著名研究机构Forrester前首席分析师约翰·金德维格(John Kindervag),现任Palo Alto Networks区域首席技术官(field CTO)。他被誉为最重要的网络安全专家之一,在2010年提出了革命性的网络安全“零信任”模型。时至今日,零信任已被广泛接纳,为企业数字化转型时代的新安全挑战提供了颠覆性的解决思路。
约翰·金德维格在彼时担任安全分析师时,就开始关注个人与企业将“信任”这个理念应用至计算机领域来拟人化数字环境,考虑设备是否值得信任以及设备能以什么方式获得信任。时至今日,许多企业IT高层(CISO, CIOs)还是认为处于企业防火墙内部就是安全可信的。所以,内部和外部成为了安全策略考量的一个因素,许多企业也将“信任但要验证”作为安全格言。在这种安全模式下,仅身份验证通过就默认可信,并且授予访问权限。
其实,信任或许只对现实世界的人有效,数字环境中没有真正的信任。身份凭证失窃、网络入侵,往往恶意威胁来自于默认可信的内部网络。赋予的身份凭证不能做到与真实的人完全对应,并不能完全等同于这个人,仅凭它是无法判断网络流量的发起者是否真正可信。
基于传统安全战略存在的问题,约翰·金德维格提出了零信任(Zero Trust)。原则上,无论是处于内部网络还是外部网络,任何网络用户、数据包、接口或设备都不应该被信任。零信任不是让系统变得可信,而是彻底地将信任这个假设从网络安全战略中消除。换句话说,每一个用户、数据包、网络接口和设备的默认信任级别都是零。
零信任应该被视作一种网络安全战略或框架。零信任需要企业重新考量关于可信网络用户和可信设备的理念和方法论。虽然基于零信任安全基础设施可以通过多种不同的安全产品构建,但零信任本身不是产品。零信任并不要求企业组织摧毁或替换现有的安全基础设施,而是利用现有技术来支持零信任,再根据需要增添新的组件模块。
“The hallmark of zero trust is simplicity.”
零信任的显著标志就是简单。当每个用户、数据包、网络接口和设备都不可信时,资源保护就变得容易起来。企业组织为降低网络安全环境的复杂性,优先考虑使用满足“简单性”的安全技术和工具。例如,企业可以自动化那些重复的、手动的任务,集成管理多个安全工具及系统,自动修复已知漏洞等。
企业的零信任迁移建设最好是分步实施的,可以根据敏感度或是业务的关键程度划分成尽可能小的保护面(例如,单个数据集、资产、应用或是服务),按照优先级进行建设。然后,基于每个保护面构建新的逻辑边界,并细粒度地控制进入此边界的流量。
安全团队在进行零信任建设时,应先从不太敏感的保护面着手开始实践,通过不断地调整、学习和进步,逐渐增强信心,才有能力对更敏感、更有价值的保护面采取行动。随着大量实践经验的积累,做好了充足的准备,安全团队即可将最关键的资产迁移到零信任环境。当核心资产得到保护后,安全团队则可以将迁移的重心转移到相对来说不那么重要的资产上。通过保持零信任的状态,企业可以伴随着安全技术和工具的不断发展来持续实现自我保护。
本文作者: John Kindervag本文译者: 牛苗苗 奇安信身份安全实验室
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
