Zero Trust 架构构建蓝图

目录 前言3 混合办公与云应用程序打破了既往的网络安全模式4 Zero Trust安全架构5 企业如何创建Zero Trust架构？6 Zero Trust不利的一面7 Zero Trust组成要素8 Zero Trust网络访问10 选购Zero Trust网络访问解决方案时的考虑要点 11 构建Zero Trust蓝图时关于多重身份验证的考虑要点 13 微分段14 微分段领域的差异化因素15 DNS防火墙17 DNS防火墙投资的核心Zero Trust要求18 威胁监控19 从何处入手？20 从微分段入手的理由21 平台与专用工具的对比22 结论23 前言 Zero Trust的概念大约始于2009年，当时Forrester Research率先力推这一概念，并向企业发出了预警，指出应彻底改变传统模式，应避免向通过网络边界的任何用户或应用程序授予无限制的访问权限。他们指出，企业应先验证所有设备、用户和网络流，然后才能授予完全访问权限。在那之后的数年中，受多方面因素影响，采用Zero Trust概念的紧迫性日渐提升。 在当今混合工作模式下，员工可能在不同地点工作，而且自带设备(BYOD)计划也允许员工使用公司管理和非公司管理的设备访问公司应用程序和资源。应用程序可以托管在任何地方，即云端、本地或混合环境。这些变化的最终结果是，原有的网络边界已不复存在。勒索软件攻击的频率和复杂程度都在增长，攻击者突破防御机制的几率更高，一旦他们成功入侵，给企业造成的代价也更高。《2024年IBM数据泄漏成本报告》中指出，美国的数据泄露平均代价全球最高，达到936万美元。此外，诸如物联网(IoT)设备等联网设备不断增长，合作伙伴和客户也对网络访问提出额外要求，在这些因素的共同作用之下，企业的攻击面显著扩大。 在这种不断发展演变的网络安全环境中，网络与安全软件供应商争先恐后地用Zero Trust宣传自己的现有产品，或推出相应新产品，顾问与分析师则纷纷推出新的缩略词和市场定义。这导致安全团队难以解读这些有时较为复杂的概念，难以做出购买决策，来为过渡到Zero Trust策略的举措铺设基础。 本白皮书旨在确定投资Zero Trust的切入点，并概述重要差异化因素，从而帮助安全团队规划投资这项技术的蓝图。 混合办公与云应用程序打破了既往的网络安全模式 人们工作的时间、方式和地点均已经突破了办公室的限制。 网络边界不复存在——至少不再是可辨识的形式。您的用户有可能位于众所周知的防御层之外，也有可能位于防御层之内，两种情况的可能性相当。他们所使用的软件即服务(SaaS)类应用程序和多云实施也在激增。面对技术尖端和持久不断的威胁，一旦攻击者侵入网络，您就极有可能在不经意之间将重要资产的完全访问权限授予这些入侵者。在攻击者进入您的网络之后，如果您不具备全面的Zero Trust计划，他们可能就会为所欲为。 这不仅仅是理论。近年来发生的影响广泛且代价高昂的数据泄露事件证明了这一点，其中大部分事件的原因就是网络边界内的信任滥用。 与此同时，有些应用程序设计部署在网络边界之内，它们的安全状态通常堪忧。毕竟，如果您是开发人员，并且认定只有经过授权的、善意的员工才会访问您的系统，那您的防御意识还会像如今的编码人员（知道大量黑客会尝试攻击基于互联网的应用程序）一样强吗？ 纵观整个市场，能应对这些挑战的解决方案就是Zero Trust。 Zero Trust安全架构 Zero Trust背后的原理十分简单，但又无比强大：信任与位置无关。您不能仅仅因为某个东西位于您的防火墙之内便信任它。反之，无论是发生在何处的任何操作，只有获得明确许可的操作才能得到信任。最终，只有应该发生的操作才能够发生。企业需要消除对不必要操作的所有默示信任。例如，在只有少数用户需要财务系统访问权限时，为财务会计组中的所有用户授予访问权限会造成风险，而且毫无价值。 证明这一点的方法是强大的身份验证和授权，在建立信任之前，系统不应传输任何数据。此外，还应采用分析和日志记录来验证行为，并且持续监控入侵信号。 这种基本的转变在过去十年中抵御了大量入侵。攻击者无法再像以前一样，利用边界中的漏洞进入防御层以内，然后滥用您的敏感数据和应用程序。至此，防御层已经不复存在。只有应用程序和用户，每个应用程序或每位用户在访问发生前均必须相互验证身份并验证授权。 企业如何创建Zero Trust架构？ 首先，所有企业都需要为其现有环境制定战略，并确定是否需要为其员工队伍招募新人才，以及何时需要这样做。该流程中的这一关键步骤可以用一整篇论文来专门论述，但有助于履行Zero Trust战略的实际产品应由三个目标推动。 不相信任何实体，始终需要验证。1 这句话还可总结为更简单的说法：“从不相信，始终验证”。如果只是简单地隔绝对所有系统、所有数据的访问，您就相当于锁定了系统。真正的难点在于始终验证，但又不会造成重大业务中断，特别是考虑到大多数系统在设计时均以默示信任为前提。您需要广泛地监测并控制所有类型的访问，还需要简单且实用的方法来实施和维护策略。 完成验证后，确保提供尽可能少的访问权限。 在Zero Trust环境中，一旦用户通过验证，必须确保仅授予其角色所需要的访问权限。 持续监控威胁。 大多数业内专家都会告诉您，Zero Trust是一种持续不间断的做法。在企图入侵企业防御时，攻击者采用的手法日渐复杂，企业必须持续监控、验证并限制访问权限。Zero Trust模式有一种优势，它不关注攻击者在干什么，而是关注企业自身在做些什么。一旦实施了真正的Zero Trust策略，攻击者就很难一次性破坏您的业务运营所需的全部资源。理想情况下，您可以在攻击链上的某个点阻止每一次攻击。这也包括阻止未曾设想过的攻击的能力。您也不必考虑它是不是零日攻击，因为Zero Trust都能帮您抵御。 Zero Trust不利的一面 但在企业开始实施Zero Trust时，还必须考虑到这种永不信任、限制访问权限的模式也有不利的一面。从根本上来说，Zero Trust主要是使用拒绝列表来限制访问。这种做法明确指定了允许执行的操作；并且默认拒绝其他一切操作。这确实可以削弱攻击者从事恶意活动的能力，但往往也会增加意外地造成其他人无法正常工作的可能性。或者，反复核查工作负载和设备的做法可能会导致延迟积少成多，最终造成不满。如果Zero Trust策略造成用户无法有效完成工作，那就不具备可行性。 因此，强大的Zero Trust策略应该在安全性与顺畅访问之间取得平衡。它还需要在可以有效实现的目标与安全团队的资源（预算和人员）之间达成平衡。 Zero Trust组成要素 从Forrester最初提出Zero Trust概念至今，已经过了15年。许多企业的Zero Trust之旅才刚刚起步，面临着错综复杂的软件产品市场。在这个市场中，有些产品已经发布多年，并着重满足Zero Trust架构特定部分的需求，还有许多新近涌现的新产品，更有许多软件提供商迅速采取行动，将其产品改头换面为Zero Trust产品。此外，许多分析师和行业观察家都会告诉您“Zero Trust不是某一种产品，而是一种全方位的策略”以及“Zero Trust并非终点，而是一段旅程”。但对于需要制定Zero Trust技术解决方案决策的买家而言，这些一再重复的声明并无帮助，甚至有可能让人更加迷茫。 由于没有单独一种产品能让企业实现Zero Trust，而且每一家企业的优先事项和薄弱环节都有所不同，所以每家企业的起点都不尽相同。但由于技术的进步和行业的整合，企业如今可以从单一来源获得实施Zero Trust策略所需的多种工具。分析机构也开始认识到这一点。 Zero Trust原则 始终假定网络是危险的 策略必须是动态的，并通过尽可能多的数据源计算得出 仅凭网络位置，不足以判断在网络内的可信度 所有设备、用户和网络流均须经过身份验证和授权 Gartner跟踪了所谓的安全服务边缘(SSE)，也就是安全Web网关、云访问安全代理和Zero Trust网络访问(ZTNA)的组合。在《实施Zero Trust时需要启动的有效项目》报告中，Gartner还纳入了微分段（他们称之为“工作负载之间的分段”），并给出了这样的建议：“如果企业希望有效实施Zero Trust，则应关注两个主要项目：用户与应用程序之间的分段(ZTNA)以及工作负载之间的分段（基于身份的分段）。” 与其类似，IDC则将Zero Trust归结为安全访问和分段，并将其定义为运用逻辑分段、访问控制和威胁检测来保护计算系统、资源和数据的各种新兴技术与传统技术所构成的综合视图。 但其核心挑战在于将这些彼此独立的系统整合起来，形成一种协调一致的策略。在构建适用的Zero Trust架构时，CIO、CISO和其他安全专业人员应该关注哪些关键要素？ Zero Trust网络访问 有时，人们会将ZTNA与Zero Trust的整体实现方法混为一谈，但ZTNA实际上是该技术堆栈的基础部分。在任何Zero Trust框架中，安全访问都是至关重要的初始步骤。遗憾的是，与该过程中的许多要素相似，这个步骤的复杂性很快就会超出预想。安全访问并不是二选一的决策。用户与应用程序的分布日渐广泛，在适当的时机，为适当的用户授予对适当应用程序的适当级别的访问权限，这变得愈加复杂。实际上，在对用户的确切定义中，现在还可以包括客户、供应商、合作伙伴和员工。与此同时，应用程序可能包括传统应用程序、SaaS或移动应用程序，访问来源和访问目标涉及到数据中心、互联网或云环境。 有效的ZTNA解决方案将验证用户的身份及其设备的运行状况，并验证他们能否访问所需应用程序（无论用户位于何处），从而减少可能的受攻击区域，同时提高灵活性并改善监控。数十年来，企业一直依靠由身份提供商支持的虚拟专用网络(VPN)来提供访问权限。世易时移，面对当今分布式员工队伍的规模和范围，这些VPN已经力不从心。ZTNA已取得长足发展，不仅能取代VPN，还能根据用户及其设备的身份验证结果及多种属性（时间和日期、地理位置、设备安全状况等）来给予其适当的信任级别，进而授予访问权限。 选购Zero Trust网络访问解决方案时的考虑要点 随着企业开始使用更复杂的身份管理解决方案取代较为陈旧的VPN，他们需要考虑多方面的因素。当今更为先进的解决方案应融合身份和访问管理、应用程序安全、多重身份验证(MFA)与单点登录，并通过单一界面提供管理监测能力与控制能力。对于致力于实施ZeroTrust计划的企业，应选择既能满足当前需求，又能随业务而扩展的解决方案，从而帮助通过并购公司而获得的员工快速融入新环境、支持不同市场或地理位置的制造或生产、轻松增加和移除承包商以适应不断变化的业务需求，以及以颇具成本效益的方式将应用程序迁移到云端，同时保证不牺牲安全性。 理想的解决方案应能直接集成企业现有的身份基础架构，即使其中涉及到多家目录和身份服务提供商。这样，企业即可在不必更改现有身份基础架构或架构的前提下，快速部署ZTNA服务。 关注边缘 市面上的产品之间还存在一个至关重要的差异化因素，而Zero Trust采购团队可能会忽视这个重要考虑要点。整合边缘云平台的解决方案可充当身份感知代理，从而消除与边缘平台的连接，确保在远离数据中心的边缘完成所有身份验证，给企业带来额外的优势。有些企业采用的是在DMZ内运行的访问代理架构，但这种方案无法利用云的能力来更好地吸收攻击、提供缓存带宽，以及按需自动扩缩。 在云端构建的身份感知代理可以按需扩缩，运行CPU密集型资源，并有效吸收攻击。此外，这种方案基于私有IP地址，无法直接通过互联网访问。对性能和安全最为敏感的活动发生在最靠近最终用户的边缘。此外，进入应用程序的敏感进入路径使用了反向应用程序隧道，这有效去除了边界的IP可见性，并降低了流量攻击的风险。 整合边缘云平