零信任太难,不如看看深信服的精益信任

在被“木马”侵入之前,特洛伊城拥有铜墙铁壁般的防御,发达的交通、繁荣的商业、富裕的生活,他们已经成功抵御了阿伽门农率领的希腊联军,整整十年潮水般密不透风的进攻,而这个时间,本该在史书上被记录得更久一些。

但一墙之隔的差距,最终酿就了荷马笔下《伊利亚特》中壮美惨烈的“特洛伊木马屠城”。

如果特洛伊国王没有听信希腊间谍的哄骗,将“木马”带回城中,希腊军队秘密潜入的“诡计”便不会成功;如果不是为了让体积巨大的“木马”进入城内而拆毁了一小段城墙,希腊军队也不会这般轻易地赢得最后的战争。

特洛伊城不会被屠戮,财富不会被掠夺一空,繁荣也还将继续延续。

在过去几十年里,传统安全依靠着清晰的边界和建立在边界上稳固的防护,通过防火墙的设置将企业内外阻隔成完全不同的两个世界——任凭墙外危机四伏、战火连天,只要确保网络攻击无法击穿防火墙,企业内部就可以安然无恙。

就像特洛伊战争中,如果不是“木马计”实现了内部的渗透,任由墙外船坚炮利,特洛伊城仍十年巍峨屹立。

但是,随着“移动化”、“云计算”、“万物互联”等新技术新场景的来到与应用,网络安全的“边界”正渐渐走向消亡 ,原本我们通过安全产品垒砌起来的逻辑“城墙”,终将轰然倒塌。

边界消失” 企业内部“不再信任”

在短短二十年的时间里,我们经历和见证了国内计算机网络与智能手机飞速发展的两个时代,但一直到今天为止,“安全性”依然是拷问计算机和手机的主要命题。

“万物互联”的到来伴随着数以亿计IoT设备的涌入,每一台IoT设备,就和曾经的计算机与智能手机一样,也成为了人们桥接网络的入口。企业配置的路由器、智能摄像头,很有可能成为黑客顺着网线渗透内部的入口。

随着数字化转型的推进,企业对“上云”的需求越来越高。混合云和多云架构使得安全的边界愈加模糊,每一次云端基础设施和应用的增加,都会将安全边界打开一条新的通道,更会给黑客打开一扇新的大门。

而放眼二十年前,当人们惊叹于计算机极大地提升了办公效率的同时,没有多少人会想到,“移动化”的出现,会让我们可以脱离固定场景、终端,随时随地用各种各样的设备访问网络进行办公。如何确保访问系统的某一个账号由“本人”登录,而整个过程又不会发生违规操作,则正是企业当前面临的又一巨大难题。

与此同时,越来越多的未知威胁正绕过传统基于边界的安全设备,悄悄向企业内部渗透,而企业内部系统又缺乏有效的控制手段,这些问题都将迫使企业必须重新构建新的安全边界。

过去,企业聘用“可信的”员工在企业规定的“可信”办公地点使用企业自己采购的“可信”设备进行“可信”的访问,这个过程自然也是相对“可信”的;但是今天,随着“移动化”办公和企业“云化”的普及,每个员工都可以在企业“管辖”范围以外的“不可信”场景通过“不可信”的私人手机或笔记本电脑进行系统的登录。

这样一来,企业根本无法保证,执行操作的那个“账号”,是不是由“本人”操作的,而账号所使用的那台设备终端,是否又“可信”合规。

因此,围绕着“人”和“终端”的验证,企业恐怕需要采取“不再信任”的态度,建立一套新的“信任判决”模式。

不再信任”等于“零信任”?

2010年,国外研究机构Forrester提出了“零信任安全”的概念,将“永不信任,始终验证”作为其指导原则,确保无论处在任何位置,都要严格执行访问控制,检查所有流量并记录,保证资源安全的访问。

换句话说,企业不再有受信任区域,所有用户最初都是不受信任的,即使是来自内网的流量也要被检查。

在“零信任”的发展过程中,国内外各厂商纷纷提出自己的方法和见解,其中最成功的莫过于Google的BeyondCorp体系。

过去企业对于身份认证,往往直接集成在业务系统内部,使用简单的“用户名+密码”的形式,也不具备专门的身份认证设备和手段。这会使得当业务系统发生漏洞以及账号密码泄露时,攻击者可以不受阻拦地轻易进出。

因此,采用“零信任”理念的谷歌BeyondCorp体系,将所有认证和访问控制进行统一前移,并从身份、设备、行为等多个角度对接入行为的信任等级进行判断,以保证所有访问业务系统的流量,都能进行有效验证和控制。

然而,正如许多国外技术在中国市场水土不服一样,尽管“零信任”有着Google这样的最佳实践,但仍然很难在国内实现落地。

总结Google BeyondCorp的运行方式,首先要对企业现有IT部署进行大规模的改造,同时伴随着大量的迁移工作,用户对于账号的管理方式和习惯也将会随之发生巨大的改变。

这相当于为了实现“零信任”的概念,企业必须要淘汰掉此前所购买的安全设备,在为“零信任”专门部署新设备的同时,还需要投入新的管理人员、运维人员和资源,来维护“零信任”的运行。

这是一个非常“重量化”的方式,要知道,Google可是全球最大的互联网公司之一,而国内的企业无论是人力、资源还是环境等方面,都无法具备与Google同等的条件。这样一来,类似BeyondCorp的“零信任”体系,便很难被国内企业所接受和认可。

那么,“不再信任”是否就等于“零信任”?抛开“零信任”以后,企业是否没有更好的办法对“信任判决”进行重构了呢?

答案显然是否定的。

精益信任

2017年,Gartner提出了“精益信任”的概念,同时指出“零信任”只是实现或者“精益信任”的一个初始阶段。

在Gartner的观点里,“信任”是业务访问的基石,虽然为了对“身份验证”做到安全的判决,需要在访问初期采取“零信任”的态度,但随着业务的深入和交互的,主客体之间必然会建立起“信任”的关系。

但是,“零信任”所采取的“永不信任,总是验证”的模式显然与业务交互之间存在难以调和的矛盾。并且风险总是伴随着信任而产生,“零风险”也就意味着“零业务”,为了刻意强调“信任”而牺牲业务,这显然不是平衡安全与业务之间的最佳选择。

同时,虽然“零信任”在原有身份认证基础上额外增加了一层或多层认证,但这仍然只是一个静态判断的方式,要知道,“信任”作为业务访问的基石,并不单纯只为“身份验证”服务。

因而,对于“信任判决”的重构,企业也绝不应该将目光只放在“身份认证”这一件事情上,要更多地从对风险的观测上,对信任进行持续的、动态的反馈闭环控制。

所以,企业需求“零信任”的本质,并不是要牺牲业务寻求绝对的“零信任”,实现绝对的“零风险”,而是要找到安全与业务之间的平衡,对“信任”和“风险”进行精益的控制。

因此,Gartner认为,相比较“零信任”而言,“准确而足够的信任”似乎更加接近网络安全的实质。而结合中国的网络安全环境和现状,做到兼容已有网络安全投资,减小业务系统改造难度,将“准确而足够的信任”落地,这便是“精益信任”。

深信服“精益信任”:不止是“零信任”

在8月15日举行的“2019深信服创新大会”上,深信服移动安全产品研发总监郭炳良首次揭开了“深信服精益信任”的面纱。

“深信服精益信任”体系首先通过对“人”和“设备”两端的信用评估,在确保其合法性以后,授予访问网络和业务的权利。而后在访问环节对行为、流量和日志进行持续的检测和分析,判断“合法的人”是不是在做“合法的事”,一经发现违规操作,便对信任进行重新评估,进而判断是否剥夺其继续访问的权利。

通过将“信任评估”、“访问授权”和“持续监测”三个环节形成闭环,在对“人”和“设备”身份的初步认证之后,持续性对“风险”和“信任”予以管控。

在终端安全评估方面,“深信服精益信任”体系首先通过客户端或浏览器对访问设备的安全状况进行检测,而后在“零信任”访问控制系统中根据设备所提交的认证和环境信息,判断可能产生的安全风险;最后,控制系统根据反馈的评估结果,按照策略动态地对访问终端进行授权。

对于“人”的身份认证和管理,“深信服精益信任”采用多因素认证的方式,加强认证策略;并在身份生命周期内做好维护和更新,避免用户因重复认证而使得身份认证这一程序变得麻烦与繁琐。

在获取“人”和“设备”两端的信息以后,根据访问者的身份和所使用设备的属性来判断其所处的安全等级,映射到应用服务资源的分级当中,最终确定可以授予的访问和控制权限。

在授予完权限以后,“深信服精益信任”还会对访问者的行为和流量走向进行全局实时的采集与检测,根据行为和流量判断访问者是否有违规操作产生,并划分威胁等级,及时对接访问控制系统,实施调整信任等级、控制接入和访问权限,防止恶性事件的发生。

总的来说,“深信服精益信任”是一种对于“零信任”的延伸。在“零信任”对“人”和“设备”建立了初步信任以后,将信任在后续予以控制,形成基于风险和信任的可持续的、动态的反馈闭环控制,在业务不断产生风险的同时,既不打扰业务,也可以持续通过“信任”来规避风险。

除此以外,像政务云、公安数据中心这类对内对外都要提供访问支持且频繁、复杂的场景,“深信服精益信任”还能够在每一个访问流量中加入身份标识,防止针对应用系统和数据的内外部攻击;同时对身份进行更加精细化、动态化的集中管控和认证,让伪造身份更加困难;

最后,实现端点、边界、内网的自动化联动,让运维更加便捷。

为什么深信服“精益信任”可以落地?

前文说到,国内之所以无法复制Google BeyondCorp的成功,是因为Google BeyondCorp需要对企业的IT部署进行大规模的改造,甚至需要替换大量已经购买的安全产品和设备。

站在用户的角度来看,深信服认为一款产品能够成功实现落地的前提,应该是尽可能利用企业现有的工具、资源和设备,延续此前积累的使用习惯,在不对用户习惯做严重调整的情况下,使其接受一种新的概念,享受新技术带来的效果。

因此,“深信服精益信任”的出发点,就是在满足用户使用习惯和国内安全产品发展形势的前提下,与企业现有安全体系进行结合,从而构建全新的“信任判决”机制。在安全边界渐渐消失的前提下,构筑基于“信任”和“风险”为核心的全新逻辑边界。

就以访问控制为例,如果某一个账号要对业务和系统进行访问,那么就需要验证“人”和“设备”的身份。

在“深信服精益信任”体系里,企业可以通过原有移动设备上的EMM、移动控制终端的插件、PC和服务器上的EDR插件等传统设备,把人和设备的身份信息接入到信任控制中心里,在进行综合性的评估以后,将访问策略下发到网管控制系统里放通。

而在访问过程中,企业还可以结合已有的内网流量检测等设备,对访问过程中所产生的行为、流量以及发生的事件和风险进行持续不断的检测,通过闭环不断生成全新的访问控制策略。

这样一来,整个“深信服精益信任”的体系就包括了内网设备、服务器资源、内网流量检测设备、传统防火墙、身份管控、CA设备以及终端管控等设备的参与,“深信服精益信任”与企业已有的安全体系完美结合,共同实现对信任和风险的评估与管控。

在深信服看来,对于一家企业来说,如果一项新技术的落地需要企业将所有模块重新开发,这是完全不现实也不合理的。因此,深信服通过解耦“精益信任”和业务系统本身的关系,将企业已有的成熟产品,经过开发、升级或是迭代,共同进行接口的统一,让安全人员在不改变习惯的前提下进行一些简单的创新,就可以形成合力,完成整个精益信任的平台和架构。

就好比不同于一位女士需要更换整套服饰和妆容才能够增加美貌与气质,“深信服精益信任”只需要在女士原有穿着的基础上,添置一件丝巾,就可以做到改头换面的修饰。

而对于企业来说,相对于更换一整套行头,一件丝巾的价格,显然便宜与容易了很多。

写在最后

站在深信服“让IT更简单、更安全、更有价值”的理念来看,一项新技术的产生,一定是会为企业带去价值而不是新的问题。基于“信任”,我们要把对它的验证变得更简单;基于“风险”,我们要把它控制得更加安全。

因此,深信服提出“精益信任”,用一个简单的、高度工程化的产品,替政府、企业,尤其是中小用户解决当前所面临的安全边界消失带来的风险与挑战,替用户控制风险、解决问题。

在对安全趋势和技术的理解上,深信服在全球范围内率先推出IPSec/SSL二合一VPN网关、定义了上网行为管理品类;在国内率先推出下一代防火墙、云安全资源落地。

根据IDC和Frost&Sullivan的统计结果显示,深信服的硬件VPN、SSL VPN、上网行为管理、下一代防火墙等多款产品,多年来位列市场前茅。同时,深信服检测技术创新还得到了Google认可,并被邀请加入了全球情报联盟VirusTotal;深信服下一代防火墙更是获得国际权威安全检测机构ICSA的认证。

每一次超前的眼光,最终都得到了市场的验证。

所以,我们更有理由相信,即便城墙已经倒塌,“深信服精益信任”却能用一种简单的、快捷的、可落地的方式,重新构建面向未来有效保护的安全边界,让每个用户都可以重新找回“安全感”。