▶ 引言
即使跟其相关的底层技术很早就出现了,然而纵观IT演进的时间轴,“零信任”这个概念的历史都不算长。通信网解决了连通性问题,互联网解决了联通性问题。无论是电路交换还是分组交换,在这些网络设计的时候,安全都不是他们考虑的核心。这完全可以理解,就像笔者一直强调的那样,安全从来都是跟着业务走,是为业务服务的,因此很难领先于业务而出现。但随着网络和服务模式的逐渐成熟,如何更加安全有效的获取信息、数据和服务,并避免“不可靠”的其他因素干扰破坏,安全就会被提上设计者的日程。
美国国防部在本世纪初提出了“黑核(Black core)”的理念,提出安全模型应该从基于边界(perimeter)逐步演进到基于单次交易(individual transaction)。2004年成立的耶利哥论坛(Jericho Forum ),其使命之一就是探求“去边界”趋势下的网络安全问题与解决方案。“零信任”这个术语的正式出现,公认是在2010年由Forrester分析师John Kindervag最早提出,他总结了传统网络架构中隐含式信任(比如根据IP地址等来赋予信任权等)的潜在风险,认为在安全会跟随服务模式变化,在去边界化的时代基于“零信任”原则来演进。
2014年开始,Google对外公开了其内部项目BeyondCorp的研究成果,当时的主要目的,是为了推行员工随处可访问公司内部应用和数据的“零信任”模式,提高生产效率,不区分公司内外网,逐渐摒弃VPN这种access-and-grant-all的模式。
其后几年,“去边界化”和“零信任接入”迅速演进,2020年开始的全球新冠疫情,更是为随时随地远程安全访问的业务需求打了鸡血,催生了标准和实践的进一步完善。2020年8月12日,美国国家标准与技术研究院(简称NIST)发布《零信任架构》正式版。该标准自2019年9月以来,先后发布两个草案版本,是迄今为止最为权威的零信任架构标准。2020年底谷歌也发布了BeyondCorp Enterprise,与2014年相比,这是谷歌云的对外商用平台,为其全球云租户提供端到端的零信任平台,包括持续监控和调整以及开放的生态系统。
时至今日,“零信任”俨然已成安全领域最热门的词汇,做安全的不提自己是基于零信任原则,就跟2012年做网络的人说自己不基于SDN一样落伍。而零信任是不是一个被过度营销的术语?零信任架构、零信任原则等等又该如何解读?志翔科技从2014年创立以来,就以“无边界安全”和“零信任原则”作为产品和方案的理念基础。因此本文的目的,不是“又一篇白皮书”,而是从一个安全老兵的角度来聊聊对这些buzzwords背后的理解。
▶ 透过现象看零信任之本质
有关零信任的白皮书,从国际到国内已经汗牛充栋,本文无需再赘述为啥网络是不可信的,以及哪些零信任能力重要等等。不过笔者略带嘲讽的认为,“零信任”这个术语被过度使用,被误用,甚至是被滥用了。
首先,“零信任”这个词是什么属性,是名词还是用做定语的形容词?在比较权威和技术的出版物中,“零信任”被公认为是一种理念(concept),原则(principles),新模式(model),思维方式(mindset),甚至一种安全框架范式(paradigm)。这些词都是框架性的,而不是针对某个技术和网元的具体定义——零信任实际上不是某个具象的产品或平台,而是一种安全框架。在零信任之下,必须谈一些具体的东西才有意义。
另外,把零信任作为定语又有哪些内容值得探讨?笔者认为,首先,“零信任架构(ZTA)”首当其冲,它指基于零信任理念和原则,面向企业网络各部件关系、工作流规划和访问策略的企业信息安全架构。其次“零信任网络访问(ZTNA)”则是一个更具体的场景描述,指的是应用零信任原则的网络和业务访问方式与流程。
如果说零信任是“道”,那么在零信任范式下进行的架构变革,就走向了“术”。在操作层面上,“术”是最好理解的。各种对零信任能力的解读和总结很多,笔者归纳一下自己的理解,就是如下两条:
(1)安全权限需以身份为基础,而且须显式方可授予
(2)持续(continuous)、动态(dynamic)、自适应(adaptive)
第一条涉及具体的实现架构,第二条似乎好像还是有点晦涩。我们用微信举例吧。无论是发消息还是支付,“你是谁”是微信辨别权限的标准,这个“你是谁”,包括“账号”、“手机号”、“手机设备”等几类信息,这些组合起来就构成了一个使用者的身份和安全态势(security posture)。在使用小程序、公众号、换手机的时候,每次重新校验和授权,都体现了“身份”是访问服务的基础。
用支付这个场景举例则可简单说明显式授权。每次支付都要输入密码或者指纹,这些权限不会因为手机不变、商家不变、用户不变而默认赋予给使用者,这就是“必须显式”授权。异常的大额支付、异常地点的交易以及其他的可疑行为等,则必须持续监控,并动态提、降权来保证安全。最后,零信任也要和便利共存,因此小额免密就是系统为用户开放的一种自适应。
所以,总的来说我们想用好零信任,就必须清楚的认识到:(1)零信任不是某个产品或方案,而是一种安全框架范式;(2)既然是框架,显然零信任不是灵丹妙药,不能一秒实现药到病除;(3)零信任在起步的时候,是新瓶里面装陈酒,其框架下的终端安全、身份认证、授权接入、微隔离、可视化、API安全等等大多是已有安全机制,在这些基础上逐渐在云服务和云生态的推动下,演进出新酒。
▶ 零信任缘何忽然红火
说“忽然”有点误导观众。零信任不是孙悟空,一下从石头里蹦出来;也不是哪吒,好多年都不出来。作为一种安全框架的零信任和其衍生的架构,大体上也遵循安全机制与其服务的IT设施和业务的关系来发展。
信息安全一直是跟随其服务的对象来发展的。过去几十年,促进信息安全发展的几个因素,包括了(1)IT基础架构和技术的发展,(2)行业的信息化和数字化进程,以及(3)作为高科技本身的安全技术自身的发展。
近二十年来,IT基础架构和技术发展中,虚拟化和云计算对科技行业基础设施的影响是颠覆性的,这些技术成为现代数据中心和业务建设的主流方式。前文提到,谷歌的BeyondCorp于2014年推出,旨在取代员工VPN,在公司内部尝试“零信任”架构。无独有偶,美国的SaaS业务也是在2014年标志性的首次超越IaaS,其后,亚马逊、微软、谷歌和IBM带领的美国公有云SaaS业务就此一飞冲天。云计算的颠覆性发展带来对云安全的新需求,也催生了“去边界”和“以身份为基石”的潮流。以往基于物理防火墙的On-premise的安全边界,随着云业务的灵活开展,不得不逐渐让位于隐形的“边界”,也就是用户的身份权限,而云的天生federation属性也让身份管理和聚合走到了新高度。
不同行业的信息化数字化进程是不一样的,这也带来不同阶段的安全需求。互联网行业是云计算上半场的主力玩家,因此我们也能看到,零信任技术体系在电商、社交、移动支付等新兴领域最早完善,国内外互联网企业,无论是谷歌、Facebook还是阿里、腾讯,对于“动态认证”、“最小化权限管理”、“事中转事前”的安全理念不但接受而且拥抱和创造。而传统行业如石油电力、机械生产、智能制造等逐步完成数字化改造,会成为云计算下半场的主力。这些行业的安全机制如工控安全、工业物联网安全等将站在零信任的肩膀上发展。
最后,安全与威胁,是互相促进的一对,道和魔都在摩尔定律的激励下不断自我更新,交替前进。新的加密算法,基于大数据分析技术做UEBA,利用沙箱技术来识别恶意代码和异常行为,利用ML和AI技术还原攻击链等,这些技术的发展都让“持续”、“动态”、“自适应”这些零信任的基础变得可能。
因此,抛开营销的噱头不论,零信任并非“一夜成名”。安全技术本身具有附加性(跟随着IT架构演进)、伴生性(作为对抗中被动的一方,安全一定与行业场景结合),以及发展的内在属性(数学、芯片、算法等会推动其进步)。而作为新安全框架的“零信任”,与云计算带来的去边界趋势,与各行业的数字化进程,与摩尔定律的溢出效应都息息相关。
事物的发展,总是偶然推动成必然。我们也不能忽略地缘政治和新冠疫情对零信任的推动。2020年以来,远程安全接入和业务不中断变成全球企业的头等大事,直接推动对零信任的需求指数级增长,其火热自然水到渠成。
▶ 从口号到应用,王道是找到最适合的路径
读完业界的零信任白皮书,我们会发现,零信任能够涵盖从云到边到端的各种场景,包括远程办公、业务访问、分支安全接入、数据交换、大数据中心、云平台、物联网等等。这些当然正确,因为零信任作为新安全范式,作为“道”,自然是放之四海而皆准的。但对安全厂商和安全用户而言,如何部署零信任?
笔者的理解非常直接:空讲概念不如枚举场景。重要的事情说三遍:场景,场景,场景,抛开场景来说零信任的框架等于吹空中楼阁,相当于宣称用板蓝根治疗所有的头疼发热。
去边界化的趋势和零信任的模式,是志翔科技从2014年成立以来就一直持续探索的方向。近十年来,业务逐渐上云,同时端系统越来越丰富强大,形成哑铃形的访问模式,本地on-premise的IDC逐渐被Cloud蚕食,内外网边界变得模糊和消失。另一方面,中国的云市场与美国发展明显不同,大部分头部云客户,如金融、能源、政府等还维持私有云和专有云(Hosted Cloud)的模式。疫情席卷而来,给全世界都带来了远程办公的刚需,也带来了零信任的有趣话题。
VPN目前几乎是IT人员手边解决远程接入需求的第一选项,但是在超大规模和应用精细化的要求下,VPN捉襟见肘——尽管VPN一定程度上满足了远程接入需求,但其access-and-grant-all模式,给予了过多的隐含权限,正好是零信任原则的对立面,所以替换VPN成为零信任应用最经典的场景之一。
尽管不同行业需求各自不同,但共通之处在于——信任不可能被“趋近归零”,而最小权限的原则在实际应用中经常给IT管理员带来诸多不便。最重要的是,企业的安全机制需要的是平稳过渡——我们的客户绝不接受立刻关闭VPN。因此正确的路线是Dream Big and Start Small。在这些现实情况下。志翔结合自身产品能力,找到能与企业现有VPN形成最佳补充的两个场景来入手:
(1)南北向的:企业用户如何安全访问企业应用,即ZTNA。
(2)东西向的:企业工作负载之间的精细化保护。
从“道”上说,企业客户会关注自己的数字资产和业务如何管理(asset management,东西向),后疫情时代则更关注如何远程安全的访问这些业务(access management,南北向),这正是志翔的零信任方案聚焦之所在。从“理”上说,志翔与客户探索出的方法是逐步建立身份化的体系,然后从大颗粒开始,通过基于至安盾®的零信任网关等形式建立不影响当前业务管控的基本框架,再基于行为做精细化管控和持续优化;在服务端逐步引入基于用户身份的微隔离,比如至明®安全探针等,对服务器、虚拟机、容器等工作负载进行更精细化的监测、保护以及安全可视化。
当然,挑战永远存在:接入侧的场景很复杂,用户行为差异化明显,需要不断积累场景才能提升产品通用性;服务侧的稳定性和业务敏捷是一对矛盾,如何隔离和协调异种工作负载等都是难题。
零信任承担的责任,对安全而言本来就是演进的大挑战。无论政策、标准、运维、安全可视化和安全管理,还是南北向和东西向的网络、基础架构、身份安全、数据安全等,零信任面临的机遇和挑战并存共生,这也恰是其魅力之所在。
▶ 写在最后:零信任的趋势
根据Markets and Markets的数据,全球零信任安全市场规模预计将从2020年的196亿美元增长到2026年的516亿美元,复合年增长率(CAGR)为17.4%。当然,定义一个“零信任安全市场”,本身也是一件奇怪的事情。零信任如果是框架而非专门的产品和方案,则其规模应该是一堆双算的市场板块数字之和。
业务数字化转型和云计算的发展,改变了网络安全的设计理念。传统物理边界变得模糊后,安全的边界不再是数据中心边缘和企业网边缘的某个盒子。在云计算时代,应该基于以数据为中心(Data-centric)的原则来部署安全,关心的问题应该是:谁,能访问什么业务和数据,应该授予何种访问权限,为什么需要这些权限,在授权范围访问是如何进行的等等,而不再是“业务在哪里”和“边界在哪里”。换句话说,传统安全边界变成了无处不在的边界能力——动态创建、策略强化、权限管控、安全访问。以身份为基石的架构体系很快会成为业界主流;以身份为中心进行访问控制的零信任安全,必将得到越来越多行业客户的认可与肯定。
安全的附加性、伴生性,以及安全技术发展的内在属性,决定了零信任的增长动力来自于云计算的发展、云计算下半场的用户们数字化转型逐渐到位,以及后新冠时代远程办公、授权访问和合规要求等。无论企业应用访问,还是公有云服务的提供,无疑零信任模式将成为安全行业发展的未来趋势。但零信任是过程,不是结果;而对于志翔科技这样的行业从业者而言,零信任是“道”,在道之下,如何明道优术将是永恒的话题,这也正是网络空间安全的魅力所在。
在演进过程中,每个行业信息化程度不一,对数据业务安全和敏捷性的要求不同,因此不同行业如何应用ZTNA来解决VPN的问题,其节奏和方式也各有差异。下一篇,我也将从从业者的角度来分享并与诸位同行探讨,不同行业“零信任”落地的共性与差异。
作者:志翔科技联合创始人 伍海桑博士
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。