域名預訂/競價，好“米”不錯過

從攻擊面視角理解零信任

Gartner在2022年發(fā)布的《2022年網絡安全重點趨勢(Top Trends in Cybersecurity 2022)》報告中，把“攻擊面擴大”作為重要的一項提出。

報告指出：為了管理一系列擴大的安全攻擊暴露面，組織機構需要關注的遠不只是針對漏洞進行補丁修復。由于一系列數字化方案的應用帶來的變化，例如新型混合網絡架構、公有云的加速應用、互連更緊密的供應鏈、外部可訪問數字資產增多及物聯網科技的更多應用，導致攻擊面大幅擴大。組織機構必須開始在傳統的“安全屋”方案之上思考新戰(zhàn)略，盡快采取行動提升安全可視化及關鍵業(yè)務的風險防范水平。

攻擊面的定義是：一個給定的計算機或網絡系統可以被惡意人員訪問和利用的漏洞的總和。 為了對攻擊面進行持續(xù)可視化呈現和縮減，需要做好以下幾方面工作：

業(yè)務訪問：即人訪問業(yè)務系統的過程管理。

漏洞管理：優(yōu)先級排序、分類與可視化處置。

資產安全：測繪、脆弱性管理、合規(guī)建設等。

零信任是一種架構和方法論，其關注點在于提供安全的應用訪問路徑。 從攻擊面視角出發(fā)，零信任主要針對“業(yè)務訪問”部分給出解決方案，可進一步細化為幾個重點：

權限與路徑：圍繞人和應用的訪問權限與路徑，進行可視化呈現、梳理與管理，消除違規(guī)和越權訪問，規(guī)劃最優(yōu)路徑。

通信安全：將通信內容進行加密，對通信的雙方進行身份校驗，避免通信被監(jiān)聽或破壞。

內容審計：將通信內容進行還原、記錄和留存。

在保護數據安全方面，相比數據安全領域的脫敏、泄露防護、數據庫防護等專用技術，零信任解決方案的核心作用在“關口前移”。對于關鍵數據設置合理的訪問權限與路徑，實現高效率管理，從源頭提升非法接觸數據的難度和門檻，可以有效幫助數據安全整體方案進行落地。

零信任實踐的三個層次

對于零信任建設，本文將按照以下三個層次進行分析：

零信任的三個層次

1、南北向：外部遠程接入

在南北向，訪問控制的主要挑戰(zhàn)來自于傳統VPN技術的幾個隱患：

長期開放固定端口，導致網絡層暴露面持續(xù)存在，這一缺陷在攻防演練中多次被攻擊方成功利用。

長連接機制下，網絡質量敏感型應用可能存在性能問題。

在多云和混合云接入環(huán)境下，權限控制不夠精細或維護成本過高。

終端安全管控能力不足。

目前主流的VPN替代方案是軟件定義邊界SDP（Software Defined Perimeter），這一方案已有較為廣泛的應用 ，其核心優(yōu)勢如下：

采用先認證再連接模式，避免固定端口暴露。

使用短連接方案，增強業(yè)務性能體驗。

基于人和業(yè)務系統定制全局策略并實現動態(tài)自適應，在多云和混合云接入場景下更為適用，且能降低維護難度。

支持全品類主機和移動終端操作系統、SDK及瀏覽器環(huán)境接入，采用人+端+接入環(huán)境三維校驗技術，在終端身份核驗方面更具執(zhí)行力，更適合移動應用和IoT終端接入場景。

2、東西向：內部主機互訪

在東西向流量層面，零信任的主要解決方案是微隔離。其針對的主要安全攻擊手段是橫向擴散，也即攻擊者獲取失陷主機后作為跳板在安全域內繼續(xù)擴大攻擊，最終威脅到核心資產。 微隔離可以通俗地理解為業(yè)務系統間防火墻，在數據中心等場景中，大二層環(huán)境和虛擬化工作負載使得這一技術更為流行。

微隔離產品一般可以做三種分類，分別是：

Hyper-V微隔離：以VM為單位進行隔離。

網絡微隔離：在L3/L4進行隔離(經常借助SDN控制器)。

主機微隔離：基于主機/業(yè)務系統進行隔離。

其中最受歡迎的微隔離方案是主機微隔離 ，其中一個原因是這個方案相對容易部署，通過管理平臺和主機上部署Agent就可以開始部署策略。無論是Windows或Linux操作系統，Agent可以通過iptables等方式進行策略控制，而在管理平臺上可以將主機互訪關系與路徑進行可視化與管理，并針對訪問需求進行策略自適應計算、異常分析與下發(fā)，這種方案在云負載、虛擬負載和物理服務器上都保持一致有效，從而阻斷東西向安全威脅，縮減業(yè)務交付時間和維護成本。

3、斜向：安全域訪問控制

除了討論特別多的南北向和東西向之外，兼具二者的所謂“斜向”經常被忽略，尤其是當網絡規(guī)模足夠大和安全訪問控制策略足夠復雜時，這一方向會顯得尤為重要。 在跨廣域網的多分支機構網絡中，同時有眾多遠程接入用戶，包括居家辦公員工、供應鏈及第三方合作伙伴，此時安全域的劃分與安全策略規(guī)劃將會比較復雜。試想，此時兩個主機之間的訪問可能會跨三層及安全域，也就是說在南北和東西兩個方向同時發(fā)生，而真正的訪問控制落地會在安全設備的訪問控制策略上，單純的南北向或東西向權限控制都不能獨立解決問題。

斜向對應的零信任解決方案是NSPM（Network security policy management）技術。 在NSPM的訪問控制基線管理功能中，可以基于業(yè)務需求和安全域訪問規(guī)則設置訪問控制基線，訪問控制基線信息至少包括源域、源地址、目的域、目的地址、協議、端口、動作等信息，支持黑白名單、高危端口、病毒端口的自定義，支持定期依據訪問控制基線對網絡訪問控制策略進行檢查，及時發(fā)現和清除導致非法越權訪問的違規(guī)策略。此外，NSPM的網絡暴露風險管理功能能夠以某一主機或主機組為對象，自動化實現網絡暴露路徑與暴露風險的分析，從網絡訪問關系與安全路徑的角度描述其對外的暴露情況，可以幫助用戶及時了解某些重要主機與網絡暴露面的大小、風險的高低，輔助用戶進行暴露面收斂與暴露路徑的安全加固。

為了系統性解決權限控制問題，需要將南北向、東西向和斜向解決方案進行有機結合。當前，將SDP、主機微隔離和NSPM結合的零信任解決方案并不常見，國內的廠商安博通是供應商之一，產品均已適配信創(chuàng)終端環(huán)境，在金融和運營商行業(yè)已有成功案例。

信創(chuàng)終端環(huán)境落地經驗總結

將零信任技術方案應用于信創(chuàng)環(huán)境，工作主要在于完成相關軟件在信創(chuàng)CPU(龍芯/鯤鵬/飛騰)、信創(chuàng)操作系統(麒麟、統信)及信創(chuàng)網卡和信創(chuàng)數據庫等環(huán)境中的適配。這一落地過程中需要克服的主要技術難點包括：

硬件無關化程度：當軟件主要在用戶態(tài)實現時，遷移到信創(chuàng)過程中將不會涉及到過多的驅動工作，更加順利。

解決跨平臺編譯和各語言、組件版本升降級問題。

各類國產化產品的適配和遷移工作。

克服開發(fā)工具鏈相對薄弱的現狀進行持續(xù)調試。

與體系架構相關的開源軟件重構和遷移。

通過幾個體系的信創(chuàng)領域產品推進，零信任相關產品已經在信創(chuàng)終端環(huán)境下實現了較好的落地。從應用效果看，盡管在性能和加解密能力等方面還有優(yōu)化空間，但已可以成功應用于通用環(huán)境。

未來展望

在政策和技術雙重驅動下，零信任安全在信創(chuàng)領域已取得了不錯成果，未來將會迎來更大機遇，尤其是在金融市場的加速應用。零信任解決方案的落地過程中需要關注多個層面，持續(xù)縮減攻擊面和控制訪問權限，守好前置關，成為數字化轉型和數據安全的重要措施。

參考文獻：

《Guide to Network Security Concepts》,Gartner

《Top Trends in Cybersecurity 2022》,Gartne

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！