零信任 讓安全超越邊界 -軟件定義邊界白皮書正式版

零信任讓安全超越邊界零信任讓安全超越邊界為什么選擇零信任？面向企業(yè)員工的零信任面向工作負(fù)載的零信任面向辦公場(chǎng)所的零信任總結(jié)AUTHORSJ.WolfgangGoerlichWendyNatherThuPham0.0為什么選擇零信任？我們之前的安全方法是，劃分屬于企業(yè)以及不屬于企業(yè)的信息資產(chǎn)（服務(wù)器、臺(tái)式機(jī)、網(wǎng)絡(luò)、應(yīng)用程序和登錄名），通常通過邊界防火墻以及部署在終端的安全軟件來保護(hù)。但是當(dāng)我們看到屢屢登上新聞?lì)^條的那些案例就能發(fā)現(xiàn)，這些防護(hù)措施還遠(yuǎn)遠(yuǎn)不夠。多年來，大家一直在為推進(jìn)去邊界化而努力，為了解決“去邊界化”問題，早在2003年就開始舉辦了杰里科論壇(JerichoForum)。隨著云計(jì)算作為一種數(shù)據(jù)存儲(chǔ)和處理平臺(tái)而被人們?nèi)找娼邮?，這種思路才真正得到企業(yè)的關(guān)注。ForresterResearch的首席分析師JohnKindervag在2009年左右就率先提出了“零信任”這一術(shù)語，并基于該術(shù)語設(shè)計(jì)了一個(gè)特殊的安全框架。谷歌公司不僅針對(duì)這一原則的內(nèi)部落實(shí)做了詳細(xì)描述，還賦予它一個(gè)特有的名稱－BeyondCorp。當(dāng)下，這一原則的可行性已經(jīng)擴(kuò)展到越來越多的企業(yè)組織，企業(yè)在考慮如何落實(shí)這套方案時(shí)，也掌握了可供參考的具體應(yīng)用實(shí)例。

企業(yè)在面對(duì)消除邊界這一理念時(shí)，通常比較猶豫，尤其是如果他們最近剛剛對(duì)邊界進(jìn)行了加固。所以，我們不要認(rèn)為零信任原則是在消除邊界，而是要借助這一原則來強(qiáng)化企業(yè)的內(nèi)部安全，這樣一來，網(wǎng)絡(luò)邊界就再也不是阻擋惡意攻擊的唯一屏障了。1傳統(tǒng)方法用于保護(hù)企業(yè)信息資源的傳統(tǒng)方法一般會(huì)做以下幾點(diǎn)假設(shè)：1.訪問企業(yè)信息資源的終端設(shè)備，其所有權(quán)、配給權(quán)和管理權(quán)均歸企業(yè)所有。2.所有用戶、設(shè)備和應(yīng)用程序的位置均是固定且可預(yù)測(cè)的，通常由企業(yè)網(wǎng)絡(luò)防火墻提供防護(hù)。3.初始訪問只需一種驗(yàn)證方法。4.同一類別的企業(yè)管理系統(tǒng)從本質(zhì)上可以相互信任。這些年來我們逐漸意識(shí)到，由于移動(dòng)技術(shù)、BYOD（自攜設(shè)備）、云計(jì)算的不斷發(fā)展以及合作伙伴間協(xié)作關(guān)系的日益密切，這些假設(shè)已經(jīng)不再適用。在IT日趨消費(fèi)化的大背景下，用戶不僅追求個(gè)性化更強(qiáng)的網(wǎng)絡(luò)環(huán)境，又希望在使用個(gè)人設(shè)備時(shí)免受企業(yè)的管制。而攻擊者在成功突破一個(gè)防御點(diǎn)（例如防火墻或用戶登錄名）之后便能利用網(wǎng)絡(luò)固有的信任弱點(diǎn)，通過在網(wǎng)絡(luò)、應(yīng)用環(huán)境中橫向移動(dòng)來鎖定敏感數(shù)據(jù)目標(biāo)。在受信任區(qū)域內(nèi)發(fā)起攻擊的內(nèi)部威脅則可以獲得更高的權(quán)限。我們?cè)僖膊粦?yīng)認(rèn)為“內(nèi)部”實(shí)體都是可信任的，不能以為只要對(duì)這些實(shí)體實(shí)施直接管理就能降低安全風(fēng)險(xiǎn)，或者只需要一道驗(yàn)證就足以抵擋威脅。走向零信任安全Forrester將“從來不信任,始終在校驗(yàn)”規(guī)定為“零信任”的指導(dǎo)原則。換句話說，假設(shè)您網(wǎng)絡(luò)中的每個(gè)部分都存在潛在威脅（就像直接訪問互聯(lián)網(wǎng)一樣），您就必須對(duì)訪問請(qǐng)求進(jìn)行相應(yīng)地處理。針對(duì)那些想方設(shè)法繞過防火墻（例如，通過遭泄漏的用戶憑據(jù)或易被攻擊的面向Web的應(yīng)用程序）或在企業(yè)內(nèi)部“受信任”網(wǎng)絡(luò)中發(fā)起的威脅，我們應(yīng)當(dāng)通過可防止威脅橫向移動(dòng)的額外安全控制措施對(duì)其加以阻止，從而將惡意攻擊所產(chǎn)生的影響降到最低。網(wǎng)絡(luò)邊界，與其將它視為網(wǎng)絡(luò)“邊緣”的一種訪問控制方法，倒不如把它看作能夠?qū)嵤┰L問控制決策的任何位置。這道邊界仍然可以是防火墻或交換機(jī)，但也可能是其他層面：在登錄第三方SaaS應(yīng)用程序時(shí)，使用個(gè)人ID與使用公司ID之間的區(qū)別不僅決定了哪些安全決策適用，還決定了這些決策由誰來制定。應(yīng)用程序試著訪問數(shù)據(jù)庫的地方，是邊界；用戶為執(zhí)行敏感操作而提高權(quán)限時(shí)，也是邊界。每次出現(xiàn)訪問事件時(shí)，零信任安全模型都會(huì)提醒您是否確認(rèn)原有的信任假設(shè)。2零信任安全方法搭建零信任模型，要遵循以下幾項(xiàng)基本原則：+以可見性指導(dǎo)策略。為技術(shù)管理人員提供盡可能豐富的 +邊界為您做出訪問控制決策提供了廣闊空間。選擇最適情報(bào)和可見性，以便在制定策略時(shí)有理有據(jù)。 合企業(yè)網(wǎng)絡(luò)環(huán)境的層面和流程點(diǎn)，包括網(wǎng)絡(luò)層、應(yīng)用層、身份驗(yàn)證點(diǎn)、以及交易處理工作流程。信任不是一次性的，也不是恒久不變的。這就需要我們不斷地對(duì)用戶、設(shè)備和應(yīng)用程序的狀態(tài)進(jìn)行反復(fù)評(píng)估，并對(duì)信任度做出相應(yīng)的調(diào)整。通過遏制新發(fā)現(xiàn)的威脅和漏洞，隨時(shí)做好準(zhǔn)備，以應(yīng)對(duì)那些使網(wǎng)絡(luò)風(fēng)險(xiǎn)級(jí)別升高的安全事件。所有權(quán)不等于控制權(quán)。從BYOD和IoT（物聯(lián)網(wǎng)）設(shè)備到SaaS和公有云，驗(yàn)證并將信任擴(kuò)展到所有權(quán)或管理權(quán)并不掌握在企業(yè)手中的設(shè)備、應(yīng)用和網(wǎng)絡(luò)。

訪問決策的制定以每一次重新建立起的信任為基礎(chǔ)。組內(nèi)成員資格、層內(nèi)應(yīng)用服務(wù)、或連接到某個(gè)網(wǎng)絡(luò)位置的設(shè)備，本身都不足以對(duì)活動(dòng)進(jìn)行授權(quán)。有效遏制。將最低權(quán)限和分段與各種響應(yīng)能力結(jié)合起來，以及時(shí)監(jiān)控威脅活動(dòng)，并限制威脅活動(dòng)的蔓延。除了要質(zhì)疑所有信任假設(shè)之外，您在執(zhí)行該模型時(shí)最好還應(yīng)具備以下特征：+透明化。安全措施應(yīng)盡可能在無形中為技術(shù)使用者提供 +以零接觸支撐零信任。通過合理化、自動(dòng)化、編排、集保障。 成來盡可能降低管理壓力。業(yè)績(jī)成果采用零信任模型后，您在處理每一次訪問請(qǐng)求時(shí)都要對(duì)用 加密措施并對(duì)已知和受信任設(shè)備進(jìn)行標(biāo)記，就能有效增大戶、設(shè)備、容器、網(wǎng)絡(luò)和應(yīng)用程序的安全狀態(tài)進(jìn)行驗(yàn)證， 惡意攻擊者收集所需資料（用戶憑據(jù)、網(wǎng)絡(luò)訪問權(quán)限和橫從而幫助您獲得更全面更深入的可見性。 向移動(dòng)能力）的難度。您可通過細(xì)分資源以及僅批準(zhǔn)必要權(quán)限和流量的方式來縮 最后，無論用戶身處何處，正在使用哪種終端設(shè)備，將應(yīng)小企業(yè)的受攻擊面。如果您同時(shí)采用更多身份驗(yàn)證因素、 用程序部署在本地還是云，他們都可以獲得完全一致且效果更好的安全體驗(yàn)。有些專家也將其稱為“半透明化”：應(yīng)當(dāng)具備足夠的可見性，以便用戶在必要時(shí)能夠因知曉安全措施的存在而感到安心。3零信任安全三大支柱安全不應(yīng)當(dāng)是一刀切的主張，即使在相同的企業(yè)環(huán)境下亦是 再看軟件，頻繁的身份驗(yàn)證對(duì)軟件來說并不構(gòu)成問題，因此如此。舉個(gè)例子，如果用戶不使用過多的應(yīng)用，連續(xù)身份驗(yàn) 彼此通信的工作負(fù)載足以為這類交互提供支持。物聯(lián)網(wǎng)設(shè)備證機(jī)制能夠一直保持非常理想的效果：但是如果多種因素身 （例如醫(yī)療設(shè)備或制造設(shè)備）可能會(huì)因安全性和可用性問題份驗(yàn)證過于頻繁，用戶勢(shì)必感到厭煩（而且會(huì)試著規(guī)避相關(guān) 而影響它們的聯(lián)網(wǎng)方式。在此，我們希望借助零信任安全的控制手段）。 三大支柱來簡(jiǎn)單說清楚其中的差異：01 02 03面向企業(yè)員工的零信任安全指那些使用個(gè)人設(shè)備或企業(yè)管理設(shè)備訪問工作應(yīng)用程序的員工、承包商、合作伙伴和供應(yīng)商。這項(xiàng)支柱能夠確保只有授權(quán)用戶和安全設(shè)備才能訪問應(yīng)用程序，而無需考慮位置因素。

面向工作負(fù)載的零信任安全 面向辦公場(chǎng)所的零信任安全指那些在云、數(shù)據(jù)中心中以及可實(shí)現(xiàn)彼此 這項(xiàng)支柱重點(diǎn)在于確保連接企業(yè)網(wǎng)絡(luò)的任交互的其他虛擬環(huán)境中運(yùn)行的應(yīng)用程序。 何設(shè)備（包括IoT）的訪問安全，例如用這項(xiàng)支柱重點(diǎn)在于確保API、微服務(wù)或容器 戶終端、物理和虛擬服務(wù)器、打印機(jī)、攝在訪問應(yīng)用程序中的數(shù)據(jù)庫時(shí)的訪問安全。 像機(jī)、暖通系統(tǒng)、終端機(jī)、輸液泵、工業(yè)控制系統(tǒng)……在以下章節(jié)中，我們將按照目標(biāo)風(fēng)險(xiǎn)、實(shí)施方案和建議成熟度對(duì)每個(gè)支柱進(jìn)行細(xì)分。目標(biāo)人群或?qū)ο?信任驗(yàn)證時(shí)刻 目標(biāo)地點(diǎn)企業(yè)員工工作負(fù)載工作場(chǎng)所

人員及其設(shè)備訪問應(yīng)用程序任何地點(diǎn)應(yīng)用程序、服務(wù)、微服務(wù)與其他系統(tǒng)通信本地網(wǎng)絡(luò)、混合云、公有云IT終端及服務(wù)器、物聯(lián)網(wǎng)訪問網(wǎng)絡(luò)本地網(wǎng)絡(luò)、混合云、公有云（IoT）設(shè)備、工業(yè)控制系統(tǒng)（ICS）41.0面向企業(yè)員工的零信任目標(biāo)風(fēng)險(xiǎn)面向企業(yè)員工的零信任+重要的賬戶憑據(jù)（即用戶名和密碼）在很多時(shí)候都是通過網(wǎng)絡(luò)釣魚攻擊或被安全方案可為企業(yè)化解以下幾大風(fēng)險(xiǎn)：攻擊的第三方遭到竊取，然后被遠(yuǎn)程惡意攻擊者(包括僵尸網(wǎng)絡(luò))重新使用。威瑞森（Verizon）2019年數(shù)據(jù)泄露調(diào)查報(bào)告指出，近三分之一的數(shù)據(jù)泄密事件都存在賬戶憑據(jù)被盜的情況，這就表明密碼是一種可突破傳統(tǒng)邊界防御機(jī)制、并在不被發(fā)現(xiàn)的情況下順利訪問應(yīng)用程序的一種有效手段。+如果惡意攻擊者能夠突破防火墻，或在企業(yè)內(nèi)網(wǎng)中發(fā)起攻擊，那么這種攻擊會(huì)逐漸擴(kuò)散并破壞關(guān)鍵系統(tǒng)，從而竊取敏感數(shù)據(jù)。而我們需要做的則是直面現(xiàn)實(shí)：局外人只要偽裝地足夠完美，便很難將其與局內(nèi)人區(qū)分開來。外部攻擊者可通過相同的方法混進(jìn)合法用戶的工作中，因此您必須對(duì)每個(gè)用戶的操作權(quán)限加以限制。+惡意攻擊者還會(huì)利用適用于同類資產(chǎn)的不同策略或執(zhí)行方式之間的差異，這是另外一個(gè)重大風(fēng)險(xiǎn)。如果在采用不同類型身份驗(yàn)證的兩個(gè)不同的系統(tǒng)中允許使用相同的機(jī)密數(shù)據(jù)，那么惡意攻擊者肯定會(huì)選擇更容易竊取的數(shù)據(jù)-要么是由于它信任可被您利用的其他信息，要么是由于某種身份驗(yàn)證方法存在固有缺陷。如果某個(gè)應(yīng)用程序或系統(tǒng)處于不同控件的保護(hù)下（具體取決于用戶是否位于“邊界內(nèi)”），那么惡意攻擊者則會(huì)把比較薄弱的一組控件作為攻擊目標(biāo)。+基于云的外部應(yīng)用和移動(dòng)用戶則要面臨企業(yè)邊界保護(hù)機(jī)制之外的攻擊。+如果用戶使用無法管理及未修復(fù)設(shè)備訪問關(guān)鍵系統(tǒng)和數(shù)據(jù)，極有可能會(huì)將企業(yè)置于危險(xiǎn)的境地。這些薄弱點(diǎn)會(huì)導(dǎo)致勒索軟件攻擊、其他類型的惡意軟件攻擊、以及未經(jīng)授權(quán)的訪問。概述要落實(shí)面向企業(yè)員工的零信任安全方案，離不開合法終端設(shè) 最后，僅允許按用戶的角色所需為其分配最低訪問權(quán)限（也備以及使用它們的合法用戶。而這些設(shè)備和它們所訪問資源 稱為“最小權(quán)限”）。只要按照正確數(shù)量的身份因素進(jìn)行用戶之間的端到端加密手段，則會(huì)讓原有的防護(hù)如虎添翼。 驗(yàn)證，并且使用已注冊(cè)且經(jīng)過安全漏洞檢查的終端設(shè)備，那么用戶就能通過一個(gè)集中的代理精確訪問他們已被授權(quán)訪問的那些資源。5員工零信任安全成熟度模型第1階段 構(gòu)建用戶信任務(wù)必采用正確的機(jī)制和流程，以確保只有授權(quán)用戶才有權(quán)限訪問企業(yè)資源。雖然實(shí)現(xiàn)這一目標(biāo)的途徑有很多種，但比較常見的還是多因素身份驗(yàn)證（MFA）技術(shù)。第2階段 設(shè)備及活動(dòng)可見性務(wù)必采用正確的機(jī)制和流程，以確保只有授權(quán)用戶才有權(quán)限訪問企業(yè)資源。雖然實(shí)現(xiàn)這一目標(biāo)的途徑有很多種，但比較常見的還是多因素身份驗(yàn)證（MFA）技術(shù)。第3階段 可信任設(shè)備無論是否歸企業(yè)所有，無論托管還是未托管，企業(yè)組織都可以將自己已注冊(cè)并希望與特定用戶相關(guān)聯(lián)的設(shè)備標(biāo)記為受信任設(shè)備。第4階段 適應(yīng)性策略根據(jù)資源的敏感性和已知的安全狀態(tài)實(shí)現(xiàn)訪問要求，以便根據(jù)風(fēng)險(xiǎn)等級(jí)作出適當(dāng)?shù)墓芾怼２呗钥梢园ǎ簝H授權(quán)企業(yè)管理設(shè)備，要求特定版本的補(bǔ)丁軟件、加密手段或基于用戶行為的遞升式認(rèn)證等。第5階段 面向企業(yè)員工的零信任安全至此，所有應(yīng)用程序和系統(tǒng)在前面列出的階段中都已提及；對(duì)風(fēng)險(xiǎn)事件的監(jiān)測(cè)和響應(yīng)也一刻沒有停止；且所有用戶都能擁有一致的單點(diǎn)登錄體驗(yàn)。62.0面向工作負(fù)載的零信任目標(biāo)風(fēng)險(xiǎn)面向工作負(fù)載的零信任+如果惡意攻擊者利用了應(yīng)用程序的漏洞，就能通過橫向移動(dòng)來攻擊各種關(guān)鍵安全方案可為企業(yè)化解以下幾大風(fēng)險(xiǎn)：系統(tǒng)。+惡意攻擊者竊取并外泄敏感數(shù)據(jù)。+內(nèi)部應(yīng)用和外部云應(yīng)用間迥然不同的防控方式成為網(wǎng)絡(luò)安防人員的盲點(diǎn)。+54％的Web應(yīng)用程序漏洞容易被惡意攻擊者利用，這意味著如果服務(wù)器和應(yīng)用程序未經(jīng)過修復(fù)，就會(huì)暴露在已知漏洞中，惡意攻擊者正是利用這些漏洞入侵您的系統(tǒng)。概述企業(yè)的系統(tǒng)在功能上不斷豐富，并根據(jù)具體的業(yè)務(wù)需求增 這些問題理論上有兩種解決方法。我們可以假設(shè)網(wǎng)絡(luò)是不加連接和依賴項(xiàng)。為了促進(jìn)企業(yè)系統(tǒng)這種良性的增長(zhǎng)，系 受信任的，并將信任決策向上移至應(yīng)用堆棧。這種方法的統(tǒng)設(shè)計(jì)人員和開發(fā)人員有時(shí)會(huì)傾向于采用最寬松、最靈活 優(yōu)點(diǎn)在于我們可以將控制措施植入應(yīng)用程序。而缺點(diǎn)就是的安全配置。由此產(chǎn)生的過度信任會(huì)被惡意攻擊者利用， 必須在實(shí)施零信任安全方案后才能進(jìn)行應(yīng)用程序的開發(fā)。然后再通過橫向移動(dòng)順利訪問企業(yè)的敏感資源。解決這個(gè) 開發(fā)人員不會(huì)一直記錄應(yīng)用程序應(yīng)當(dāng)如何與其自身的工作問題的最佳答案即網(wǎng)絡(luò)分段。比如由表示層、應(yīng)用層和數(shù) 負(fù)載進(jìn)行通信，更別說如何與外部資源通信了；鑒于這一據(jù)層組成的通用三層Web應(yīng)用程序。 點(diǎn)，網(wǎng)絡(luò)和安全運(yùn)營團(tuán)隊(duì)如果想知道如何在最小權(quán)限和應(yīng)用可用性之間掌握好平衡就更加困難。我們可將這幾層劃分為不同的網(wǎng)絡(luò)，并通過特定的訪問控制來限制層與層之間的通信方式。應(yīng)用層上的服務(wù)由于要 另外一種方法就是通過僅根據(jù)應(yīng)用程序的需要來限制通信，與同一層上的其他服務(wù)進(jìn)行通信，因此會(huì)被信任，這樣一 以此降低網(wǎng)絡(luò)內(nèi)部的信任。這種方法非常適合現(xiàn)有的應(yīng)用來便不利于解決在層內(nèi)橫向移動(dòng)的風(fēng)險(xiǎn)。應(yīng)用程序越來越 程序（包括舊版本），并且有助于將現(xiàn)有生態(tài)系統(tǒng)引至零復(fù)雜，數(shù)量越來越多，過度信任問題也會(huì)隨之增加。而且， 信任模型之中。這種方法的缺點(diǎn)就在于我們需要依靠網(wǎng)絡(luò)久而久之，企業(yè)很可能會(huì)搞不清哪些才是關(guān)鍵性工作負(fù)載， 安全機(jī)制，而且即使這道安全防線被突破，應(yīng)用程序服務(wù)其他哪些資源需要與之通信，因此要準(zhǔn)確鎖定它們，更是 也不會(huì)發(fā)現(xiàn)安全機(jī)制被削弱這一危險(xiǎn)的情況。難上加難。7這兩種方法并非相互排斥，在需要通過冗余控件來滿足高安全等級(jí)要求的環(huán)境中，二者可能會(huì)更好地彼此平衡。為了將現(xiàn)有環(huán)境向零信任模型引導(dǎo)，我們的網(wǎng)絡(luò)必須要在網(wǎng)絡(luò)通信點(diǎn)完成信任評(píng)估和訪問控制決策。考慮到我們的應(yīng)用程序服務(wù)通常分布在云服務(wù)商、數(shù)據(jù)中心和其他異構(gòu)虛擬化環(huán)境中，因此要做到這一點(diǎn)這絕非易事。我們需要定義一個(gè)應(yīng)用程序生態(tài)系統(tǒng)，使其僅容納應(yīng)用程序的依賴項(xiàng)，包括服務(wù)、流程和網(wǎng)絡(luò)通信。然后，我們就能通過白名單或默認(rèn)拒絕模式來進(jìn)行訪問控制，而且能夠在不考慮網(wǎng)絡(luò)或環(huán)境的情況下，都只對(duì)應(yīng)用程序所需的資源進(jìn)行授權(quán)。在明確信任等級(jí)時(shí)，我們的依據(jù)并非網(wǎng)絡(luò)的位置，而是應(yīng)用程序的具體要求。實(shí)現(xiàn)這種微分段需要三種技術(shù)深入、廣泛的網(wǎng)絡(luò)通信洞察。以分布式網(wǎng)絡(luò)傳感器代替?zhèn)鹘y(tǒng)的中央監(jiān)控系統(tǒng)（SPAN/TAP或NetFlow），從而使大規(guī)模深入可見性成為可能。精確、實(shí)時(shí)的應(yīng)用程序建模。大數(shù)據(jù)分析技術(shù)大大減少了人工記錄應(yīng)用程序的工作量，從而幫助用戶及時(shí)了解流量模式及依賴關(guān)系。應(yīng)用控制策略到跨不同環(huán)境中多臺(tái)設(shè)備的能力。一個(gè)統(tǒng)一的高級(jí)策略引擎，同時(shí)管理在多個(gè)多云環(huán)境中的訪問控制設(shè)備，由此簡(jiǎn)化了應(yīng)用程序的可見和分析步驟。

可見性、分析、策略，三者結(jié)合，由此降低了應(yīng)用程序生態(tài)系統(tǒng)中存在的過度信任。但是，如果出現(xiàn)信任濫用的情況，會(huì)造成怎樣的結(jié)果？舉個(gè)例子，假設(shè)企業(yè)面臨管理人員和其他特權(quán)用戶帶來的風(fēng)險(xiǎn)，而這部分用戶往往在較大范圍內(nèi)都享有較高的訪問權(quán)限。任何會(huì)威脅到開發(fā)人員或管理員身份憑據(jù)的外來入侵者都可能獲得訪問權(quán)限，而安全操作人員對(duì)此可能毫不知情。即使為安全操作團(tuán)隊(duì)配備負(fù)責(zé)檢查單個(gè)工作負(fù)載和連接情況的專人，也無法徹底解決這個(gè)問題。為了面相工作負(fù)載實(shí)現(xiàn)零信任安全，思科通過無人監(jiān)管的機(jī)器學(xué)習(xí)技術(shù)和行為分析技術(shù)來監(jiān)控惡意活動(dòng)的跡象。一旦發(fā)現(xiàn)惡意行為，網(wǎng)絡(luò)就會(huì)立即隔離相關(guān)服務(wù)器并阻止通信，以此來撤銷信任。變化的速度一旦超出了人們的能力范圍，人們必然會(huì)選擇通過自動(dòng)化技術(shù)來解決問題。而這就網(wǎng)絡(luò)分段技術(shù)當(dāng)下的發(fā)展?fàn)顟B(tài)。如果從零信任的角度進(jìn)行思考，系統(tǒng)設(shè)計(jì)和開發(fā)人員也能找到解決問題的新思路。面向工作負(fù)載的零信任安全憑借更優(yōu)質(zhì)的洞察、更快速的分析以及對(duì)應(yīng)用通信更深入的了解，圍繞預(yù)期行為重新定義了什么是邊界。從最初的威脅到橫向移動(dòng)再到數(shù)據(jù)泄露，惡意活動(dòng)在整個(gè)過程中都清晰可見，因此可防可控。8工作負(fù)載零信任安全成熟度模型第1階段 構(gòu)建工作負(fù)載信任查明具有關(guān)鍵任務(wù)工作負(fù)載的應(yīng)用程序生態(tài)系統(tǒng)和環(huán)境。這個(gè)階段主要明確零信任方案的范圍。第2階段 工作負(fù)載可見性深入洞察應(yīng)用環(huán)境中的設(shè)備、流程、數(shù)據(jù)包、網(wǎng)絡(luò)流以及工作負(fù)載的通信情況。這項(xiàng)工作僅限于應(yīng)用程序生態(tài)系統(tǒng)，此外可見性對(duì)于深入洞察工作負(fù)載（例如未下載補(bǔ)丁程序的軟件以及配置狀態(tài)）也至關(guān)重要。第3階段 映射應(yīng)用程序依賴項(xiàng)在分析網(wǎng)絡(luò)通信和數(shù)據(jù)流的基礎(chǔ)上完成應(yīng)用建模，對(duì)應(yīng)用層進(jìn)行分類，并找出應(yīng)用程序依賴項(xiàng)。這些工作需要一段時(shí)間才能完成，目的就是要捕獲那些不常見的活動(dòng)，例如月度工作或季度會(huì)計(jì)流程。應(yīng)用程序映射的結(jié)果越準(zhǔn)確，得到的策略就越正確。第4階段 策略及微分段在對(duì)源自企業(yè)員工及辦公場(chǎng)所相關(guān)支柱的身份及上下文信息加以適當(dāng)考慮的前提下，制定相應(yīng)的策略以盡可能降低應(yīng)用程序生態(tài)系統(tǒng)中的信任，執(zhí)行策略模擬及驗(yàn)證，并面向所有環(huán)境完成一致的策略部署。微分段技術(shù)以流量白名單（也稱為默認(rèn)拒絕）為核心，旨在根據(jù)工作負(fù)載的具體需求對(duì)訪問邊界進(jìn)行相應(yīng)的移動(dòng)。第5階段 面向工作負(fù)載的零信任安全在零信任安全方面已經(jīng)比較成熟的企業(yè)會(huì)對(duì)企業(yè)的各種環(huán)境進(jìn)行持續(xù)改進(jìn)和實(shí)時(shí)監(jiān)控。俗話說，唯一不變的就是改變–應(yīng)用程序、企業(yè)組織、惡意攻擊都會(huì)發(fā)生改變–因此，隨著生態(tài)系統(tǒng)的日益演變，零信任安全需要策略也隨之演變。93.0面向辦公場(chǎng)所的零信任目標(biāo)風(fēng)險(xiǎn)面向辦公場(chǎng)所的零信任+惡意攻擊者利用終端、服務(wù)器或設(shè)施設(shè)備的漏洞在網(wǎng)絡(luò)中站穩(wěn)腳跟，并通過安全方案可為企業(yè)化解以下幾大風(fēng)險(xiǎn)：橫向移動(dòng)來破壞關(guān)鍵系統(tǒng)。+攻擊者通過對(duì)網(wǎng)絡(luò)業(yè)務(wù)基礎(chǔ)架構(gòu)的攻擊來破壞正常運(yùn)行。+IoT或者工控網(wǎng)絡(luò)（OT）存在的漏洞。+據(jù)調(diào)研公司Quocirca稱，有百分之六十的企業(yè)都經(jīng)歷過因網(wǎng)絡(luò)打印機(jī)產(chǎn)生的安全事件。+據(jù)卡巴斯基（Kaspersky）稱，2017至2018年間，新的IoT惡意軟件變種數(shù)量已增長(zhǎng)了三倍。概述現(xiàn)代辦公場(chǎng)所通常以園區(qū)網(wǎng)、數(shù)據(jù)中心、廣域網(wǎng)、分支網(wǎng) 我們?cè)谠O(shè)備管理、設(shè)備修復(fù)以及非法設(shè)備防御方面的能力絡(luò)和云網(wǎng)絡(luò)為支撐。信任被擴(kuò)展到任何用戶、設(shè)備和應(yīng)用 已經(jīng)不足以應(yīng)對(duì)網(wǎng)絡(luò)中數(shù)量激增的設(shè)備。而近年來網(wǎng)絡(luò)設(shè)程序，再通過有線或無線方式連接其他用戶、設(shè)備、應(yīng)用 備的爆炸式增長(zhǎng)，也讓物聯(lián)網(wǎng)得到了廣泛關(guān)注。物聯(lián)網(wǎng)通程序以及辦公場(chǎng)所的其他部分。辦公場(chǎng)所中會(huì)布置一些最 常建立在消費(fèi)級(jí)平臺(tái)上，缺乏企業(yè)級(jí)安全控制措施，并且終用戶設(shè)備、IT服務(wù)器和打印機(jī)、工業(yè)控制系統(tǒng)（ICS） 可能無法修復(fù)。而這就會(huì)帶來一種結(jié)果：我們擁有了更多以及IoT設(shè)備。無論哪一類設(shè)備在企業(yè)網(wǎng)絡(luò)上進(jìn)行身份驗(yàn) 類似的設(shè)備，這些設(shè)備平均每臺(tái)的漏洞數(shù)量相對(duì)更高，而證和通信，面向辦公場(chǎng)所的零信任安全方案都將及時(shí)強(qiáng)制 且要維護(hù)物聯(lián)網(wǎng)的安全也相對(duì)更加困難。在物聯(lián)網(wǎng)成為人實(shí)施信任。 們關(guān)注焦點(diǎn)的同時(shí)，我們也不能忽視打印機(jī)、視頻會(huì)議、安防攝像頭、VoIP電話等一系列傳統(tǒng)的商業(yè)設(shè)備，因?yàn)檫@但是，員工使用的設(shè)備和安裝在辦公場(chǎng)所中的設(shè)備，二者 些設(shè)備仍然為犯罪分子入侵企業(yè)網(wǎng)絡(luò)提供了可行途徑。此之間的確存在明顯的差異。我們可以對(duì)面向終端用戶應(yīng)用 外，我們需要考慮的還有醫(yī)療設(shè)備和OT。出于操作、功的訪問決策強(qiáng)制實(shí)施信任，但這種思路并不適用于打印機(jī)、 能和技術(shù)方面的許多因素，這些設(shè)備通常部署在安全團(tuán)隊(duì)生產(chǎn)控制設(shè)備、暖通設(shè)備、標(biāo)記閱讀器等設(shè)備。為了覆蓋所 無法修復(fù)或保護(hù)的平臺(tái)上。從廣義上講，面向辦公場(chǎng)所的有與業(yè)務(wù)相關(guān)聯(lián)的系統(tǒng)，我們需要將堆棧的底層移至網(wǎng)絡(luò)。 零信任安全策略必須能夠跨越所有設(shè)備實(shí)現(xiàn)身份驗(yàn)證、授權(quán)、分段和信任監(jiān)控。10零信任假定網(wǎng)絡(luò)本身是不安全的。當(dāng)用戶、設(shè)備和應(yīng)用程 零信任網(wǎng)絡(luò)的下一個(gè)層次便是基于組的分段網(wǎng)絡(luò)。我們會(huì)序連接網(wǎng)絡(luò)時(shí)，我們需要對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，反之亦然。在 對(duì)各種網(wǎng)絡(luò)連接進(jìn)行驗(yàn)證。在做出訪問決策時(shí)，網(wǎng)絡(luò)會(huì)根零信任網(wǎng)絡(luò)中，任何有漏洞的設(shè)備均要被屏蔽或分段，以 據(jù)設(shè)備隸屬的一種或多種角色，以及它們隸屬的一個(gè)或多降低它們被犯罪分子發(fā)現(xiàn)和利用的可能性。此外，在零信 個(gè)組別，對(duì)設(shè)備的身份進(jìn)行標(biāo)識(shí)。設(shè)備所隸屬的角色與IP任網(wǎng)絡(luò)中，還要防止其它設(shè)備免受被攻擊和遭利用設(shè)備的 地址或物理位置無關(guān)。在大部分結(jié)構(gòu)比較復(fù)雜的企業(yè)中，影響。這兩套保護(hù)措施密切相關(guān)，而且都需要我們掌握使 這些角色通常包括多個(gè)子網(wǎng)和多棟建筑。然后，我們就能用網(wǎng)絡(luò)的所有已知實(shí)體以及設(shè)備的安全狀態(tài)。 根據(jù)哪些實(shí)體組能與哪些網(wǎng)絡(luò)資源（包括互聯(lián)網(wǎng)）進(jìn)行通信來定義網(wǎng)絡(luò)分段策略。我們可以根據(jù)設(shè)備的行為判斷設(shè)當(dāng)設(shè)備試著連接網(wǎng)絡(luò)時(shí)，就需要做出訪問控制決策。網(wǎng)絡(luò) 備的受信任程度，并在出現(xiàn)風(fēng)險(xiǎn)因素時(shí)再進(jìn)一步限制對(duì)設(shè)工程師們往往會(huì)通過某些固定屬性（例如，網(wǎng)絡(luò)交換機(jī)所 備的訪問。此外，我們還能通過持續(xù)的通信監(jiān)控以及持續(xù)在位置或IP地址的組合）來完成此任務(wù)。在這個(gè)模型中， 的策略改進(jìn)，不斷降低網(wǎng)絡(luò)中的假設(shè)信任，同時(shí)強(qiáng)化網(wǎng)絡(luò)我們?cè)趯?duì)設(shè)備進(jìn)行信任時(shí)，并不了解它們是否存在漏洞或 內(nèi)部的安全。已遭惡意利用。傳統(tǒng)的信任模式所依據(jù)的屬性也通常很有欺騙性。企業(yè)在向零信任過渡的過程中，信任決策必須根 伴隨員工自有設(shè)備的劇增，企業(yè)網(wǎng)絡(luò)中的設(shè)備數(shù)量也相應(yīng)據(jù)許多因素來做出，比如身份和行為，而且需要根據(jù)設(shè)備 地增多。從物聯(lián)網(wǎng)到打印機(jī)，從OT到醫(yī)療設(shè)備，支撐企行為和任何不斷變化的因素進(jìn)行定期驗(yàn)證，尤其是要通過 業(yè)正常運(yùn)營的設(shè)備比以往任何時(shí)候都要更多。正因?yàn)槿绱?，限制原始網(wǎng)絡(luò)訪問權(quán)限或完全切斷其訪問路徑來應(yīng)對(duì)新查 由設(shè)備所創(chuàng)造的攻擊面也比以往任何時(shí)候更大。面向辦公明的威脅和漏洞。 場(chǎng)所的零信任策略能幫助安全操作人員和網(wǎng)絡(luò)工程師更好地了解所有主機(jī)設(shè)備和通信數(shù)據(jù)，對(duì)網(wǎng)絡(luò)通信實(shí)施更嚴(yán)格網(wǎng)絡(luò)訪問控制（NAC）構(gòu)成了實(shí)現(xiàn)零信任安全的基礎(chǔ)。在 的限制，并根據(jù)信任度執(zhí)行相應(yīng)的自適應(yīng)策略。然后，我這個(gè)模型下，設(shè)備必須先對(duì)網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證，才能被信 們就能夠有效降低這些設(shè)備遭惡意活動(dòng)利用的風(fēng)險(xiǎn)，并針任，然后連接網(wǎng)絡(luò)并進(jìn)行通信。通過802.1X和基于證書 對(duì)任何可疑流量做出更及時(shí)的響應(yīng)。的身份驗(yàn)證搭建起的軟件定義訪問控制框架就是一種理想的方案。而Windows設(shè)備則能利用活動(dòng)目錄和Windows管理規(guī)范（WMI）對(duì)網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證。如果這些方法不可用，我們也可以選擇MAC旁路認(rèn)證（MAB）。雖然MAB具有一定的欺騙性；但是，對(duì)于不支持新方法的老舊設(shè)備，或我們無法通過配置讓設(shè)備支持這些新方法，那么它可能就是唯一的選擇。11辦公場(chǎng)所零信任安全成熟度模型第1階段 構(gòu)建辦公場(chǎng)所信任搞清楚部署在辦公場(chǎng)所中的系統(tǒng)、這些系統(tǒng)的用戶及相關(guān)應(yīng)用程序，包括IoT和OT，并確定其在企業(yè)組織中的功能及其在網(wǎng)絡(luò)上的操作。明確零信任安全方案的適用范圍。第2階段 網(wǎng)絡(luò)可見性深入洞察辦公場(chǎng)所網(wǎng)絡(luò)環(huán)境中用戶、設(shè)備和應(yīng)用程序的通信以及網(wǎng)絡(luò)流量。了解并記錄適用范圍內(nèi)的網(wǎng)絡(luò)功能及要求。第3階段 網(wǎng)絡(luò)訪問控制面向適用范圍內(nèi)的用戶、設(shè)備及應(yīng)用程序配置并實(shí)施網(wǎng)絡(luò)身份認(rèn)證和授權(quán)。防止任何未經(jīng)身份認(rèn)證（并因此不受信任）的實(shí)體連接到網(wǎng)絡(luò)。第4階段 分段策略定義基于組的網(wǎng)絡(luò)策略，確保這些策略僅允許業(yè)務(wù)運(yùn)營所必需的網(wǎng)絡(luò)連接和通信。第5階段 面向辦公場(chǎng)所的零信任