|
|小貝案語| ■ 零信任無疑是最近網(wǎng)絡(luò)安全領(lǐng)域的熱詞,,其熱度之高,不但產(chǎn)業(yè)界趨之若鶩,,甚至到了影響政策的層面,。例如,美國總統(tǒng)拜登前不久簽發(fā)的行政令中,,提到了用零信任保護云計算的安全,。這就是“美國總統(tǒng)強推零信任”這一傳聞的由來。在我國多個地方的“十四五”網(wǎng)絡(luò)安全規(guī)劃中,,有的甚至將“零信任”作為技術(shù)發(fā)展和產(chǎn)業(yè)增長的重要方向,。最近幾天連續(xù)召開的幾個網(wǎng)絡(luò)安全大會,更是對零信任推崇至極,。更有甚者,,將零信任看作數(shù)據(jù)安全時代的整體解決方案。儼然,,“零信任”的興起已經(jīng)成為信息安全領(lǐng)域的一大“現(xiàn)象級”事件,。 
作為一名“小貝說安全”團隊的技術(shù)人員,我始終對網(wǎng)絡(luò)安全產(chǎn)業(yè)這個圈子保持著敬畏,。畢竟,,網(wǎng)絡(luò)安全是高技術(shù)對抗,對抗要有物質(zhì)基礎(chǔ),,產(chǎn)業(yè)是供給側(cè),。這種敬畏數(shù)十年如一日,無論廟小還是廟大,、池淺還是池深,。但我必須承認,最近一兩年“零信任”的大紅大紫讓我對這個圈兒有了一絲疑惑:理性在這個圈里還占多少,?這種疑惑在今天達到了一個頂點,,因為據(jù)說零信任在某安全大會上搞出生態(tài)來了。但我知道,,這還不是零信任的高光時刻,,因為過幾天還會有一個安全大會,零信任坐等被封神,。江山代有才人出,,各領(lǐng)風(fēng)騷數(shù)百年。網(wǎng)絡(luò)安全領(lǐng)域新詞頻率可是比這個快多了,,各領(lǐng)多長時間不知道,,但誰也沒有領(lǐng)到能和“網(wǎng)絡(luò)安全”本身劃等號,零信任獨此一份。如今業(yè)內(nèi)言必談零信任,,既然如此,,懷著對零信任的敬畏,我也匯報一下本人的學(xué)習(xí)體會,。人們吐槽語文考試時常常用一個梗:出題者問,,古人寫某句詩時是怎么想的,?于是有人調(diào)侃,這有標準答案嗎,?詩人當時怎么想你如何能知道,。所幸零信任的發(fā)明人還活著。我們還真的能知道他當時怎么想的,。1994年4月,,Stephen Paul Marsh在斯特林大學(xué)的計算的安全性博士論文中創(chuàng)造了“零信任”一詞。Marsh的工作是對信任的徹底研究,,他認為零信任是一種有限的東西,,可以用數(shù)學(xué)結(jié)構(gòu)來描述,而不是簡單的對抗性或純粹的人類現(xiàn)象,。Marsh推測,,在保護計算系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)方面,,零信任勝過不信任,。到了2010年,另一大神John Kindervag創(chuàng)建了Zero Trust Model of Cybersecurity(網(wǎng)絡(luò)安全零信任模型),。人家當時就說的很明白,,零信任有幾個核心概念:(1)安全設(shè)備上不再有可信和不可信的接口。(2)不再有可信和不可信的網(wǎng)絡(luò),。(4)要求信息安全專業(yè)人士將所有網(wǎng)絡(luò)流量視為不可信。(5)信任是一個概念,,需要構(gòu)建一種新的信任模型,。白紙黑字,零信任的目的是通過改變信任模型減少內(nèi)部人員濫用的誘惑,,提高網(wǎng)絡(luò)犯罪在得逞之前被發(fā)現(xiàn)的幾率,。因為以前人們習(xí)慣認為,經(jīng)過了邊界訪問控制后,,內(nèi)部的人/進入內(nèi)部的網(wǎng)絡(luò)流量都是可信的了,,或者說驗證過一次身份后這人就一直可信了,。但實情并非如此,內(nèi)部人員干壞事的多了去了,。所以John覺得,,要更新一下對“信任”的認識。請注意,,John沒有說,別的安全措施甚至邊界安全措施就不必再用了,,更沒有說這個世界不再需要信任了,。顯然,這是一種理念和策略,。是無數(shù)種安全理念中的一種,。我們可以找出很多有意義的網(wǎng)絡(luò)安全理念。例如已經(jīng)被《網(wǎng)絡(luò)安全法》寫進去的這句:網(wǎng)絡(luò)安全設(shè)施與信息系統(tǒng)要同步規(guī)劃,、同步建設(shè),、同步使用。但憑什么就零信任一飛沖天了呢,?它好聽,,投資者覺得它能炒起來。當然,,它也趕上了好時候,,那就是云計算、大數(shù)據(jù)技術(shù)的發(fā)展,,使傳統(tǒng)的信息系統(tǒng)邊界變得模糊,,客觀上需要變革傳統(tǒng)的網(wǎng)絡(luò)安全方法和理念。零信任趕上了好時候,,但它的創(chuàng)造者沒趕上,。John可能恨不能生在中國——他萬萬沒想到零信任在中國火成了這個樣子。于是11年后的今天,,John對零信任進行了反思,,并強調(diào):不要把零信任稱為產(chǎn)品,也不要試圖圍繞零信任創(chuàng)建一個標準——“零信任”是一種策略,。
筆者非常認同“零信任是一種安全策略的說法”,。甚至可以說,零信任是網(wǎng)絡(luò)空間安全最基礎(chǔ)的防護策略,。不就是因為覺得不安全,,人們才去搞安全的嗎?那以后我是不是可以發(fā)明一個“零安全”,?可以把零信任的核心同信息安全基本屬性(機密性,、完整性和可用性)進行對比,,有什么本質(zhì)區(qū)別呢?無非就是,,以前在邊界處一次性驗證身份和授權(quán),,現(xiàn)在則不指望邊界了,也不靠一錘了買賣了,,隨時驗證每一個用戶和每一次訪問請求,。但該驗證不也是驗證嗎?該進行訪問控制不也是進行訪問控制嗎,?無非就是個時機,、場所、頻率問題,,何必搞得神神秘秘的,?有什么顛覆性?
二,、難道零信任“火”以前,,就沒有針對“不信任”的安全解決方案嗎?就都是“信任”嗎,?本質(zhì)上,,零信任是信任策略中不信任的一類。它并沒有否認信任,,只是某種場景下的一種信任模型,。在其大紅大紫之前,我們在安全領(lǐng)域最常見的信任實現(xiàn)方式是黑白名單,。甚至,,人們從來就沒有說過邊界內(nèi)的一切都是可信的。否則,,美國國防部當初提出BLP訪問控制模型干什么,?進了國防部后,難道國防部長和普通士兵都可以閱覽同樣的文件,?那顯然不是,,要根據(jù)BLP模型做訪問控制判斷。這其中當然存在著“不信任”,,例如普通士兵就不被信任可以閱覽國防部長的文件,。當然,零信任支持者說了,,你前面那個例子沒有說服性:在BLP模型中,,國防部長和普通士兵的安全級是確定的,此后根據(jù)安全級進行強制訪問控制,,但零信任的安全策略是動態(tài)的,,不像以前,,國防部長的安全級只要確定后就沒有人懷疑和持續(xù)驗證了。這話沒錯,??刹灰耍€有個Biba訪問控制模型,。在Biba訪問控制模型中,,存在5種策略,其中四種都是主客體安全級動態(tài)變化的,。Biba模型什么時候提出來的,?將近30年前!我可以完全自信地拿以前的訪問控制模型同零信任作對比,。因為零信任本質(zhì)上就是一種訪問控制策略,根本代表不了網(wǎng)絡(luò)安全的全部,!作為安全工程師,,我們常常部署訪問控制技術(shù)方案。這些方案中,,基于不同場景,,對用戶/流量的信任程度各有不同,因而解決方案各異,。相比于以前,,人們依然要在網(wǎng)絡(luò)安全解決方案中部署訪問控制解決方案,只不過信任策略同以前更嚴苛而已,。換句話說,,最初只在院門口安排警衛(wèi)查證件,后來進院后在每個樓門口安排警衛(wèi)查證件,,現(xiàn)在改成安排流動哨對院里每個人隨機查證件,。我還想問,,在大門口查證件的見得多了,但真的有必要都改成流動哨查證件嗎,?不考慮應(yīng)用需求,?不考慮實施成本?三,、零信任的核心是策略的動態(tài)性,,這個動態(tài)性與“網(wǎng)絡(luò)安全環(huán)境因素”密切關(guān)聯(lián),但以前的“統(tǒng)一威脅管理”等難道是擺設(shè),?如果說零信任在實現(xiàn)上有什么特點,,策略的動態(tài)性倒是可圈可點(但如前所述,,這也絕不是新東西)。很多時候,,其基于環(huán)境因素對訪問控制策略進行動態(tài)調(diào)整,。這個環(huán)境因素往往指“脆弱性”、“威脅”,、“風(fēng)險”,、“安全事件”等。美國國家標準和技術(shù)研究院(NIST)提出的“零信任架構(gòu)”中,,已經(jīng)指出了安全數(shù)據(jù)來源至少包括下圖所示的紅色邊框里面的內(nèi)容,。 來源:零信任架構(gòu)(NIST Special Publication 800-207)
但當年從SOC(安全運營中心)起,到統(tǒng)一威脅管理,、態(tài)勢感知,,不就折騰的是同一種東西嗎?古有紙上談兵,,今有新詞里談安全,。網(wǎng)絡(luò)安全產(chǎn)業(yè)界對技術(shù)創(chuàng)新的貢獻太大了,大到科技強國就靠這個圈了,。Gartner在2017年提出了CARTA(持續(xù)自適應(yīng)風(fēng)險與信任評估),,聲稱為更好落地實現(xiàn)零信任提出了方案。其旨在通過對全網(wǎng)的安全數(shù)據(jù)進行分析,,實時且動態(tài)的權(quán)衡安全風(fēng)險,,為零信任控制器的“下一步操作”提供策略支撐。至于后續(xù)操作是阻斷主體還是客體,,這和業(yè)務(wù)場景有很大的關(guān)系,。那么,我把它叫做“態(tài)勢感知”行不行,?或者用一個更早的詞“主動防御”行不行,?更不用說,安全大數(shù)據(jù)的分析和處理本來就是目前的技術(shù)難點,。態(tài)勢感知平臺,、安全大數(shù)據(jù)平臺、日志審計平臺等集中審計內(nèi)設(shè)備,,誤報率80%是常態(tài),,在這樣的大環(huán)境下,極難實現(xiàn)真正意義上的CARTA,。但這難不倒咱安全廠商,。既然零信任策略有很多難以實現(xiàn)的內(nèi)容,那安全廠商們就順理成章找到了更多“過渡性的應(yīng)用場景”,。例如,,4A是一個場景,,單點登錄是一個場景,SDP也是一個應(yīng)用場景,。由此可見,,所有與身份認證、訪問控制有關(guān)的場景都可以稱之為“目前我們所能實現(xiàn)的零信任”,。好了,,現(xiàn)在情況分成了幾種,一種是企業(yè)真的在搞零信任,,只是實現(xiàn)起來確實有難度,,但他們值得敬佩,別過分夸大其詞就行,。另一種是企業(yè)蹭零信任熱度,,壓根自己都不知道什么是零信任,反正貼上去再說,。四,、零信任不是產(chǎn)品、不是系統(tǒng),,就是個策略、是個方法,,且僅僅是一種策略,、一種方法一樣的,,有沒有零信任,,系統(tǒng)都在那里,產(chǎn)品都在那里,,解決方案都在那里,,無非產(chǎn)品和解決方案實現(xiàn)什么樣的策略而已。很多時候,,人們要信任組織,,要信任父母,要信任第三方機構(gòu),,因為人類的認知就是靠信任權(quán)威才建立起來的,。但也有的時候,人們對電話里自稱的公檢法機關(guān)人員不能信任,。這是場景不同而已,。如果誰說,,一切都不可信任了,沒有再值得信任的了,,那是居心叵測,。如果誰說,懷疑一切一定要比信任一切要好,,那也是不切實際,。
如前所述,零信任策略的實現(xiàn)和業(yè)務(wù)(主體,、客體)極度耦合,。目前,市面上比較成熟的零信任最佳實踐主要來自于甲方,、甲方+乙方(少數(shù)),。網(wǎng)絡(luò)安全廠商作為乙方,調(diào)門還是不要太高了,。在零信任的場景下,,乙方更多是扮演工具的提供者的角色,即,,為主體和客體之間提供“串接工具”(乙方所謂的零信任相關(guān)產(chǎn)品及乙方的開發(fā)人員),。零信任最有名的實踐是BeyondCorp,它的開發(fā)者是Google——全球頂級的技術(shù)公司,,“串接工具”和部分主體,、客體都是由Google自己提供。如若甲方要完全依靠乙方真正實現(xiàn)零信任策略,,那么首先甲方的應(yīng)用系統(tǒng)就必須按照乙方的策略管控要求進行標準化設(shè)計和改造,。系統(tǒng)部署完成后,其次就是一大堆安全數(shù)據(jù)的采集和整合,。上下文關(guān)聯(lián),、自適應(yīng)調(diào)整是零信任的靈魂,安全數(shù)據(jù)質(zhì)量不高,、人員數(shù)量不足,、人員能力不夠,是現(xiàn)階段甲乙雙方安全運營人員真實的現(xiàn)狀,,也是嚴重制約零信任策略的有效應(yīng)用的因素,。|小貝結(jié)語| ■ 小貝說安全”除了解讀網(wǎng)絡(luò)安全,、數(shù)據(jù)安全政策法規(guī),報道和評論重大事件,還積極地討論網(wǎng)絡(luò)安全技術(shù),。對任何一項技術(shù),,我們沒有資格否認,但是我們愿意去探討真相,,愿意追求一個技術(shù)最本來的面目,,正如同我們努力去解讀政策法規(guī)的真正含義。因為我們面對的,,除了企業(yè)家,,還有技術(shù)專家、用戶,、政策研究者,,還有來自行業(yè)監(jiān)管部門、政府部門的專家與領(lǐng)導(dǎo),,我們將繼續(xù)冷靜,、理性地說安全。
總編輯|CaptainK001
|
