“連接創造價值,安全護航連接。” 在零信任十週年峯會上,360集團雲安全研究院高級安全總監魏小強分享了有關零信任的身份管理與安全連接架構的話題。零信任峯會由雲安全聯盟大中華區主辦,聯合國UN2020指導,於6月5日圓滿召開,360為主要承辦單位之一。
數字化轉型的基礎是安全連接
數字化轉型推動着企業上雲的數量持續激增,不僅使得企業網絡高度異構,融合了移動、物聯網、公有/混合雲和SaaS等,更重要的是使得傳統業務和IT運營模式不斷被顛覆。企業把越來越多的關鍵型和生產級應用逐步遷移到雲端並使用雲服務。大量的人工服務趨向自動化技術代替,單一生產趨向協同。數字化轉型使得以前沒有連接的東西都連接起來了。
連接不斷創造價值,也帶來巨大的安全風險。例如,員工可以攜帶自己的電腦在咖啡廳或機場等公共WiFi環境訪問公司的數據中心網絡,同時還希望訪問公有云或SaaS服務等。通常來説,在這個場景下,員工是無法得到公司的安全棧保護的。黑客很容易進行攻擊,竊取用户敏感信息,控制用户設備,控制用户賬號,進而入侵公司的數據中心等。因此,安全連接是數字化轉型的基礎設施。
簡單來説就是,需要有一種技術能保證用户可以通過任何設備,在任何地點,通過任何網絡,安全接入和訪問任何服務和資源。
基於零信任構建以身份為中心安全連接
魏小強表示,網絡的設計是為了將用户與數據中心內的應用連接起來,我們在網絡周圍建立了一個安全的邊界,以保證這些用户和應用不受外界的影響。但隨着應用遷移到雲端,用户從任何地方連接到雲端,邊界已經消失了。現在是時候將安全與網絡脱鈎,並使用在應用駐留的任何地方和用户連接的任何地方來執行安全策略。
魏小強認為零信任是一種方法論,是一種安全範式,旨在通過建立默認拒絕的初始安全態勢來消除企業中過度的隱性信任。然而,在某些時候必須建立信任以允許連接,但與以網絡為中心的方法不同的是,這種信任必須是動態的,根據用户、設備、位置和應用的上下文變化而變化。
零信任策略的目的是消除過度風險。它首先是永遠不要默認授予信任,它要求信任是上下文的和自適應的。特權或訪問的級別取決於已建立的信任,必須不斷監測和適應風險。
零信任也在不斷演進
零信任的概念是在10年前創立的。John Kindervag構思了這個想法,以防止企業團隊給予訪問網絡的用户和設備過多的信任。但是,由於當時的技術,它僅僅是在以網絡為中心的安全背景下產生的,這種安全還是以網絡防護為中心,存在一定的侷限性。
隨着雲和移動性的採用,IT專業人士已經意識到,以網絡為中心的安全策略已經變得無效。網絡和用户設備不再為企業所擁有,超過一半的員工正在遠程訪問應用。通過在雲優先時代重新思考以網絡為中心的安全方法,企業正在打開採用真正的零信任的大門。
進入萬物互聯、多雲連接以及軟件定義的時代,連接無處不在。魏小強表示,我們所説的身份可以是任何“東西”,用户身份化、設備身份化、應用身份化。他們之間的關係就是連接,所以連接可以涵蓋SaaS、公有云、私有云、數據中心以及用户和物聯網等等,連接的網絡會越來越複雜。
魏小強強調,身份正從單一屬性走向多屬性,從認證走向連接。身份管理的本質是連接,連接既創造價值也帶來風險,安全連接是零信任的基石。 我們應該從安全連接的視角去重新思考零信任架構,尋找新的解決方案以應對軟件定義時代的到來。
基於零信任的360 連接雲實踐
基於對零信任的理解,360提出了在多雲環境下的基於零信任的連接雲平台架構,如下圖所示:
據魏小強介紹,360連接雲平台基於零信任網絡訪問技術,也被稱為軟件定義邊界(SDP),在360安全大腦的賦能下打造而成。它圍繞着企業專有應用創建了一個基於身份和上下文的訪問邊界,並實現了應用的隱藏。
360連接雲平台由安全分析中心模塊、安全運營中心模塊、基礎雲平台、零信任身份管理平台、SDN調度管理平台等組成。通過信任代理限制訪問模塊,僅對應該訪問的一組實體進行授權。從本質上講,基於SDP技術消除網絡周圍的邊界,圍繞用户、設備和應用創建虛擬邊界對傳統網絡邊界取而代之,最終實現了自適應和安全的私有應用訪問。
360連接雲平台遵循Gartner SASE(安全訪問服務邊緣)模型理論,基於零信任訪問網絡技術創建,僅在經過認證的用户和企業的私有應用之間進行權限微分段並實現安全連接。該連接雲平台可支持私有云、多雲或混合雲等複雜環境。其獨特價值還在於基於360安全大腦賦能,整合海量的威脅情報技術實現持續風險監控和評估。
360連接雲平台主要應用場景包括:1)基於身份的網絡訪問控制:如網絡微隔離、安全的遠程訪問(可以代替傳統的VPN)等;2)安全第三方用户訪問:解決特權用户安全訪問問題,實現高價值的應用安全訪問;3)託管服務器的訪問安全:如簡化網絡集成,安全遷移到IaaS雲環境等;4)強化身份認證解決方案:簡化企業合規性控制,防禦DDos攻擊等。
最後,魏小強針對基於零信任的的安全連接技術提出了自己的思考,他認為數字化轉型使得應用和業務流程之間擁有更高水平的連接,大大提高了業務敏捷性,也更容易與客户和業務夥伴聯繫,但是它也帶來的巨大的安全風險和挑戰,基於零信任的安全連接技術將為數字化轉型護航。
“我們都知道連接創造價值,安全護航連接。未來可能對於身份的隱私性要求會越來越高,所以實現對等的連接技術會出現,從某種程度上這種基於區塊鏈的自主主權的一種身份技術,很大程度上會改變目前的身份管理模式。”魏小強説。