零信任就够了吗?可能你需要精益信任

什么是零信任

近年来,大规模数据泄露事件层出不穷。动辄上百万甚至上亿的用户信息被批量泄露,从亿万网民到政府要员都不能幸免。日益复杂且频发的网络安全攻击,使得传统基于网络位置来划分内外网,进而判断访问合法性的安全模型不再适用。人们开始思考一种新的网络安全架构。

2010年,IT市场研究机构Forrester的分析师John Kindervag首次提出了零信任网络架构,相比传统网络安全架构,零信任认为任何网络连接都不可信。近两年,国内外厂商纷纷推出了自己的零信任产品或架构。零信任逐渐在网络安全中流行。

从零信任到精益信任

然而,零信任架构的研究和落地过程中,出现了一系列的疑问。

(1)零信任理念中“从不信任,总是验证是否最优

信任是在两个实体之间建立的双向信赖,零信任的字面含义,意味着实体之间不存在信任,也意味着整个交互过程信任程度的不变,而这将导致交互和业务的难以开展,以及信任等级的过度或不足。

(2)零信任架构如何与业务系统、已有安全手段兼容

已有的零信任方案,比如谷歌的BeyondCorp和Cisco的Duo Beyond方案,其中一个关键改造点是取消VPN,全部采用HTTP、HTTPS和SSH等方式对内网进行访问。这样的改造要求内网业务系统进行大范围的改造,同时已有VPN设备几乎完全得不到复用。此外,很多零信任解决方案只针对身份层面的安全访问问题,对业务系统其他层面的安全问题考虑不充分。

此外,零信任如何低成本落地等问题也成了零信任实践过程中的难题。针对这些问题,国际权威IT研究分析机构Gartner在研究报告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中,认为网络安全应基于风险和信任的监测、评估、学习和调整,最终实现对风险和信任的精益控制。这一目标在报告中被描述为精益信任(Lean Trust)。而零信任只是实现这一目标的第一步。

和零信任相比,精益信任有以下不同:

1)信任控制理念不同

相比于零信任“从不信任,总是验证”的理念,精益信任通过信任和风险的反馈控制,实现“精确而足够”的信任。对零信任的严格解释,意味着信任永远为零,不具有扩展、变化能力。而精益信任认为信任不是静态的,信任水平会随行为、环境的变化而变化。宏观来看信任也不是二进制的,在可信和不可信之间,应该有中间地带。

2)实现路径不同

已有的零信任架构多围绕身份进行构建,聚焦于身份管理和访问控制。精益信任架构则以风险和信任为中心,与端点检测响应、态势感知、VPN等安全组件进行联动,统筹了内外网的安全监测和控制机制,实现安全架构的重构。身份安全只是精益信任架构的一部分。

总的来说,在精益信任中,业务交互以信任为基石,业务的开展需要信任的建立。并且,信任与风险相伴相生,网络安全不能实现零风险,只能管理风险。风险的管理,通过对信任的控制实现。进一步,还要持续监测评估风险,根据业务的需要和风险的反馈,持续调整信任。这一整个信任与风险的精益控制回路,是精益信任的核心理念。

精益信任落地架构

基于精益信任理念,深信服实践了精益信任安全架构:

架构包含精益信任平台和精益信任插件。精益信任平台部署于应用服务区和访问终端之间,对应用服务区进行保护和访问行为控制。精益信任插件部署在访问终端和后端应用系统,负责对终端进行安全认证、威胁保护和设备感知,对应用进行攻击防护和感知检测。

该架构中,精益信任理念的落地,主要分为两个阶段:

1)信任建立阶段:

信任建立前,默认任何用户、设备都不可信。依据身份、设备、环境的多源上下文信息,在信任控制中心对用户、设备进行信任的评估,依据评估结果确定信任等级,建立信任。基于信任等级和资源安全等级,确定访问控制规则,下发安全接入网关,开展业务访问。

2)信任和风险控制阶段:

访问过程中,通过检测分析中心、终端管理中心、身份认证中心,对访问行为、设备状态、环境态势、资源安全等级进行持续的风险和信任评估。依据评估结果,精益调整信任等级以及访问控制规则。持续循环反馈,实现信任和风险的精益控制。