10月29日,英国国家网络安全中心发布《零信任基本原则》草案,为政企机构迁移或实施零信任网络架构提供参考指导。

00 概 述

网络架构正在快速变化,越来越多的服务被迁移至云端,软件即服务(SaaS)的使用规模也在不断增长。与此同时,各类组织也开始采用愈发灵活的工作方式,允许员工身在各个位置通过多种设备接入业务系统。

传统网络边界正在消失,传统防御方案的价值也随之土崩瓦解。零信任是一种专门应用此类变化条件的网络架构。本份指南中概述的八项原则,可帮助您建立自身零信任网络架构。

默认网络环境具有恶意性质

在零信任架构当中,我们不再对网络抱有任何固有信任。因此接入网络,不代表您应该或者有权访问目标网络上的所有内容。

在入侵时,攻击者通常会在目标网络当中建立登陆点,而后凭借着网络内部的全面受信原则实现横向移动。但在零信任架构中,我们默认网络环境具有恶意性质。

消除网络中的默认受信思维

要在网络中消除默认受信思维,则必须为用户、设备以及服务建立起新的信任机制。信任的建立,离不开对用户身份(通过身份验证)、设备运行状况及其所访问服务(授权)的全面把控。

为了实现零信任机制,您应该对接触服务的每一条连接进行身份验证,并根据规则及策略对设备、用户以及连接进行授权。无论连接请求来自何处,这些策略都会独立评估您对用户及其设备的信任,并相应为其授予对资源的访问权限。

要实现授权决策,您应该根据谁需要在何种条件下访问哪项服务或哪些数据明确定义访问策略。

您的具体信任度,则取决于所访问数据的价值以及所执行操作的潜在影响。您应该对设备进行盘点,同时根据所定义策略(例如加密、补丁修复级别等)监控设备运行状况。

如果您不确定零信任架构能否满足您的实际需求,或者希望了解关于零信任架构的更多信息,我们的网络架构指南将会对您有所帮助。

01 这份指南适合哪些受众?

本指南主要面向以下技术受众:系统工程师、解决方案与安全架构师、以及CISO。在执行安全评估或保障工作时,您也可以将相关原则引入审查框架。

在实施相关设计时,您可以将这些原则作为技术功能选择指导。

实施零信任相关技术的组织或开源项目,也可以使用这些原则指导自身发展,并评估在实施零信任架构的哪些层面存在困难。

使用这些原则虽然无法彻底保障架构安全,但至少可帮助您集中精力处理真正精密复杂的问题。

02 新兴且不断发展的零信任架构

IT系统一直在发展变化,以此为基础,这里提出的原则也不可一成不变、僵化自守。请记住,零信任架构是一种刚刚兴起且仍在不断发展的事物。

在实施过程中,您可能会发现自己无法一次性满足所有原则。这可能是因为您的现有技术无法支持零信任架构。实际上,这是一种相当常见的情况,恐怕直到零信任技术成熟之时才能得到根本性解决。

以实用为先,包括继续支持传统的安全控制机制。随着系统逐步过渡至零信任架构,您会发现自己能够遵循的原则越来越多。

您的架构应该具备充分的灵活性以适应不断的变化的需求,同时又不致影响用户的正常体验。您应考虑如何添加新服务、在服务之间往来移动,以及启用/禁用各类功能。这种灵活性将使您的用户可以随时使用新功能,亦保证您自己可以快速对新的漏洞及威胁做出响应。

您应定期重新审查您的架构,并及时通过变更提高系统的可用性与安全性。

03 零信任架构的实施——步步为营

对现有系统架构的转型不可能一蹴而就。

无论现有网络已经使用了多久、其中包含多少陈旧服务,您都应该为零信任模式的部署设计一种分阶段实施方法,借此推动多轮迭代。建立新的架构基础需要时间。例如,为用户及设备建立强身份,或者在组织当中部署现代身份验证体系往往相当耗时。

在面向新架构过渡时,特别是在实施并测试零信任控制机制之前,请不要急于停用传统安全控制方法。考虑到零信任架构强有力的控制原则,一旦系统未经正确配置及测试,您的业务很可能会直接暴露在风险当中。例如,在确定您的零信任架构能够解决以往由VPN处理的一切潜在威胁之前,请不要轻易删除VPN连接。

此外,传统系统可能仍然需要由传统网络架构进行托管,或者无法支持零信任架构的某些特性。因此,您可能需要在某些环境当中同时管理传统网络边界与零信任架构。具体来讲,您可能需要为遗留应用程序或者身份验证代理保留独立的VPN隧道。在更新旧有系统时,请尝试在设计层面支持零信任架构。

即使是在从零开始构建的新环境中,零信任模型的实施同样可能困难重重。目前市售的产品往往无法充分满足以下全部原则。因此,您的安全架构同样需要配合完善的风险管理方法。

04 术语

在讨论零信任架构时,大家应该建立一套术语表。以下是零信任架构原则中使用的部分术语,我们将各项术语与其他来源相结合,对零信任技术做出准确描述。

  • 访问策略——用于管理访问请求的规范,包括验证请求的可信性与授权行为。

  • 配置策略——用于描述设备及服务中配置选项的策略。

  • 信号——包括设备运行状态或者位置等信息,可用于确定哪些资产值得信任。您往往需要使用多种信号以决定所授予的资源访问权限。

  • 信号数据库——长期信号存储方案,用于随时支持访问决策。

  • 策略引擎——负责接收信号并将其与访问策略进行比较的组件。策略引擎通常表现为可从供应商处采购的第三方产品或服务。

  • 策略执行点——使用策略引擎将设备请求导引至目标服务,借此确定连接是否可信。

  • 设备运行状态——确保设备符合配置策略并处于良好的运行状态,包括已经安装最新补丁程序、或者启用了安全启动等功能。

05 具体原则

以下八项原则为零信任架构的设计基础。

1.了解您的架构,包括用户、设备和服务

在零信任网络模型中,了解您的资产比以往任何时候都更加重要。

2.了解您的用户、服务和设备身份

在零信任架构中,身份成为新的边界,对于以下各项:用户(人)、服务(机器或软件过程)、设备,具有唯一的身份源非常重要。

3.了解您的用户、设备和服务的健康状况

设备的健康状况、用户行为和服务是获得用户信任最重要的信号。

4.使用策略授权请求

每个访问数据或服务的请求都应由中央策略引擎检查,该引擎将请求与访问策略进行比较,以确定访问决策。

5.始终验证

在零信任架构中,我们假设网络是恶意的,并对访问数据或服务的所有连接进行身份验证。

6.将监控重点放在设备和服务上

鉴于设备和服务比传统架构更容易受到网络攻击,因此对攻击进行全面监控非常重要。

7.不要信任任何网络,包括您自己的网络

在零信任中,网络被认为是恶意的,因此将信任建立在用户、设备和服务,而非网络。

8.选择专为零信任设计的服务

选择原生支持零信任网络架构的服务。

原文链接:

https://github.com/ukncsc/zero-trust-architecture

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。