|小貝案語|
■零信任無疑是最近網絡安全領域的熱詞,其熱度之高,不但產業界趨之若鶩,甚至到了影響政策的層面。例如,美國總統拜登前不久簽發的行政令中,提到了用零信任保護云計算的安全。這就是“美國總統強推零信任”這一傳聞的由來。在我國多個地方的“十四五”網絡安全規劃中,有的甚至將“零信任”作為技術發展和產業增長的重要方向。最近幾天連續召開的幾個網絡安全大會,更是對零信任推崇至極。更有甚者,將零信任看作數據安全時代的整體解決方案。儼然,“零信任”的興起已經成為信息安全領域的一大“現象級”事件。
作為一名“小貝說安全”團隊的技術人員,我始終對網絡安全產業這個圈子保持著敬畏。畢竟,網絡安全是高技術對抗,對抗要有物質基礎,產業是供給側。這種敬畏數十年如一日,無論廟小還是廟大、池淺還是池深。但我必須承認,最近一兩年“零信任”的大紅大紫讓我對這個圈兒有了一絲疑惑:理性在這個圈里還占多少?這種疑惑在今天達到了一個頂點,因為據說零信任在某安全大會上搞出生態來了。但我知道,這還不是零信任的高光時刻,因為過幾天還會有一個安全大會,零信任坐等被封神。
江山代有才人出,各領風騷數百年。網絡安全領域新詞頻率可是比這個快多了,各領多長時間不知道,但誰也沒有領到能和“網絡安全”本身劃等號,零信任獨此一份。如今業內言必談零信任,既然如此,懷著對零信任的敬畏,我也匯報一下本人的學習體會。
一、“零信任”發明人是怎么說的?
人們吐槽語文考試時常常用一個梗:出題者問,古人寫某句詩時是怎么想的?于是有人調侃,這有標準答案嗎?詩人當時怎么想你如何能知道。
所幸零信任的發明人還活著。我們還真的能知道他當時怎么想的。
1994年4月, Paul Marsh在斯特林大學的計算的安全性博士論文中創造了“零信任”一詞。Marsh的工作是對信任的徹底研究,他認為零信任是一種有限的東西,可以用數學結構來描述,而不是簡單的對抗性或純粹的人類現象。Marsh推測,在保護計算系統、應用程序和網絡方面,零信任勝過不信任。
到了2010年,另一大神John 創建了Zero Trust Model of (網絡安全零信任模型)。人家當時就說的很明白,零信任有幾個核心概念:
(1)安全設備上不再有可信和不可信的接口。(2)不再有可信和不可信的網絡。(3)不再存在可信和不可信的用戶。(4)要求信息安全專業人士將所有網絡流量視為不可信。(5)信任是一個概念,需要構建一種新的信任模型。
白紙黑字,零信任的目的是通過改變信任模型減少內部人員濫用的誘惑,提高網絡犯罪在得逞之前被發現的幾率。因為以前人們習慣認為,經過了邊界訪問控制后,內部的人/進入內部的網絡流量都是可信的了,或者說驗證過一次身份后這人就一直可信了。但實情并非如此,內部人員干壞事的多了去了。所以John覺得,要更新一下對“信任”的認識。
請注意,John沒有說,別的安全措施甚至邊界安全措施就不必再用了,更沒有說這個世界不再需要信任了。
顯然有哪幾種訪問控制策略,這是一種理念和策略。是無數種安全理念中的一種。我們可以找出很多有意義的網絡安全理念。例如已經被《網絡安全法》寫進去的這句:網絡安全設施與信息系統要同步規劃、同步建設、同步使用。
但憑什么就零信任一飛沖天了呢?它好聽,投資者覺得它能炒起來。當然,它也趕上了好時候,那就是云計算、大數據技術的發展,使傳統的信息系統邊界變得模糊,客觀上需要變革傳統的網絡安全方法和理念。
零信任趕上了好時候,但它的創造者沒趕上。John可能恨不能生在中國——他萬萬沒想到零信任在中國火成了這個樣子。于是11年后的今天,John對零信任進行了反思,并強調:不要把零信任稱為產品,也不要試圖圍繞零信任創建一個標準——“零信任”是一種策略。
筆者非常認同“零信任是一種安全策略的說法”。甚至可以說,零信任是網絡空間安全最基礎的防護策略。不就是因為覺得不安全,人們才去搞安全的嗎?那以后我是不是可以發明一個“零安全”?可以把零信任的核心同信息安全基本屬性(機密性、完整性和可用性)進行對比,有什么本質區別呢?無非就是,以前在邊界處一次性驗證身份和授權,現在則不指望邊界了,也不靠一錘了買賣了,隨時驗證每一個用戶和每一次訪問請求。但該驗證不也是驗證嗎?該進行訪問控制不也是進行訪問控制嗎?無非就是個時機、場所、頻率問題,何必搞得神神秘秘的?有什么顛覆性?
二、難道零信任“火”以前,就沒有針對“不信任”的安全解決方案嗎?就都是“信任”嗎?
本質上,零信任是信任策略中不信任的一類。它并沒有否認信任,只是某種場景下的一種信任模型。在其大紅大紫之前,我們在安全領域最常見的信任實現方式是黑白名單。甚至,人們從來就沒有說過邊界內的一切都是可信的。否則,美國國防部當初提出BLP訪問控制模型干什么?進了國防部后,難道國防部長和普通士兵都可以閱覽同樣的文件?那顯然不是,要根據BLP模型做訪問控制判斷。這其中當然存在著“不信任”,例如普通士兵就不被信任可以閱覽國防部長的文件。
當然,零信任支持者說了,你前面那個例子沒有說服性:在BLP模型中,國防部長和普通士兵的安全級是確定的,此后根據安全級進行強制訪問控制,但零信任的安全策略是動態的,不像以前,國防部長的安全級只要確定后就沒有人懷疑和持續驗證了。
這話沒錯。可不要忘了,還有個Biba訪問控制模型。在Biba訪問控制模型中,存在5種策略,其中四種都是主客體安全級動態變化的。Biba模型什么時候提出來的?將近30年前!
我可以完全自信地拿以前的訪問控制模型同零信任作對比。因為零信任本質上就是一種訪問控制策略,根本代表不了網絡安全的全部!
作為安全工程師,我們常常部署訪問控制技術方案。這些方案中,基于不同場景,對用戶/流量的信任程度各有不同,因而解決方案各異。相比于以前,人們依然要在網絡安全解決方案中部署訪問控制解決方案,只不過信任策略同以前更嚴苛而已。換句話說,最初只在院門口安排警衛查證件,后來進院后在每個樓門口安排警衛查證件,現在改成安排流動哨對院里每個人隨機查證件。
但你能說,以前就是“全信任”嗎?
我還想問,在大門口查證件的見得多了,但真的有必要都改成流動哨查證件嗎?不考慮應用需求?不考慮實施成本?
三、零信任的核心是策略的動態性,這個動態性與“網絡安全環境因素”密切關聯,但以前的“統一威脅管理”等難道是擺設?
如果說零信任在實現上有什么特點,策略的動態性倒是可圈可點(但如前所述,這也絕不是新東西)。很多時候,其基于環境因素對訪問控制策略進行動態調整。這個環境因素往往指“脆弱性”、“威脅”、“風險”、“安全事件”等。美國國家標準和技術研究院(NIST)提出的“零信任架構”中,已經指出了安全數據來源至少包括下圖所示的紅色邊框里面的內容。
來源:零信任架構(NIST 800-207)
但當年從SOC(安全運營中心)起,到統一威脅管理、態勢感知,不就折騰的是同一種東西嗎?古有紙上談兵,今有新詞里談安全。網絡安全產業界對技術創新的貢獻太大了,大到科技強國就靠這個圈了。
在2017年提出了CARTA(持續自適應風險與信任評估),聲稱為更好落地實現零信任提出了方案。其旨在通過對全網的安全數據進行分析,實時且動態的權衡安全風險,為零信任控制器的“下一步操作”提供策略支撐。至于后續操作是阻斷主體還是客體,這和業務場景有很大的關系。那么,我把它叫做“態勢感知”行不行?或者用一個更早的詞“主動防御”行不行?
更不用說,安全大數據的分析和處理本來就是目前的技術難點。態勢感知平臺、安全大數據平臺、日志審計平臺等集中審計內設備,誤報率80%是常態,在這樣的大環境下,極難實現真正意義上的CARTA。
但這難不倒咱安全廠商。既然零信任策略有很多難以實現的內容,那安全廠商們就順理成章找到了更多“過渡性的應用場景”。例如,4A是一個場景,單點登錄是一個場景,SDP也是一個應用場景。由此可見,所有與身份認證、訪問控制有關的場景都可以稱之為“目前我們所能實現的零信任”。
好了,現在情況分成了幾種,一種是企業真的在搞零信任,只是實現起來確實有難度,但他們值得敬佩,別過分夸大其詞就行。另一種是企業蹭零信任熱度,壓根自己都不知道什么是零信任,反正貼上去再說。
四、零信任不是產品、不是系統,就是個策略、是個方法,且僅僅是一種策略、一種方法
你見,或者不見我,我就在那里,不悲不喜。
一樣的,有沒有零信任,系統都在那里,產品都在那里,解決方案都在那里,無非產品和解決方案實現什么樣的策略而已。很多時候,人們要信任組織,要信任父母,要信任第三方機構,因為人類的認知就是靠信任權威才建立起來的。但也有的時候,人們對電話里自稱的公檢法機關人員不能信任。這是場景不同而已。如果誰說,一切都不可信任了,沒有再值得信任的了,那是居心叵測。如果誰說,懷疑一切一定要比信任一切要好,那也是不切實際。
如前所述,零信任策略的實現和業務(主體、客體)極度耦合。目前,市面上比較成熟的零信任最佳實踐主要來自于甲方、甲方+乙方(少數)。網絡安全廠商作為乙方,調門還是不要太高了。
在零信任的場景下,乙方更多是扮演工具的提供者的角色,即,為主體和客體之間提供“串接工具”(乙方所謂的零信任相關產品及乙方的開發人員)。零信任最有名的實踐是,它的開發者是——全球頂級的技術公司,“串接工具”和部分主體、客體都是由自己提供。
如若甲方要完全依靠乙方真正實現零信任策略,那么首先甲方的應用系統就必須按照乙方的策略管控要求進行標準化設計和改造。系統部署完成后,其次就是一大堆安全數據的采集和整合。上下文關聯、自適應調整是零信任的靈魂,安全數據質量不高、人員數量不足、人員能力不夠,是現階段甲乙雙方安全運營人員真實的現狀,也是嚴重制約零信任策略的有效應用的因素。
文末,我們祝零信任心想事成!
|小貝結語|
■小貝說安全”除了解讀網絡安全、數據安全政策法規,報道和評論重大事件,還積極地討論網絡安全技術。對任何一項技術,我們沒有資格否認,但是我們愿意去探討真相有哪幾種訪問控制策略,愿意追求一個技術最本來的面目,正如同我們努力去解讀政策法規的真正含義。因為我們面對的,除了企業家,還有技術專家、用戶、政策研究者,還有來自行業監管部門、政府部門的專家與領導,我們將繼續冷靜、理性地說安全。
總編輯|
微信公眾號
微信號|