深入了解零信任網絡訪問 (ZTNA)
傳統的基于邊界的網絡保護將普通用戶和特權用戶、不安全連接和安全連接,以及外部和內部基礎設施部分結合在一起,創建了一個可信區域的假象,很多潛在的安全問題無法解決,越來越多的企業開始轉向零信任網絡訪問來解決這個問題。
隨著云計算、虛擬化、物聯網 (IoT)、BYOD概念以及遠程辦公的蓬勃發展,移動設備數量劇增,網絡的邊界正變得越來越模糊。不僅內部系統和設備必須受到保護,外部系統和設備也需要額外的防御層。因此,傳統的以邊界為中心的方法正逐漸被淘汰。
零信任概念
2010 年,Forrester Research 分析師 John Kindervag 引入了零信任 (ZT) 的概念,作為對傳統網絡邊界保護方法的改進。它背后的基本思想是,在公司網絡內外部都不設任何安全區域或可信用戶。
以下是在企業生態系統中模擬該模型的假設:
- 企業內部網絡不被視為受信任區域。
- 內部網絡上的設備可以由企業人員以外的其他人安裝和配置。
- 默認情況下,不允許信任任何用戶和資源。
- 并非所有企業數字資產都位于企業內部網絡上。
- 所有的連接都可以被攔截和修改。
- 必須監控所有設備和資產的安全狀態,并驗證是否符合既定策略。
需要注意的是,零信任本身只是一個概念,是一組用于構建企業基礎設施安全和控制訪問權限的模糊要求,其可以以不同的方式實施。2018 年,Forrester的另一位專家 Chase Cunningham 提出了零信任擴展 (Zero Trust eXtended, ZTX) 方法,可以從技術、結構和組織變化方面評估零信任實施的效率。
在這一點上,零信任網絡訪問(ZTNA)是幾乎所有市場參與者都認可的模式。ZTNA旨在將零信任的思想應用于實踐。部署 ZTNA 后,邊界保護工具的范圍將超越傳統技術和身份驗證機制,例如代理、網絡訪問控制 (NAC) 和防火墻。此外,工作站和節點是否符合已建立的安全策略將受到持續監控。出色的可擴展性是 ZTNA 模型有別于傳統模型的主要特征之一。
零信任網絡訪問
如前所述,零信任網絡訪問的目的是實現零信任原則。
也就是說,它是一種模型,用于在網絡邊界內外提供對最小資源范圍內的最可控訪問,以便用戶可以完成其日常任務。
基于 ZTNA 的基礎設施的基本原理如下:
- 受保護的區域分割。不要試圖一次覆蓋整個邊界,而是將其劃分為微邊界(應用程序、設備、系統、網絡等),針對每個微邊界建立不同的安全策略、保護和控制。
- 強制加密。所有通信和網絡流量都必須加密,防止惡意干擾。
- 訪問控制。所有用戶、系統、應用、設備和進程每次連接到任何受保護資源時都必須進行掃描。
- 各級最低特權原則。僅授予最低權限,即使對用戶或系統有危害也不會導致對整個基礎設施的未授權訪問。
- 完全控制。持續收集和分析所有基礎設施組件的事件、行為和狀態,確保對安全事件的前期響應。
ZTNA 架構和組件
策略引擎 (PE) 和策略管理員 (PA) 是 ZTNA 模型的基本邏輯元素。前者在用戶、設備、系統和應用四個層面管理訪問策略,后者應用分配的策略,控制對資源的訪問,并監控訪問對象和主體的狀態。
兩者形成策略決策點 (PDP)——檢查用戶或設備以確定他們是否可以進行下一步,策略執行點 (PEP)——負責根據PA的命令連接和斷開企業資源。這些組件構成了系統基礎。用戶和企業服務之間的良性屏障還包括下一代防火墻 (NGFW) 和云訪問安全代理 (CASB)。
ZTNA部署
部署 ZTNA 模型有兩種常用方法。它們的不同之處在于訪問公司資源的設備上是否安裝了其他軟件(代理),由代理軟件負責身份驗證、建立連接、加密、狀態監控等。
在有代理的情況下,用戶或設備使用預先安裝的代理啟動連接。這種技術與軟件定義邊界 (SDP) 模型有很多共同之處,SDP旨在通過身份驗證、基于身份的訪問和動態生成的連接選項來控制訪問。
這種 ZTNA 架構的主要優勢包括對設備的完全控制以及禁止連接未經驗證的設備。但從另一個角度來看,這對企業來說也是不利的,因為它施加了額外的限制。代理必須兼容不同的操作系統和平臺版本,或者企業必須在設備上安裝支持的操作系統版本并及時進行安全更新。
另一種方法是提供基于 ZTNA 的解決方案作為云服務。在這種情況下,圍繞云基礎設施或數據中心中的企業資源創建了一個邏輯訪問邊界,以便它們對外部用戶隱藏。管理員工訪問、控制網絡流量和掃描連接的系統都是通過中介完成的,例如 CASB。
ZTNA架構作為云服務的優勢如下:
- 快速、簡單的部署。
- 成本相對較低。
- 集中管理。
- 良好的可擴展性。
- 無需安裝額外的軟件——因此,這消除了對連接設備的限制,并且在組織 BYOD 原則或遠程辦公時更方便。
主要缺點是缺乏對訪問點的實時控制,這降低了安全級別。此外,缺少預裝代理可能會增加DoS攻擊的幾率。
ZTNA實踐
將零信任原則完全集成到企業基礎設施中需要從頭開始重建。這包括改變內部網絡架構、設備、安全策略,甚至可能改變員工處理公司數字資產的方式。對于大多數大型組織而言,這樣是行不通的,過程非常耗時且成本高昂。
另一種選擇是基于當前資源和功能升級現有的基礎設施。這似乎更合理,也更可行。為了在這種情況下成功地實施ZTNA原則,必須首先對企業的信息安全戰略進行微調,使其符合零信任的概念。
然后對 IT 基礎設施組件進行分析,看看哪些已經在使用的設備和技術可以成為 ZTNA 的基石,哪些需要更換。
首先需要落實以下機制:
- 識別所有用戶和設備。
- 根據連接設備的狀態、所采用的安全策略的合規性以及漏洞掃描的結果,對連接設備進行訪問控制。
- 企業網絡的分段,包括數據中心。
- 基于 BYOD 原則的訪問控制。
- 與企業網絡托管服務和基礎設施交互的每個系統、設備和用戶的身份驗證和授權。
- 數據訪問控制。
- 網絡流量監控。
接著公司就可以開始實施 ZTNA 模型,通過將其與保護企業邊界的傳統方法相結合來保護云資源和遠程連接。
全球 ZTNA 市場現狀
盡管零信任的概念早在十多年前就出現了,但疫情帶來的遠程辦公需求激增才是促使ZTNA發展的主要驅動力。
據 Gartner 稱,到 2023 年,預計 60% 的公司將放棄使用虛擬專用網訪問企業資源,轉而使用零信任網絡訪問解決方案。Pulse Secure 在其 2020 年零信任訪問報告中表示,大約 72% 的組織計劃利用零信任來降低信息安全風險。
ZTNA也是SASE的關鍵組件,SASE是Gartner 在 2019 年提出的云安全綜合方法。除了ZTNA,還包括軟件定義廣域網 (SD-WAN)、安全 Web 網關(SWG)、云訪問安全代理 (CASB) 和防火墻即服務 (FWaaS) 。
零信任網絡訪問的概念是傳統企業安全方法適應當今環境而產生的。盡管零信任概念越來越受歡迎,但對于某些企業而言,傳統的信息安全方法仍然適用,因為云技術和遠程訪問對他們來說都是不可接受的。例如,這軍事結構、政府以及處理機密信息的公司。
原文:Zooming Into Zero Trust Network Access (ZTNA) Philosophy
