你好,我是茆正華。歡迎來到派拉軟件【數(shù)字安全前沿欄目】之解讀《新一代身份和訪問控制管理》的第二講, IAM(身份和訪問控制管理)為什么是零信任核心?
1.
什么是零信任?
解答上面問題前,先了解下零信任。這個概念想必大家都耳熟能詳。簡單說,零信任就是“永不信任,始終驗證”。
也就是說,不能以網(wǎng)絡邊界作為信任的前提,任何情況下組織都不應該自動信任任何事物,必須首先驗證試圖連接到組織系統(tǒng)的任何人和所有事物,并且具備合法的理由。
這個過程不是一次驗證,而是在訪問過程中,持續(xù)不斷地去判斷和驗證。相較于傳統(tǒng)“城堡/護城河”式的網(wǎng)絡安全防護方法,零信任模型并不嚴格區(qū)分保衛(wèi)界限,或者說它的保衛(wèi)界限從傳統(tǒng)的網(wǎng)絡入口收縮到每一個資源和服務的對外入口,可以說處處是邊界。
尤其是隨著企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展,混合遠程工作、物聯(lián)網(wǎng)、API 和應用程序的快速增長,交互的場景網(wǎng)狀化,網(wǎng)絡邊界的概念已漸漸消失。暴露面在不斷擴大增加,傳統(tǒng)基于邊界防護的效果越來越差。換句話說,你無法保護不再存在的東西!
相反,若采取零信任防護模型,就可以確保只有正確的身份才能訪問正確的數(shù)據(jù),并且僅在需要時訪問。因此,建立以身份優(yōu)先的零信任架構(gòu),可為可信的人類和非人類的主體安全可靠的訪問客體資源。
我認為零信任的本質(zhì)就是把主體和客體隔離開,永遠不允許主體用戶直接接觸客體資源,利用各種各樣的技術(shù),如代理技術(shù)、網(wǎng)關(guān)技術(shù)、隧道技術(shù)等。這樣我們就有了控制抓手,控制“誰”可以訪問“誰”,并且充分利用最小權(quán)限原則和持續(xù)動態(tài)的原則。
2.
零信任三大核心組件
2019年,美國國家標準委員會NIST對外正式發(fā)布了《零信任架構(gòu)》(《NIST.SP.800-207-draft-Zero Trust Architecture》),強調(diào)了零信任是一組不斷發(fā)展的網(wǎng)絡安全范例的術(shù)語。
在國內(nèi)引進零信任概念后,建立了以“SIM”為核心的零信任解決方案,即SDP(軟件定義邊界),IAM(增強身份管理),MSG(微隔離)。
其中,SDP 旨在使應用程序所有者能夠在需要時部署安全邊界,以便將資源與不安全的網(wǎng)絡隔離開來。SDP通過隱藏應用程序和資源,將網(wǎng)絡資源從公共網(wǎng)絡隔離,只允許經(jīng)過身份驗證的用戶會話通過安全網(wǎng)絡隧道連接到所需資源,從而幫助保護應用程序和數(shù)據(jù)資產(chǎn)免受網(wǎng)絡攻擊和未經(jīng)授權(quán)的訪問。
IAM,傳統(tǒng)的基于身份的訪問控制管理技術(shù),從賬號、認證、授權(quán)、審計維度對主體訪問客體的行為進行靜態(tài)的訪問控制管理。而零信任架構(gòu)中的IAM是一種增強的IAM。
Gartner對其管控范圍進行了重新定義,要求從管理、保證、授權(quán)、分析維度對身份的整個生命周期進行管理,包括用戶身份的注冊、創(chuàng)建、轉(zhuǎn)移及在各個應用系統(tǒng)中的權(quán)限控制;更加強調(diào)動態(tài)的訪問控制能力,甚至采用更加先進的AI技術(shù)分析用戶訪問行為,從而更能適應不斷變化的風險威脅。
微隔離是一種能夠適應虛擬化部署環(huán)境,識別和管理數(shù)據(jù)中心內(nèi)部流量的一種隔離技術(shù),其核心是對全部東西向流量的可視化識別與訪問控制。
它是一種區(qū)別于傳統(tǒng)防火墻的安全域隔離的技術(shù),通過訪問控制策略和加密能力,對數(shù)據(jù)中心的工作負載、應用、服務進行更加細粒度的訪問控制,旨在收縮暴露面,并阻止病毒或風險的橫向移動,減少風險爆炸半徑。
3.
IAM是核心
那為什么說IAM是三大組件中的核心呢?IAM是數(shù)字世界與現(xiàn)實世界融合的交界點,無論是SDP還是微隔離本身就是一種可以使用的資源,在被使用或操作時首先需要進行身份鑒別和控制。
例如,SDP作為主體接入零信任網(wǎng)絡的入口點,本身就需要借助IAM的身份鑒別能力,來確認人、應用、客戶端設備等身份,還需要借助IAM的風險識別模塊對主體的安全性進行分析,只有確認主體的身份和安全性后才能讓其接人零信任網(wǎng)絡。
其次,增強IAM,它不僅有傳統(tǒng)4A的能力,還有持續(xù)動態(tài)認證的能力,包括能夠?qū)τ脩粼L問的所有會話進行用戶行為的風險分析,以對風險進行評估并能實時阻止風險訪問。當用戶訪問后端資源時,需要做到身份鑒別,風險鑒別,以及權(quán)限鑒別,進行身份優(yōu)先的全鏈路的安全防控。
最后,MSG,Gartner直接將MSG改為身份定義微隔離(Identity-Based segmentation),注重用身份來鑒別服務與服務之間的訪問,以做到更加細粒度的訪問控制能力。我們在服務之間無人參與的過程,更加需要為應用或服務定義身份和權(quán)限,因此微隔離的解決方案也對IAM有很高的依賴。
回到企業(yè)現(xiàn)實業(yè)務場景,現(xiàn)代企業(yè)IT環(huán)境雙態(tài)化(敏態(tài)和穩(wěn)態(tài))。傳統(tǒng)的網(wǎng)絡界限也在上云、數(shù)字化等過程中逐步消失。現(xiàn)代企業(yè)的IT業(yè)務場景應該允許在任何設備上的任何地方和任意時間工作,并可以安全的訪問任何數(shù)字化生態(tài)系統(tǒng)中的工具、系統(tǒng)和數(shù)據(jù),以滿足數(shù)字化平臺真正的生態(tài)化。
與此同時,企業(yè)安全威脅的嚴重性和復雜性繼續(xù)增加。這些都促使企業(yè)組織亟需一套整體的安全解決方案,以身份為優(yōu)先的一體化零信任解決方案也因此越來越受到企業(yè)CIO的認可。
零信任方案將安全能力從傳統(tǒng)網(wǎng)絡安全邊界擴展到主體、行為、客體資源,從而構(gòu)建“主體身份可信、業(yè)務訪問動態(tài)合規(guī)、客體資源安全防護、信任持續(xù)評估”的動態(tài)綜合縱深安全防御能力。
而IAM恰好能解決其中的核心問題。我們都知道人和設備無處不在,這不應該成為獲取服務的障礙。我們的首要任務是需要確保設備是安全的和可信的,當你讓它們訪問這些服務時,需要對人、設備進行安全控制。
這個過程中,最好的保障方式之一就是賦予身份,并進行身份和訪問控制管理。從而,確保正確的訪問主體在正確的設備、時間、地點和正確授權(quán)下訪問正確的數(shù)據(jù)、資產(chǎn),并全程審計留痕。
所以,無論是從零信任的技術(shù)核心來看,還是回到企業(yè)實際的安全現(xiàn)狀與背景,IAM都是企業(yè)實施零信任解決方案的重中之重。這也是為什么業(yè)界稱零信任安全的本質(zhì)是以身份為中心進行動態(tài)訪問控制。
4.
企業(yè)零信任落地建議
最后,不得不說企業(yè)在實施落地零信任解決方案時,最好的切入點就是IAM。當然,當下中國真正成功落地零信任的企業(yè)并不多。因為實施零信任技術(shù),并沒有單一的解決方案。它需要結(jié)合業(yè)務場景分步驟、分階段、分場景,并配合技術(shù)的完善不斷去重組和優(yōu)化。
國內(nèi)很多提供零信任解決方案的廠商,都有強大的網(wǎng)絡安全工具或網(wǎng)絡安全攻防的基因,如擅長VPN、防火墻、準入、MDM、SOC等,把零信任解決方案作為一個技術(shù)工具方案進行推廣,導致零信任解決方案落地效果不佳。
我們則認為零信任解決方案和IAM解決方案一樣天然的是一個綜合業(yè)務解決方案,需要強依賴企業(yè)業(yè)務實際情況進行定制化方案設計,只有更貼近業(yè)務端才能更好、更快地在企業(yè)組織中推行零信任解決方案。
事實上,有效的零信任策略組合利用了多種現(xiàn)有技術(shù)和方法,例如多重身份驗證 (MFA)、身份和訪問管理 (IAM)、特權(quán)訪問管理 (PAM) 、API安全網(wǎng)關(guān)、細粒度權(quán)限管理(ABAC)、用戶行為風險分析(UEBA)等,以進行全鏈路的深度安全防御。
此外,零信任還強調(diào)諸如最小權(quán)限原則之類的治理策略,建立符合零信任理念的現(xiàn)代化安全架構(gòu)。它的建設不是一蹴而就的,企業(yè)組織需要堅持零信任理念的指導原則,隨著時間的推移采用分階段、分步驟的系統(tǒng)化建設方法。
盡管,我推薦企業(yè)在實際落地零信任解決方案采取整體設計理論。但實際上,很多企業(yè)常常把IAM和零信任進行獨立立項。
在此,我建議這類企業(yè)可以按照業(yè)務和技術(shù)對兩種方案建設范圍進行區(qū)分:更貼近硬件、系統(tǒng)、網(wǎng)絡的,與業(yè)務無關(guān)的技術(shù)能力劃歸零信任方案;更貼近人、組織、業(yè)務系統(tǒng)和流程的,劃歸IAM方案。
但無論如何,IAM都是企業(yè)實施零信任最好的切入點,也是其核心。無論是從IAM的技術(shù)成熟度,還是企業(yè)目前的數(shù)字安全現(xiàn)狀。隨著企業(yè)數(shù)字化系統(tǒng)的快速增長,對應用戶、設備等身份與日俱增,由此給企業(yè)帶來了更多潛在的身份安全威脅。
企業(yè)可以借助零信任建設,建立統(tǒng)一的身份管理平臺,讓企業(yè)的決策者收回企業(yè)組織內(nèi)的身份控制權(quán),為企業(yè)數(shù)字化轉(zhuǎn)型迭代提供抓手和檢驗手段。
若企業(yè)還像過去一樣使用多種工具來管理整個企業(yè)的身份,將導致可見性差,管理也會變得越孤立和分散。結(jié)果將會惡性循環(huán),從而影響企業(yè)運營效率并產(chǎn)生諸多漏洞,使企業(yè)面臨更糟糕的安全威脅。
因此,企業(yè)不妨試著從IAM著手,一步步完善落地企業(yè)零信任。無論是從快速看到成效,還是最終結(jié)果來看,它都是企業(yè)組織在構(gòu)建現(xiàn)代安全防護的不二選擇!
下期預告
下一講,我將為你介紹IAM與新技術(shù)之AI,看看二者能碰撞出什么不一樣的火花以及產(chǎn)生怎樣的安全新問題!
我們下期內(nèi)容再見,也歡迎你在文末留言,對本期內(nèi)容進行探討。