雲深互聯:NIST建議的零信任安全8大應用場景

　　本文的內容來源於NIST SP 800-207《零信任架構》(草案)、NIST NCCoE發布《實現零信任架構》(草案),著重為大家介紹零信任安全應用場景。零信任架構(草案)可以去關注云深互聯公眾號免費領取中文版。

　　零信任是一個安全概念,其核心思想是組織不應自動信任其邊界之內或之外的任何事物,而必須在授予訪問權限之前驗證試圖連接到其系統的所有事物。也就意味著每個試圖訪問專用網絡上的資源的人和設備(無論它們位於網絡外圍之內還是之外)都必須進行嚴格的身份驗證。沒有單一的特定技術與零信任相關。這是一種結合了幾種不同原理和技術的整體網絡安全方法。

　　之前,我們已經發布的《零信任安全架構標準》,主要為大家精講了零信任架構和零信任體系架構的邏輯組件。為配合NIST SP 800-207《零信任架構》(草案)的推進工作,本月(2020年3月)NIST下屬單位NCCoE發布了《實現零信任架構》(草案)項目說明書並徵求公開評論。該項目說明書瞄準的是零信任架構的落地實踐,希望實現安全性與用戶體驗的兼得。本文著重為大家介紹零信任安全應用場景:

　　1.分支機構訪問總部業務系統

　　最常見的情況是,企業只有一個總部和一個或多個地理上分散的位置,這些位置沒有企業擁有的物理網絡連接(見圖1)。

　　遠程位置的員工可能沒有完全由企業擁有的本地網絡,但仍需要訪問企業資源才能執行其任務。同樣,員工也可以使用企業擁有或個人擁有的設備,進行遠程工作或在遠程位置工作。在這種情況下,企業可能希望授予對某些資源(如員工日曆、電子郵件)的訪問權限,但拒絕訪問更敏感的資源(如人力資源資料庫)。

　　在這個用例中,PE/PA最好作為一個雲服務託管,終端系統有一個連接代理或訪問一個資源門戶。由於遠程辦公室和工作人員必須將所有流量發送回企業網絡才能訪問雲服務,因此將PE/PA託管在企業本地網絡上可能不是響應最迅速的。

　　圖1:有遠程辦公員工的企業

　　2. 企業多雲戰略

　　部署ZTA策略的一個越來越常見的用例是使用多個雲提供商的企業(見圖2)。在這個用例中,企業有一個本地網絡,但使用兩個(或更多)雲服務提供商來承載應用程式和數據。有時,應用程式,而非數據源,託管在一個獨立的雲服務上。為了提高性能和便於管理, 託管在雲提供商A中的應用程式,應該能夠直接連接到託管在雲提供商B中的數據源,而不是強制應用程式通過隧道返回企業網絡。

　　這個多雲用例是ZTA採用的主要驅動因素之一。它是CSA的SDP規範的伺服器到伺服器實現。隨著企業轉向更多的雲託管應用程式和服務,依賴企業邊界進行安全保護顯然成為一種負擔。ZTA認為,企業擁有和運營的網絡基礎設施與任何其他服務提供商擁有的基礎設施之間應該沒有區別。多雲使用的零信任方法,是在每個應用程式和數據源的訪問點放置PEP。PE和PA可以是位於雲或甚至第三個雲提供商上的服務。然後,客戶端(通過門戶或本地安裝的代理)直接訪問PEPs。這樣, 即使託管在企業外部,企業仍然可以管理對資源的訪問。

　　圖2:多雲用例

　　3 .臨時工、外包員工訪問業務系統

　　另一個常見的場景是,一個企業包含需要有限訪問企業資源才能完成工作的現場訪問者和/或外包服務提供商(見圖3)。例如,企業有自己的內部應用程式、資料庫和員工工作系統。這些包括外包給偶爾在現場提供維護任務的供應商的服務(例如,由外部供應商擁有和管理的智能暖通空調(HVAC)系統和照明系統)。這些訪客和服務提供商將需要網絡連接來執行他們的任務。ZTA網絡可以通過允許這些設備(以及任何來訪的服務技術人員)訪問Internet來實現這一點,同時還可以屏蔽企業資源。

　　在本例中,該組織還有一個會議中心,訪客可以在其中與員工進行交互。同樣,通過ZTA的SDP策略,員工設備和用戶是有區別的,可以分別訪問恰當的企業資源。進入校園的訪客可以訪問Internet,但不能訪問企業資源。它們甚至不能進行網絡掃描,以查找可能可見的企業服務(即阻止主動網絡偵察)。

　　圖3:具有非員工訪問的企業

　　4. 跨企業協同

　　第四個用例是跨企業協作。例如,有一個項目涉及企業A和企業B的員工(見圖4)。這兩個企業可以是獨立的聯邦機構(G2G),甚至是聯邦機構和私營企業(G2B)。企業A運行用於項目的資料庫,但必須允許企業B的某些成員訪問數據。企業A可以為企業B的員工設置專用帳戶,以訪問所需的數據並拒絕訪問所有其他資源。

　　圖4:跨企業協作

　　5. 提供面向公眾或面向客戶的服務的企業

　　許多企業的共同特徵是面向公眾的服務,其中可能包含或不包含用戶註冊(即用戶必須創建或已獲得一組登錄憑據)。這樣服務可能是針對普通大眾,具有現有業務關係的一組客戶,或一組特殊的非企業用戶,例如員工家屬。在所有情況下,要求資產不是企業所有,企業在內部網絡安全政策可以得到執行。對於不需要登錄憑據即可訪問的通用公共資源(例如,公共網頁),則ZTA的原則並不直接適用。企業不能嚴格控制請求資產的狀態,公共資源不需要憑據即可訪問。企業可以為註冊的公眾用戶,(例如客戶,即擁有業務關係)和特殊用戶(例如僱員的家屬)。如果要求用戶產生或獲得證書,企業可以制定有關密碼長度的政策,生命周期以及其他詳細信息,並且可以提供MFA作為選項或要求。然而,企業在可以針對此類用戶實施的策略方面受到限制。相關信息傳入請求可能有助於確定公共服務的狀態並檢測冒充合法用戶的可能攻擊。例如,一個已知的註冊用戶門戶由註冊客戶使用一組常見的Web瀏覽器之一訪問。突然來自未知瀏覽器類型或已知過時版本的訪問請求可能會增加表示某種形式的自動攻擊,企業可以採取措施限制請求來自這些確定的客戶。企業還應了解任何法規或規定關於可以收集和記錄有關請求用戶和資產的信息。

　　6.員工訪問網際網路資源

　　員工正在嘗試訪問公共Internet以完成某些任務。此場景將演示一種特定的用戶體驗,其中員工嘗試使用企業管理的設備在Internet上訪問基於web的服務。雖然基於Web的服務不是由企業擁有和管理的,但是該項目中實現的ZTA解決方案仍然會動態和實時地提供對該資源的相關訪問請求。該解決方案將允許員工在任何位置訪問,也就是說,員工可以使用企業管理設備在企業內部網、分支辦公室或公共網際網路內連接時訪問網際網路。

　　圖5:訪問網際網路

　　7.企業內的伺服器間通信

　　企業服務通常有不同的伺服器相互通信。例如,web伺服器與應用伺服器通信。應用伺服器與資料庫通信以將數據檢索回web伺服器。此場景將演示企業內伺服器間交互的示例,其中包括場內、雲中或在本地和雲中伺服器之間的伺服器。本項目中實施的ZTA解決方案,將動態和實時地提供相互交互的指定伺服器之間的關聯網絡通信。

　　圖6.企業內的伺服器間通信

　　8.建立企業資源的信任級別

　　企業有監控系統、安全信息和事件管理(SIEM)系統以及其他資源,這些資源可以向策略引擎提供數據,從而為訪問企業資源創建更細粒度的信任級別,並促進基於信任級別的嚴格訪問。在這種情況下,ZTA解決方案將這些監控和SIEM系統與策略引擎集成,以生成更精確的置信水平計算。

　　寫在最後:

　　雲深互聯表示,信息安全的零信任模型從根本上遏制了城堡和護城河的舊思想,是更適合雲時代的企業安全模型。本文也更好的為大家揭示了零信任安全的應用場景,幫助大家更好的了解零信任的應用。