自从RSA发布了零信任以后,国内安全厂家和安全同仁一直在讨论零信任:很多安全公司推出了各种各样的零信任产品,比如SDP、桌面沙箱等等;甲方企业安全从业者也在各种场合讨论零信任,有人说零信任是一种技术,有人说零信任是一种概念,有人说零信任是新瓶装旧酒,还有人说零信任在企业根本无法落地…。前段时间,阿肯受腾讯安全之邀,分享了我对零信任的理解以及在企业的落地实践。
要说清楚零信任以及在企业的落地实践,阿肯认为可以从以下几个问题探讨:什么是零信任?为什么这个时候行业关注零信任?零信任解决企业什么问题?不同企业不同场景如何落地零信任?零信任对安全厂商的影响?
作者:阿肯 本文来源:阿肯的不惑之年
一、如何一句话说清楚什么是零信任
1、NIST关于零信任的描述好几十页,主要的意思简单总结如下:
被访问的各类资产是在安全区域,需要重点保障安全,这些资产本身也是安全的,默认外部任何人无权访问;
访问这些资产需要经过多重认证,且每次访问连接要经过鉴权认证,通信连接是安全的;
谁能访问这个区域的什么资源需要经过严格的授权,遵守最小化原则;
需要有用户/设备的行为数据,动态调整资源访问策略;
需要动态监控分析资产各类安全状况及使用信息,以便对不安全行为进行快速判断和响应;
零信任主要架构,一种是应用门户型,一种是超级网关型,还有一种是agent方式,以下是前面两种的逻辑示意图,也是阿肯认为最有可能在企业落地的方式:
从以上我们可以看到,零信任不是一种技术、一个产品,而是一种安全架构,其中涉及到很多技术产品的组合使用,不同的公司需要根据自身的情况,选择不同的一种或多种架构去实施落地,而不同的架构中会涉及到不同的产品和技术。
2、“一句话安全”说清楚零信任架构包含哪些内容
大家看NIST的零信任介绍会觉得很绕,就像20年前看27001一样,阿肯认为一句话安全≈零信任,企业按照“一句话安全”建设,基本上就可以做好零信任架构的落地:安全的员工,使用安全的设备,经过动态的鉴权,精细化的授权,访问安全的系统。一句话安全是一种安全业务架构,架构安全了,整个房子就有了基本的安全保障。
“一句话安全”包含哪些东西,如何落地建设,阿肯在“掌握企业安全建设的1+N,你就拿到了通向未来CISO的钥匙!”里有详细介绍,这里就简单罗列一下“一句话安全”架构涉及的安全产品:员工安全产品、终端安全产品(加密、桌管、轻量沙箱、杀毒)、认证中心、授权中心、安全网关/应用门户、安全ERP(作业中心、预警中心、UEBA、风险地图、报表中心、稽查中心…)、安全自动化平台、SOAR。关于“安全的系统”,企业之前该怎么做现在还是怎么做。
二、为什么这个时候行业内如此关注零信任
在讨论零信任在企业的落地方式前,我们需要简单分析一下零信任在这个阶段被人们关注的原因。
零信任的概念并不新鲜,为什么现在被大家关注,阿肯认为有几个方面的原因,一是因为技术上,企业在大规模上云、IOT/OT场景快速增加、5G在百行千业的逐步推广,这些都 让企业的办公网边界会越来越难于管控,企业会将重点放到数据中心的资产保护上面;二是因为国内企业正处于产业互联转型和数字化转型的大趋势,数据安全需求迫切,远程办公需求也在不断增加,网络安全就是生产安全,也在逐渐成为企业业务的一部分,企业必须把系统和数据资产本身的使用授权问题放到重中之重考虑;三是,随着黑灰产对企业业务和生产安全的威胁不断增加,国家及行业监管也不断收紧,企业必须有一种更加合适安全业务架构来解决面临的安全问题,符合安全监管。
三、零信任解决了企业什么安全问题
很多甲方安全从业者都在讨论企业什么场景下的安全问题需要零信任来解决,安全厂家都在研究什么的产品才能跟零信任扯上关系。阿肯认为,既然零信任是一种安全业务架构,企业基于零信任的架构逐渐建设安全能力,就不限于哪几种场景了。如果按照安全事前防护、事中监控、事后追溯的逻辑来看,零信任的架构可以归为事前防护类,一个企业一旦按照一句话安全落地了安全架构,60-70%以上的安全问题就解决了,因为对外的攻击面缩小了,从访问人员、设备、权限、系统每步都有控制。但是这些安全产品,以及被重点保护的资产和数据本身还是有安全漏洞,使用过程还会存在安全风险,这些就要通过事中监控、事后追溯去解决,比如UEBA、SOAR、预警中心等。
四、不同企业不同场景如何落地零信任
虽然零信任不限安全场景,但是因为很多公司的业务和技术架构早就存在,要一次性改造成零信任是不现实,也是不科学的。关于零信任的安全架构在企业的落地,不同的企业可以选择不同的方式,同样的企业不同的系统也可以选择不同的零信任方式。阿肯认为,大致可以分为以下几种情况:
1、如果您的企业需要重新开发业务系统,或者您的公司是初创公司,安全负责人可以跟CIO、CEO沟通,在系统设计之初就采用资源门户模式的零信任;
2、如果您企业的系统早就建设好了,但是又想通过零信任的方式尽可能减少安全风险,可以选择网关模式的零信任;
3、如果您的企业不想花时间改造老系统,可以在开发新的独立系统的时候采用零信任的架构,然后逐步改造老系统;
4、如果安全负责人说服不了公司在业务系统上做任何改造,可以退而求其次,把IT后台管理/研发系统做成零信任模式,这样的改造影响的范围仅限于IT科技人员,对业务影响不大。比如,可以把VPN等远程办公改造成网关模式的零信任;可以通过零信任模式解决随时随地远程研发/运维/联调的业务安全需求。其实大部分企业的安全人员可能的选择是这种方式切入零信任架构。
以上任何一种情况,企业要落地零信任的安全业务架构,安全负责人一定要记住几点:首先,业务在企业永远是第一位的,安全要服务于业务,安全负责人一定要与公司领导沟通达成一致;其次,不管采用应用门户,还是网关模式的零信任,企业都需要有相应的安全产品,比如提升员工安全素养的产品、终端安全产品、认证系统、UEBA、安全告警中心等。
六、零信任架构下对安全厂家的要求
现在很多老的安全厂家在思考如何追赶零信任的热潮,让公司成功转型,还有很多初创公司也借助零信任的概念,推出新的安全产品。其实零信任的安全架构不但适合现在产业互联和数字化转型的企业,OT/IOT的场景更加需要零信任架构,留给安全厂家的时间还是很充足的。所以,阿肯认为,安全厂家只要想清楚以下两点,在安全领域就会有一片自己的天空。
第一,员工安全、主机安全、网络安全、容器安全、应用安全、数据安全、攻防渗透、应急响应等传统领域的安全还是企业安全建设的基础,但是未来企业会要求这些领域的安全产品更加灵活、专业和自动化。以高效低成本保护好这些核心资产,就是保护业务和企业的稳定,这是老板们的核心诉求。比如,应用安全产品应该尽量做到少用人工干预(人贵、难招、更不好留);数据安全应该做到敏感数据的细粒度管理、事前控制和过程干预。
第二,零信任架构下,有些安全产品将会成为甲方企业的硬需求,比如终端安全(轻量级的电脑沙箱)、安全网关、UEBA(含用户行为、资产行为)、SOAR、安全ERP等。因为企业在产业互联及数字化转型趋势下,安全成为了业务的一部分,这就需要企业安全建设像对生产系统全链条监控和快速排障一样,保持对用户/员工、账号、设备、权限、系统、数据和业务等全链条安全的实时监控、告警和快速响应。
大家认为人是慢慢变老的,其实人是一瞬间变老的。很多人认为行业转型是慢慢发生的,其实当我们感觉到变化的时候,变化已经发生了。零信任是企业需要的一种安全架构,拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上。
来源:freebuf.com 2021-07-06 16:15:15 by: ss19921870327
请登录后发表评论
注册