落地零信任选对场景是关键

威努特工控安全 2024-02-21 09:29:56  63361

分类专栏：资讯

随着网络攻击的不断增加，传统的网络安全模式已经无法满足当前的安全需求。零信任理念因此应运而生。零信任理念是一种基于最小化信任原则的网络安全模式，它将用户、设备、应用和数据视为不可信，并将这些实体的访问请求都进行认证和授权，从而保证网络的安全性。作为一种创新性的安全理念，零信任究竟应该如何逐步落地？

零信任“落地”第一枪

——替代SSL VPN

VPN常用的技术主要有IPSEC VPN以及SSL VPN，两者分别解决了站对站以及点对站的连接问题，其中，SSL VPN最被人吐槽最多的有三点——安全性、性能以及使用体验，通过零信任的替代基本解决SSL VPN现有的以上三点隐患，同时改动不大，更易“落地”。

1）安全性：在过往的一些实战和攻防演练活动中，通过VPN突破出口防御进入内部的案例比比皆是，VPN厂商每年都发布很多补丁来加固自身的VPN产品，但是不论怎样加固，VPN本身的架构就决定了其安全上的薄弱性，VPN服务因需要接受使用者的连接而必须在互联网上暴露一个开放的端口，持续监听用户请求，且VPN服务的数据面与控制面没有解耦。攻击者可以访问对外开放的接口（登录、验证、管理），随意研究对外开放的端口的漏洞（通过SQL注入、Webshell注入、伪造请求包）。在入侵后，可以直接扫描目录、拖库、提权。与VPN不同，零信任架构默认不开放任何端口，基于SPA单包授权机制，减少了被探测、漏洞被利用的可能性。同时，数据面和控制面分离，可以减少入侵造成的损失，避免整体失陷。即使攻击者窃取了身份，在进行异常操作时，还是会被零信任的风险分析和动态访问控制能力所发现、阻止。

2）性能：零信任安全网关分为Web代理和隧道网关两种。不论是Web代理方式还是隧道网关方式在性能上均要优于VPN。零信任隧道网关是使用WireGuard协议实现的。简洁高效的WireGuard协议在吞吐和速度方面优于VPN。此外，Web代理的处理能力和灵活性都比VPN更强，可以支持更多并发。而且，Web代理是短连接模式，不用建立隧道，在网络质量不高时不会让会话全部中断，稳定性较好。Web代理的集群和容器化方案也更加成熟，扩容更灵活方便。

3）使用体验：用户使用VPN时需要经常性地登录、登出。VPN是基于长连接的，网络环境一变就需要重连。例如，从办公室离开到其他网络环境，用户都要重新登录一次VPN，VPN连接成功后，用户好比处于内网之中，访问内网应用没有问题，但用户若要更快速地访问外网则需退出VPN。所以用户要时刻考虑着要访问内网还是外网，要断开VPN还是连接VPN。而SDP零信任不需建立长连接，即用即连。所以，用户只有第一次使用时，需要登录SDP客户端。以后无论是网络环境变化，还是访问内外网的不同应用，用户都无需关注，直接访问相应的应用就行了。用户甚至完全感受不到零信任的存在，使用起来更加方便和安全。

此外，零信任相较于VPN还有以下优势：

因此，基于上述零信任与VPN间的对比，用SDP零信任去替代现有的SSL VPN可以作为实践零信任的第一步，改动较小，同时可以初步体验零信任带来的优势。

零信任“落地”第二枪

——远程办公与业务代理

随着数字化转型发展，混合远程工作、物联网、API 和应用程序的快速增长，交互的场景网状化，网络边界的概念已渐渐消失。暴露面在不断扩大增加，传统基于边界防护的效果越来越差。企业资源可能位于企业内网服务器，也可能被企业托管在公有云上的数据中心。企业服务通常需要在不同的服务器之间交互，包括部署在内网、公有云、私有云中的服务器。企业的暴露面不断增加，面临的风险也在逐步递增，若仍采用传统的端口对外映射的方式进行通讯，不仅使得端口的管理更加复杂，同时也使得内网应用暴露的风险增多，因此采用零信任对所有暴露在外的端口进行隐藏，降低企业对外暴露的风险。

零信任采用代理的方式，将所有业务应用隐藏于零信任网关之后，同时采用SPA单包授权机制对终端的访问进行鉴别，达到业务隐身的目的，应用被隐藏在SDP网关之后，实现了“先认证后连接”，从而只有被授权的用户才能可靠地访问，而未授权用户则看不到服务（传统的网络应用是允许先连接后认证，但是对于SDP而言必须先认证后连接）。单包授权（SPA）是实现网络隐身的核心网络安全协议。在允许访问控制器，网关等相关系统组件所在的网络之前先验证设备和用户身份，实现零信任“先认证，再连接”的安全模型理念。

图1 零信任SPA单包授权机制

业务代理为零信任“落地”实施的第二步，该步骤需要用户对于业务通讯采用的端口进行统计与梳理，将服务器间通讯端口和终端与服务器通讯端口区别开，避免影响服务器间的正常通讯，此外，业务改造应既包含外网应用，同时也包含内网应用，通过对外网应用、内网应用域名解析地址的修改，将访问数据统一指向零信任网关，由网关进行统一的审核、评估和转发，确保无论终端是内网访问还是外网访问任何应用，都会进行评估和验证，解决了物理边界模糊化给内网应用带来的安全风险，提升了业务的安全性。

零信任“落地”第三枪

——身份与权限统一管理

零信任的是以身份为核心进行信任评估，所以身份管理和认证模块是访问控制的基础。因此，企业需要针对公司人员及权限进行系统性梳理，汇聚高质量的身份大数据，为细粒度的动态访问控制提供足够的信息支撑，并提供基于风险的自适应身份认证。

为保证身份和权限的一致性，企业可以从HR、安全分析平台、业务系统等同步如下信息：

・人和物全面身份化：为人、设备、应用、API等场景下的实体建立身份；

・身份生命周期：为各种实体制定身份生命周期管理流程；

・身份的多源汇聚：应支持数据建模，根据业务需求灵活调整属性；汇聚身份除了技术因素还要考虑管理因素；

・身份和权限服务：零信任系统可以向下游系统提供身份数据，在提供数据时，进行必要的脱敏和加密。

通过以上三个步骤，即可完成主体身份可信、业务访问动态合规、客体资源安全防护、信任持续评估”的零信任动态综合纵深安全防御体系的初步构建。

图2 威努特零信任解决方案示意图

威努特零信任安全访问控制系统是基于零信任的安全理念设计打造的一款新型安全产品，可以有效辅助上述体系的构建。该系统秉承零信任的“先认证后连接”机制，通过将传统以网络区域边界的安全防护模式，转变为经过可信身份验证后才建立访问连接的防护模式，并结合零信任SPA单包授权、多源身份认证、终端状态持续感知、数据级访问控制等多种安全技术，实现了用户在任意地点、任意时间对业务资源和数据的安全、稳定、高效访问。