喧嚣之外:为什么是“零信任”

  • A+
所属分类:安全闲碎


最近两年安全领域最火的概念非“零信任”莫属。在众多新创企业推出各自“零信任”产品的同时,很多已经上市多年的技术方案和产品也纷纷被再度以“零信任”名义包装推广,甚至有些互联网大厂在循着Google BeyondCorp的足迹将内部系统借着“零信任”的风头推向一般市场,为“零信任”这个安全术语带来可观的“出圈”流量。

如今在谈论“零信任”的时候,追溯历史常常从2010年Forrester分析师John Kindervag提出 “零信任模型(Zero Trust Model)”开始,接着是Google BeyondCorp项目和CSA(Cloud Security Alliance,云安全联盟)的SDP(Software Defined Perimeter,软件定义边界);进行介绍和解读则以NIST(National Institute of Standards and Technology,美国国家标准与技术研究院)的标准文档(SP 800-207, Zero Trust Architecture)或某些热门的概括为基础。

然而,很多人在通过上述介绍初步了解“零信任”概念,乃至进一步研究一些技术和产品方案之后,会有种“不过如此”的感觉。毕竟, EIG(Enhanced Identity Governance,增强的身份治理)/IAM(Identity and Access Management,身份识别与访问管理)、MSG(microsegmentation,微隔离)和SDP这三种被宣称为“实现零信任的三大技术路径”对于有安全相关技术背景的人来说并不是多么新鲜的事情,甚至可以说分别就是传统4A(Authentication/认证、Account/账号、Authorization/授权、Audit/审计)系统——国外类似系统一般称为AAA(Authentication, Authorization and Accounting)、防火墙和VPN/网关技术的扩展。这样的“零信任”自然远称不上有多大的革命性。

那么,“零信任”到底是怎么回事,会不会是另一个概念多于实质的市场术语呢?我的看法是,虽然以NIST SP 800-207为代表的官方文档已经对“零信任”做出正式的定义和解释、几乎所有主要安全企业都已经标榜有“零信任”相关产品,甚至美国国防部都在系统性地强调“零信任”是未来网络安全架构的基础,但是目前我们对“零信任”的理解还在初级阶段,超越当前市面上各种“零信任”解决方案的革命性技术和产品将会出现并迅速成为主流,进而从根本上改变当前的网络安全态势、IT基础架构,乃至各种组织的形态及运行方式。

基于个人过去十多年的亲身经历和认知,让我们从“零信任”之前的网络安全市场和技术的发展态势说起,聊聊“所以然”。

1.Signature is dead, long live signature.
在大概2013年之前,网络安全防御手段以各种基于特征(signature)的技术为主。从反病毒(anti-virus)到入侵检测(intrusion detection),从网址过滤(url filtering)到反垃圾邮件(anti-spam),都广泛使用各种特征库。在各种相关安全产品中,一方面抓取和分析业务流量/内容然后使用特征库进行比对以发现可疑的渗透、攻击或破坏,另一方面需要持续更新特征库以保证安全检测的有效性。在很长的时间里,更大规模的特征库和更快的更新速度成为各安全厂商之间竞争和市场宣传的核心内容。

但是,这类基于特征的(signature-based)安全技术的缺陷越来越明显。对特征库的使用,核心是模式匹配,而随着特征库规模的扩大,模式匹配模块运行时所占用的内存资源和完成模式匹配运算所需要的时间都将迅速扩大——特征库规模线性增长,而模式匹配模块的资源和时间消耗将呈指数增长,最终导致系统无法持续高效运行。早在2006年前后,为了研发IDS(Intrusion Detection System,入侵检测系统)/IPS(Intrusion Protection System,入侵防御系统)加速芯片,我当时所在公司( Hifn)就已经对此进行了深入研究并最终放弃该项目。

与此同时,提高特征库规模和更新速度对于安全防护的边际效应也越来越差。一方面,特征库中的绝大多数特征值都不会被命中,甚至有大量特征值在加入特征库之后从未被命中过,持续对特征库进行匹配除了消耗大量资源并不能带来明确的好处;另一方面,各种恶意内容及其变种越来越多,传播速度也越来越快,因而要求完成特征库更新的周期(捕获样本、分析并提取特征、加入特征库、更新到目标产品)也越来越短,安全厂商需要对整个特征库更新基础设施(包括特征生成的基础设施和目标产品获得更新的基础设施)进行持续巨量投入。

更严重的是,越来越多的恶意软件(malware,各种有害软件的总称,包括传统的病毒、木马、间谍软件等)已经无法通过模式匹配技术识别出来。恶意软件开发者使用各种加密(encryption)和混淆(obfuscation)技术,使得恶意软件在投递和复制的时候自动发生变化,导致安全厂商无法提取可靠的特征值。

2013年左右,特别是在FireEye的推动下,“基于特征的恶意软件检测方案没有未来(signature is dead,特征值已死)”基本成为行业共识,而异常检测(anomaly detection)成为关注的焦点和希望所在。以FireEye方案为代表的恶意软件(malware)检测技术不再依赖特征库,而是在沙盒(sandbox)中执行可疑内容,然后根据可疑内容的实际行为做出判断。

不过,人们很快意识到,这种检测异常行为的做法虽然比传统模式匹配技术更有效,但其中核心的异常行为判定规则实际上也是一种特征值。而且,由于客户普遍缺乏足够的安全分析技能,无法主动配置和优化异常判定规则,还是只能由安全厂商提供和维护。因此,在模式匹配技术下建立的特征库维护体系得以进一步发展,并逐渐发展成为全面的威胁情报(threat intelligence)业务,为各种防护和响应类安全技术方案提供支撑。

在以攻防为基本逻辑的传统防御体系下,面对不断发展的攻击,情报种类不断扩展,情报库规模快速增大,情报的准确性和时效性要求持续提高。虽然情报的使用越来越复杂,运行效率越来越低,维持情报更新和应用的成本越来越高,但传统防御思路下并没有其他选择,只能在既有路线上引入缓存、云、AI等技术进行有限的优化,勉强缓解问题。

Long live signature(特征值长存)。

2.故事还有另一面
尽管前述基于特征的安全技术的各种缺陷对于以威胁情报为基础的防护和响应体仍然适用,而随着攻击的复杂化,实际环境中各种问题甚至还在持续恶化。不过,至少逻辑上攻防之间还维持着“兵来将挡,水来土掩”的均衡,但同样是在2013/2014年左右发生的两件事情让人们不得不重新审视一切。

一是APT(Advanced Persistent Threat,高级持续威胁)。APT让人们深刻意识到,攻击不是众多单个的事件,而是经过精心策划、布局和执行的结果,而且攻击方所具有的能力和能调用的各种资源可能超过防守方。于是基于对一系列APT案例的追溯、还原和分析,人们建立了以杀伤链(kill-chain)和MTT&CK为代表的认知体系和技术手段,以期能够系统性地分析、认识和防御攻击行为。

可是,即便如此,整体防护效果并不能让人满意。攻击者可以长期准备,从容潜伏和渗透,然后发起致命一击;而防守方只能长期保持高度紧张,持续投入海量专业人员、设备和资金,不放过一丝蛛丝马迹,最终将疲于应对各种大小问题和误报,而无法及时识别和消除真正的威胁。

一是斯诺登。“斯诺登事件”把“内部人威胁(Insider Threat)”推到了所有人的视线中央,其广泛而深远的影响使人们不得不重新审视既有的各种安全技术、方案乃至基本策略。“内部人威胁”对于信息安全专家来说并不陌生,但往往只是被作为强化日常管理的一部分,因为基于传统的网络安全范式,内部意味着可信,因而不会从整体网络安全解决方案的角度对“内部人威胁”加以考虑,也没有提供足够的技术手段进行防范。

于是,最迟到2016年,业界就已经基本达成共识:被入侵是不可避免的,只能努力发现和补救,缩短攻击者的驻留时间(dwell time)。特别是当APT和 “内部人威胁”叠加的时候,人们终于开始普遍怀疑、挑战乃至否定原有的网络安全体系,寻求从根本上解决问题的新思路。

3.云和移动的挑战
在网络安全技术发展的同时,人们发现整体的网络环境和业务运行方式也在发生深刻的变化。一边是各种云服务被广泛使用,使得业务资源(从基础设施到应用服务)不再局限在组织“内部”,难以使用传统手段进行管理和保护;另一边是用户在工作中普遍使用智能移动终端(而且常常是自有设备),而这些无法被严格管理的“外部”设备常常会成为黑客攻击和数据泄露的突破口。与此同时,越来越多的业务基于跨组织合作而构建,不同来源不同身份的人员参与共同的项目,用户也不再局限在固定的办公室位置。

从传统网络安全技术的视角看,“云化”和“移动化”所带来的变化和挑战首先表现为数据流不可控。传统条件下,除了对资源的完全掌控,IT和安全部门还能够通过内部网络基础设施(交换机、路由器和网关等)获取从用户终端到目标资源的数据流向和具体内容,并进行有效的管理、监控和审计;而现今条件下,企业和组织不拥有各种云服务的底层基础设施,在终端设备通过移动通信网络访问时也难以介入对数据流进行管理。另一方面,应用服务对网络通信加密并严格防范“中间人攻击”已经成为主流,在网络基础设施层面已经无法有效获取具体数据内容,因而也难以有效防止数据泄露。

于是人们纷纷把目光投向终端设备,希望通过加强对终端设备的管理实现业务管控和数据安全。通过在终端设备上安装客户端软件或进行侵入式配置,可以将业务应用的数据流进行重定向,从而进行实现对业务的管理、监控和审计,也能够部署“中间人”机制对数据流的内容进行分析和控制。

然而,在新条件下,终端也不可控。传统办公环境中绝大部份用户终端设备都是固定型号和配置的Windows台式机,统一购买或租赁而来,日常需要进行的管理和维护都比较明确,IT和安全部门可以利用域控和组策略等成熟机制完成。而且,终端设备因工作目的而配备,归企业或组织所有,能够限制用户的使用权限,并通过各种技术手段进行全面的监控和审计,且无须担心隐私问题。

随着“移动化”的发展,传统安全管理和防御的基础都不复存在:终端设备型号多样,来自不同厂商,使用各种不同的操作系统,而且设备常常归个人所有,无法有效管控。于是,尽管以MDM/EMM为代表的各种终端管理方案已经发展多年,但都只能用于特定条件下的被管理设备(managed device),而无法解决通用环境下的适配、兼容性、更新、权限和隐私等各种问题,且需要企业和组织持续投入海量资源,承担巨大的日常维护成本。

4.“零信任”带来的希望
在传统网络安全技术面对新的业务环境捉襟见肘的现实下,人们在沿着传统思路不断进行优化的同时,也在寻求、拓展和开创新思路。

2010年9月Forrester Research分析师John Kindervag发表“零信任”系列报告,提出在网络基础架构层面打破传统信任关系,相关技术方案后来主要发展为网络结构的“微隔离”技术;2014年4月CSA发布SDP,并作为一种重要的云安全架构推广;2014年底Google BeyondCorp项目被正式披露,展示了Google内部的新型访问控制实践(IAM),迅速引起了大量关注和跟进,成立于2015年5月的ScaleFT(2018年7月被Okta收购)即明确表示其将提供类Google BeyondCorp的解决方案。在2018-2019年间,这三种分别关注不同场景的技术路线被统一在“零信任”名下,成为网络安全的新潮流,并最终通过NIST SP 800-207(2019年09月23日发布初稿,2020年02月13日发布第二稿,2020年08月11日发布正式版)对“零信任架构”进行了系统性的描述,并介绍了已有的基本技术路径和应用场景。

不同于构筑堡垒防线、努力将攻击者拒之门外的传统网络安全建设思路,而“零信任”是一种以“攻击者已经在环境中存在”为出发点、以用户和资源为核心、在整个业务流程中拒绝隐式信任(implicit trust)的新范式(paradigm)。基于“零信任”的新范式,网络安全建设将不再是被动应对各种可能的攻击,不需要为了“抵御可能的攻击”而持续投入海量资源跟踪最新的攻击技术手段并部署相应措施。同时,彻底拒绝对“内部人”(包括各种终端、设备和应用等各种“实体”)的隐式信任可以有效消除“内部人威胁”,而能从根本上破坏APT的执行链条和所使用的各种渗透手段。

在更普遍意义上,个人认为“零信任”首先是推动网络安全建设“以业务为中心”。“零信任”的核心是访问控制,而拒绝“隐式信任”和细粒度动态策略的基础都是贴近并深入理解业务。在“零信任”架构下安全将不再位于业务发展的对立面,而是从业务出发,以保障业务为目标,并有望实现对业务的解放和为业务赋能。

另一方面,“零信任”顺应IT基础设施建设从“以网络为中心”到“以业务为中心”的发展趋势,并将成为其中的核心组成部分。“零信任”被广泛关注的根本原因是在“云化”和“移动化”——或者说更广的“数字化转型”(Digital Transformation)——的浪潮下,业务发展和安全威胁都已经突破了传统技术方案所依赖的特定物理及相应的网络结构和边界,因而必须在无边界(borderless)且快速变化的业务运行模式下建立并实践相应的安全理念。

进一步的,随着“零信任”的推广和深入,我们将能看到IT基础设施整体架构的“再中心化”,即基本逻辑结构从当前的树形网状发展成星形分布式,以适应新形势下的业务发展。如果以更长期的眼光看,随着资源和用户的彻底“云化”、“移动化”,“零信任”甚至能够从根本上改变业务的组织形式,乃至组织架构本身。



文章来源:SupraAXES



点击下方卡片关注我们,
带你一起读懂网络安全 ↓


本文始发于微信公众号(互联网安全内参):喧嚣之外:为什么是“零信任”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: