零信任和保护云安全
揭秘云环境中的零信任机会
虽然零信任是一个经常被误解和误用的术语,但它在协助降低系统化网络风险和改善抗风险能力 方面具有真正的价值。
各种规模的企业都深知,他们需要制定一个适应能力强的网络安全战略,从而即使发生危机时, 也能为业务提供支持和助力。但是当谈到零信任时,大多数企业都对此感到费解,也很难找到合 适的切入点。
迁移到云为企业接触零信任架构提供了全新的机会。
那么什么是零信任,什么不是零信任?
一些供应商声称,零信任的全部意义在于进行身份和访问管理。也就是说,企业如何支持授权用户访问资源。虽然 这是零信任的基石,但它只是更大战略的一个组成部分,该战略考虑了企业运营在身份、基础架构、产品、流程和 供应链方面面临的所有风险。
您会从每个安全专业人士的口中听到,对技术架构和网络持信任态度从来都不是明智的选择。连接到您的数据中心 网络的受信任网络可能会受到威胁,端点遭到黑客攻击,拿到“通往王国的钥匙”的受信任用户求助于内部人员, 受信任的操作系统进程被特洛伊木马劫持,受信任的文件被恶意攻击等等。
因此,零信任提供了一种消除技术实体之间所有隐含信任的战略方法。简而言之:它不仅要求在俱乐部入口处部署 保镖,而且还要在俱乐部和车库内部署保镖,并聘请一些保镖在俱乐部外护送客户。等等,零信任有那么简单吗? 它是否只是对更高安全性的一种呼吁?
老实说,企业面临的关键问题从来都不是他们是否应该接纳零信任,而是零信任为什么会奏效,以及考虑到费用高 昂且人们对做出改变的意愿不大,他们应该从何处入手。
针对黑天鹅的零信任
根据我的经验,成功接纳零信任的企业首先会将其计划重点放在风险管理上。我在一家大型金融服务机构工作了十 多年,对风险管理有很深刻的了解。我尤其知道,有时很小的事件可能会对整个企业甚至整个行业造成损害。
这种系统化事件(又称黑天鹅)最近在我们的网络安全虚拟世界里也变得非常普遍。勒索软件和供应链事件或许是 我们在日常新闻中看到的那些风险的最显著表现。这些风险是零信任计划的重点关注对象。
纵观这种技术系统性风险的根本原因,它们可分为几种不同的类型,最坏的情况下可包含所有类型:
- 单一故障点。其中包括将您的技术堆栈组合在一起的核心基础架构组件。不安全或架构不当的 Active Directory、WebSSO 或 DNS 基础架构会迅速转变成一场噩梦。
- 过时的单一软件培育文化。 没有定期修复企业采用率高的操作系统、固件和软件。单个漏洞可能导致遭受灾难性 的勒索软件攻击或面临蓄意破坏风险。
- 扁平网络效应。 没有跨 IT(想想所有非托管设备)、OT 和 IoT 的适当分段或网络控制的企业。成为每个入侵者或病毒/勒索软件的易捕获猎物。
零信任金字塔
继承了这些系统化风险组合的传统公司通常基于两个构件块启动其零信任计划:协调其身份和访问管理堆栈以及协 调其连接环境。这为解决其他系统性风险(例如,固件单一化、应用等)的额外零信任构件块奠定了基础。
平台在零信任中的作用
如果要我解释网络安全抗风险能力,我会这么表述:打造具有抗风险能力的企业需要让安全形成系统,而不是将其 作为组件目标。例如,不要将所有注意力都放在测试沙盒控制的有效性上。相反,应优先考虑如何将您的沙盒与企 业中的其他安全控制集成。或者,如果在同一个网络中将此应用连接到价值百万美元的物联网设备并在服务器上运 行一些额外的公开服务,则不需要花费数百万美元对最关键的应用进行渗透测试。
在一个分散且碎片化的世界中,工作负载和身份存在于互联网的某个位置,如果不协调运营安全所需的一些核心功 能,将很难确保这种系统化的网络安全:
- 通用的身份和策略堆栈。
- 对可操作威胁的共识。
- 一种用于在整个系统中实施您的策略和威胁信息的通用协议/控制。
解释这个问题的另一种方式是采用 Phil Venables 在其最近的一篇博客中提供的方法。他写道:“在许多企业中, 最成功的企业安全技术之一是创建一个适用于任何位置的通用控制基准,然后通过降低控制的单位成本(现有成本 和新成本)从经济方面提高该基准。”
他在博客中以汽车行业为例,建议可将从赛车到每个人的家庭用车的安全功能商品化复制到网络安全中。事实上, 网络安全和连接就是一个很好的例子。
过去网络安全的运作方式是企业内部的一切都是可信的,而外部的一切都是不可信的,安全防护仅应用于企业的边 界。该模型不再适用于远程办公人员、云、边缘和移动访问要求。
如今,所有这些环境都直接与互联网相连。然而,它们甚至不具备最基本的控制,例如分段或入侵检测。原因是测 试或部署单独的控制和策略会提高成本,使得企业负担不起大多数网络安全控制费用。
这就是为什么随着时间的推移,网络安全平台正在成为部署零信任战略的最佳策略的原因,也是大多数网络安全计 划的经济差异化因素。
接触零信任的云机遇
更换旧的连接或安全堆栈是一件大事,如果不是由您的云和远程工作人员计划触发的话,有时需要一个强力的(勒 索软件)推动才能实现,但是您可以抓住新的机遇来接触零信任计划,千万不要忽视或浪费此良机!
随着企业越来越多地将工作负载、应用和用户迁移到云并采用 DevOps,现在是从头开始而不是事后搭建安全架构 的最佳时机。在这种情况下,系统化的方法要求您除了考虑生产环境的安全性之外,还要考虑 CI/CD 管道的安全 性以及在管道中尽早集成安全控制。让我们使用零信任语言制定一些问题,如果您非常重视 DevOps 和云环境中 的安全,则应在工作手册中展示这些问题:
- 您是否相信软件工程师的设备不会受到损害?
- 您是否相信代码存储库不会受到损害?
- 您是否信任开发和部署流程中的代码完整性?
- 您是否信任第三方基础架构即代码 (IaC) 模板或 Docker 容器?请注意,上述问题中平均有一半的情况存在与之 相关的严重漏洞。
- 您项目中使用的其他软件应用依赖关系如何?
- 您是否相信系统会为您的身份分配正确的特权?
- 您是否相信系统会检查您代码的安全性或错误配置情况,例如硬编码凭据、过度特权网络设置等?
- 您是否相信您的微服务编排器不会受到损害等?
还有许多其他问题需要解决,但问题在于 DevOps 环境中的系统性风险在纵向和横向上都在增加。纵向来看,与 更传统的环境相比,需要考虑的风险更多。横向来看,单个受感染包的影响可能是巨大的,如 SolarWinds 等众多 案例所示。
不要浪费在 DevOps 和云之旅开始时建立零信任的机会。
