如何實施零信任的云安全

2020-12-29 18:53:19山東趙長林郭曉昆

■ 山東趙長林郭曉昆

編者按：云環境和工作任務的性質正在發生改變，因而安全團隊的方法也必須與時俱進。本文將介紹如何實施零信任的云安全。

安全專家們必須重新思考實現網絡安全和對應用及其它工作任務進行訪問控制的方法，尤其是在涉及到云時，這個問題尤其重要。

自從零信任近年來被人們所重視，許多安全專業人員已經開始在安全項目中利用了零信任的原則。零信任的目標是改變當前的網絡安全方法，它主要引入了如下三方面：

首先，將整個環境看作是潛在不受信任的，或是遭到損害的，并與所謂的外部攻擊手段帶來的破壞形成對比。破壞力最強的攻擊場景幾乎越來越多地都來自內部，并且往往是由高級惡意軟件和損壞終端用戶的釣魚攻擊造成的。

其次，更好地理解端點上的應用程序行為。這要準確理解哪些得到許可的應用程序的網絡通信可以被傳輸。

第三，環境中的所有部分，都要從總體上專注信任關系和系統到系統的關系。安全團隊今天在企業網絡中所看到的大量通信可能完全沒有必要，或者與系統不相關，或者與業務所需要的應用無關。

保持云安全的新障礙

很多傳統的控制并不能夠完成安全目標。高度虛擬化和聚合的工作任務，以及擁有動態屬性的公有云等，都使問題變得更復雜。云端的工作任務經常要在本地和外部的云服務環境之間遷移，或者在一家云服務供應商環境的不同部分之間遷移。

工作任務的性質也正在發生改變。例如，將工作任務上傳到公有云而不對其進行修改，幾乎是不可能的。有些企業已經要求實施新的訪問控制的零信任，從而更好地適應動態的云部署模式。

到底什么是零信任？零信任是一種模式，它將IT運營環境中的所有資產都默認看作是不被信任的，除非網絡通信和應用或服務行為被驗證和得到許可。零信任的概念在早期主要是對網絡訪問的位置和主機進行分段，并保障其安全。

如今，它已經更多地集成到獨立服務器和工作任務中，用以檢查應用程序組件、二進制文件和應用架構中通信系統的行為。零信任的方法并不涉及到清除邊界。相反，在云的應用和部署中，這種模式使用網絡和應用層的微分段，從而盡可能地將邊界遷移到內部，盡最大可能靠近特權應用（包括移動應用）和受保護的范圍。

為實施零信任的云安全，信息安全和運營團隊需要關注兩個關鍵概念。

首先，安全需要集成到工作任務中，既要在實例中存在，又要在不斷變化的云環境進行更新時保持訪問控制。

通過創建一個策略強化層，不管工作任務運行到何地，企業都可以更好地保護數據而不管數據實例在何處運行。在某些方面，這就將安全策略和訪問交還給個別實例，這與將其置于網絡內部相反。然而，公有云和混合云的架構設計并不能輕易地適應傳統的網絡分段模式。

其次，企業需要更好地理解運行在每個系統上的應用和服務的真實行為。

與以往相比，系統和應用之間的關系要求企業進行更為嚴格的審查，目的是為了有助于一種高度受到限制的零信任的運營模式，從而不至于影響網絡連接。在固定的網絡強化點的背后，虛擬實例和容器等動態資產都難以進行定位。

企業可以采用一種零信任的微分段策略，允許通信在許可的系統和連接之間流動，而不管其所處的環境如何。這幾乎就是要求一種網絡策略和身份策略相結合，從而定義允許通信和行為的方法。

不管環境如何，零信任的微分段可以防止攻擊者使用未經許可的連接從受攻擊的應用進入系統。

從本質上說，零信任有助于構建密切關系策略，其中的系統擁有密切的相互關系、經許可的應用和通信。任何通信企圖都要被評估，并且與這些策略進行比對，從而決定是否允許這些行為。

上述動作是持續發生的。有效的零信任控制技術還要包括一些機器學習功能，對企圖發生的行為執行分析和處理。這種技術隨著時間的推移，能夠動態地適應工作任務和應用環境的變化。

在部署零信任的工具和控制時，企業不妨關注如下最佳方法：

首先，可以從被動的應用程序發現開始，這往往與網絡通信的監視一起實施。可以考慮用幾周的時間發現已有的要素關系，并與那些理解正常流量模式和正常的系統通信的利益關系人進行協作。在確認了應當部署的正確關系后，應當實施強化策略，此措施要與應用程序的行為分析一起進行。

其次，不妨根據數據如何在網絡之間進行移動、用戶和應用如何訪問敏感信息等方面設計零信任架構。此步驟有助于決定如何網絡分段，還有助于安全團隊確定應當將保護和訪問控制安置在不同網絡分段邊界的什么地方。

第三，更高級的零信任工具往往與資產身份集成在一起，后者有可能是一個應用架構的一部分，并與某個業務部門、組或是一個具體系統類型的代表保持一致。因而，安全團隊不妨花點時間對系統和應用進行分類，這將有助于構建應用通信的基準和行為。

信息安全專家們擁有很多本地云工具，如云應用安全工具。此外，一些第三方的廠商現在也提供可以通過網絡、基于代理或是通過身份控制而隔離網絡和云應用的產品和服務。