01 成书背景
The Open Group Security Forum组建的零信任架构 (ZTA) 工作组在2021年4月20日发布了《零信任核心原则》(Zero Trust Core Principles)白皮书。该文件描述了零信任的多个关键方面,包括为零信任和零信任架构提供行业标准定义,并解释实施零信任背后的关键驱动因素、需求和能力。该文件还定义了一套零信任核心原则。其内容和结构继承了Jericho Forum™ 以前的工作。
The Open Group(缩写为TOG),国际开放标准组织,又译为国际标准化组织,是一个通过技术标准实现业务目标的国际性非营利组织,在英国登记注册,至今拥有超过800个多元化组织成员,包括跨行业的客户、系统和解决方案供应商、工具供应商、集成商、学者和顾问等。The Open Group也是“零信任”的起源耶利哥论坛(Jericho Forum™)的主办机构。
零信任架构工作组现在正在完善和解释“零信任公理(The Open Group Guide: Axioms for Zero Trust)” 中的初始核心原则,采用与“安全架构实践(The Open Group Guide: Axioms for the Practice of Security Architecture)”类似的方法:清晰简洁地定义核心原则和重要性。该指南旨在提供有关核心原则的详细信息并提供示例性说明。后续会有一份配套文件与《零信任公理指南》一起发布,会简洁明了地说明每个公理,值得我们持续关注。
02 全书概述
本文件主要介绍了零信任的驱动因素、零信任的内涵以及零信任的作用,适合业务、安全和IT有关管理者阅读。在数字时代,数据流无缝地在多个网络间、应用程序间、存储服务间或其他资源间的跨越,往往会陷于一种无法将资源访问拓扑中的所有元素视为“受信任”的困境。因为信任所有元素不再可行,甚至不再可能。在这种情况下,要想取得成功离不开TOG的“去边界化信息流(Boundaryless Information Flow™ )”这一愿景,而零信任就是在这种环境中建立成功的信息安全基石。
全文共39页,内容分为7章,以及引用、缩略词注释、作者简介等内容。由The Open Group联合了包括微软在内的多家企业的技术专家共同编写。
第一章,成书概述。简述了零信任的产生背景,目的以及意义。明确了该白皮书的受众对象。
第二章,给出了零信任、零信任架构的定义,点明为什么要实施零信任。企业实施零信任需由业务驱动需求的产生,需求引入功能,以及为实现相应功能零信任应具备哪些能力几方面进行了阐述。从而通过零信任的组件模型实现快速的威胁检测、响应、恢复,以应对未来数字化时代的发展。
第三章,核心原则。作为企业采用零信任和实施零信任架构的一套基本准则,按照涉及范围共同性进行了原则分组,有:组织价值和风险对齐,技术、安全控制、监测与治理4类,共计10大原则。这10个核心原则的所有要素都符合商业战略和组织文化。但也明确提到,核心原则并不涉及架构原则,而会有后续文档来进行补充说明。
第四章,数字时代的信息安全。面向企业高管和高层领导,针对零信任的不同方面,首先从治理,再到业务、安全和IT各个不同视角进行了详述,最后给出实施零信任的实际意义。通过本章的叙述,能更好地让企业高管和高层领导者了解数字企业时代零信任和信息安全不断演变的范式。
第五章,业务主管的观点。关注安全控制降低风险,零信任是如何支撑新的业务模式,适应不断变化的业务环境,从而带来更好的安全投资回报,这将是业务主管所关心的重点。
第六章,现代数字企业中零信任的案例。以假设的ACME公司为例,从公司远程办公访问,合作伙伴的数据接入,多云之间的数据共享,全球化下适配不同国家的数据安全法规4个示例场景,基于场景上下文的需求驱动,表明零信任所具备的功能,以说明在采用零信任时所使用的核心原则。
第七章,结论和未来方向。
03 相关内容
下文是针对全书的核心内容进行的编译与解读。
3.1 零信任定义
零信任是一种信息安全方法,聚焦于数据(信息)的安全,包括数据全生命期安全,任何平台上的数据安全或网络上的数据安全。
因此作为一种信息安全方法,零信任安全能力使得企业能够保护任何网络上的数据(信息),应用程序,API 和数据融合的过程,包括云计算环境、内网、公网或不受信任(零信任)网络。
零信任通过综合策略的实施,提供以资产或数据为中心,以安全、策略驱动控制,以现代身份管理和安全域的安全框架。除提供传统的业务资产机密性、完整性和可用性安全保证之外,零信任还为组织提供灵活性、敏捷性和适应性。
零信任是通过利用现有技术、产品的组合,来实现新的安全能力。
3.2 零信任架构定义
零信任架构是零信任安全策略的实践,遵循明确的定义和标准、技术方式和组织指南。
3.3 为什么要实施零信任?
传统方法是将企业资产,包括用户、数据(信息)、应用程序、API、设备、网络、云计算平台等放置在“安全的环境”中,而零信任的思路则与之迥异,其认为企业中并不存在传统意义上的“安全/信任环境”(因为数字时代,企业资产分布的物理和逻辑位置不再单一)。因此要为不安全环境中的企业资产提供安全保障,则不能仅考虑资产所处的位置。同时还进一步改变了安全与业务二者之间关系的认识,从以往认为安全是限制业务发展,转变为安全是支持业务发展。
从本质上讲,采用零信任能够使企业在数字化转型过程中,在快速变化的业务模式、技术、监管机制和威胁中,具备发展和运营的能力。
这也是该白皮书想传达的基本诉求,即零信任与业务的关系。数字时代的变化使企业有了主动去满足数字时代的驱动力,企业产生了业务需求,需求推动了零信任能力的实践。
3.4 零信任的核心驱动力
1.不断发展的商业模式
在数字化转型下,向客户提供由外到内商业战略的价值;
2.新兴的伙伴关系
融合合作伙伴、第三方供应商的数据、应用;
3.快速变化的技术
混合的云计算环境、复杂的信息交互模式、人工智能技术的广泛应用,给企业带来挑战;
4.监管、地缘政治和文化
跨国企业需要去满足不同地区的监管政策要求;
5.破坏性事件
新冠病毒或类似的事件驱使;
6.远程办公的推动
随时随地远程接入办公、移动办公,提高工作效率,生产力,节约办公成本;
3.5 零信任的核心需求
上述驱动有助于定义业务需求,由需求来确定零信任必须支持的功能。如下图所示,但需要注意的是这些需求往往会破坏现有流程和模型。有了这些需求,才能定义数字时代现代信息安全架构必须支持的功能。
1.对敏捷性的需求呈指数级增长
源于驱动力1,商业模式在迅速发展,让人员、业务流程、技术、风险模型都需要有足够的敏捷性来适应持续、快速的变化。
2.不断简化安装复杂性
受驱动力的1、2、3、4的影响,新的商业模型、企业生态、信息交互模式、技术以及数据对于新兴技术,特别是人工智能的重要程度,让企业化繁为简的利用这些手段的需求是源源不断的。
3.支持远程办公
受驱动力6的影响,BYOD接入,在不可预知的网络环境中,如何去应对风险?
4.满足监管要求
响应驱动力4。做好监管要求的提前响应。
5.支持不可预测性
响应驱动力5。新冠疫情突发事件,做好应对措施。
6.实时和近实时的响应
为新威胁的实时/近实时响应。这是安全的基本诉求。
7.需要可度量的控制和自动审计机制
事后审计,日志留存。
3.6 零信任的能力
数字时代转型时不待我,若还是靠“以网络为中心”的传统解决方案,为每位客户个性化定制,集成各家供应商的产品来解决问题,这么做能给客户带来的什么样的结果和变化是无法预测的。但零信任有助于防止冗长的审计以满足企业需求。零信任为企业提供了一种现代化的信息安全范式,能够提供支持这些需求的功能。
1.自适应身份
满足员工、合作伙伴、第三方供应商的身份和角色在企业生态中或新环境中发生变化所产生的需求,提供身份管理敏捷性。这是对需求1和需求2的支撑。
2.缩小威胁范围和规避风险
以数据和资产为中心的IT基础环境使信息交互通信模式变得更加复杂且交互方式随之增加。通过减少威胁范围来支持敏捷性,降低复杂度。这是对需求1、2、3的支撑。
3.基于上下文、策略的数据安全
通过持续改进,降低数据全生命期的数据暴露风险的整体方法。这是对需求2、3的支持。
4.关注点分离
通过将安全与资源分离,支持未知的资源访问用户,以便API和应用程序的客户端可以在不断变化的数字化环境中发展。让API和应用程序不涉及安全(解耦),响应数字化环境的变化。这是对需求3的支持。
5.实时/近实时响应
通过安全运营中心(SOC)来支撑需求6。
6.自动审计
支撑需求7。
7.策略驱动的访问控制
支撑自适应身份对各类资源的访问。响应了需求1,2,5。
8.安全区域
对核心资源通过自适应以及策略驱动的访问控制方式进行保护,在遭受到安全侵害后,限制其影响的波及范围。支撑需求4,7。
3.7 零信任组件模型
该白皮书提出的组件模型与微软的零信任组件模型类似,可以参考微软,如下所示:
在此零信任组件模型中,访问控制是通过安全策略实施完成的,并且由策略驱动。使用基于但不限于业务流程、数据分类、资产或数据/信息的生产者(系统、网络等)和资产或数据/信息的消费者(用户、设备等)的策略来保护资产和数据/信息。
其它关键组件是安全与事件管理和SOC,以支撑自动化审计,敏捷合规性,提高安全可见性和风险治理能力,实现开发运维DevOps的闭环(DevSecOps)。
3.8 零信任核心原则
该原则可以理解为企业采用零信任和实施零信任架构的一套基本准则。核心原则的所有要素都必须符合业务战略和组织文化。原则可分为4大类。
组织价值和风险一致原则。该原则是从整体战略驱动实现业务、IT 和安全相关利益者的关键目标。
1.支持工作
企业生态中的各类型用户必须能够在任何位置的任何网络上工作,并获得相同的安全保证,从而提高生产力。
2.目标一致
在风险容忍度和阈值内,安全目标须与企业组织目标保持一致并且实现目标。
3.风险一致
必须使用企业组织的风险框架并考虑组织的风险容忍度和阈值来一致地管理和衡量安全风险。
护栏和治理原则。解决合规、风险和信息安全相关利益者的问题,以指导零信任的采用,并确保其可持续性和可解决性。该原则有助于将业务目标和技术现实结合起来。
4.人员指导
组织治理框架必须通过明确的决策、策略和理想愿景来指导人员、流程和技术决策。
5.降低风险和复杂度
治理必须既降低复杂度,并且减少威胁暴露面。
6.一致性和自动化
策略和安全的成功指标必须与组织任务和风险要求直接映射,并应支持自动化执行和报告。
7.全生命周期的安全性
风险分析和机密性、完整性和可用性保证必须在数据、事务或关系的整个生命周期内持续进行。必须在可能的情况下降低资产敏感性(删除敏感/受监管的数据、特权等),并且应对使用中、传输中和静止数据的风险提供保证。
技术原则。涉及IT组织、信息安全、风险和合规的相关利益者,并为零信任开发提供技术决策参考,包括如何解决与身份、访问和减少威胁表面积相关的问题。
8.以资产为中心的安全
安全必须尽可能接近资产(即以数据为中心和以应用程序为中心的方法,而不是以网络为中心的策略),以提供最大限度地减少生产力中断,量身定制的方法。
9.最小权限
仅在需要时才授予对系统和数据的访问权限,并在不再需要时将其删除。
安全控制原则。解决如何确保安全和IT架构中机密性、完整性和可用性的问题。
10.简单且普适
安全机制必须简单,可扩展,并且易于在整个组织生态系统(无论是内部还是外部)中实施和管理。
11.显式信任验证
完整性和信任级别的假设必须根据组织风险阈值和容忍度进行明确验证。任何人/任何事物与资产和/或数据系统在被允许交互之前必须经过验证。
3.9 业务主管的观点
安全投资的思路已经发生变化,满足合规性是一方面,同时更倾向于安全投资能够让企业支持新的使用模式或者不断变化、不断发展的业务环境中持续运营,不受到或减少风险的影响。
3.10 零信任案例
场景1:远程办公常态化
该场景是针对面向企业员工在使用自有设备进行远程访问,企业发展新型业务模式的同时,如何保障安全性。
场景2:快速发展的伙伴关系和生态系统
该场景是针对面向客户、供应商、员工等多方关系的业务生态系统下,如何保障不同角色进行数据访问时的安全性。
场景3:快速变化的通信模式
该场景是针对在多个系统间、混合云环境下、以API为中心的IT系统中,实现基于接口的数据安全共享访问。
场景4:不断发展的国家利益和法规
该场景是针对跨国企业为了快速适应不同地缘政治环境下的监管合规性要求(数据安全),如何保障业务增长和业务运营。
04 结语
作为零信任“开始的地方”,未来The Open Group零信任架构工作组将在本文核心原则的基础上,编写其它的文档和指南,包括零信任参考模型和体系结构、零信任从业者指南和零信任业务指南等。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。