|
|
51CTO旗下网站
|
|
移步端
创造专栏

新冠终结VPN?制造零信任网络的五个步骤

2020年,集团迎来实施零信任架构的方便时机,万事俱备,艺术已经成熟,协和和专业已经就绪,下半时新的安全威胁、迎战和希望也都使得零信任架构成为未来一段日子企业安全投资和战略性有效性的优质保障。

笔者:安全牛| 2020-03-18 09:45

两个多月前,安全牛曾发挥一篇题为《“京信任”日月,VPN必将被SDP代表》的篇章,引发了较大争议,有人认为SDP(京信任的一种实现框架)无法取代VPN,也有人认为零信任才是最后答案。但是,新冠疫情已经将VPN与SDP/京信任的对决大大提前,因为VPN在国际性的广大远程办公巨变中,能源消耗和“卡顿”题材被成倍放大。

如果新冠疫情发展成持久战,VPN与京信任架构的“决胜局”势必将提前上演。

在国内疫情较为严重的时代,许多科技企业远程办公的技术员就曾吐槽VPN传感器因负载过高频频崩溃。现行,随着国外疫情后浪推前浪,谷歌、Twitter等科技巨头也扰乱开始远程办公模式,远程办公的上班负载呈几何级数飙升。下是Zoom近些年的天下用户数增长统计表,可以直观感受下:

除了对Zoom和Slack短期卡顿(类似企业微信和钉钉在国内疫情高峰期的际遇)的各族吐槽外,海外工程师对VPN的不得了表现更是直接爆了粗口:整整VPN都是垃圾。

不久前技术专家Matthew Sullivan写了一篇博客专门吐槽企业VPN的先进性问题和可用性,她的意见是:

尽量别用VPN。

为什么?因为:

整整的VPN都是垃圾。

Sullivan认为,VPN要求精心安排,否则就是给黑客留门。但要命的是,这种精心安排只存在于理论层面,具体中多数用户压根做不到或者不屑做!

京信任取代VPN?

Sullivan认为,相比之下VPN,京信任网络安全架构具备以下三大优点:

1. 不存在网络桥接,不会劫持用户流量。

2. VPN装备的一大问题,在于需要匹配专有软件/操作系统配置——这类配置正是阻碍自动修复程序的祸首,而零信任架构可以选择的OpenSSH安全记录要好得多,自2003年以来,OpenSSH从未因默认配置中的漏洞而遭遇未经授权的远程访问。细粒度的使用与增量监控和微分段,有效攻击者即使成功侵入网络入口点位置,其实也没有什么后续空间可以采取。

3. 与VPN一旦用户登录就拥有完全授信不同,京信任的主机保护解决方案会对每个应用程序进行严密监控,记录应用的一切活动并推行流量过滤。如此一来,即使攻击者成功侵入私有云VPC网络入口点位置,其实也没有什么后续空间可以采取。

但是对于零信任取代VPN,安全牛之读者群们看法不一,有人认为Sullivan对VPN桥接和总量劫持的传教不规范,指出:

IPSec支持IP载荷直接传输的非桥接模式。该协议是经由大量安全研究者分析过的,其它协议不说实现,自己协议安不安全就是个问题。而且协议问题的意识需要时间。

也有读者支持Sullivan的意见,认为:

现有的VPN提案确实都垃圾,IPsec (基于strongSwan) 算好的了,但IPsec自己的复杂度让配置变得麻烦,而且不同客户端的支持也有管理成本。OpenVPN性能比较差。而商业的要点特定的客户端……

为什么是京信任?

京信任不是产品或服务,当然也不仅仅是流行语。相反,他是网络安全的一种新鲜方式。他的味道正如其名——不是“先验证,下一场信任”,而是“永恒不要信任,永恒要检查”。

实质上,京信任关系到通过限制对数据的走访来维护数量。集团不会自动信任任何人或其它事物,不论在集团网络安全边界范围之内还是之外。相反,京信任方法要求在授予访问权限之前,对试图连接到集团内网的使用程序或体系之每股人、装备、帐户等展开检查。

可是等等,风网络安全系统之计划不就是促成这种安全控制吗?难道零信任仅仅是一种锦上添花的技艺?回首一下微盟删库事件的内容——微盟之一位核心运维人员通过VPN登录堡垒机然后进入生产条件上演“电锯狂人”,风网络安全工具和掌握形同虚设,虽然微盟删库事件有他两重性,且问题的滥觞主要是缺少内部威胁的大案和安全管理政策,但也从一定水平上暴露出了包括VPN、堡垒机、防火墙之类的习俗安全防御工具和方式的“二哈”属性。

其实,京信任框架也并非空中楼阁,包括许多企业已普遍采用的平安技术来维护其数据。但是,京信任的均值在于,他代表了一种全新的网络安全防御方法和系统,不仅可以保护整个集团范围内的完全边界,还可以将企业之平安边界移动到集团内外的每股网络、系统、他家和装置。强调身份、多因素身份验证、受信任的重点、网络分段、走访控制和用户归因来分隔和标准对敏感数据和系统之走访,故而使更细粒度和更便捷的平安访问控制成为可能。

概括,京信任是一种新的思考网络安全的主意,可帮助组织在现在瞬息万变的威慑形势下保护其数据,我家和融洽之竞争劣势。

如今安排零信任是不是太早了点?

数据安全是2020年企业高管和CISO们的一等任务,几乎全部企业高管都已经感受到保护企业系统和数量的压力。证券商和“数量中心”(我家和顾客)也急于要求更好的数据安全保障。

尤其是当一些数据和运用程序在地方部署,而另外一些在云中时(混合云模式),安全问题将变得尤为复杂——副员工到券商和合作伙伴的每一方都使用来自多个岗位的各族设施来访问这些应用程序。同时,各级政府和行业法规正在滋长保护重点数据的正式和要求,京信任度可以协助企业更好地合规。

对于企业来说,脚下安排零信任比较大的担心无疑是艺术和艺术之成熟度以及资本问题,没有人想做小白鼠,也没有人去贸然尝试尚处于“医疗测试”阶段的“药方”。脚下市场上已经有恢宏经过生产条件验证的京信任应用方案/证券商和艺术框架(包括谷歌和微软等大型集团用例)。

根据Forester 必发娱乐手机版四季度的市场报告,脚下市场上的京信任代表性厂商如下:

但是值得注意的是,正如以下我们将要介绍的,京信任架构的实质是一次安全范型的更换或者变革,故此成功实践零信任架构的安全性因素并非厂商或产品,而是企业CISO自己对京信任架构的了解、实行方法、政策和路径。故此在实行零信任架构的经过中,对于国内企业用户来说,包括安恒信息、奇安信、青藤云安全、缔盟云安全、深信服等很多对京信任有稳定积累的网安企业基于各自产品和不同标准框架的京信任方案并没有一个唯一的评定标准,最适合的才是比较好的。

以下,咱们简要介绍几种目前已经比较成熟的京信任框架和实行路径。

京信任网络的三种实现方式

支持零信任的网络安全技术最近正在快速提高,为零信任的出生提供了丰富而滥用的工具、框架和方式。脚下,没有实现零信任网络安全框架的纯粹方法或者技术,换而言的就是对于不同之集团来说,并没有专门的正式答案,可谓条条大路通罗马。总而言之,你要做的就是将各种艺术模块、办法整合在总共确保只有经过安全检查的客户和装置才能走访目标应用程序和数据。

例如,最小化访问权限原则,仅为客户提供成功工作所需的多寡和权力。这包括实施到期特权和一次性凭证,该署证据在不需要访问之后会自动作废。另外,还需实行连续检查和总量记录,并限制访问范围,以防止数据在系统和网络之间未经授权的流向移动。

京信任框架使用多种安全技术来充实对敏感数据和系统之走访粒度。例如身份和访问管理(IAM)、基于角色的走访控制(RBAC)、网络访问控制(NAC)、多因素身份验证(MFA)、加密、政策执行引擎、政策编排、日志记录、剖析以及评分和文件系统权限等。

同样,你也得以运用技术标准和协商来促成零信任方法。云安全联盟(CSA)付出了一种称为软件定义边界(SDP)的平安框架,该框架已用于某些零信任案例的实行中。互联网工程任务组(IETF)穿过批准主机标识协议(HIP)为零信任安全模型做出了奉献,该协议代表了OSI堆栈中的新安全网络层。诸多网络安全供应商都在这些艺术之基础上将零信任解决方案推向市场。

基于这些艺术,专业和协商,集团可以运用三种不同之主意来促成零信任安全性:

1.网络微分段(微隔离)

名将网络雕刻到小的舒适度节点,一直到单个机器或使用程序。安全磋商和劳务付出模型是为每个唯一的撤并市场设计的。

2.SDP

基于一种需求了解的方针,其中在授予对使用程序基础结构的走访权限之前,先验证设备的状态和地位。

3.京信任代理

可充当客户端和推进器之间的连片,有助于防止攻击者入侵专用网络。

哪种方法最恰当取决于您所在集团之使用场景和需要——所保护的使用程序、眼前存在的根基结构、实行是未开发的气氛还是涵盖旧有环境以及其他因素。

构建零信任环境的五个步骤

确立零信任框架并不一定意味着一整套之技艺转型。集团可以行使循序渐进的主意,以受控的迭代方式展开,故而帮助确保优质结果,同时对客户和借鉴的烦扰降到很低。

1.定义保护面

京信任体系中,你的关心重点不是攻击面而是维护面。所谓维护面就是对商店最有价值的严重性数据、使用程序、基金和劳务(DAAS)。维护面的范例包括信用卡信息、受保护的正常化信息(PHI)、个体身份信息(PII)、自主经营权(IP)、使用程序(现成的或监制的硬件)、SCADA控件、试点终端、临床设备、制造资产和IoT装备等资本以及DNS、DHCP和Active Directory等服务。

定义保护面后,你可以实行紧密的左右,采用简洁、准确和可知道的方针声明来创造一个微边界(或分隔的微边界)。

2.照耀交易流

年产量在网络中的移动方式决定了他保护措施。故此,您需要获得有关DAAS相互依赖关系的上下文信息。记录特定资源之交互方式可以起你肯定合适的平安控制并提供有价值的上下文,以确保在提供良好网络安全防护的同时,对客户和工作运营的烦扰降到很低。

3.构建零信任IT网络架构

京信任度网络是完整自定义的,并没有专门的正式和计划参考。总的规则是,京信任体系架构应当围绕保护面(基金、数量、使用和劳务等)构建。一旦定义了保障面并根据工作需求映射了工作流程,就足以下下一代防火墙开始筹划零信任架构。下一代防火墙可以充当分段网关,在维护面周围创建一个微边界。采用分段网关,您可以强制推行附加的检查和访问控制层,一直延伸到第7层,管控任何尝试访问保护面内部资源之走访。

4.创造零信任安全政策

形成零信任网络架构的构建后,你将急需创造零信任策略来确定访问规则,你需要了解您的客户是谁,她们要求访问哪些应用程序,为什么他们要求访问,她们支持于如何连接到那些应用程序,以及可以运用哪些控件来维护该访问。

穿过实践这种精细粒度的方针,可以确保仅允许合法应用或者流量的开展报道。

5.监督和保护零信任网络

这最后一地包括检查内部和外部的一切日志,讲究于零信任的运维方面。出于零信任是一番反复迭代的经过,故此检查和记录所有流量将提供宝贵的视角,以了解如何随着岁月之延期持续改善零信任网络。

其它注意事项和拔尖做法

对于考虑采取零信任安全模型的团队,以下是部分有助于确保成功之良好实行:

慎选架构或技术之前,请确保您具有正确的方针。京信任是以数据为骨干的,故此,主要的是考虑数据的岗位,要求访问的人数以及可以运用哪种方法来维护数量。Forrester提议将数据分为三类-公开,其间和潜在-每个“数量块”都应该有友好之微边界。

从小处着手以获得经验。为一体集团实行零信任架构的局面和层面可能是伟大的。例如,谷歌花了七年工夫才成功BeyondCorp品种的实行。

考虑用户体验。京信任框架不必也不应当破坏员工的健康工作流程/感受,即使他们(及其设备)正受到访问权限验证的查处。京信任的一部分认证和授权流程应当尽量“晶莹剔透化”,在他家根本觉察不到的跳台进行。

对客户和装置身份验证实施强有力的主意。京信任的底子是,在没有验证获得完全授权之前,没有任何人或其它设备可以信赖。故此,基于强身份、从严的位置验证和非永久权限的集团规模之IAM系统是京信任框架的严重性构建块。

名将零信任框架纳入数字化转型项目。为零信任网络重新设计工作流程时,还可以借此机会完成企业安全模型的切换。

总结

2020年,集团迎来实施零信任架构的方便时机,万事俱备,艺术已经成熟,协和和专业已经就绪,下半时新的安全威胁、迎战和希望也都使得零信任架构成为未来一段日子企业安全投资和战略性有效性的优质保护。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,瞧该作者更多好文 

【编纂推荐】

  1. 钱去手里?2020年网络安全投资热点
  2. RSAC 2020值得关注的12专家网络安全创业公司
  3. 聊聊网络安全态势感知之一
  4. 远程办公十大网络安全意识隐患
  5. 网络安全二十年关键词统计,CISO的第二次角色转变
【义务编辑: 华轩 TEL:(010)68476606】

点赞 0
  • VPN  京信任网络  网络安全
  • 分享:
    大家都在看
    猜你喜欢
  • 视频课程+更多

    Vue基础与实战(相当入门的Vue学科)

    Vue基础与实战(相当入门的Vue学科)

    教授:杨过大侠54612人口学习过

    Excel集团实战与解决方案开发教程3

    Excel集团实战与解决方案开发教程3

    教授:王子宁110943人口学习过

    kali linux 渗透测试

    kali linux 渗透测试

    教授:艾海涛700人口学习过