零信任太難，不如看看深信服的精益信任！

在被“木馬”侵入之前,特洛伊城擁有銅墻鐵壁般的防御,發(fā)達的交通、繁榮的商業(yè)、富裕的生活,他們已經成功抵御了阿伽門農率領的希臘聯軍,整整十年潮水般密不透風的進攻,而這個時間,本該在史書上被記錄得更久一些。

但一墻之隔的差距,最終釀就了荷馬筆下《伊利亞特》中壯美慘烈的“特洛伊木馬屠城”。

如果特洛伊國王沒有聽信希臘間諜的哄騙,將“木馬”帶回城中,希臘軍隊秘密潛入的“詭計”便不會成功;如果不是為了讓體積巨大的“木馬”進入城內而拆毀了一小段城墻,希臘軍隊也不會這般輕易地贏得最后的戰(zhàn)爭。

特洛伊城不會被屠戮,財富不會被掠奪一空,繁榮也還將繼續(xù)延續(xù)。

在過去幾十年里,傳統(tǒng)安全依靠著清晰的邊界和建立在邊界上穩(wěn)固的防護,通過防火墻的設置將企業(yè)內外阻隔成完全不同的兩個世界——任憑墻外危機四伏、戰(zhàn)火連天,只要確保網絡攻擊無法擊穿防火墻,企業(yè)內部就可以安然無恙。

就像特洛伊戰(zhàn)爭中,如果不是“木馬計”實現了內部的滲透,任由墻外船堅炮利,特洛伊城仍十年巍峨屹立。

但是,隨著“移動化”、“云計算”、“萬物互聯”等新技術新場景的來到與應用,網絡安全的“邊界”正漸漸走向消亡 ,原本我們通過安全產品壘砌起來的邏輯“城墻”,終將轟然倒塌。

“邊界消失” 企業(yè)內部“不再信任”

在短短二十年的時間里,我們經歷和見證了國內計算機網絡與智能手機飛速發(fā)展的兩個時代,但一直到今天為止,“安全性”依然是拷問計算機和手機的主要命題。

“萬物互聯”的到來伴隨著數以億計IoT設備的涌入,每一臺IoT設備,就和曾經的計算機與智能手機一樣,也成為了人們橋接網絡的入口。企業(yè)配置的路由器、智能攝像頭,很有可能成為黑客順著網線滲透內部的入口。

隨著數字化轉型的推進,企業(yè)對“上云”的需求越來越高。混合云和多云架構使得安全的邊界愈加模糊,每一次云端基礎設施和應用的增加,都會將安全邊界打開一條新的通道,更會給黑客打開一扇新的大門。

而放眼二十年前,當人們驚嘆于計算機極大地提升了辦公效率的同時,沒有多少人會想到,“移動化”的出現,會讓我們可以脫離固定場景、終端,隨時隨地用各種各樣的設備訪問網絡進行辦公。如何確保訪問系統(tǒng)的某一個賬號由“本人”登錄,而整個過程又不會發(fā)生違規(guī)操作,則正是企業(yè)當前面臨的又一巨大難題。

與此同時,越來越多的未知威脅正繞過傳統(tǒng)基于邊界的安全設備,悄悄向企業(yè)內部滲透,而企業(yè)內部系統(tǒng)又缺乏有效的控制手段,這些問題都將迫使企業(yè)必須重新構建新的安全邊界。

過去,企業(yè)聘用“可信的”員工在企業(yè)規(guī)定的“可信”辦公地點使用企業(yè)自己采購的“可信”設備進行“可信”的訪問,這個過程自然也是相對“可信”的;但是今天,隨著“移動化”辦公和企業(yè)“云化”的普及,每個員工都可以在企業(yè)“管轄”范圍以外的“不可信”場景通過“不可信”的私人手機或筆記本電腦進行系統(tǒng)的登錄。

這樣一來,企業(yè)根本無法保證,執(zhí)行操作的那個“賬號”,是不是由“本人”操作的,而賬號所使用的那臺設備終端,是否又“可信”合規(guī)。

因此,圍繞著“人”和“終端”的驗證,企業(yè)恐怕需要采取“不再信任”的態(tài)度,建立一套新的“信任判決”模式。

　　“不再信任”等于“零信任”?

2010年,國外研究機構Forrester提出了“零信任安全”的概念,將“永不信任,始終驗證”作為其指導原則,確保無論處在任何位置,都要嚴格執(zhí)行訪問控制,檢查所有流量并記錄,保證資源安全的訪問。

換句話說,企業(yè)不再有受信任區(qū)域,所有用戶最初都是不受信任的,即使是來自內網的流量也要被檢查。

在“零信任”的發(fā)展過程中,國內外各廠商紛紛提出自己的方法和見解,其中最成功的莫過于Google的BeyondCorp體系。

過去企業(yè)對于身份認證,往往直接集成在業(yè)務系統(tǒng)內部,使用簡單的“用戶名+密碼”的形式,也不具備專門的身份認證設備和手段。這會使得當業(yè)務系統(tǒng)發(fā)生漏洞以及賬號密碼泄露時,攻擊者可以不受阻攔地輕易進出。

因此,采用“零信任”理念的谷歌BeyondCorp體系,將所有認證和訪問控制進行統(tǒng)一前移,并從身份、設備、行為等多個角度對接入行為的信任等級進行判斷,以保證所有訪問業(yè)務系統(tǒng)的流量,都能進行有效驗證和控制。

然而,正如許多國外技術在中國市場水土不服一樣,盡管“零信任”有著Google這樣的最佳實踐,但仍然很難在國內實現落地。

總結Google BeyondCorp的運行方式,首先要對企業(yè)現有IT部署進行大規(guī)模的改造,同時伴隨著大量的遷移工作,用戶對于賬號的管理方式和習慣也將會隨之發(fā)生巨大的改變。

這相當于為了實現“零信任”的概念,企業(yè)必須要淘汰掉此前所購買的安全設備,在為“零信任”專門部署新設備的同時,還需要投入新的管理人員、運維人員和資源,來維護“零信任”的運行。

這是一個非常“重量化”的方式,要知道,Google可是全球最大的互聯網公司之一,而國內的企業(yè)無論是人力、資源還是環(huán)境等方面,都無法具備與Google同等的條件。這樣一來,類似BeyondCorp的“零信任”體系,便很難被國內企業(yè)所接受和認可。

那么,“不再信任”是否就等于“零信任”?拋開“零信任”以后,企業(yè)是否沒有更好的辦法對“信任判決”進行重構了呢?

答案顯然是否定的。

精益信任

2017年,Gartner提出了“精益信任”的概念,同時指出“零信任”只是實現或者“精益信任”的一個初始階段。

在Gartner的觀點里,“信任”是業(yè)務訪問的基石,雖然為了對“身份驗證”做到安全的判決,需要在訪問初期采取“零信任”的態(tài)度,但隨著業(yè)務的深入和交互的,主客體之間必然會建立起“信任”的關系。

但是,“零信任”所采取的“永不信任,總是驗證”的模式顯然與業(yè)務交互之間存在難以調和的矛盾。并且風險總是伴隨著信任而產生,“零風險”也就意味著“零業(yè)務”,為了刻意強調“信任”而犧牲業(yè)務,這顯然不是平衡安全與業(yè)務之間的最佳選擇。

同時,雖然“零信任”在原有身份認證基礎上額外增加了一層或多層認證,但這仍然只是一個靜態(tài)判斷的方式,要知道,“信任”作為業(yè)務訪問的基石,并不單純只為“身份驗證”服務。

因而,對于“信任判決”的重構,企業(yè)也絕不應該將目光只放在“身份認證”這一件事情上,要更多地從對風險的觀測上,對信任進行持續(xù)的、動態(tài)的反饋閉環(huán)控制。

所以,企業(yè)需求“零信任”的本質,并不是要犧牲業(yè)務尋求絕對的“零信任”,實現絕對的“零風險”,而是要找到安全與業(yè)務之間的平衡,對“信任”和“風險”進行精益的控制。

因此,Gartner認為,相比較“零信任”而言,“準確而足夠的信任”似乎更加接近網絡安全的實質。而結合中國的網絡安全環(huán)境和現狀,做到兼容已有網絡安全投資,減小業(yè)務系統(tǒng)改造難度,將“準確而足夠的信任”落地,這便是“精益信任”。

深信服“精益信任”:不止是“零信任”

在8月15日舉行的“2019深信服創(chuàng)新大會”上,深信服移動安全產品研發(fā)總監(jiān)郭炳良首次揭開了“深信服精益信任”的面紗。

“深信服精益信任”體系首先通過對“人”和“設備”兩端的信用評估,在確保其合法性以后,授予訪問網絡和業(yè)務的權利。而后在訪問環(huán)節(jié)對行為、流量和日志進行持續(xù)的檢測和分析,判斷“合法的人”是不是在做“合法的事”,一經發(fā)現違規(guī)操作,便對信任進行重新評估,進而判斷是否剝奪其繼續(xù)訪問的權利。

通過將“信任評估”、“訪問授權”和“持續(xù)監(jiān)測”三個環(huán)節(jié)形成閉環(huán),在對“人”和“設備”身份的初步認證之后,持續(xù)性對“風險”和“信任”予以管控。

在終端安全評估方面,“深信服精益信任”體系首先通過客戶端或瀏覽器對訪問設備的安全狀況進行檢測,而后在“零信任”訪問控制系統(tǒng)中根據設備所提交的認證和環(huán)境信息,判斷可能產生的安全風險;最后,控制系統(tǒng)根據反饋的評估結果,按照策略動態(tài)地對訪問終端進行授權。

對于“人”的身份認證和管理,“深信服精益信任”采用多因素認證的方式,加強認證策略;并在身份生命周期內做好維護和更新,避免用戶因重復認證而使得身份認證這一程序變得麻煩與繁瑣。

在獲取“人”和“設備”兩端的信息以后,根據訪問者的身份和所使用設備的屬性來判斷其所處的安全等級,映射到應用服務資源的分級當中,最終確定可以授予的訪問和控制權限。

在授予完權限以后,“深信服精益信任”還會對訪問者的行為和流量走向進行全局實時的采集與檢測,根據行為和流量判斷訪問者是否有違規(guī)操作產生,并劃分威脅等級,及時對接訪問控制系統(tǒng),實施調整信任等級、控制接入和訪問權限,防止惡性事件的發(fā)生。

總的來說,“深信服精益信任”是一種對于“零信任”的延伸。在“零信任”對“人”和“設備”建立了初步信任以后,將信任在后續(xù)予以控制,形成基于風險和信任的可持續(xù)的、動態(tài)的反饋閉環(huán)控制,在業(yè)務不斷產生風險的同時,既不打擾業(yè)務,也可以持續(xù)通過“信任”來規(guī)避風險。

除此以外,像政務云、公安數據中心這類對內對外都要提供訪問支持且頻繁、復雜的場景,“深信服精益信任”還能夠在每一個訪問流量中加入身份標識,防止針對應用系統(tǒng)和數據的內外部攻擊;同時對身份進行更加精細化、動態(tài)化的集中管控和認證,讓偽造身份更加困難;

最后,實現端點、邊界、內網的自動化聯動,讓運維更加便捷。

為什么深信服“精益信任”可以落地?

前文說到,國內之所以無法復制Google BeyondCorp的成功,是因為Google BeyondCorp需要對企業(yè)的IT部署進行大規(guī)模的改造,甚至需要替換大量已經購買的安全產品和設備。

站在用戶的角度來看,深信服認為一款產品能夠成功實現落地的前提,應該是盡可能利用企業(yè)現有的工具、資源和設備,延續(xù)此前積累的使用習慣,在不對用戶習慣做嚴重調整的情況下,使其接受一種新的概念,享受新技術帶來的效果。

因此,“深信服精益信任”的出發(fā)點,就是在滿足用戶使用習慣和國內安全產品發(fā)展形勢的前提下,與企業(yè)現有安全體系進行結合,從而構建全新的“信任判決”機制。在安全邊界漸漸消失的前提下,構筑基于“信任”和“風險”為核心的全新邏輯邊界。

就以訪問控制為例,如果某一個賬號要對業(yè)務和系統(tǒng)進行訪問,那么就需要驗證“人”和“設備”的身份。

在“深信服精益信任”體系里,企業(yè)可以通過原有移動設備上的EMM、移動控制終端的插件、PC和服務器上的EDR插件等傳統(tǒng)設備,把人和設備的身份信息接入到信任控制中心里,在進行綜合性的評估以后,將訪問策略下發(fā)到網管控制系統(tǒng)里放通。

而在訪問過程中,企業(yè)還可以結合已有的內網流量檢測等設備,對訪問過程中所產生的行為、流量以及發(fā)生的事件和風險進行持續(xù)不斷的檢測,通過閉環(huán)不斷生成全新的訪問控制策略。

這樣一來,整個“深信服精益信任”的體系就包括了內網設備、服務器資源、內網流量檢測設備、傳統(tǒng)防火墻、身份管控、CA設備以及終端管控等設備的參與,“深信服精益信任”與企業(yè)已有的安全體系完美結合,共同實現對信任和風險的評估與管控。

在深信服看來,對于一家企業(yè)來說,如果一項新技術的落地需要企業(yè)將所有模塊重新開發(fā),這是完全不現實也不合理的。因此,深信服通過解耦“精益信任”和業(yè)務系統(tǒng)本身的關系,將企業(yè)已有的成熟產品,經過開發(fā)、升級或是迭代,共同進行接口的統(tǒng)一,讓安全人員在不改變習慣的前提下進行一些簡單的創(chuàng)新,就可以形成合力,完成整個精益信任的平臺和架構。

就好比不同于一位女士需要更換整套服飾和妝容才能夠增加美貌與氣質,“深信服精益信任”只需要在女士原有穿著的基礎上,添置一件絲巾,就可以做到改頭換面的修飾。

而對于企業(yè)來說,相對于更換一整套行頭,一件絲巾的價格,顯然便宜與容易了很多。

　　寫在最后

站在深信服“讓IT更簡單、更安全、更有價值”的理念來看,一項新技術的產生,一定是會為企業(yè)帶去價值而不是新的問題?；?ldquo;信任”,我們要把對它的驗證變得更簡單;基于“風險”,我們要把它控制得更加安全。

因此,深信服提出“精益信任”,用一個簡單的、高度工程化的產品,替政府、企業(yè),尤其是中小用戶解決當前所面臨的安全邊界消失帶來的風險與挑戰(zhàn),替用戶控制風險、解決問題。

在對安全趨勢和技術的理解上,深信服在全球范圍內率先推出IPSec/SSL二合一VPN網關、定義了上網行為管理品類;在國內率先推出下一代防火墻、云安全資源落地。

根據IDC和Frost&Sullivan的統(tǒng)計結果顯示,深信服的硬件VPN、SSL VPN、上網行為管理、下一代防火墻等多款產品,多年來位列市場前茅。同時,深信服檢測技術創(chuàng)新還得到了Google認可,并被邀請加入了全球情報聯盟VirusTotal;深信服下一代防火墻更是獲得國際權威安全檢測機構ICSA的認證。

每一次超前的眼光,最終都得到了市場的驗證。

所以,我們更有理由相信,即便城墻已經倒塌,“深信服精益信任”卻能用一種簡單的、快捷的、可落地的方式,重新構建面向未來有效保護的安全邊界,讓每個用戶都可以重新找回“安全感”。(本文轉載自安在)

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。