“零信任”(下):拥抱“不可信”

围观次数:374 views

传统安全观念中,“边界”的实际意义在于区分“可信”与“不可信”。边界之内,人员、终端设备、网络环境以及目标资源等都是默认可信的(在NIST SP 800-207 中称为“隐式信任区”),通常无需专门的访问控制机制;边界之外则是危机四伏,人员身份可能是假冒的,终端设备可能已经被入侵,网络中遍布窃听和假替,乃至目标资源本身也已被攻克从而危害前来访问的用户。

“零信任”兴起的背景是“边界”的消失。移动和云的使用挑战了逻辑上的网络边界,内部人威胁则否定了基于“边界”—不管是网络边界还是身份边界—区分“可信”与“不可信”的有效性。类似的,传统上人们认为受到网络攻击是特殊事件,是需要专门应对的“异常”,而今天不得不面对的现实则是各种网络攻击持续存在的“新常态”。

如果“边界”不足以凭依甚至不复存在,业务安全如何保障呢?需要进一步说明的是,“业务安全”实际包括:保证用户对资源的合理访问;限制乃至阻止用户对资源的不合理访问(权限不足、非业务需要、操作不当等等);保证资源不因用户行为而受到侵害;保证用户不因资源问题而受到侵害。

既然边界的意义在于区分是否可信,那么直接的思路是寻求不依赖边界也能确认“可信”的方法。在Google BeyondCorp项目中,资产访问完全依赖设备和用户凭据,也就是说,通过设备和用户凭据判断访问是否可信。以Google BeyondCorp为模板,此后的各种“零信任”方案往往特别强调设备/终端管理和身份管理。常见的做法是,将设备管理和身份管理添加到传统的访问控制产品和方案中,如果用户身份或设备“不可信”,即拒绝访问。当然,各种“零信任”产品的市场宣传中一般还都会强调“智能分析”、“风险评估”等功能。

然而,因其对资源和管理的高要求,这种以“可信”为目标的做法在实践中却很难落地。以终端设备为例,什么样的设备才算是可信设备呢?在欧美大型企业的实践中通常是指由企业提供且被严格管理的设备,企业的IT和信息安全部门有权利且有能力做到:管理和限制设备的操作系统及安装的软件,对设备的操作系统及各种软件及时进行版本升级和打补丁,监控和调查用户在设备上的所有行为及相关内容。为了达到上述目的,企业需要在提供给用户使用的终端设备上安装具备各种安全功能(如防病毒/恶意软件和DLP等)的软件客户端。除了高昂的购入成本和对用户日常使用的诸多限制,严格的终端管理还需要配置专门的IT技术支持团队进行持续的专业维护。当然,更大的挑战是用户在工作中使用自有设备(BYOD),使得严格的终端管理完全无法实现。

另一方面,在企业的实际业务中对“可信”与“不可信”的要求通常都没有统一的标准,而是因人而异、因事而异。普通员工的日常办公与核心人员的设计开发对环境、设备和工具的安全要求不同,同一员工查看已发布的内部通告与撰写机密商业计划时对“可信”的要求必然有差异。为了支持而不是阻碍实际业务,对是否“可信”的评定应该具有足够的灵活性,毕竟在安全与业务发生冲突时,业务需求总是优先的。在求“可信”而不可得的同时,我们更应该认识到“零信任”本身就是对传统“可信”观念的突破。企业对移动和云的应用源自在“不可信”的环境和条件下开展业务的需求,而内部人威胁的目标是通常认为“可信”的人。所谓“零信任”,即是在一切(人、设备、网络、资源和环境等等)都“不可信”的前提下支持和保障业务的运行和发展,或者可以说,“零信任”产品和方案的目标不是保证 “可信”,而是接纳、拥抱“不可信”。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助