问控制平台、奇安信TrustID智能可信身份平台、奇安信ID智能手机令牌以及各种终端Agent等。

网宿科技今年也推出了零信任企业安全接入ESA(Enterprise Secure Access)这一新产品。网宿ESA不仅采用了零信任访问的框架,而且还集成了网宿科技在云安全和企业应用加速方面的领先技术能力,让用户可以实现随时、随地、在任何终端或边缘安全的连接和访问。网宿ESA这样的整体使用体验效果,已经接近了前面Gartner所极力倡导的SASE模型了。

实际上,零信任安全不仅是中外领先的IT厂商在竞争;国家层面的竞争,同样在激烈的进行着。美国方面,如今已经把零信任安全上升到了国家网络安全的战略高度,比如美国国防部就已经明确将零信任安全实施列为最高优先事项之一。

中国方面,工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术;中国信息通信研究院发布的《中国网络安全产业白皮书(2019年)》中,也将零信任安全提升到了我国网络安全的重点细分领域这一地位。

可以预见,零信任让网络安全、网络交付乃至整个IT行业,都有了新的“兴奋点”。各种频发的网络安全事件,也会让各行各业在信息化、网络化、数字化、智能化的过程中,越发重视网络安全的重要性,一场由零信任安全引发的网络安全领域的剧变,即将来临。

写在最后

不信任任何人,是为了让被信任的任何人值得信任;打破传统内外网的网络边界,是为了重构真正的无边界安全。总之,不信任终究是为了“信任”,无边界到底是为了“有边界”。

,