2020年注定要和一个词紧紧联系在一起,那就是安全。
新冠疫情全球蔓延,几乎让所有人都开始谨慎地减少外出,与他人保持社交距离。与之对应的是,人们有了更多的时间花费在电子设备和网络世界当中。
相比较于病毒肆虐所造成的人身健康的威胁,网络世界的安全威胁则显得更难以察觉。但随着企业和个人越来越多地将自身最重要的数据资产存放在网络端和云端,网络安全的威胁也正在变得棘手和严重起来。
2月底,SaaS服务商微盟的业务数据遭到内部员工故意删库,导致300万个平台商家的小程序全部宕机,众多商家损失惨重,同时微盟市值大幅缩水。这一事件被业内视为企业数据安全的拐点性事件。
4月初,受疫情影响而出现用户量暴增的远程视频软件Zoom,却被曝出重大安全漏洞,引发股东集体诉讼。漏屋偏逢连夜雨,最近Zoom又被曝出53万条用户网络凭证挂在暗网低价出售。尽管Zoom数据泄露原因被指向是黑客的撞库攻击,但由于Zoom这一视频会议软件会涉及会议内容、摄像头、远程桌面等隐私问题,此次数据泄露再次引发媒体和众多企业组织的抵制和禁用。
结合之前众多国内企业在用户数据安全、隐私保护上的暴露出的种种问题,我们会发现网络安全仍然是企业在产品开发和运营当中的一大短板。
而现在,远程协同办公的兴起也让企业内网正在面临着新的安全威胁,由传统的VPN和防火墙构成的网络安全架构,已经难以满足企业员工的大量外网的接入需要。
一种早在10年前就提出,一直在蓄势发展的“零信任安全”,成为当下可供企业网络安全选择的新架构。
不信任,才是迈向最佳安全性的第一步?
关于信任的一场安全危机,最早可能就来自于古希腊神话中的“特洛伊木马”。希腊人制定的木马计划,骗取了特洛伊人的信任。木马被他们自己迎接进了特洛伊城,而希腊人则从内部将其攻破。这一经典战术启发了互联网时代最猖狂的网络攻击,通过在正常的程序中植入木马程序,就可以实现对被感染计算机的远程控制。
对现在很多企业的数据中心,传统意义上的网络安全就是通过一系列防火墙或者杀毒软件的手段来防御这些外部威胁。但是如果是具有正当凭证以及权限的用户进入系统,这些外围防御系统就会自动放过,而系统内部则隐含着对他们的信任关系,也就很难阻止这些用户的不良行为。
一种是用户账户被盗取后的黑客侵害行为;一种是用户本人的侵害行为,就如微盟内部员工的“删库”,而这样的内部损害也可能更为严重。
真正能够做到系统内部的数据保护,目前最可行的一种方式就是零信任网络访问的模式。这一安全架构将改变企业数据保护的现有规则。
所谓零信任网络访问(Zero-Trust Network Access,简称“ZTNA)”),是在2010年由研究机构Forrester副总裁兼首席分析师约翰·金德瓦格(John Kindervag)提出。意思是:不能信任出入网络的任何内容。应通过强身份验证技术保护数据,创建一种以数据为中心的全新边界。简单说就是“从不信任,总是验证”。
为什么企业需要进行零信任网络访问呢?
首先是全球经济因为网络安全问题导致的损失在逐年增加,预计到2021年因网络网络犯罪所致全球经济损失总额将达6万亿美元。而世界上重大的数据泄露事件都是由于黑客攻破企业防火墙之后,在内部网络拥有全部访问权限而畅通无阻造成的。
尽管企业的信息网络安全的支出每年都在增加,但是传统的安全方法难以应对日趋严峻的安全威胁态势,转变旧的安全边界的防护思维和方法成为破题之策。
另外,最重要的一个变化就是企业的安全边界正在模糊。受到企业数字化转型和云计算业务增长的影响,以防火墙和VPN为代表的传统安全技术构建的企业边界正在被云业务的场景模式给瓦解。众多的外部访问扩大了向企业内部渗透的攻击威胁。
这样“内部等于可信任”和“外部等于不可信任”的传统网络安全观念就需要打破,而零信任网络访问的“验证才信任”的优势也就突显出来了。
如何实现零信任网络安全?
零信任网络访问,需要企业根据用户、所处位置和其他数据等条件,建立微隔离和细粒度边界规则,来确定是否可以信任向企业特定范围访问权限发起请求的用户、主机或者是应用。实现零信任网络访问,要做到:第一,要确认用户身份,通过交叉验证确保是用户本人的登录操作;第二,要保证用户所用终端是否安全;第三,建立条件限制策略,明确访问权限。第四、访问控制需要符合最小权限原则进行细粒度授权,基于尽量多的属性进行信任和风险度量,实现动态自适应访问控制。
零信任网络访问需要依靠多因子身份认证、身份与访问管理、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。
众多企业的IT部门已经在其网络环境中部署了多因子身份验证、身份与访问管理和权限管理通,常会采取软件定义边界(SDP)和微隔离技术,来有效阻隔服务器或者网段之间的访问权限。
软件定义边界凭借更细粒度的控制、更灵活的扩展、更高的可靠性,正在改变传统的远程连接方式。而网络微隔离是在传统的区域架构下,进一步细分区域内的网络以增强安全性。微隔离常用于数据中心网络中,以细分区域内的应用程序,可以实现对工作流级别的细粒度隔离和可视化管理,正在成为虚拟化环境下网络隔离优选方案。
当然,建立零信任安全环境,不仅仅是实现这一单点技术,而是要在这些技术的应用中始终贯彻“无验证即不信任”的理念。
零信任作为一种全新的安全理念,应该成为企业决策者未来坚持推行的举措。据旧金山计算机安全研究所的统计,60%到80%的网络滥用事件来自内部网络,对内部人的信任所造成的危害程度,远远超过黑客攻击和病毒造成的损失。企业需要调整思维方式,让零信任理念也成为管理者和员工自觉遵守的行为准则。