众所周知,信任可以决定很多事情。
如果家长信任一名老师,会想方设法把孩子送到他的班上;当患者信任一名医生,会准点守在挂号软件上,抢到这名医生的专家号;当领导信任一名下属,会把相对重要的工作交给他去完成……
但信任不会凭空出现。通常情况下,信任可以来源于一纸身份证明,比如身份证、教师资格证、机动车驾驶证;可以来源于资历年限,高年资的主任医师总是更容易受到患者的信任;可以来源于评价口碑,从电商平台刷单、刷评论就可见一斑;甚至于可以来源一道“墙”,墙内的网络会被认为是可信的,而墙外的互联网被认为充满了危险。
这道墙把网络划分成为了外网和内网,由防火墙、IDS、WAF等等一众“保安”把守,墙外面被称作是外网,谁能进来不能进来,要看保安信任与否;墙内则是内网,核心业务、核心数据都在这儿。
不法者的“自助餐”:信任危机
2004年,安全圈出现了一个“奇怪”的声音——“去边界化”:以防火墙为代表的传统边界安全设备已经成为网络发展的阻碍,应该将企业网中的边界消灭。
此言一出,立即引起了不小的争议。很多人都觉得,边界没有了,企业网络那不是谁说进来就进来了?
这话放在当时那个个人PC还没有普及的年代,确实有点超前。没有云计算,没有移动互联网,甚至连信息化都是一个非常新鲜的玩意。企业内部网络就是一个封闭的局域网,上班老老实实来公司就行,远程办公?想都没想过。
在广泛的质疑声中,这件事情也就不了了之了。至少在没有新技术可以取代的情况下,应当维持现状。
但大家其实都心知肚明,信任不总是正确的,尤其是这种靠网络位置来区分信任度的办法。保安不可能长着一双火眼金睛,无法识别出所有不值得信任的家伙。
2009年,一次名为“极光行动”的网络攻击打疼了谷歌:攻击者利用钓鱼攻击等手段,向内部植入了木马软件,从而监听、窃取关键账户的登录凭证,攻击者则利用这些窃取到的凭证登录到了敏感系统中,执行最终的窃密工作。
这就像开自助餐厅的老板,只要顾客交钱(取得信任)就可以进来随便吃,至于食客有没有浪费食材、有没有私底下打包,这些事情确实很难限制。偶尔一次两次可以睁一只眼闭一只眼,数量多了餐厅非倒闭不可,必须加以限制。
但企业不一样,数据安全泄露事件有一次就受不了,这件事也在事实上引发了谷歌对于网络访问的信任危机,并逐渐蔓延至网络上的各个角落。
信任就像一面镜子,碎掉了是难以重圆的,零信任的魔盒就此打开。
从不信任,持续验证
2010年,分析机构Forrester正式提出了零信任理念,其核心在于“Never Trust, Always Verify”,从不信任,持续验证,不再以内外网来区分信任度。
“网络攻击手段日新月异,针对身份和权限的攻击手段日渐成为主要形式。”奇安信零信任事业部总经理张泽洲表示,传统安全模型基于网络制定安全策略,难以应对针对身份、应用和数据的安全威胁。
与此同时,谷歌绝对属于给力的行动派。
从2011年开始,谷歌花费数年时间,打造了其内部的零信任项目BeyondCorp,成为了行业内第一家“吃螃蟹”的公司。用户必须使用由谷歌提供且持续管理的设备,通过身份认证,且符合访问控制引擎中的策略要求,才能通过专门的访问代理访问特定的公司内部资源。
很难想象,一个10年前就上马的项目,时至今日依然是最成功的零信任落地项目之一,成为众多企业争相学习的对象。
但话又说回来,BeyondCorp或者说零信任的成功,有着独特的历史背景。
其一,云计算尤其是公有云的成功,改变了企业IT资源的部署方式,业务系统除了部署在内部网络,还会部署在公有云上,靠城墙把所有关键业务和数据围起来已经难以实现。
谷歌不用多说,云计算就是2006年谷歌自己提出来的;而现在大家熟知的云计算3A(亚马逊AWS、微软Azure和阿里云)也先后走上正轨。
其二,移动互联网的普及,改变了员工的办公习惯,移动设备办公逐渐被人们接受,没有人会一直呆在公司里使用内网,单纯依靠网络位置区分信任度,已经成为制约办公效率的绊脚石。
上述两点大大削弱了网络边界对于信任的影响力,不管是作为访问者的人,还是作为被访问者的核心业务系统或者数据,都在内外网之间“反复横跳”。
随着BeyondCorp的成功,零信任作为保护企业网络安全的重要力量,正式登上了历史舞台。
破局:安全从0开始
短暂的喧嚣过后,市场重新静了下来。
相比零信任,彼时安全圈有一个“更靓的仔”,叫检测与响应。
这是有原因的。实施零信任道阻且长,相比之下部署几台设备、安装几个软件要容易很多。
更何况,网络安全的本质是攻防双方的对抗,没有一位防守专家会认为,自己的技术就是不如攻击者,凭什么你的攻击手法我就检测不出来?
那几年,几乎所有的安全公司,都希望在检测与响应技术上取得突破。
变化出现在2018年。
2018年,奇安信干了两件事情。
第一,提出安全从0开始,对于0的解释有很多,零信任就是其中一个,并正式面向市场发布了奇安信零信任安全架构与整体解决方案;
第二,旗下身份安全实验室翻译了《零信任网络:在不可信网络中构建安全系统》这本书,首次在国内全场景展现了零信任架构的独特魅力。
“零信任策略强调以数据为中心,以身份为基石,基于多维属性构建动态策略;同时实现多点精细检控,进行持续评估并实时调整。” 作为Forrester认证的国内首位零信任战略专家,张泽洲的身影在内部培训、客户现场、会议中心之间“闪转腾挪”,为奇安信零信任战略站台。
奇安信的入局,仿佛推倒了第一块多米诺骨牌,打破了国内零信任市场的宁静,国内安全厂商纷纷下场。
与此同时,在太平洋的另一边,零信任市场的火热程度也不遑多让。
2019年,RSAC上主打零信任的厂商就逐渐开始增多,大致有39家。而到了2020年,RSAC上打着零信任标签的厂商就已经有91家之多,零信任也因此成为了RSAC2020热度增长最快的热词之一。
分歧与失败:谁才是零信任正统
很快,蜂拥而入的厂商们开始各显神通。
有人发现账号密码这种静态的身份认证方式不安全,所以打算在身份认证方面大做文章;有人觉得黑客在内网的横向渗透太过简单,所以希望在内网里,也应加入足够细颗粒度的隔离和信任机制,避免黑客入侵由点及面迅速扩散……
美国国家标准与技术研究院NIST在其发布的《零信任架构》中,对实施零信任的常见技术路线进行了总结。
第一是软件定义边界SDP。
早在2013年,云安全联盟CSA就提出了SDP的概念。SDP强调在没有经过身份验证和授权之前,存储应用和数据的服务器都会隐藏在代理服务器后面,与此同时,代理服务器可以进行动态授信,只有通过验证才可以与服务器建立通信。
第二是增强型身份认证。
零信任强调总是验证。过去的身份验证偏向于静态单次验证,简单来说就是输入账密,验证通过后即可建立信任关系。增强型身份认证则不在局限于静态账号密码,而是基于大数据等技术,对用户的各类行为数据进行动态分析,综合判定用户身份是否合法。
第三是微隔离。
通俗来讲,微隔离就是将隔离的颗粒度无限缩小,小到每一个应用、每一个进程之间都应该隔离开,而应用与应用之间的每一次通信,都应该被验证是可信的,从而确保加入某个应用被攻破,不会迅速传播至其他应用。
从市场来看,上述三种技术路线都涌现了大批追随者。许多原本生产单一技术产品的厂商纷纷宣称自己为零信任产品供应商,而类似零信任就等于几种技术的叠加的误解也让零信任市场还没有真正成熟就陷入到了不少争议之中。
总之,在铺天盖地的炒作下,迅速掀起了一股零信任替代的热潮。
首当其冲的就是VPN。
VPN全称虚拟专用网络,其意义就在于在内网和外网之间,搭建一条专用的虚拟网络,方便身处外网的用户可以访问内网资源。
显而易见,VPN是外网用户与内网资源建立信任的关键。作为边界信任时代的产物,当企业对内外网一视同仁的时候,VPN就成为了一个可有可无的角色。
还是在2019年,Gartner就预测到 2023 年,60%的企业将逐步淘汰大部分VPN,转而使用 ZTNA(零信任网络访问)。
或许是受到了这句预言的刺激,在相当一段时间内,用所谓的新技术、新产品搞VPN替代,似乎就成为了零信任的同义词,仿佛零信任的终极目标就是干掉VPN。
黎明:内生安全
干着干着,逐渐有人发现了问题。
比如,替换了传统的VPN,却迎来了一个新的“VPN”,而所谓的零信任项目也只是在网络访问上,保证了内外网信任的一致性,并没有进一步根据实际业务需求,赋予动态的访问权限,这就和传统VPN别无二致;再比如过度追求对访问用户身份的反复验证,却忽略了用户的实际使用体验,使得员工对于零信任策略产生抵抗心理……
“ZTNA当然可以被说成是更好的网络访问产品,但ZTNA不等于就是零信任,而搞所谓的VPN替代,并不是零信任。”张泽洲说,技术本身可以解决很多单点问题,但将零信任是网络安全信任模型新范式,并不是单点技术问题,更不是搞所谓的VPN替代。”
如果应用几个新技术、装几套新软件就是零信任,谷歌压根不用玩五六年。被单点技术、单一产品一叶障目,零信任就变味了。
一位不愿透露姓名的CSO解释道:“我们实施零信任战略的目标,是为了解决边界信任模型下,因业务开放和内网的过渡信任所带来的安全风险,而不是向我们的员工展示,你看公司用的这个新技术到底有多炫酷。”
很多产品都声称可以帮助客户实现零信任,但事实上每家企业的业务相差甚远、IT环境各不相同、工作方式也不一样,如果不能清晰了解自身的零信任建设需求,零信任项目自然难以取得成功。
说直白一点,技术是技术,业务是业务,这俩根本没穿一条裤子。技术再好,跟业务没穿一条裤子,也遮不住时代进步在业务身上留下的伤疤。
为了解决这个问题,2019年,奇安信在北京网络安全大会期间正式提出了内生安全,其核心就是业务安全和网络安全合一,确保业务持续稳定。
张泽洲认为,零信任架构聚焦身份、信任、访问控制、权限等维度的安全能力,而这些安全能力也是任何信息化业务系统不可或缺的组成部分,所以零信任本应该是内生的。
基于内生安全理念,奇安信形成了以身份为基石、业务安全访问、持续信任评估、动态访问控制这四大核心零信任能力。
2020年8月,奇安信牵头发起的国家标准《信息安全技术 零信任参考体系架构》正式获得立项,这是零信任领域的首个国家标准。
数字工作,未来已来
就在奇安信提出内生安全后不久,一个席卷全球的黑天鹅事件强行改变了零信任的发展进程。
对大多数人来说,对数字化变革的切身体验从未像2020年新冠疫情爆发以来这般强烈。居家办公、远程访问成为新常态,各类“无接触”新业态争相冒头。
站在网络安全的角度,每上线一个新的系统,就等于为攻击者多提供了一个攻击目标,尤其是因为远程办公导致业务系统不得不对外开放。
这对于尚未准备好公司来说,是一次艰难的选择:前进一步,网络安全没有保障;退后一步,正常业务便难以为继。
而且,即便是有良好的网络安全和零信任网络访问基础,这事儿也不是一路绿灯。
比如以前只要管一朵云,现在需要适配多云和复杂终端环境;以前的业务应用相对单一,现在需要覆盖本地应用、小程序、API、微服务等等复杂应用形态;以前业务系统上线时间以年计算,而现在需要按月甚至按周计算……
“时至今日,零信任的外延依然在不断向外扩展。”张泽洲强调,数字化工作成为新常态,应用场景、IT环境的变化,零信任要做的事情远不止其内涵强调的“从不相信,始终验证”这么简单。
如果站在业务视角去重新思考网络安全挑战,零信任架构将重点去解决三个方面的问题。
首先是“重”。对于任何一家企业而言,一味追求反复的身份验证,只会使得身份认证流程过于“沉重”,员工登录不同的系统需要多次重复输入账号密码,用户体验极差。如果身份验证策略强度过高,会导致员工对相关制度的反感甚至抵抗;而强度如果过低,则极易导致账户被破解。
其次是“乱”。不同的工作会使用不同的软件,比如报销使用财务系统、招聘使用人力系统、销售使用CRM系统……不同的员工使用不同的系统,其权限分配十分复杂;而且使用非可信来源工具、应用也屡见不鲜,员工自行下载安装各类工作软件,来源不明,容易导致恶意软件入侵,给企业数据造成极大安全隐患。
最后是“险”。传统的边界信任模型自然不必多说,静态的安全策略、粗颗粒度的管控手段,很难对业务数据进行有效的管控和安全防护。而且即便是企业采用零信任架构,如果不能全面覆盖新应用和新业务,如微服务、API等,依然会导致企业面临着巨大的数据泄露风险。
在这一点上,奇安信率先迈出了一步:基于零信任构建安全的数字化工作入口,发布“奇安天信零信任工作系统”。
用张泽洲的话来说,奇安天信是真正构建在业务系统之上的,零信任本该长成这个样子。
第一是通过一站式访问,告别繁复。奇安天信改变了过去反复登录、多次认证的复杂工作模式,通过自适应多维身份认证,确保人员可信;通过安全终端管控,持续环境感知评估,确保设备可信;通过全场景业务流量代理,确保流量可信;通过动态最小权限业务访问,确保访问可信。
第二是通过一站式工作,告别杂乱。奇安天信基于场景化、集中式工作环境,通过统一资源访问门户,实现业务访问简便易用;而轻量化应用商店更让工作软件随手可得。在协同方面,通过对接业务信息流,实现业务协同高效便捷;通过对各类终端、各种操作系统的全面兼容,使得工作体验无缝跨屏,满足远程、移动等各种场景需求……一系列一体化、协同化的设计,让企业的数字化工作拥抱轻简、效率倍增。
第三是通过一站式保护,告别风险。奇安天信在业务保护方面,在遵循零信任四大关键能力的基础上,全面应用了奇安信在终端、应用、数据安全等多个方面的安全能力,如终端管控、代码审计、高级威胁检测等,围绕工作空间构建隔离、加固、纵深管控的全链条业务安全保护能力。
这正是数字工作的未来,未来已来。
在2023年北京网络安全大会上,奇安信集团董事长齐向东表示,数智安全要以内生为本,自我进化,从关注IT转变成关注业务、从关注设备转变成关注“人”、从关注建设转变成关注运营,而这正是零信任不断前进的方向。
立即拨打
京公网安备11000002002064号