飞机飞行 发表于 2021-5-22 14:13

直击RSAC 2021 |数字安全新时代下,零信任将如何“与狼共舞”?

云计算、物联网、移动办公等新技术与业务的加速融合,让传统网络边界逐渐变得模糊,传统边界防护手段已不足以有效应对新时代的威胁与挑战。



在此背景下,以“从不信任、始终验证”为核心原则的零信任概念应运而生,并迅速成为热门话题。尽管本届RSAC大会的主题是“弹性”,但如果稍作统计就会发现:零信任是当之无愧的关注焦点,相关议程多达30余个。



本文我们将基于咨询公司Gartner与Forrester的看法,结合RSAC大会中的零信任议题,与读者共同探讨:数字新时代,“零信任”安全模型如何“与狼共舞”。



启程篇:零信任概念大潮初起



2010年,Forrester首席分析师JohnKindervag首次提出“零信任”概念。其核心思想是默认不信任任何人和设备,经过验证后才能被允许访问资源和应用。其重要原则包括先认证再访问、最小权限、访问行为持续评估、多因素风险确认、根据风险动态调整安全策略等。



自2018年起,Forrester又将零信任概念扩大为“零信任扩展(ZTX)生态系统”,视角从网络防护扩展到用户、设备、网络、应用、数据、分析、自动化等安全生态领域。






图-零信任扩展(ZTX)生态系统的七大支柱



综合来看,零信任是一套思想理念,是一种安全访问模型(零信任访问模型),是一个企业安全架构(零信任架构),是一个安全生态系统(零信任扩展生态系统),可以说零信任引发了安全领域的思维转变:



从“以网络为中心”转变为“以数据为中心”。零信任本质上是围绕着关键数据/资源/业务开展的,只要有数据流动的地方,都适用零信任管控思想。



从“以网络为边界”转变为“以身份为边界”。传统边界模型用一道物理边界划分出内、外网,看似简单,实则粗糙。零信任则以身份构筑新边界,重建了边界的有效性。在零信任中,边界并没有消失。只是对边界的认识已经演变,从物理边界转变为虚拟边界。


从“由外到内”转变为“由内到外”。传统的边界防御模式,主要采取了从外到内的方法,即是针对外部攻击的防护,主要关注的是攻击面。而零信任作为一种从内而外的保护方式,必须弄清楚什么对我的业务/使命是重要的,而这被称为保护面,需要确保在保护面周围,有细粒度控制、可见性、保护措施。



从“隐式信任”到“显式信任”。传统边界模型的最大问题是过大的隐式信任区,即整个内网环境都是隐式信任区,导致对手一旦攻破边界就通行无阻。而零信任的核心目的就是要消除“隐式”信任区,所有的信任应该通过信任评估“显式”赋予,这也是零信任贯彻“最小权限”思想的反映。



从“允许所有”转变为“拒绝所有”。这种转变类似于从黑名单到白名单。传统的安全模式类似黑名单方式——“允许所有、拒绝例外”,即允许绝大多数网络访问,仅拒绝少数例外情况;而零信任的安全模式类似白名单方式——“拒绝所有、允许例外”,即拒绝大多数网络访问,仅允许少数例外情况,而这少数“例外”情况正是经过认证和授权的合法访问。



从“一次认证”转变为“持续评估”。在传统边界模型中,一旦突破网络边界,就可以在内部自由穿梭,这正是静态认证和过度信任导致的结果。而零信任采取持续性评估的方式,即便是攻击者窃取了合法用户的凭证,访问到数据和资源,也可以通过持续监测和评估访问行为模式的方式,来分析和识别出行为异常,进而发起审计告警、重新认证或强制阻断。





发展篇:SASE——通往边缘零信任之路



2019年末,Gartner在《网络安全的未来在云端》报告中提出面向未来的SASE(安全访问服务边缘)概念,开辟出边缘安全的新天地。本届RSAC上,Cisco在《GettingStarted With SASE Connect Control and Converge With Confidence》报告中的一张图,非常形象地说明了SASE的含义:





图-Cisco对SASE的名称解读



可以看出:



SASE是集网络安全服务、下一代广域网、边缘计算于一体的云交付网络。

SASE愿景的实现需要以安全、网络、订阅、云四大战略为基础。

SASE的难点:在SASE的主要组成要素中,全球性分布式的边缘部署在实操层面中是最难的,而这也意味着对客户传统网络架构的重构。





对于零信任与SASE二者之间的区别,本届RSAC大会上,趋势科技在《混合云的零信任挑战:真相与神话》(The Zero Trust Challenge for Hybrid Cloud: Truths vs Myths)议题中,对此做了解释:





图-SASE和零信任的对比



简单来说, SASE是零信任模型的一种形式,相当“边缘零信任“。



2021年1月,Forrester在发布的《为安全和网络服务引入零信任边缘(ZTE)模型》报告中,在上述理念的基础上,正式提出了ZTE(零信任边缘,Zero Trust Edge)概念。



Forrester在该报告中指出,零信任主要有两类概念:



一是数据中心概念:即资源侧的零信任。

二是边缘概念:即边缘侧的零信任访问安全。而这正是ZTE(零信任边缘)。










对于这一模型,Forrester在《将安全带到零信任边缘》报告中解释说:零信任边缘(ZTE)模型与SASE模型是相似的。而主要区别在于:零信任边缘模型的重点在零信任。



我们姑且将ZTE与SASE统称为“边缘安全”。既然ZTE与SASE相似,为什么Forrester还要提出ZTE?我们认为,Forrester希望把零信任边缘(从而也就把SASE)作为零信任的重要场景,纳入零信任版图。



当然,我们认为,ZTE和SASE还有一些显著区别:



耦合性区别:SASE强调网络和安全紧耦合,所以要求单一提供商提供全套SASE产品;ZTE强调网络和安全解耦,认为可以多个供应商集成。

路线区别:SASE强调网络和安全同步走;ZTE强调零信任先行,网络重构滞后。

名称区别:SASE强调安全访问;ZTE强调零信任访问。





综上,Forrester先提出了零信任,Gartner后提出了SASE,最近Forrester又提出了ZTE(零信任边缘)。如果我们把零信任和SASE/ZTE想成一个愿景的不同阶段,将它们相互融合,就可以更好思考如何分步推进的问题。



落地篇:以零信任,重建信任



大安全时代需要新的安全观。重新评估企业安全架构,以零信任重建信任,提升网络安全能力迫在眉睫。在云计算、大数据、物联网、人工智能的浪潮下,网络安全已经到达关键转折点,全球各国正陆续转身、顺势而为。



2020年8月,美国国家标准与技术研究院正式发布NIST SP 800-207零信任架构指南;

2020年10月,英国国家网络安全中心发布《零信任基本原则》草案,为政企机构迁移或实施零信任网络架构提供参考指导。

2021年5月,美国总统拜登发布行政命令以加强国家网络安全,明确指示联邦政府各机构实施零信任方法。美国国防部零信任参考架构也公开发布。







图-美国国防部零信任参考架构



反观国内,零信任的实现原则是集中化决策和分布式执行,即由一个决策中心,基于多种信息输入来进行集中化决策。这与360安全大脑基于统一全视大数据的集中分析决策机制是完全一致的。



作为国内最大的网络安全厂商,360政企安全集团充分吸收零信任和SASE模型的优点,并基于十五年深耕安全领域积累的安全大数据、实战型攻防安全专家团队、漏洞挖掘、一线APT狩猎形成的安全知识等核心能力,构建出360数字安全能力体系,持续赋能360连接云平台,提供 “端+管+云+网 ” 一体化的安全解决方案。



360连接云平台基于零信任和SASE理念的新型网络基础设施,可通过全网分布式PoP接入节点,为客户提供基于身份的连接平台和安全订阅服务,使“安全连接一切”成为可能。





图-360连接云平台



从“网络边界”到“身份边界”,从“信任”到“零信任”,在这一轮新的网络安全战局中,“与狼共舞”或成常态。而新局之下,数字新时代将如何走向零信任深处?我们拭目以待!


来源    360政企安全

卫士之圣 发表于 2021-6-3 17:29

看看了吧
页: [1]
查看完整版本: 直击RSAC 2021 |数字安全新时代下,零信任将如何“与狼共舞”?