零信任的概念徹底顛覆了原有的基於邊界安全的防護模式,近年來受到國內外網絡安全行業的追捧。
所謂零信任,就是“絕不信任”,那麽企業是否需要拋棄傳統的基於邊界保護的安全模式,向零信任安全模式轉變?零信任是企業安全建設必須經歷的安全防護體系技術創新,但必然要經歷壹個長期的探索和實踐過程。
首先,分析了零信任的主要安全模型
雲計算和大數據時代,網絡安全邊界泛化,內外威脅日益增多。傳統的邊界安全架構難以應對,零信任安全架構應運而生。作為企業,如何選擇“零信任”的安全解決方案,為企業解決當前的安全隱患?
目前,“零信任”安全模型比較成熟,包括安全接入服務邊緣(SASE)模型和零信任邊緣(ZTE)模型。以這兩種模式為例,首先要了解當前模式的差異,討論各自的發展趨勢,然後選擇適合企業的實施方案。
對於SASE模型,身份驅動、雲架構、支持網絡服務提供商(pop)的所有邊緣和分布是其主要特點。SASE模型擴展了身份的定義,將用戶、組和角色的原始分配擴展到設備、應用、服務、物聯網、網絡邊緣位置、網絡資源等。這些元素概括起來就是身份,所有這些與網絡連接相關的服務都是由身份驅動的。與傳統廣域網不同的是,SASE不會強制流量返回數據中心進行檢索,而是將檢測引擎帶到附近的PoP點,客戶端將網絡流量發送到PoP點進行檢測,再轉發到互聯網或骨幹網到其他SASE客戶端,消除了網絡返回帶來的延遲。SASE可以提供廣域網和安全即服務(SECaaS),即可以提供雲服務的所有獨特功能,實現滿足業務需求的最大效率和便利性,並將所有功能放在PoP點上。
SASE模式的優勢在於可以提供全面、靈活、壹致的安全服務,降低整體安全建設成本,整合供應商和廠商的資源,為客戶提供高效的雲服務。基於雲的網絡安全服務可以簡化IT基礎設施,減少IT團隊管理和運維安全產品的數量,降低後期運維的復雜度,大大提高工作效率。SASE模型並使用雲技術來優化企業性能,簡化用戶身份驗證流程,並保護未經授權的數據。
SASE模型強調網絡與安全的緊密耦合,網絡與安全同步建設,為準備建設安全體系的企業提供了理想的路徑。相反,對於壹個已經建立或正在建立安全系統的企業來說,重新構建其網絡結構是壹個巨大的挑戰和大量的投資。所以SASE模式可能更適合面向終端用戶的零售行業,為這類企業提供完整的安防服務,不需要企業在每個分支節點建設壹整套安防系統,便於統壹管理,降低建設成本。
中興模式的重點是零信任。壹個是數據中心零信任,即資源訪問零信任,壹個是邊緣零信任,即所有邊緣的訪問安全零信任。其實可以理解為SASE模型包含零信任模塊,本質上是壹個概念。中興模式強調網絡與安全的解耦,先解決遠程接入問題,再解決網絡架構重構問題。
二、華潤醫藥商業集團的零信任實踐
華潤醫藥商業集團有限公司(以下簡稱“公司”)作為華潤旗下的大型醫藥流通企業,在全國擁有100多家分子公司和近千家藥店,其日常業務運營離不開信息化的基礎支撐,因此網絡安全尤為重要。近年來,各中央企業在網絡安全建設中積極響應國家號召和相關法律法規要求,提升網絡安全防護能力。公司也非常重視網絡安全建設。目前已建立以態勢感知為核心、貫穿邊界和終端的縱深防禦體系,並通過連續兩年參加攻防演練,不斷提升網絡安全人員的專業水平,通過攻防實戰進壹步優化網絡安全建設。
然而,當公司涉足雲計算、大數據、物聯網等技術領域時,現有的網絡邊界泛化給企業帶來不可控的安全風險,傳統的基於邊界的網絡安全架構和解決方案難以適應現代企業網絡基礎設施,而零信任可以有效幫助公司解決數字化轉型中的難題。
公司選擇SASE(安全接入服務邊緣)和中興通訊(零信任邊緣)並行解決方案,探索面向企業的“零信任”網絡安全架構方向。
公司分支機構眾多,幾乎覆蓋全國,存在安全管控難、處置難、安全性低、資源靈活性差等問題,缺乏統壹的長效運行機制。基於上述問題,公司參考SASE模式的解決方案,將傳統WAN鏈路數據中心的原有接入形式改為PoP point WAN融合的網絡架構方案,由統壹的運營服務商提供網絡鏈路和全面的安全服務。但並不是完全重構原有的網絡架構,而是針對三類情況采用不同的方案。
第壹類是改變網絡安全管理方式,主要針對區域公司。由於大部分區域公司都建立了相對成熟的安全體系,只是將原有的傳統WAN鏈路改為最近的運營商PoP點,將原有的雙線冗余線路更換為軟件定義WAN (SD-WAN)技術,通過服務質量(QoS)機制合理劃分主營業務和辦公業務,大大提高了網絡使用效率,降低了成本。而且廣域網可以通過統壹的管理平臺進行管理,安全策略可以統壹分配和配置,提高了整體的安全性。
第二類是逐層聚合,分級管理,主要針對二級、三級分行。雖然這類單位的安全系統已經建成,但還沒有達到很高的水平。通過接入最近的PoP點或者聚集在區域公司,運營商會提供壹些安全服務或者區域公司進行統壹管控。
第三類主要是針對零售店和小分店,這些店無力搭建安全系統。采用SD-WAN安全接入方案就近接入PoP點,運營商提供整體安全服務,降低安全建設成本,加強統壹安全管控。通過SASE模型的管理理念,調整網絡架構,提供全面壹致的安全服務,同時降低整體安全建設成本,提高工作效率。
這兩年公司辦公室受新冠肺炎疫情影響,員工居家辦公變得正常。公司作為虛擬專用網(VPN)產品的“大用戶”,擁有眾多原有的VPN賬號,傳統的VPN在使用過程中已經難以滿足當前的業務需求,壹些問題也逐漸暴露出來,往往導致不同程度的安全隱患。傳統的VPN架構存在很多問題,比如基於角色的權限固定分配,不夠靈活。在業務生成和再保險的特殊時期,廣泛的權限控制無法實現對不同角色的業務人員和非法人員的訪問控制。業務端口暴露於公網,本身存在賬號冒用、惡意掃描、密碼爆炸等安全隱患。公司總部負責VPN業務的運維,所有涉及下屬單位的VPN問題都需要總部人員處理,找回賬號密碼等細微繁瑣的問題占用了總部人員大量的時間和精力。不同的終端和瀏覽器對傳統VPN客戶端的兼容性不同,兼容性問題也經常被員工抱怨。在VPN的使用中,基於互聯網的加密訪問往往會因為網絡原因導致服務堵塞甚至斷網的問題。
為此,公司參考了中興模式的解決方案,首先解決了遠程接入的問題。2021,公司進行零信任安全建設試點。以零信任理念為指導,結合深信服軟件定義邊界(SDP)架構的零信任產品,搭建了壹個覆蓋中國所有上班族的零信任遠程辦公平臺。
基於SDP架構的零信任產品在連接前對接入連接進行認證,拒絕所有非法連接請求,有效降低暴露,避免應用層的服務掃描檢測和分布式拒絕服務(DDoS)攻擊。通過單包認證(SPA)授權安全機制實現業務不可見和服務不可見,保護辦公業務和設備本身。對於沒有安裝專有客戶端的計算機,服務器不會響應來自任何客戶端的任何連接,也無法打開身份驗證界面和訪問任何界面。通過自適應身份認證策略,當異常用戶在異常網絡、異常時間、新設備中訪問重要敏感應用或數據時,零信任平臺強制用戶進行二次認證和應用增強認證,保證用戶身份的可靠性。
零信任的試點應用提高了公司的網絡安全性,簡化了運維。但基於公司目前的情況和規劃,試點工作還需要和廠家進壹步開展。在用戶體驗優化方面,SDP架構的數據轉發鏈較多,零信任和VPN使用流暢度差別不大,用戶體驗需要進壹步優化。零信任安全系統需要完全支持互聯網協議版本6 (IPV6)。根據相關政策要求,IPV6服務需要改革,通過零信任發布的服務將被優先考慮。零信安全系統需要支持內部即時通訊,進壹步將零信產品與公司現有辦公平臺對接,實現身份和業務的統壹管理,實現單點登錄。公司零信任安全體系建設下壹步工作是將公司現有安全體系建設與零信任產品體系進壹步對接,實現數據互通,進壹步提高管理信息化方面的安全性和可靠性。
第三,結論
零信任安全體系結構對傳統的邊界安全體系結構模型進行了重新評估和審視,為安全體系結構提供了壹種新的構建思路。但是,零信任不是壹個產品,而是壹個安全架構的新概念。在實踐中,不僅要在企業網邊界上控制訪問,還要對所有企業網邊緣和身份之間的所有訪問請求進行更細致的動態訪問控制,真正實現“永遠不信任,永遠驗證”。
(本文發表於《中國信息安全雜誌》2022年第2期)