首先,零信任是什么?
零信任,英文原文是“Zero Trust”,字面意思就是相互間沒有信任。讓人想起網(wǎng)絡(luò)熱梗:“人跟人之間沒有信任了嗎?”,“你能傷害的都是信任你的人!”
這里并不是勸人躺平,做一位“孤家寡人”。恰恰相反,正是因?yàn)闆]了信任,所以才特別需要建立信任,通過不斷驗(yàn)證權(quán)限來建立信任。通過不斷驗(yàn)證來提升安全就是零信任的核心思想。
NIST官網(wǎng)對(duì)零信任有一番比較細(xì)致的介紹(看不太明白,也沒關(guān)系):
“零信任(Zero trust,ZT)是一組不斷發(fā)展的網(wǎng)絡(luò)安全范例的術(shù)語,這些范例將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源。零信任架構(gòu)使用零信任原則來規(guī)劃工業(yè)和企業(yè)基礎(chǔ)設(shè)施和工作流。”
“零信任是對(duì)企業(yè)網(wǎng)絡(luò)趨勢(shì)的回應(yīng),趨勢(shì)包括遠(yuǎn)程用戶、自帶設(shè)備(BYOD)以及不在企業(yè)擁有網(wǎng)絡(luò)邊界內(nèi)的基于云的資產(chǎn)。零信任側(cè)重于保護(hù)資源(資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)帳戶等),而不是網(wǎng)絡(luò)段,因?yàn)榫W(wǎng)絡(luò)位置不再被視為資源安全態(tài)勢(shì)的主要組成部分。”
為什么現(xiàn)在需要零信任呢?
零信任的概念最早可追溯到上世紀(jì)90年代,現(xiàn)在為什么談零信任呢?說到底,這是IT架構(gòu)體系變遷所致。
在以前,企業(yè)在自家機(jī)房購置服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)等硬件,以此支撐企業(yè)信息系統(tǒng)。如果說,這一時(shí)期的機(jī)房是一棟自建的獨(dú)棟別墅,那么,安全方案就是別墅的圍墻。
安全問題如影隨形,而“圍墻”不僅做不到密不透風(fēng),而且還經(jīng)常需要修修補(bǔ)補(bǔ),漏洞經(jīng)常有,一旦碰到了安全漏洞,就需要對(duì)應(yīng)一套解決方案,在墻上打個(gè)補(bǔ)丁。
這套由自己搭建,自己打理的別墅見證了企業(yè)的成長壯大,圍墻上的補(bǔ)丁也見證了歷史變遷,而現(xiàn)在,環(huán)境發(fā)生了變化——云計(jì)算時(shí)代來了,企業(yè)的多云架構(gòu)來了。
在多云時(shí)代背景下,企業(yè)自己的獨(dú)棟別墅雖然很重要,但經(jīng)常需要租用/訂閱外部資源,此時(shí)的安全邊界發(fā)生了變化,自建的圍墻已經(jīng)不能覆蓋所有資產(chǎn)了。
于是,就需要零信任架構(gòu)用新的原則重新解決安全的問題。
零信任解決安全問題的原則有三個(gè)
首先,所有設(shè)備和用戶都得是已知的,都得面部清晰有名有姓,還要有明確的權(quán)限范圍。就好比,你走進(jìn)一家公司,保安允許你進(jìn)入,但并不代表你被信任了。如果你要打開財(cái)務(wù)部的門,你得證明你有權(quán)限,否則,從保衛(wèi)科門里出來的人就來找你了。
第二,傳統(tǒng)做法是阻攔有害的行為,而零信任是只能做被允許的事。人只允許做已知的、好的事情,設(shè)備只能運(yùn)行可以運(yùn)行的應(yīng)用,而未經(jīng)允許的、未知的操作都做不了。如此一來,風(fēng)險(xiǎn)管理變得很簡單了。
第三,經(jīng)認(rèn)證的人和設(shè)備在做的事情會(huì)被記錄和監(jiān)控,如果有反?;顒?dòng),比如,研發(fā)的人經(jīng)常訪問財(cái)務(wù)人員該訪問的內(nèi)容,這種行為就會(huì)被記錄和上報(bào)。這樣就更容易發(fā)現(xiàn)問題,威脅管理也變得簡單了。
從觀感來看,零信任有過于”不近人情“的嚴(yán)苛。
從落地層面看,零信任帶來的變化太大,感覺會(huì)很麻煩,像一團(tuán)亂麻。
零信任的構(gòu)成需要三層架構(gòu)緊密協(xié)作
其實(shí),零信任架構(gòu)有相對(duì)清晰的三層架構(gòu):業(yè)務(wù)控制層、通用控制平面和基礎(chǔ)架構(gòu)三層。而且,實(shí)施的順序是從最上層的業(yè)務(wù)控制層開始、到通用控制平面,最后才是基礎(chǔ)架構(gòu)層。
三層的職責(zé)各不相同:
業(yè)務(wù)控制層管理著業(yè)務(wù)層的安全,比如,研發(fā)人員能夠訪問實(shí)驗(yàn)室,非研發(fā)人員不能訪問實(shí)驗(yàn)室,這是業(yè)務(wù)層要管的。又比如,數(shù)據(jù)只能本地化,核心數(shù)據(jù)不得出境,也是業(yè)務(wù)要管的。
落到實(shí)現(xiàn)層面,由于業(yè)務(wù)控制層需要梳理業(yè)務(wù)邏輯,所以,會(huì)需要德勤、埃森哲和凱捷這樣的咨詢公司來參與。
通用控制平面負(fù)責(zé)用技術(shù)執(zhí)行業(yè)務(wù)控制的內(nèi)容,本身是一系列的技術(shù)實(shí)現(xiàn)。它會(huì)幫系統(tǒng)搞清楚它是誰,定義它可以做什么,記錄并識(shí)別它做了什么,這三個(gè)問題。
具體的實(shí)現(xiàn)層面,需要微軟的Active Directory、Rapid7、戴爾的SecureWorks和SentinelOne等軟件方案來實(shí)現(xiàn)。
零信任環(huán)境的第三層是基礎(chǔ)架構(gòu),它應(yīng)該由控制平面來控制。但由于硬件層缺少合適的協(xié)議,沒有正確的策略模型,所以,控制平面很難對(duì)基礎(chǔ)架構(gòu)進(jìn)行控制。
從具體的實(shí)現(xiàn)來講,如果基礎(chǔ)架構(gòu)面向控制平面進(jìn)行設(shè)計(jì),就可以執(zhí)行來自業(yè)務(wù)控制層面和通用控制層面上定義的安全策略,而上層也可以通過來自基礎(chǔ)架構(gòu)的遙測(cè)數(shù)據(jù)獲知更多細(xì)節(jié)。
戴爾在零信任中的角色是什么,為什么要談零信任?
零信任架構(gòu)體系包含以上三個(gè)層面,而且還需要很好的集成,但由于沒有標(biāo)準(zhǔn)、沒有明確的職責(zé)劃分、沒有零信任基礎(chǔ)架構(gòu)API等等,目前企業(yè)要承擔(dān)絕大部分集成的負(fù)擔(dān),導(dǎo)致零信任實(shí)現(xiàn)起來非常困難。
戴爾可以簡化零信任的部署。戴爾可以提供包括存儲(chǔ)、網(wǎng)絡(luò)、服務(wù)器、終端設(shè)備在內(nèi)的各種基礎(chǔ)架構(gòu),并與控制平面更好地整合,用完整的三個(gè)層面來構(gòu)建零信任架構(gòu)體系。推動(dòng)零信任架構(gòu)的更快落地。
所以,這里解釋文章一開始的問題,為什么戴爾要大談零信任?
戴爾作為全球范圍內(nèi)的大型IT基礎(chǔ)架構(gòu)提供商,在全球范圍內(nèi)提供了大約三分之一的存儲(chǔ),大約五分之一的服務(wù)器,以及數(shù)不清的終端設(shè)備。
戴爾有產(chǎn)業(yè)號(hào)召力和生態(tài)標(biāo)準(zhǔn)化方面的影響力。在零信任的問題上,戴爾正在推動(dòng)整個(gè)業(yè)界實(shí)現(xiàn)零信任的集成,讓零信任更簡單地被采納,減輕企業(yè)集成的負(fù)擔(dān)。
零信任與現(xiàn)代安全三大要素
以上,談到了零信任的概念、作用和構(gòu)成,能提升多云架構(gòu)時(shí)代下的企業(yè)安全水平。零信任安全架構(gòu)對(duì)安全體系帶來了較大變化,也為企業(yè)打造現(xiàn)代安全奠定了基礎(chǔ)。
現(xiàn)代安全有三大要素,而戴爾能支撐企業(yè)構(gòu)建現(xiàn)代安全:
首先,戴爾作為基礎(chǔ)設(shè)施提供商,可以提供信任的基礎(chǔ)。
戴爾作為國際大廠,不僅有較高的品牌信譽(yù)。而且,戴爾能提供安全的交付過程,用戶能清楚地知道所使用的戴爾的產(chǎn)品,在哪里設(shè)計(jì)和生產(chǎn),從用戶下訂單到收獲部署期間有沒有被動(dòng)過手腳,以確保安全。
零信任是戴爾基礎(chǔ)架構(gòu)不可或缺的一部分,貫穿全生命周期。戴爾從產(chǎn)品設(shè)計(jì)和開發(fā)開始,就考慮零信任,在制造和交付環(huán)節(jié),在部署和運(yùn)維以及停用階段,都實(shí)現(xiàn)了零信任的保障措施。制造和交付環(huán)節(jié)涉及的安全問題值得重視,業(yè)內(nèi)出現(xiàn)了一些在交付環(huán)節(jié)零部件被動(dòng)手腳,從而引發(fā)安全事件的先例。
第二,戴爾作為基礎(chǔ)設(shè)施提供商,可以簡化零信任的采用。
零信任架構(gòu)集成的負(fù)擔(dān)太沉重,戴爾通過專為零信任架構(gòu)而設(shè)計(jì)基礎(chǔ)架構(gòu),實(shí)現(xiàn)跟控制平面的集成,與身份管理、策略管理、威脅管理的集成。這意味著,戴爾的用戶更容易跟現(xiàn)有的安全解決方案集成在一起,簡化了零信任的采納。
最后,戴爾作為基礎(chǔ)設(shè)施提供商,還可以提供網(wǎng)絡(luò)恢復(fù)計(jì)劃。
說到底,零信任是用來防御安全威脅的,盡管可以提升網(wǎng)絡(luò)防御能力,但是,世界上沒有絕對(duì)的安全,萬一防御措施失效,后續(xù)就只能硬著陸了嗎?戴爾的實(shí)踐證明,用戶需要一個(gè)網(wǎng)絡(luò)恢復(fù)計(jì)劃,使業(yè)務(wù)快速恢復(fù)。
戴爾提供的這三方面能力正是現(xiàn)代企業(yè)安全的三大要素。如何加強(qiáng)現(xiàn)代化安全呢?且聽下文分解。