零信任最早是由John Kindervag在2010年担任Forrester Research公司分析师时提出的。它的工作方式是,企业必须确保网络上的每个文件请求、数据库查询或其他操作都来自具有正确权限的用户。新设备必须在访问每个网络应用程序之前进行注册和验证,并且每个试图登录的用户都被认为是恶意的,除非得到证明可信。如果操作得当,它承诺将用户从更主流的网络安全方法的许多限制中解放出来,提高安全防御能力。
自从Kindervag提出这个想法以来,他创建了一家管理服务公司,该公司提供了他创建的数十种解决方案之一。如今,几乎所有主要的安全提供商都有一种服务或产品将零信任作为其产品名称的一部分,思科系统股份有限公司等一些公司最近也发布了新产品公告,将其定位在零信任领域。
但在实践中,尽管推出这些产品,零信任解决方案在很大程度上仍然是不完整的,在某些情况下甚至没有使用。Gartner公司分析师John Watts在该公司去年12月的年度预测备忘录中写道,“在零信任的情况下从理论转向实践是一项挑战,目前只有不到1%的大型企业真正在使用它。”
此外,Watts预测,“到2025年,60%以上的企业将把零信任作为安全的起点,但超过一半的企业将无法意识到其好处。”与此同时,麻省理工学院林肯实验室的Nathan Parde在去年5月发表的一份报告中估计,典型的零信任部署将需要三到五年的时间。当然,这是一个令人沮丧的消息。
这些结果与其他供应商的调查结果大相径庭。Okta公司的《2022年8月零信任安全状况》报告发现,在接受调查的700家企业中,几乎所有企业都已经启动了零信任计划,或者有在未来几个月启动零信任倡议的明确计划。
但这些结果多少有一些误导。首先,从开始到完成零信任的推出可能需要数年时间。其次,说和做是截然不同的两件事,而在这项调查中也表明有一些是零信任的有效执行者。
网络安全的简史
隔离网络基础设施以更好地保护各种资源的想法始于20世纪90年代中期出现的第一批网络防火墙和虚拟专用网络(VPN)。早在2008年,DarkReading公司就对许多可以被称为防火墙发明者的作者进行了研究。大多数分析人士会说,最早将防火墙商业化的是CheckPoint软件技术有限公司,该公司至今仍在销售防火墙。至于全球第一个VPN协议,大多数人都认为是由微软公司在1996年创建的,然后在本世纪初开始流行,思科、瞻博网络和其他公司仍在出售网络防火墙和VPN。
防火墙和VPN的作用是通过制定各种策略来隔离网络:来自内部营销数据库的网络流量将被允许进入这部分网络,而来自内部人事数据库的网络流量则不允许。或者允许来自外部网络的查询访问企业的web服务器,但不允许访问其他任何数据。如何构建这些策略是这两款产品的秘密,网络安全专家经过培训和实践才能弄清楚这一切。
在那个网络边界严格且定义明确的时代,这没什么问题。但随着网络应用程序分散在网络上,边界不再是一个可行的想法,也不可能强制执行。随着企业使用更复杂的软件供应链,它们变得依赖于那些应用程序编程接口,并且对各种软件和组件如何组合在一起了解较少。
网络攻击者知道他们最终可以找到进入网络的方法。VPN和防火墙成为新的安全隐患,尤其是随着越来越多不受信任的远程设备已经加入企业网络。
进入零信任
这就是Kindervag提出零信任理念的由来。Kindervag表示,不能相信任何人或任何应用程序,必须审查每次互动,这是一些安全专业人士所说的“最低特权”。它开启了一个自适应身份验证的时代,用户和应用程序最初并没有获得100%的访问权限,但企业会根据具体情况逐步批准。
例如,如果人们向银行查询当前余额,必须证明自己拥有合法的账户。如果想转移资金,则必须做更多的事情,如果想把资金转移到一个新的海外账户,还必须做更多的事情。
如今的零信任创造了“信任经纪人”的概念,即交易双方都信任的调解人或中立的第三方。设置这些机制并不容易,特别是在双方不一定直接了解或信任对方的情况下,特别是在不同的情况、应用程序和用户类型需要不同代理的情况下。
这种复杂性就是当今的零信任实现所处的位置。OpenText公司旗下的NetIQ公司在其“企业零信任状态”报告中说,“当大量数据和工作负载现在生活在传统网络之外时,将企业系统、应用程序和数据放在一个位置,并依靠多层安全工具和控制来将攻击者拒之门外已经不够了。零信任不是一个单一的软件,而是一个战略框架。”将其可视化的一种方法是Gartner公司如何将其架构图显示为一系列相互连接的部分,例如处理用户身份、威胁情报和应用程序。
人们需要了解“战略”和“框架”,以及它们对零信任实现的意义。“战略”意味着,在任何可靠的网络安全计划的核心,都需要尽可能地实现零信任。这正是美国总统拜登在两年前发布的《改善国家网络安全行政命令》所试图推动的目标,其目标是让美国政府机构实施零信任安全。
尽管这是值得称赞的,但仍远未实现。即使是采用行政命令也无法通过法令实现零信任,尽管最近,美国联邦机构被告知要取消对VPN和路由器等各种网络设备的互联网访问,这对任何信息技术管理者来说都应该是显而易见的。
去年发布在《安全周刊》的一篇文章指出,“保证零信任的唯一方法就是众所周知的拔掉电脑的插头,把它包裹在六英尺厚的混凝土里,然后把它扔进深海。”但这阻碍了可用性。因此,其诀窍在于从这种极端和不可行的位置转向能够提供安全性和业务利益并且实际上也有用的东西。这就是框架部分需要考虑的地方。
身份验证提供商Nok Nok Labs公司的首席执行官Phil Dunkelberger表示,“实现零信任框架没有对错之分,但它基本上是一个很好的结构。细节决定成败,由于没有一刀切的用户和用例,因此很难部署。”
他的观点是,在制定零信任实施计划时,IT和安全管理人员提出了错误的问题。他说:“零信任能带来更好的业务成果吗?我们会有更安全的应用程序,或者提高这些基础设施投资的回报吗?”
重新思考信任
也许很多人对零信任的理解是错误的。信任用户或应用程序需要一个连续的过程,就像自适应身份验证一样。企业开始时要采取一些步骤来实现完全信任,每次提供一点。从全有或全无的方式来看,这种模式更适合当今世界。
零信任概念化的一种方法是考虑采用微分段来隔离应用程序,本质上是将防火墙抽象到特定的工作负载和用户。Gartner公司的Watts表示,这意味着“首先实施零信任,改善最关键资产的风险缓解,因为这将产生最大的风险缓解回报。”
Gartner公司使用了五个考虑因素来定义零信任:交付平台是什么,如何安全地实现远程工作,如何管理各种信任策略,如何保护任何地方的数据,以及与第三方产品的集成情况。对于一个框架或一系列产品来说,这都是需要实现的许多接触点。
Watts在他的预测报告中说:“零信任可以作为一种思维方式、范式、战略或特定架构和技术的实施。”他提出了一些建议,以帮助企业更成功地实施,包括在项目开始时定义零信任控制的适当范围和复杂程度,限制对设备和应用程序的访问,以及应用持续的基于风险的访问策略。
他说:“从根本上说,零信任意味着消除构成许多安全计划基础的隐性信任(以及信任的代理),建立基于身份和场景的信任。这需要改变安全程序和控制目标的设置方式,尤其是改变对访问级别的期望。”
亚马逊网络服务公司(AWS)最近在加利福尼亚州阿纳海姆举办的re:Inforce会议展示了这将如何运作的例子。AWS公司网络防火墙总经理Jess Szmajda展示了现有的零信任服务(例如验证访问和VPC Lattice)将如何与一系列新的零信任服务协同工作,从而使AWS更加安全。它们包括经过验证的权限和GuardDuty威胁监控工具的扩展功能,以增加更好的安全策略粒度和更多的预防性控制。AWS公司称之为“无处不在的身份验证”。
其结果是,企业应该为零信任的实施做好漫长而曲折的准备。特别是如果他们能展示出直接的商业效益,那么迈出第一步是值得的。