建立零信任IT環境的5個步驟

雷英

零信任不是產品或服務，當然也不僅是流行語。相反，它是網絡安全防御的一種特殊方法。顧名思義，不是“先驗證，后信任”，而是“永遠不要信任，永遠要驗證”。

本質上，零信任是通過限制數據訪問來保護數據。無論是否在網絡范圍之內，企業都不會自動信任任何人或任何事物。零信任方法要求在授予訪問權限之前，對試圖連接到企業的應用程序或系統的每個人、設備和帳戶等進行驗證。

然而，網絡安全系統設計之初不是已有這個功能了嗎？難道零信任只是在此基礎上增加某些額外的控件？

的確，零信任框架包括許多企業廣泛使用的數據保護技術。但是，零信任代表著一個清晰的支點，即如何思考網絡安全防御。這種方法不僅可以保護整個企業，而且還可以將該范圍擴大到組織內外的每個網絡、系統、用戶和設備。利用強大的身份、多因素身份驗證、受信任的端點、網絡分段、訪問控制和用戶規則來分隔和規范敏感數據以及系統訪問，從而讓零信任成為可能。

簡而言之，零信任是一種新的思考網絡安全方法，可幫助組織在瞬息萬變的安全威脅形勢下保護其數據、客戶和自己的競爭優勢。

網絡安全零信任正恰逢其時

企業高管已經感受到保護企業系統和數據的壓力了。投資者和數據主體（客戶和消費者）也堅持要求有更好的數據安全。某些數據和應用程序為本地部署，而某些則在云中，安全問題將變得更加復雜，從員工到承包商和合作伙伴，每個人都在使用多個位置的各種設備來訪問這些應用程序。同時，政府和行業法規也在提高保護重要數據的要求，零信任可以幫助企業滿足這些合規要求。

零信任網絡安全技術

零信任背后的技術正在迅速發展，這也讓該方法如今更加實用。實現零信任網絡安全框架的方法不是單一的，也不僅只是一種技術，而是需要多種技術，這樣才可以確保只有經過安全驗證的用戶和設備才能訪問目標應用程序和數據。

例如，基于“最低特權”的原則授予訪問權限，僅為用戶提供完成工作所需的數據。這包括實施到期特權和一次性使用的憑證，這些憑證在不需要訪問后會被自動吊銷。此外，將連續檢查和記錄流量，并限制訪問范圍，以防止數據在系統和網絡之間進行未經授權的橫向移動。

零信任框架使用多種安全技術來增加對敏感數據和系統的訪問粒度。比如，身份和訪問管理（IAM）、基于角色身份的訪問控制（RBAC）、網絡訪問控制（NAC）、多因素身份驗證（MFA）、加密、策略執行引擎、策略編排、日志記錄、分析以及評分和文件系統權限。

同樣重要的是，可以使用技術標準和協議來支持零信任方法。云安全聯盟（CSA）開發了一種稱為軟件定義邊界（SDP）的安全框架，該框架已應用于某些零信任措施。互聯網工程任務組（IETF）通過批準主機標識協議（HIP）為零信任安全模型做出了貢獻，該協議代表了OSI堆棧中的新安全網絡層。在這些進步的技術基礎上，許多供應商逐漸將零信任解決方案推向市場。

基于這些技術、標準和協議，組織可以使用3種不同的方法來實現零信任安全：

網絡微分段，將網絡刻畫到小的粒度節點，一直到某個設備或應用程序。安全協議和服務交付模型是為每個單獨的細分市場設計的。

SDP，基于一種“需要了解”的策略，即在授予對應用程序基礎結構的訪問權限之前，先驗證設備的狀態和身份。

零信任代理，可充當客戶端和服務器之間的中繼，有助于防止攻擊者入侵專用網絡。

在特定情境中哪種方法最佳，取決于保護對象是哪些應用程序，當前的基礎架構如何，是在未開發的環境中還是傳統環境中進行等多種因素。

構建零信任環境的5個步驟

建立零信任框架并不意味著一定需要完全的技術轉型。通過使用以下這些循序漸進的方法，企業以可控的、迭代的方式進行，從而幫助獲取最佳效果，同時對用戶和操作系統的干擾降到最低。

（1）界定保護表面范圍。零信任環境下，企業不會專注于攻擊表面，而只會專注于保護表面，專注于對公司最有價值的關鍵數據、應用程序、資產和服務。保護表面，比如信用卡信息、受保護的健康信息、個人身份信息、知識產權、應用程序（現成的或定制的軟件）、SCADA控件、銷售點終端、醫療設備、制造資產和IoT設備等資產以及DNS，DHCP，Active Directory等服務。

一旦界定保護面后，可以將控件盡可能地移近它，附上限制性的、精確的和可理解的策略聲明，以此創建一個微邊界（或分隔的微邊界）。

（2）記錄事務流量。流量在網絡中的傳輸方式決定了它的保護方式。因此，獲得有關DAAS相互依賴關系的上下文信息十分重要。記錄特定資源的交互方式有助于適當加強控制并提供有價值的上下文信息，確保最佳的網絡安全環境，同時對用戶和業務運營的干擾降到最低。

（3）構建零信任IT網絡。零信任網絡完全可以自定義，而不僅是一個通用的設計，而且該體系結構主要圍繞保護表面構建。一旦定義了保護表面并根據業務需求記錄了流程，就可以從下一代防火墻開始制定零信任架構。下一代防火墻充當分段網關，在保護表面周圍創建一個微邊界，對任何嘗試訪問保護表面內的對象使用分段網關，可以強制執行附加的檢查和訪問控制層，一直到第7層。

（4）創建零信任安全策略。構建網絡后，將需要創建零信任策略來確定訪問流程。訪問用戶對象、訪問應用程序、訪問原因、傾向的這些應用程序連接方式以及可以使用哪些控件來保護該訪問，這些問題都要提前了解。使用這種精細的策略實施級別，可以確保僅允許已知的流量或合法的應用程序連接。

（5）監視和維護網絡。這是最后一步，包括檢查內部和外部的所有日志，并側重于零信任的操作方面。由于零信任是一個反復的過程，因此檢查和記錄所有流量將大大有益，可提供寶貴的參考，以了解如何隨著時間的推移改進網絡。

其他注意事項和優秀實踐

對于考慮采用零信任安全模型的企業，以下是一些其他的注意事項：

選擇架構或技術之前，確保具有正確的策略。零信任是以數據為中心的，因此，重要的是考慮數據的位置，需要訪問的人以及可以使用哪種方法來保護數據。Forrester建議將數據分為3類———公開、內部和機密，組建帶有微邊界的“數據塊”。

從小處著手積累經驗。為整個企業實施零信任的規模和范圍可能是巨大的。例如，谷歌花了7年時間才實施自己的BeyondCorp項目。

考慮用戶體驗。零信任框架不必破壞員工的正常工作流程，即使他們（及其設備）正受到訪問權限驗證的審查。有些過程在后臺進行，或許用戶根本看不到。

對用戶和設備身份驗證實施強有力的措施。零信任的基礎在于，在完全驗證為有權訪問內部資源之前，沒有任何人、任何設備可以信任。因此，基于強身份、嚴格的身份驗證和非持久權限的企業范圍IAM系統是零信任框架的關鍵構建塊。

將零信任框架納入數字化轉型項目。重新設計工作流程時，還可以轉換安全模型。

當下是采用零信任安全模型最好的時候。技術已經成熟，協議和標準已經確定，對于新的安全性方法的需求不容忽視。