零信任落地实践方案探讨

admin 2022年5月10日16:33:04评论98 views字数 3538阅读11分47秒阅读模式
零信任概念的提出,彻底颠覆了原来基于边界安全的防护模型,近年来受到了国内外网络安全业界的追捧。
所谓零信任顾名思义就是“从不信任”,那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型,而向零信任安全模型进行转变呢?零信任是企业安全建设中必须经历的安全防护体系技术革新,但它必然要经历一个长期探索实践的过程。

一、零信任的主要安全模型分析

云计算和大数据时代,网络安全边界泛化,内外部威胁越来越大,传统的边界安全架构难以应对,零信任安全架构应运而生。作为企业,该如何选择“零信任”安全解决方案,为企业解决目前面临的安全风险?
目前“零信任”安全模型较成熟的包括安全访问服务边缘(SASE)模型和零信任边缘(ZTE)模型等。以这两种模型为例,首先要先了解目前模型的区别,探讨各自的发展趋势,再选择适合企业的落地实施方案。
对 SASE 模型,身份驱动、云架构、支撑所有边缘以及网络服务提供点(PoP)分布是其主要特征。SASE 模型扩展了身份的定义,将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等,这些要素都被归纳成了身份,所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同,SASE 不会强制将流量回传到数据中心进行检索,而是将检查引擎带到附近的 PoP 点,客户端将网络流量发到 PoP 点进行检查,并转发到互联网或骨干网转发到其他 SASE 客户端,从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务(SECaaS),即提供所有云服务特有的功能,实现最大效率、方便地适应业务需求,并将所有功能都放置在 PoP 点上。
SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本,整合供应商和厂家的资源,为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构,减少 IT 团队管理及运维安全产品的数量,降低后期运维的复杂性,极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程,并对未授权的数据进行保护。
SASE 模型强调网络和安全紧耦合,网络和安全同步建设,为正在准备搭建安全体系的企业提供了较为理想的路径。反之,已经搭建或正在搭建安全体系过程中的企业,如果要重构企业网络结构,是个极大的挑战,也是一笔不小的投入。所以,SASE 模型可能更适用于面对终端用户的零售行业,为这类企业提供完整的安全服务,不需要企业在每一个分支节点上搭建一整套安全体系,便于统一管理并降低建设成本。
ZTE 模型的重点在零信任。一是数据中心零信任,即资源访问的零信任,二是边缘零信任,即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块,本质上是一个概念。ZTE 模型强调网络和安全解耦,先解决远程访问问题,再解决网络架构重构问题。

二、华润医药商业集团零信任的实践

华润医药商业集团有限公司(以下简称“公司”)作为华润下属的大型医药流通企业,在全国分布百余家分子公司,近千家药店,日常业务经营都离不开信息化基础支撑,所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求,完善网络安全防护能力,公司同样十分重视网络安全建设,目前同国内主流安全厂商合作,建立了以态势感知为核心,贯穿边界与终端的纵深防御体系,并通过连续两年参与攻防演练,不断提升网络安全人员专业水平,通过攻防实战进一步优化网络安全建设。
但公司在涉及云计算、大数据、物联网等技术领域时,现有的网络边界泛化给企业带来的安全风险不可控,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施,而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。
公司选择了 SASE(安全访问服务边缘)和ZTE(零信任边缘)两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。
公司分支企业众多,几乎覆盖全国范围,存在安全管控难、处置难、安全性低、资源灵活性差等问题,并缺少整体统一的长效运营机制。基于以上问题,公司参考了 SASE 模型的解决方案,将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案,由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构,而是分为三类情况使用不同的方案。
第一类是改变网络安全管理方式,主要针对区域公司。由于大部分区域公司已经搭建了相对成熟的安全体系,只将原有的传统广域网链路改为就近接入运营商 PoP 点,并将原有的双线冗余线路的备用线路使用软件定义广域网(SD-WAN)技术进行替换,并通过服务质量(QoS)机制将主营业务与办公业务进行合理切分,大大提高了网络使用效率,降低费用成本,并且可以通过统一的管理平台对广域网进行管理,统一下发配置安全策略,提高整体安全管控和处置。
第二类是逐层汇聚、分层管理,主要针对二、三级分支机构。这类单位安全体系虽已建设,但还未达到较高的程度,通过就近接入 PoP 点或汇聚到区域公司,由运营商提供部分安全服务或由区域公司进行统一管控。
第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。使用 SD-WAN 安全接入方案就近接入 PoP 点,由运营商提供整体的安全服务,从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整,提供全面、一致的安全服务 , 同时降低整体安全建设成本,提高工作效率。
近两年,公司办公受新冠疫情的影响,员工居家办公成为常态化。作为虚拟专用网络(VPN)产品的使用“大户”,公司原有的 VPN 账户众多 ,传统 VPN 在使用过程中已经难以满足当前业务的需求,一些问题逐渐暴露,经常出现不同程度的安全风险。传统 VPN 架构存在很多问题,如权限基于角色固定分配,不够灵活,在业务生成中及重保等特殊时期,粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网,本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 VPN 业务运维,涉及下级单位 VPN 问题均需要总部人员处理,诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 VPN 客户端的兼容性不同,兼容性问题也是经常被员工吐槽的地方。在 VPN 使用中,基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。
为此,公司参考了 ZTE 模型的解决方案,首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点,以零信任理念为指导,结合深信服软件定义边界(SDP)架构的零信任产品,构建了覆盖全国办公人员的零信任远程办公平台。
SDP 架构的零信任产品,对访问连接进行先认证、再连接,拒绝一切非法连接请求,有效缩小暴露面,避免业务被扫描探测以及应用层分布式拒绝服务攻击(DDoS)。通过单包认证(SPA)授权安全机制实现业务隐身、服务隐身,保护办公业务及设备自身。对于没有安装专有客户端的电脑,服务器不会响应来自任何客户端的任何连接,无法打开认证界面及无法访问任何接口。具备自适应身份认证策略,异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时,零信任平台强制要求用户进行二次认证、应用增强认证,确保用户身份的可靠性。
零信任的试点应用,提升了公司的网络安全性,简化了运维。但基于公司现状及规划,试点工作还需进一步同厂商进行下一步的工作落地和探索。在使用体验优化方面,由于 SDP 架构的数据转发链更多,零信任与 VPN 使用流畅度上差异不大,在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版(IPV6),依据相关政策要求,需要进行 IPV6 业务改造,通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯,将零信任产品进一步同公司现有办公平台进行对接,实现身份、业务的统一管理,实现单点登录。公司零信任安全体系建设的下一步工作,是将公司现有安全体系建设进一步与零信任产品体系打通,实现数据互通,进一步提高管理信息化中的安全可靠性。

三、结语

零信任安全架构对传统的边界安全架构模式重新进行了评估和审视,并对安全架构给出了新的建设思路。但零信任不是某一个产品,而是一种新的安全架构理念,在具体实践上,不是仅在企业网络边界上进行访问控制,而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制,从而真正实现“从不信任,始终验证”。


原文来源:CCIA数据安全工作委员会
“投稿联系方式:孙中豪 010-82992251   [email protected]
零信任落地实践方案探讨

原文始发于微信公众号(关键基础设施安全应急响应中心):零信任落地实践方案探讨

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日16:33:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   零信任落地实践方案探讨https://cn-sec.com/archives/995070.html

发表评论

匿名网友 填写信息