用SASE加速零信任网络
星期五, 十二月 25, 2020
内容大纲如下:
1. 零信任网络 ZTNA
1.1 零信任是什么?
1.2 零信任要解决什么问题?
1.3 零信任改变了什么?
1.4 建设零信任网络的挑战有哪些?
2. 安全访问服务边界 SASE
2.1 什么是SASE
2.2 SASE的特点
2.3 SASE如何加速ZTNA的落地
(Zero Trust Network Access,ZTNA)
零信任是最近两年在安全圈里特别火的概念,大大小小的安全厂商都在自己的方案里加入了零信任的概念,各种零信任标准规范也如雨后春笋一样陆陆续续的发布。关于零信任的见解文章网上已经很多了,基本的概念这里就不细说了,感兴趣的读者可自行上网搜索。
这里主要谈谈我们自己对零信任网络的理解和实践。
1.1 零信任是什么?
零信任是一种安全架构的设计思想,它并非一个具体的新技术、产品或者方案。能实现零信任的方法有很多,例如:CSA的SDP、Google的BeyondCorp、NIST的SP800-207、还有各种国内外零信任规范和标准,这些方法各有各的主张,各有各的优缺点,这里不做详述。
零信任并不能解决所有安全问题,零信任只是面向可管理用户、终端和业务资源之间的安全访问,对于面向公众的业务则无能为力。
零信任网络是自适应安全架构的基础之一,零信任只解决了部分安全问题,不是网络安全的终极目标,一个好的零信任网络架构能加速自适应安全模型的落地。
1.2 零信任要解决什么问题?
零信任要解决的核心问题只有一个:在无边界网络环境下,确保所有的业务访问都是由可信的人、终端或系统用可信的方式访问可信的资源和数据。
零信任的本质是消除传统边界安全模型中遗留的隐含信任漏洞。例如,在传统边界安全模型中通常认为来自内网的访问是可信的,认为经过认证的人就一直是可信的等等。这些隐含信任漏洞是导致企业内部威胁和APT攻击防不胜防的主要原因。
要消除这些隐含信任需要做到以下三点:
1). 摒弃内外网概念,尽量将安全关口向两边前移,缩小信任边界
在传统边界安全模型中,安全边界通常位于内外网之间的网关处,大多安全检测、流量过滤、访问控制都是集中在网关处执行,默认认为内网是可信的,只要防住从外网到内网的恶意访问就行了,而内网中的访问源是否真的可信是没有经过任何确认的。
零信任要消除隐含信任,这种粗暴划分内外网,默认信任内网的方式已不再适用。我们应该将信任边界尽量的缩小,至于缩多小,取决于企业选择的安全尺度,一般情况下把信任边界放到访问终端上和业务资源前就能满足绝大多数企业需求。
无论是在互联网上,还是在企业内部的网络中,边界之外全都是不可信区域,所有流量必须全程加密传输。
如果要求更高,也可以进一步将信任边界放到进程和数据前面,当然这对企业的安全能力要求也会更高,这里就不讨论了。
2). 确认四个可信:人可信、终端可信、资源可信、行为可信
零信任不是没有信任,而是要处处确认是否可信任。
如果我们把信任边界缩小到终端和业务资源,那在业务访问过程中主要需要考虑人、终端、资源和行为这四个方面的可信。
在业务访问之前需要确认的是:人、终端和资源的可信。常见的做法是将认证授权中心独立于业务访问网络,所有人、终端和资源先认证授权再允许接入业务网络。
在业务访问过程中需要确认的是:行为可信。常见的做法是将业务访问行为完整记录下来,通过网络行为可信分析,确认人、终端和资源可信状态是否出现变化。
原来对安全就比较重视的企业大多已经具备各种对人、终端、资源和行为可信判断的安全产品了,比如:IAM、4A、UEBA、SIEM、SOC、态势感知等等。企业完全没有必要为了零信任重新采购类似功能的产品,只要把原来这些产品以信任度为主线整合起来就足够满足零信任的要求了。
3).持续验证,动态调整授权
零信任概念里信任是随时变化的,没有永久的信任。因此在业务访问之前虽然已经完成了人、终端和业务的可信判定,但给予的授权只是初步静态授权。在访问源对资源的访问过程中需要全程监测访问行为,一旦发现有异常行为需要及时降低访问源的可信度,对访问源进行再次认证或者减少访问源的访问权限。同样对业务资源也需要进行监测,例如资源被污染(如:网站被挂马),则需要动态调整资源的被访问权限。
1.3 零信任改变了什么?
1). 摒弃内外网的概念
所有连接都是端到端的,中间网络不可信。无论是从互联网另一头访问,还是在数据中心隔壁接入,无论是访问云上业务,还是访问自建机房的业务,都必须先通过集中认证,再按最小授权接入,并全程加密访问。
企业建设零信任网络不是为了安全的远程连接,如果只是建立远程安全访问隧道,用VPN就挺好,没必要重复建设。企业建设零信任网络的目的是为了构造一个全新的可端到端管控的加密业务网络,所有业务访问在这个网络里按照零信任的安全原则进行。(注意,是所有的业务访问。在大型企业内部随着零信任网络的普及,必然会出现大规模访问的问题,使用VPN技术实现零信任的方案会在访问量大的时候遇到性能上的大坑)
2). 改变了认证授权和接入的顺序
传统认证模式是先接入再认证。在零信任网络里是先认证授权,再按最小授权接入。通过这种方式可以将业务资源隐藏起来,未认证授权的访问者根本看不到业务资源。
这里需要提一下,在CSA的SDP规范里,提到了在传输层用单包授权(SPA)方式实现业务资源隐藏。这种方式能起到一定作用,但有两个缺陷:1.依然在互联网上暴露了业务资源的访问IP地址,2.由于性能问题不适合大规模使用,比如:在物联网环境下使用。至于那些直接将管控中心或网关直接放到互联网上,或者放到企业内部网络但使用VPN接入的方案,只能说是伪隐身了。这样做不但没有更安全,反而增加了新的风险点。
3). 身份成为安全策略的核心要素
企业需要一套权威的认证授权和策略管理平台,集中对用户、终端、资源进行管理,所有的安全策略需要以这些身份为基本要素进行设置,不再完全依赖IP地址进行设置。
端到端的访问控制必然会产生更多的控制点,企业必须通过统一的认证授权和策略管理平台对所有控制点进行统一集中管控,并且策略的执行必须分布在终端和业务资源两个安全关口上执行。否则一旦用户数量上来了,在管理上和性能上都会成为巨大的灾难。
4). 安全能力边缘化
在零信任网络中,端到端之间的网络全程加密,因此原本在内外网边界部署的安全设备会失效,比如NIPS、DLP、WAF等。
解决办法有两个:
*uCPE:通用客户端设备(Universal customer premise equipment)是一种可以通过网络或安全功能虚拟化,将以云计算为核心的技术一直延伸到企业内的通用设备,可动态加载或卸载网络或安全功能。
5). 将监测与管控融为一体
在大多数企业里类似SIEM、SOC、UEBA这种行为分析平台都是旁路部署的独立平台,其目的主要是发现安全事件,但需要联动处置的时候需要跟各种管控系统对接。干过对接这种事的读者应该都有体会,这都是看起来很美好,做起来要人命的事。
零信任要求持续的可信评估和动态的策略调整,一旦发现安全问题就要及时处理,这也就意味着
监测和管控必须融为一体。可以推测,EDR、NDR、SOAR这类产品会在零信任网络中换一种形式存在,并发挥更大的作用。
1.4 建设零信任网络的挑战有哪些?
1). 涉及的安全能力太多
零信任网络涵盖的安全能力太多,很难一步建设到位。企业没有必要纠结一步到位,完全可以根据自身特点稳扎稳打,逐步建设。如图所示:
第一步:端到端可管控网络
这是零信任网络的基础,端到端网络可以将信任边界缩小至企业能承受的最小状态,例如一个终端就是一个最小边界、一个业务资源也是一个最小边界。最小边界之间默认互相不可访问,只有配置了访问控制策略才可访问。
第二步:集中认证和策略管控
完成网络对象身份化,用户、终端、资源在这里集中管理,静态的授权策略在这里集中配置,由端到端可管控网络执行。
第三步:终端资源可信分析
对终端环境和资源状态进行实时监测,根据监测结果给终端和资源可信度进行量化赋值,静态授权策略可参考赋值结果进行自动调整。
第四步:业务行为可信分析
对用户的业务访问行为进行分析,根据监测结果给用户可信度进行量化赋值。
第五步:持续监测动态授权
依据用户、终端、资源的实时信任度变化生成动态策略调整建议,并交由端到端网络执行。
第六步:接入企业自适应安全治理闭环
零信任不是安全治理的全部,但零信任解决了企业内部业务的安全访问问题,最终零信任需要服务于企业完整的自适应安全治理战略。
2).超大规模带来的问题
零信任模型改变了所有的内部业务访问方式,而不仅仅是远程业务访问。这意味着企业所有员工的业务访问都将以端到端的方式进行,无论是加密后的会话数,还是安全策略数,都将比传统边界安全模型下多得多。传统的IPSec、SSL VPN技术,集中式的访问控制都无法满足这种超大规模场景。建议企业在方案选型的时候就要考虑将来规模扩大的问题,避免随着零信任网络在企业内的铺开,遇到骑虎难下的尴尬局面。
3). 建设成本
任何安全方案都必须考虑建设成本,为了向零信任网络升级,对现有网络进行大规模改造是任何企业都无法接受的。没有几家企业能像Google一样,网络架构、网络设备、终端、操作系统、浏览器全部自主可控,可以花好几年时间对全链路进行改造。因此在考虑建设零信任网络时,必须把建设成本放到第一位。
(Secure Access Service Edge,SASE)
零信任网络的基础是一个可软件定义的基于身份策略的端到端网络。但从企业现有的物理网络上进行改造必然会花费巨大成本,没有这个基础的网络架构,零信任的其他功能又像空中楼阁一样看着很美好,实际难以落地,或者说虽然看着好像落地了,但当规模起来后将遇到无法规避的大坑。
Gartner在2019年9月发表了题为《The Future of Network Security Is in the Cloud》的报告,报告详细描述了安全访问服务边缘的概念(Secure Access Service Edge,SASE)。
2.1. 什么是SASE?
在Gartner的定义里,安全访问服务边缘(SASE)是一种新兴的服务,它将广域网与网络安全(如:SWG、CASB、FWaaS、ZTNA)结合起来,从而满足数字化企业的动态安全访问需求。SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
2.2. SASE的特点
以身份为中心,通过用户和资源身份决定网络互联体验和访问权限级别。采用身份驱动的网络和安全策略,企业则无需考虑设备或地理位置。
SASE架构利用云的几个主要功能,包括:弹性、自适应性、自恢复能力和自维护,分摊客户开销以提供最大效率,适应新兴业务需求,而且随处可用。
为企业资源创建一个独立的安全网络,涵盖移动用户、PC用户、云资源、数据中心资源、总部资源、分支资源等。
全球分布,扩展企业网络覆盖面,确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验。
关于SASE的其他介绍这里就不细说了,感兴趣的读者可自行上网搜索。
2.3. SASE如何加速ZTNA的落地
SASE与零信任架构、CARTA的理念一致,都是基于身份的访问决策,但SASE涵盖的内容非常多,目前几乎没有一个SASE厂商能提供完整的SASE功能。我们也没必要照本宣科地做一个庞大的SASE产品或服务,这里只需借鉴SASE架构的思想,把重点放到建设一个端到端的零信任网络上即可。
SD-WAN是SASE的核心网络能力。SD-WAN在物理广域网上叠加了一层虚拟网络(即Overlay网络),将站点边缘连接起来。当站点访问流量到达边缘设备时,SD-WAN根据业务特点或网络服务性能和可用性评估结果,为数据包选择最优的WAN路径,提升用户体验。
但我们的目的是建设零信任网络,因此需要将SD-WAN进行扩展,从站点边缘延伸到访问终端以及业务资源边缘,把访问终端和业务资源映射到虚拟网络中,形成全球覆盖,包含WAN加速网络和访问终端、业务资源的企业私有Overlay网络。在这个Overlay网络里所有终端与业务资源都是端到端互联,彼此形成一个完全互联的网络(FullMesh网络)。
采用Overlay技术来建设零信任网络有以下优势:
突破了物理网络限制,不用再考虑复杂的物理网络结构和路由交换策略。原来在物理网上改造需要几个月才能交付,使用Overlay后交付时间可以压缩到几天,甚至几个小时。管理员在运营时无需再考虑物理网络限制,可以将精力聚焦在人、终端、业务资源和数据这些安全核心上。
参考资料:
The Future of Network Security Is in the Cloud
Forrester Five Steps To A Zero Trust Network
Gartner Market Guide for Zero Trust Network Access
SDP Architecture Guide v2
NIST.SP.800-207-draft
绎云科技是一家致力于让网络连接更安全、业务协同更高效的创新公司。绎云为客户提供创新型安全网络服务以及产品,可在不影响业务的前提下降低企业网络复杂度,优化安全运营效率,协助客户在数字化转型过程中实现安全架构的稳步升级,打造自适应的安全运营闭环。 陈坤鹏,绎云CEO&创始人,资深网络安全专家,近20年网络安全行业从业经验,曾在国内多家上市安全企业担任安全产品总监等重要职位,在安全产品设计、研发、解决方案设计等方面具有丰富的实战经验。