不知道大家如何看待网络安全这些年来的发展轨迹,又是如何看待零信任这个技术与其他网络安全技术的关系的。很多人认为,技术总是不断发展的,技术总是承前启后的,今天的技术是对昨天的技术的继承与延续,进而登上了新的高峰。应该说多数时候这个观点是正确的,但是,零信任不是这样。
网络安全技术的一些现状与困局
目前公认的零信任技术包括SDP,微隔离和IAM这三个。这三个技术分别发展了过去的VPN技术,防火墙技术和4A技术。但是,我们必须认识到一件事情,这些技术并不是过去很多年里网络安全技术发展的主流,事实上VPN,防火墙,4A都是老到不能再老的技术,而零信任技术从控制与识别能力自身来说也并没有比这些传统技术有什么变化,它更多是以软件定义安全的形式,把过去的数据平面和控制平面给分开了,从而达成更灵活更大规模的管理能力。在零信任之前,真正在安全技术创新领域里唱主角的是特征识别、攻防对抗、APT分析、态势感知、大数据、AI、沙箱蜜罐等等这些有着更纯正“安全”味道的东西。那么问题来了,零信任与这些技术之间究竟是个什么关系?
一直以来,人们印象中的真正意义上的网络安全技术都围绕着两件事展开,一件是修补自己的漏洞,一件是发现别人的攻击。所有我们前面提到的安全技术基本都是围绕着这两件事展开的。然而事情的进展似乎并不乐观,我们总有挖不完的漏洞,即使你修复了99%的漏洞,攻击者只需要一个0day漏洞,仍然可以突破你的防御。而我们从静态代码特征识别到行为识别,再到大数据识别、人工智能识别、欺骗诱捕等等手段,都是为了抓住坏人,但是攻击者的反侦察能力也在同步进化,在这场猫鼠游戏中,防御者总是处于落后的一方,总是在做着亡羊补牢的工作,而且从理论上就看不到在这场攻防对抗的竞争中有胜出的可能。这种悲观情绪一度笼罩着整个网络安全产业界,这也就呼唤我们对整个网安防御思路做出根本性的变革。
绝不是又一种攻防对抗技术的零信任
就是在这样的背景下,零信任技术历史性地成为了安全行业的新希望。零信任技术绝不是又一种攻防对抗技术,相反它不再热衷于发现坏人是谁,也不再把时间花在永无休止的挖漏洞上,它是直接否定了所有人,系统和业务流量。它的想法大概是这样的,既然我发现不了哪些流量是攻击流量,那我就认为你们都有可能是攻击好了,既然分辨不出谁是坏人,那我就认为你们都有可能是坏人好了。这个时候,问题就不在我这一边而在你们那一边了。你们必须向我提供明确的充分的证据来证明你们的身份,证明你们的行为的合理性,否则我会阻断一切访问。
是的,这就是零信任,简单,粗暴,有效。攻击者总是在想尽办法的躲避防御者,他们本质上就是目标矛盾的双方,他们掌握的技术就是为了与对方对抗而生的,他们不可能形成一个稳定的和谐关系。而防御者与业务访问者却是天生的同盟军,他们完全可以紧密配合,充分协作,在理论上,他们虽然也要经历一些苦难,但最后一定有机会可以永远幸福地生活在一起。在零信任的体系里,取代攻防对抗技术的是身份识别技术与访问控制技术,而在多因子识别技术的帮助下,在密码技术的加持下,理论上,身份是可以唯一确认的,也就是说,只要建立起完整准确细致的身份管理与访问授权体系,只要我们充分地理解我们自身业务的构成,我们在理论上就将拥有一个绝对安全的网络。虽然这同样是非常复杂艰巨的系统工程,但至少从理论上讲,我们已经将主动权重新拿回到自己的手上,防御者不再被攻击者前者鼻子走,他可以通过对业务系统最细粒度最精细的白名单访问控制体系,做到我的地盘我做主,从而第一次将网络安全的主动权握在了自己手上。
总结:绝地反击的零信任
所以,零信任技术与传统网络安全技术是什么关系呢?我们说,零信任技术是对濒临破产的攻防对抗路线的一次绝地反击,它没有继承也没有发展,它是一次颠覆,是一次安全防御思路的彻底变革,也许我永远无法认出谁是坏人,但我一定有能力确认谁是好人,就像古希腊德尔斐阿波罗神庙门楣上给人类留下的启示一样:”人啊,认识你自己!”。
来源:freebuf.com 2020-09-25 18:04:20 by: 蔷薇灵动dynarose
请登录后发表评论
注册