更新日期: 2024 年 6 月 20 日
撰稿人:Gregg Lindemulder 和 Matthew Kosinski
零信任是面向现代多云网络的一种安全策略。零信任安全模式要求针对用户、设备、应用程序和数据之间的每一个连接强制执行安全策略,而非侧重于网络边界。
零信任模式遵循“永不信任,始终验证”的原则,而不是默认向网络内的所有用户授予信任。这种精细的安全管控方法有助于解决远程工作人员、混合云服务、个人设备以及当今企业网络内的其他元素所带来的网络安全风险。
随着攻击面不断扩大,越来越多的组织开始采用零信任模式来改善其安全状况。根据 TechTarget Enterprise Strategy Group 2024 年发布的一份报告,有超过三分之二的企业表示,他们正在企业内部实施零信任政策。1
不断变化的法律与监管要求也推动了对零信任的采用。例如,美国总统 Joseph Biden 于 2021 年发布行政命令,指示所有美国联邦机构实施零信任架构 (ZTA)。2
零信任方法十分重要,因为传统的网络安全模型已捉襟见肘。零信任策略是为大多数组织眼下使用的更为复杂且高度分散的网络而设计的。
多年来,企业专注于使用防火墙和其他安全控制措施来保护其网络边界。位于网络边界内的用户被视为值得信赖且可随意访问应用程序、数据和资源。
数字化转型消除了网络边界的传统概念。如今,企业网络已延伸到内部地点和网段之外。现代企业生态系统包含云环境、移动服务、数据中心、IoT 设备、软件即服务 (SaaS) 应用程序以及面向员工、供应商和业务合作伙伴的远程访问。
由于攻击面的扩大,企业更易受到数据泄露、勒索软件、内部威胁和其他类型的网络攻击的影响。网络边界不再是一条清晰、连贯的防线,而基于边界的防御也无法弥合所有差距。此外,获得网络访问权限的威胁参与者也可利用绝对信任进行横向移动,从而定位和攻击关键资源。
2010 年,Forrester Research 的分析师 John Kindervag 引入了“零信任”的概念,以此作为通过严格的访问控制来保护企业资源的一个框架。零信任并不关注网络边界,而是围绕单个资源进行安全控制。
每个端点、用户和连接请求均被视为潜在威胁。用户在穿越边界时无法自由活动,而在每次连接到新资源时均须进行身份验证和授权。该持续验证机制有助于确保仅合法用户可访问有价值的网络资产。
就广义而言,零信任安全状况是通过持续验证和认证用户、应用程序、设备与数据之间的连接来实现的。
在整个组织中实施零信任策略可能是一项复杂的任务。它不仅仅是安装单个零信任解决方案。零信任要求在广泛的功能领域开展规划并予以执行,其中包括身份和访问策略、安全解决方案和工作流程、自动化、运营和网络基础设施。
很多组织均遵循特定的零信任框架来构建零信任架构。其中,业已成熟的模型包括 Forrester 的零信任框架、美国国家标准与技术研究院 (NIST) 的特别出版物 (SP) 800-2073,以及网络安全和基础设施安全局 (CISA) 的零信任成熟度模型 (ZTMM)。4
虽然组织可从各种框架中进行选择,但大多数零信任策略均包含以下关键概念:零信任的三项原则、零信任的五大支柱以及零信任网络访问 (ZTNA)。
不同框架和模型的技术规范可能有所不同,但它们均遵循一组零信任核心原则:
默认情况下,零信任会导致所有网络资产均无法进行访问。用户、设备和工作负载必须通过持续的情境身份验证和验证才能访问资源,且每次请求进行连接时均须通过这些检查。
动态访问控制策略会根据用户的权限、物理位置、设备运行状况、威胁情报和异常行为等数据点来确定是否批准请求。连接将持续受到监控,且须定期重新进行身份验证才能继续运行该会话。
在零信任环境中,用户和设备仅有针对资源的最低访问权限。这意味着,它们仅会获得完成某一任务或履行其角色所需的最低级别的权限。会话结束后,这些权限便会被撤消。
以此方式管理权限可对威胁参与者访问网络其他区域的能力予以限制。
在零信任企业中,安全团队会假设黑客已入侵网络资源。安全团队通常用于缓解持续网络攻击的操作变成了标准操作程序。这些操作包括设置网络分段以限制攻击范围,监控网络中的每个资产、用户、设备和流程,以及实时响应异常的用户或设备行为。
CISA 的“零信任安全模型”4概述了组织在实施零信任期间可重点关注的五大支柱:
与零信任安全模型中的所有其他元素一样,应用程序和应用程序编程接口 (API) 也不存在绝对信任。
组织不再提供针对应用程序的一次性静态访问,而是转向动态授权(需不断进行重新验证才能实现持续访问)。企业会持续监控相互通信的应用程序,以发现其中的异常行为。
实施零信任策略所需的主要技术之一是零信任网络访问 (ZTNA)。与虚拟专用网络 (VPN) 一样,ZTNA 也提供对应用程序和服务的远程访问。但与 VPN 不同的是,ZTNA 仅会将用户连接到他们有权访问的资源而不是整个网络。
ZTNA 是安全访问服务边缘 (SASE) 模型的关键组成部分,它可帮助公司在用户与资源之间提供直接、安全且低延迟的连接。
由于零信任架构会根据身份强制执行访问控制,因此它可为混合与多云环境提供强有力的保护。经过验证的云工作负载会被授予对关键资源的访问权限,而未经授权的云服务和应用程序则会被拒绝。
无论来源、位置或 IT 基础设施的变化如何,零信任均可持续保护繁忙的云环境。
组织通常需向供应商、承包商、服务提供商和其他第三方授予网络访问权限。黑客会利用此情况来发动供应链攻击;在此情况下,他们会利用遭入侵的供应商帐户和工作负载侵入某公司的网络。
零信任会对每个实体(甚至是网络外部的实体)应用持续的情境身份验证和最低权限访问。即使黑客入侵了可信供应商的帐户,他们也无法访问该公司的最敏感资源。
传统上,组织依靠虚拟专用网络 (VPN) 将远程员工与网络资源连接起来。但 VPN 不易扩展,也无法阻止横向移动。
在零信任模型中,企业可改用零信任网络访问 (ZTNA) 解决方案。ZTNA 可验证员工身份,然后仅授予他们访问完成自身工作所需应用程序、数据和服务的权限。
由于 IoT 设备会连接到互联网,因此会对企业安全构成风险。黑客经常以 IoT 设备为目标,因为他们可利用此类设备将恶意软件引入易受攻击的网络系统中。
零信任架构会持续跟踪组织中每个 IoT 设备的位置、状态和运行状况。每台设备均会被视为一个潜在的恶意实体。与零信任环境中的其他要素一样,IoT 设备也必须受到以下限制:访问控制措施、身份验证以及与其他网络资源进行加密通信。
所有链接均为 ibm.com 外部链接。
1 零信任领域的趋势。TechTarget 下属 Enterprise Strategy Group。2024 年 3 月。
2 关于加强国家网络安全的行政命令。白宫。2021 年 5 月 12 日。
3 NIST SP800-207:零信任架构。NIST。2023 年 8 月。
4 CISA 零信任成熟度模型。CISA。2023 年 4 月。