400-099-0376

在线试用
微信扫码联系专属客服
安企神软件官网
首页
下载中心
客户列表
关于安企神

零信任 (我们真的能相信零信任吗?)

本文简介:本文主要为大家整理了 “零信任” 相关的内容,主要有 我们真的能相信零信任吗?, 边界安全与零信任:是时候采取行动, 零信任对 Kubernetes 意味着什么, 以一体化零信任方案构建新信任体系, 全球主流零信任厂商的产品化实践与观察, 等内容,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。

1、我们真的能相信零信任吗?

企业很容易被感染,但问题在于如何找到解决方案。大多数企业都受到了类似的攻击,通过勒索软件尝试,最初通过网络钓鱼进行访问。

我们真的能相信零信任吗?(图1)

随着网络攻击的不断演变,变得更加普遍和复杂,企业正在寻找一种基于身份的网络安全新方法。这些策略和解决方案旨在保护企业内的所有人和机器,并用于检测和防止身份驱动的违规行为。

企业很容易被感染,但问题在于如何找到解决方案。大多数企业都受到了类似的攻击,通过勒索软件尝试,最初通过网络钓鱼进行访问。如果钓鱼电子邮件看起来像是来自一个受信任的来源,而且没有使用电子邮件网关进行保护,那么黑客就更容易入侵。

评估企业的安全态势

在攻击发生之前,企业往往不知道攻击的影响会是什么。如果企业得不到保护,并且确实发生了攻击,那么要克服攻击所造成的损失,他们将付出巨大的声誉和金钱代价。

终端用户也有责任保护他们的电子邮件和设备。为了做到这一点,企业必须投资于安全意识培训项目,但他们必须意识到,参与者在早期阶段需要取得很大进展。当制定新的安全策略以支持员工理解他们为什么需要这种级别的保护以及如何检测钓鱼邮件时,尤其如此。

没有一种安保措施是完美的。随着每一次新的软件更新,它都能找出企业安保状态中的问题,勾勒出威胁行为者进入企业的入口。即使企业确实更新了补丁来修复软件bug,他们也希望在实施之前进行测试。这意味着企业总是比更完整的安全态势落后至少一步。对于企业来说,这导致了一个安全缺口,允许威胁行为者进入企业。

零信任不仅仅是一个流行词吗?

零信任的方法并不新鲜。许多企业已经实施了零信任策略来保护他们的信息。零信任是一组基于最小权限授予访问权限的策略。这意味着员工只能访问他们有权访问的数据,并且如果该用户的行为或操作发生变化,则不允许继续访问该数据。

理论上,零信任应该减少攻击路径,对于IT安全团队来说,零信任可以减少对攻击的监控,因为它突出了异常行为。由于该策略提供了网络的端到端可见性,因此它应该允许it安全团队了解信息在企业内部的正常流动方式。

实施成熟零信任战略的企业数据泄露平均成本比未实施的企业低176万美元。这是因为零信任可以更容易地识别关键资产,并确定应该保护的内容,因此可以识别漏洞,从而消除安全漏洞。

然而,由于威胁行为者的策略不断变化,安全部门面临着时间压力,必须率先在市场上推出新产品。不幸的是,生产最低可行性产品的趋势意味着这些产品可能不像最初希望的那样有效。这就是基于企业所面临风险的稳健安全政策如此重要的原因。

混合工作和零信任

没有正确的解决方案是危险的,特别是在混合和远程工作的时候。

以前,员工在一个网络上访问办公室中的数据,该网络也有防火墙来保护数据。如果员工能够访问该网络,那么他们就能够在内部与其他同事访问并共享文档。在这种情况下,没有数据被过滤到云中或外部。

然而,在新的工作环境下,这意味着公司不需要信任,因为员工在不同的位置访问云。由于员工分散在全国或世界各地,防火墙无法再保护企业。可以实现零信任,以使用身份检查在这些新参数中保护这些网络。

市场上还有其他支持零信任框架的保护措施。为了访问公司的位置或文件,安全访问服务边缘必须连接到中央网络,无论位置在哪。另外,在云端,云访问安全代理可以通过在提供访问之前,建立连接来提供对云应用的访问,从而提高安全性。

平衡安全与风险

网络安全就是要在风险可接受和不可接受之间找到平衡。一旦企业评估了这一点,最好是以货币形式来承担风险,以便了解商业案例,他们就可以开始建立自己的网络安全态势。尽管零信任确实能保护企业,并有助于组织实施,但这并不是企业可以购买的现成产品,并假定它们受到充分保护。

实现零信任需要努力,但也是企业需要利用的解决方案和方法的关键部分,以阻止高度复杂和日益激进的黑客。


2、边界安全与零信任:是时候采取行动

让我们来看看基于边界的安全性与零信任,并探讨为什么企业可能希望在不久的将来迁移到零信任理念。

云计算和边缘计算的日益普及,加上远程劳动力的增加,正在促使安全架构师寻找新方法,以确保基于身份的网络安全。

定义安全边界的传统方法已不再可行,传统方法将“受信任”与“不受信任的”通信区分开来。员工在办公室和防火墙外工作,并且,云服务意味着大量业务流量从未流经企业局域网。

边界安全与零信任:是时候采取行动(图1)

为了应对这种情况,企业可以使用零信任模型进行身份验证和授权,以更好地保护业务关键型数据。零信任理念和工具已经获得发展动力,因为它们更适合运行在无边界的企业环境中。

让我们来看看基于边界的安全性与零信任,并探讨为什么企业可能希望在不久的将来迁移到零信任理念。

什么是基于边界的安全性?

经典的网络设计是基于企业局域网的概念而构建,这种局域网由交换机、路由器和Wi-Fi连接组成。这个局域网包含一个或多个数据中心,这些数据中心容纳应用程序和数据。该LAN构成安全网络边界。

对于具有基于边界安全性的企业,通过INTERNET、VPN和远程站点跨WAN连接访问应用和服务,被视为外部。所有连接到该LAN的内容都被视为“受信任”,而来自边界的设备则“不受信任”。这意味着外部用户必须通过各种安全和识别工具来证明他们是谁。

什么是零信任?

零信任是企业信任的一种理念和方法,其中所有用户、设备和相互通信都被认为不受信任,直到得到验证,然后随着时间的推移不断被重新验证。这种安全模型使用最小特权原则来限制用户或设备可与之通信的内容。如果用户帐户或设备遭到入侵,零信任可显著降低组织内横向移动的风险。

微分段在零信任安全性中起着重要作用,因为网络本身在逻辑上被分割成各种安全区域,直至工作负载级别。这在数据中心中非常有用,其中分布式服务被隔离到安全的网段上,但外部通信严格按照安全策略来执行。

为什么要从基于边界的安全性转向零信任?

基于边界的安全性的最大问题是它本质上是静态的。多年来,应用程序、设备和用户已经迁移到传统的LAN边界之外,因此,从架构的角度来看,这些应用程序、设备和用户都是不可信。

边界安全还存在基本缺陷,即从安全边界内部访问资源的任何人都可以信任。这是糟糕的假设,因为内部威胁与外部威胁一样多,因恶意和疏忽导致的不同类型的内部威胁证明了这一点。

对于基于身份的安全策略来说,在进行身份验证前不信任任何人,并不断重新进行身份验证,这更有意义。零信任方法将所有用户、设备、应用和通信置于同一安全竞争环境中。这样做还可以简化策略创建,提高可见性和集中访问控制。


3、零信任对 Kubernetes 意味着什么

本文很好的解释了什么是零信任、为什么要实施零信任,以及服务网格如何以最小的代码实现零信任。零信任是营销炒作,还是新的机会,各位看官你怎么看?

要点

  • 零信任是一种被大量炒作的安全模型,但尽管存在营销噪音,但它对于具有安全意识的组织具有一些具体而直接的价值。
  • 零信任的核心是,将授权从“在边界验证一次”转变为“随时随地验证”。
  • 为此,零信任要求我们重新思考身份的概念,并摆脱基于位置的身份,例如 IP 地址。
  • Kubernetes 采用者在网络层实现零信任时具有明显的优势,这要归功于基于 Sidecar 的服务网格,它提供无需更改应用程序就可实现的最细粒度的身份验证和授权。
  • 虽然服务网格可以提供帮助,但 Kubernetes 安全性仍然是一个复杂而微妙的话题,需要从多个层次进行了解。

零信任是一种位于现代安全实践前沿的强大的安全模型。这也是一个容易引起轰动和炒作的术语,因此很难消除噪音。那么,究竟什么是零信任,对于 Kubernetes,它究竟意味着什么?在本文中,我们将从工程的角度探讨什么是零信任,并构建一个基本框架来理解它对 Kubernetes 运维和安全团队等的影响。

介绍

如果你正在构建现代云软件,无论是采用 Kubernetes 还是其他软件,可能都听说过“零信任”一词。零信任的安全模式变得如此重要,以至于美国联邦政府已经注意到:白宫最近发布了一份联邦零信任战略的备忘录,要求所有美国联邦机构在年底前满足特定的零信任安全标准。2024财年;国防部创建了[零信任参考架构];美国国家安全局发布了一份Kubernetes 强化指南,专门描述了 Kubernetes 中零信任安全的最佳实践。

随着这种噪音,零信任无疑吸引了很多营销关注。但尽管有噪音,零信任不仅仅是一个空洞的术语——它代表了对未来安全的一些深刻和变革性的想法。那么具体来说,什么是零信任,为什么它突然变得如此重要?零信任对 Kubernetes 用户意味着什么?

什么是零信任?

正如所料,零信任从根本上讲是关于信任。它是解决安全核心问题之一的模型:是否允许 X 访问 Y?换句话说,我们是否相信 X 可以访问 Y?

当然,零信任中的“零”有点夸张。要使软件正常工作,显然某些东西需要信任其他东西。因此,零信任并不是完全消除信任,而是将信任降低到最低限度(众所周知的最小特权原则)并确保它在每一点都得到执行。

这听起来像是常识。但与技术中的许多新想法一样,理解零信任的最佳方法是了解它的反应。零信任摒弃了边界安全的观点。在边界安全模型中,在敏感组件周围实施“装甲”。例如,数据中心周围可能有一个防火墙,其任务是阻止问题流量和参与者进入。这种模型,有时被称为城堡策略,具有直观的意义:城堡的墙壁是为了将坏人拒之门外。如果你在城堡里,那么根据定义,你就是一个好人。

零信任模型表明,边界安全已经不足。根据零信任原则,即使在安全边界内,仍必须将用户、系统和网络流量视为不受信任。国防部的参考架构很好地总结了这一点:

“在安全边界之外或之内运行的任何参与者、系统、网络或服务都是不可信的。相反,我们必须验证任何试图建立访问权限的事物。从边界验证一次到对每个用户、设备、应用程序和交易的持续验证,这是我们如何保护基础设施、网络和数据的哲学的巨大范式转变。”

当然,零信任并不意味着抛弃防火墙——纵深防御是任何安全策略的重要组成部分。这也不意味着我们可以忽略所有其他重要的安全组件,例如事件记录和供应链管理。零信任只要求我们将信任检查从“一次在边界”转移到“每次,无处不在”。

然而,为了正确地做到这一点,我们需要重新考虑一些关于“信任”意味着什么以及我们如何捕捉它的基本假设。

身份

零信任最直接的影响之一是它改变了我们思考和分配身份的方式,尤其是系统身份。

在边界模型中,位置实际上就是身份。如果在防火墙内,那么是可信的;如果你在它之外,就不是。因此,基于边界的系统可以允许基于客户端 IP 地址等信息访问敏感系统。

在零信任世界中,这已经不够了。IP 地址仅用于指示位置,因此不再足以确定是否可以访问特定资源。相反,我们需要另一种形式的身份:以某种内在方式与工作负载、用户或系统相关联。而且这种身份需要以某种方式进行验证,而这种方式本身并不需要信任网络。

这是一个具有丰富含义的大要求。提供网络安全但依赖于 IP 地址等网络标识符(如 IPSec 或 Wireguard)的系统不足以实现零信任。

策略

有了新的身份模型,我们现在需要一种方法来捕获每个身份的访问类型。在上面的边界方案中,通常授予一系列 IP 地址对敏感资源的完全访问权限。例如,我们可能会设置 IP 地址过滤,以确保仅允许防火墙内的 IP 地址访问敏感服务。在零信任的情况下,我们反而需要执行必要的最低访问级别。基于身份以及任何其他相关因素,应尽可能限制对资源的访问。

虽然我们的应用程序代码可以自己做出这些授权决策,但我们通常会使用在应用程序之外指定的某种形式的策略来捕获它。拥有明确的策略允许我们在不修改应用程序代码的情况下审核和更改访问权限。

为了实现我们的零信任目标,这些策略可能非常复杂。我们可能有一个策略,它将对服务的访问限制为只有那些需要访问它的服务调用方(即,在双方都使用工作负载身份)。我们可能会进一步细化,只允许访问该服务上的某些接口(HTTP 路由、gRPC 方法)。更进一步,根据请求的用户身份限制访问。在所有情况下,目标都是最低权限——只有在非常必要时才能访问系统和数据。

执行

最后,零信任要求我们在最细粒度的级别上同时执行身份验证(确认身份)和授权(验证策略是否允许该操作)。每个授予数据或计算访问权限的系统都应该设置从外围到单个组件的安全边界。

与策略类似,这种执行理想情况下是在整个堆栈中统一完成的。不是每个组件都使用自己的自定义执行代码,而是使用统一的执行层,统一之后方便审计,并将应用程序开发人员的关注点与运营和安全团队的关注点分离。

Kubernetes 零信任

我们必须从第一原则重新思考身份,以任意表达性策略的形式来将信任具象化,并将新的执行机制渗透到基础设施的各个层面。面对这些的要求,我们不可避免地经历短暂的恐慌。前面是不是提到需要在 2024 财年之前实现?

好消息是,至少对于 Kubernetes 用户来说,采用零信任的某些方面要容易得多。尽管有缺陷和复杂性,Kubernetes 是一个具有明确范围、定义良好的安全模型和明确的扩展机制的平台。这使其成为零信任实施的成功领域。

在 Kubernetes 中解决零信任网络的最直接方法之一是使用服务网格。服务网格利用了 Kubernetes 强大的“sidecar”概念,其中平台容器(译者注:此处指 sidecar 代理容器)可以在部署时以后期绑定操作功能的形式,与应用程序容器动态注入到一起,。

服务网格使用这种 sidecar 方法在运行时将代理添加到应用程序 pod 中,并连接这些代理以处理所有传入和传出流量。这允许服务网格以与应用程序代码解耦的方式交付功能。应用程序和平台之间的关注点分离是服务网格主张的核心价值:当然,这些功能可以直接在应用程序中实现,但是通过解耦,我们允许安全团队和开发人员相互独立地迭代,同时仍然努力实现安全但功能齐全的应用程序的共同目标。

由于服务网格处理进出应用程序之间的默认网络,因此它可以很好地处理零信任问题:

  1. 工作负载身份可以从 Kubernetes 中的 pod 身份而不是其 IP 地址中获取。
  2. 可以通过在双向 TLS 中包装连接来执行身份验证,这是 TLS 的一种变体,其使用加密信息在连接的两端进行验证。
  3. 授权策略可以用 Kubernetes 术语表示,例如,通过自定义资源定义 (CRD),明确策略并并与应用程序解耦。
  4. 最重要的是,策略在跨技术栈的单个 pod 级别统一执行。每个 pod 都有自己的身份验证和授权,这意味着网络永远不受信任。

所有这些共同实现了我们的大部分零信任目标(至少对于 Kubernetes 集群而言!)。我们使用工作负载身份而不是网络身份;在最细粒度级别(pod)上执行,以及在技术栈中以一致且统一的方式应用身份验证和授权的,而无需更改应用程序。

在基本框架内,不同的服务网格实现提供了不同的权衡。例如, Linkerd[5]是一个开源、Cloud Native Computing Foundation[6] 毕业的服务网格项目,它提供了一个以简单性为目标和重点的实现,直接从 Kubernetes ServiceAccounts 提取工作负载标识来达到“零配置”,默认开启双向 TLS。同样,Linkerd 的基于 Rust 的微代理提供了一个极简的零信任实现。

图片

当然,仅仅在集群中添加一个服务网格并不是万能的。安装后,必须完成定义、更新和评估授权策略的工作。集群运维人员必须小心确保所有新创建的 pod 都与它们的 sidecar 组件配对。当然,服务网格本身必须像集群上的任何软件一样进行维护、监控和迭代。然而,不管是不是灵丹妙药,服务网格确实提供了从集群中默认的未加密、未经身份验证的流量转变为具有强大工作负载身份和丰富授权系统的默认加密、经过身份验证的流量——这是朝着零信任迈出的一大步。

总结

零信任是一种强大的安全模型,处于现代安全实践的前沿。如果可以消除围绕它的营销噪音,那么采用零信任有一些深刻而重要的好处。虽然零信任需要对身份等核心理念进行一些根本性的改变,但如果 Kubernetes 用户能够采用服务网格并从纯粹基于边界的网络安全转变为“对每个用户、设备、应用程序和交易的持续验证”,那么他们至少有很大的优势。


4、以一体化零信任方案构建新信任体系

随着数字新时代的到来,云计算、大数据、移动互联网等新兴技术大量被应用,传统的网络安全架构已经不适应数字新时代的发展要求,基于传统物理边界的安全防护模式也在新技术的应用潮流下面临更多挑战。在此背景下,零信任架构安全理念顺势而生,用以解决传统边界安全防护方式无法解决的新风险。

为了满足企业用户在新形势下的安全防护需求,派拉软件研发推出一体化的零信任产品体系,从以身份为中心的动态访问控制,逐步延伸到联动终端管理、SDP、API网关、用户行为分析等端到端安全能力全面覆盖的零信任安全解决方案,为企业数字化转型稳定发展构建新信任体系。

►►►标签

零信任、软件定义边界、网络准入、身份访问与管理

►►►用户痛点

(1)远程办公访问风险

现有VPN等接入技术仅提供网络级验证,无法对用户的访问行为进行分析和监控,一旦登录就可以自由地在内网和本地之间进行重要数据和内部文件传输,在用户账号泄露或被仿冒情况下极易被黑客非法利用获取重要数据。

(2)身份和访问管理难以统一

随着业务发展,企事业单位的系统与用户数逐渐增多,每个系统都有一套相对独立的账号体系,集团的访问控制无法通过身份进行统一用户、统一认证、统一授权和集中审计。

(3)业务暴露面不断扩大

越来越多的企事业单位选择在互联网侧为客户和员工提供服务,同时也把更多的信息技术资产(IP、端口等)暴露在了黑客的可视范围之内,黑客可以通过资产暴露面发现脆弱点对企业进行恶意攻击。

(4)内部威胁难以防御

很多企事业单位默认内部网络安全可信而忽略了内网的用户威胁,相对企业的边界防护内网的安全建设相对较少,但往往一旦发生内网安全事件就会造成非常大的影响。

(5)传统边界防御模式失效

数据中心或信息系统迁移上云后企业的网络边界逐渐模糊,以数据中心内部和外部简单划分的安全边界已不能满足对企业资产的防护需求,企业面临更多信任危机。

(6)特权账号管理问题突出

云环境和远程运维场景的增加,企事业单位内部经常会出现一个特权账号多人使用的情况,账号一旦泄露或被员工误操作,就为数据的泄漏、勒索病毒的侵入埋下了安全隐患,且访问过程外部无法干预,事件风险难以追溯。

►►►解决方案

派拉一体化零信任体系由身份认证管理中心IAM、零信任客户端、零信任SDP控制器、零信任可信网关、MSG微隔离和其他细粒度访问控制网关等组成,可以实现端到端的访问资源全生命周期的安全交互保障。

以一体化零信任方案构建新信任体系(图1)
图1:派拉一体化零信任体系产品总体架构图

■  方案通过身份认证管理系统IAM构建了“持续评估 动态授权”为目标的风险控制中心,对访问主体和访问行为进行风险分析;

■  SDP控制器负责决策判断,同时解决终端设备先认证后连接与边缘服务的隐藏,免受网络的探测和攻击;

■  可信网关是建立加密隧道服务与动态授权的策略执行点,负责执行和持续监测;

■  MSG微隔离以“最小授权”为原则,对业务或应用进行细粒度精细化权限控制,同时解决服务熔断、负载均衡与访问权限检查,保障每次请求访问网络线路独立,故障与威胁影响面最小化;

■  业务网关主要是结合业务对外提供的访问控制服务与审计能力。

为使组件间能更系统化协同工作,方案中的身份认证中心IAM和微隔离两个关键组件分别映射到对访问主体的信任管理和访问客体授权管理,并通过加强两个组件间的信息交换使访问主体在不同的环境下自动获得与风险匹配的访问权限。

►►►方案特点

通过建设派拉一体化零信任体系,可为企事业单位提供全面、专业、便捷的零信任安全保护,具体成效如下:

(1)实现端到端的安全访问

派拉一体化零信任平台实现从终端、用户、到加密访问通道、身份认证、云资源的授权访问的端到端的安全访问。零信任客户端提供终端安全容器,访问设备进行安全保护,提供安全加密链路对访问进行加密,在访问过程中,不仅对用户进行身份认证,同时也对访问设备进行认证。对应用服务进行访问时,直接参与到应用授权环节,从而保证了从设备到业务全程的安全管理。

(2)实现统一的身份安全管理

派拉一体化零信任平台的身份认证管理中心IAM在统一门户和信息服务平台的基础上,提供统一的用户管理、授权管理、审计管理和用户认证体系,将组织信息、用户信息统一存储,进行集中授权、集中登录和集中身份认证,规范应用系统的用户认证方式,及时响应因用户组织、岗位或状态等因素变化所带来的应用系统管理风险,从而提高应用系统的安全性和用户使用的方便性,实现企事业单位全部应用的单点登录、访问审计、用户权限统计,实现真正意义上的集中化管理,能够满足企事业单位内部和外部审计,以及行业和政府监管的要求,符合客户当前和未来的业务要求和政策法规的要求。

(3)缩小信息资产暴露面

零信任一个重要理念就是先认证后连接,采用网络隐身技术隐藏要访问的资产,必须通过认证才能发起访问连接通信。用户身份验证通过,发起正常的资源应用访问请求,平台通过SPA发送一个加密单数据包至网关,网关接收到单数据包并进行验证,验证通过,打开端口,建立与客户端的连接。验证失败,则直接丢弃数据包,客户端不会收到任何回应。

派拉一体化零信任平台的SDP组件以此方式实现服务端IP和端口的隐藏,使客户端无法直接查看应用,更不让其对资源进行更高权限的操作,从而达到保护信息技术资产的效果。

(4)通过用户行为分析监测内网威胁

派拉一体化零信任平台的UEBA用户行为分析模块通过广泛的数据收集,使用机器学习(ML)、人工智能(AI) 技术,检测用户行为的细微变化,配合专家知识库,发现内部人员潜在的威胁行为,能够有效防止横向攻击、员工违规操作、账号盗用等内部安全问题,同时能为安全事件调查提供。依据UEBA更具洞察力,通过对大数据和机器学习引擎的应用,能够以极高的准确率命中异常事件,在威胁发现速度和准确率方面远快于传统的安全信息和事件管理(SIEM)系统。

(5)重新定义可信的访问边界

派拉一体化零信任平台不再以传统的内外网区分边界,默认内网也不安全,所有的访问都需要经过严格的多因素认证和动态授权,并且在建立信任之前不进行任何数据传输操作。此外还应通过分析、筛选和日志记录等措施来验证所有行为的正确性,并持续观察是否存在代表威胁的信号。

(6)动态授权认证防止数据泄露

派拉一体化零信任平台通过权限模型可管控到应用系统账号的精细化权限,如:菜单、API等。为了持续监控用户操作,平台在授权管理上增加了更细粒度的动态安全管控。平台给用户和被访问资源之间搭建一条动态细粒度“访问通道”。通道建立的访问规则为:只面向被认证、被授权的用户和服务开放,密钥和策略也是动态生成单次使用。这种“临时并单一”的访问控制方式,将私有资源对非法用户完全屏蔽,可显著减少非法数据获取和泄露事件的发生。

(7)特权访问管理排除内部隐患

派拉一体化零信任平台的特权访问管理模块通过对特权账号访问进行生命周期管理,定期自动更新改密,对权限进行分级管理并对高危操作进行二次认证,从访问开始到访问结束的整个过程可进行可视化记录和追溯,并提供特权账号访问全行为审计管理,从严防范“内鬼”破坏事件发生。

►►►方案价值

■  通过派拉一体化零信任平台构建客户零信任身份治理体系,可以有效减少因身份管理不规范带来的信息安全风险、隐私风险以及经营风险;

■  保障客户的网络安全建设符合国家相关法律法规的要求,实现用户及应用系统的统一身份管控,提升了企业组织的IT治理水平;

■  有效解决企事业单位远程办公、系统迁移上云等场景的信任危机;

■  提供一套完整的持续的用户管理规范及运营规范体系,提升信息化平台建设质量及增效降本。

►►►用户反馈

“派拉一体化零信任解决方案,保证了在疫情防控常态化形势下,我机构远程办公各业务的安全需求,通过应用安全容器、零信任SDP接入、统一身份认证与管理等新安全技术,为公司各类办公应用的快速投产和推广,实现有效安全赋能和效率提升,提供了有力支撑,有效降低远程办公过程中的安全风险,为疫情期间的网络安全运营提供了较可靠的保障。”

——来自某大型金融机构用户

“制造业在数据驱动的新模式下,通过构建一体化零信任安全体系,打通全链路的服务触点,通过融合AI智能认证、风险分析、细颗粒度权限管控等技术手段,充分挖掘我司内外部数字价值,提升用户体验和品牌粘度,赋能从研发、设计、生产、制造、销售、售后全链路的数字化转型,满足上百万C端、B端用户身份管理和业务访问环节的安全需求。”

——来自某大型汽车集团用户

“派拉一体化零信任从安全管理、认证管理、技术实施等多方面入手为我们建立起了完整可靠的零信任身份管理体系,实现了以安全保业务、用安全促业务的目标”

——来自某能源央企用户

安全牛评

对于企业组织,零信任的建设需要融入到企业的数字化业务环境中,企业的零信任规划不仅要符合当前的业务需求,也要能更好地支撑未来业务的扩展需求。因此,零信任应用落地时,组织可以从系统化建设的角度,尝试用一体化的零信任解决方案,从场景出发,结合业务在网络空间分布的现状,使每一个业务都形成闭环的安全访问。可以认为,一体化的零信任解决方案模式,是一种有效的零信任安全建设尝试。


5、全球主流零信任厂商的产品化实践与观察

“零信任”这一概念已经被安全行业广泛应用,因为很多安全厂商都希望能从零信任的市场发展中获得收益。Gartner分析师认为,零信任架构(ZTA)是一种方法论或途径,而不是某个单独的产品或解决方案,因此,不能将任何单一产品或服务标记为完整的零信任安全解决方案,企业需要根据业务发展需要及当前安全防护的优先级,来选择适合自己的零信任架构。

当前,市场上有许多安全厂商都宣称可以提供零信任产品或方案,但这些产品或方案常常功能各异,在一定程度上影响了市场的有序发展。为了更好了解当前零信任技术的产品化状况,本文对全球网络安全市场中的八家主流零信任方案厂商进行了分析。

1、Akamai:基于云的安全远程访问

Akamai的零信任产品直接源于这家厂商为其7000多名员工实施的零信任远程访问解决方案。Akamai的两款核心ZTNA产品是Enterprise Application Access(EAA)和Enterprise Threat Protector(ETP)。Akamai EAA旨在支持随时随地安全地远程访问企业内部资源。它是一种可识别身份的代理,面向希望替换或增强VPN及其他传统远程访问技术的企业。EAA使企业能够为合适的用户提供这种服务——需要时可以从任何地方安全地访问合适的应用程序。Akamai ETP则是一种安全Web网关(SWG),用于保护云端应用程序免受网络钓鱼、恶意软件、零日漏洞攻击及其他威胁。

Gartner将Akamai列为ZTNA市场收入排名前五的厂商。Forrester则认为它适合需要零信任安全托管服务的企业。但Akamai被认为在整体方案集成方面的能力有待改进。

2、Zscaler:基于云的应用程序隔离和保护

Zscaler致力于将应用程序访问与网络访问隔离开来,降低因设备中招和感染而对网络造成的风险。Zscaler Private Access是该公司基于安全服务边缘框架的云原生服务,旨在为在本地或公共云端运行的企业应用程序提供直接连接。通过该服务,确保只有获得授权、通过身份验证的用户才能访问企业的特定应用程序或服务,防止未经授权的访问和横向移动。

Forrester认为Zscaler的服务具有较高的可扩展性,适合已经使用其安全技术确保网络访问安全的企业。未来,Zscaler可能会针对服务器上的应用系统(如VoIP和SIP)加大支持力度。

3、思科:可基于使用场景提供三种ZTNA方案 

思科有三种不同的零信任产品,分别是:面向员工队伍的Cisco Zero Trust、面向工作负载的Cisco Zero Trust以及面向工作场所的Cisco Zero Trust。

第一类产品为设法确保只有受信任用户和设备才能访问应用程序的企业而设计,支持任何位置的访问请求;第二类产品适用于希望为所有API、微服务和容器实施零信任模型的企业;第三类产品适用于为IT端点客户端/服务器、物联网和OT设备以及工业控制系统实施ZTNA策略的企业。

第一类产品很接近其他厂商的ZTNA 产品,它面向希望让员工和其他第三方能够安全地访问应用程序的企业。该产品使安全管理员能够针对每个访问请求验证用户身份、识别有风险的设备,并实施上下文策略。

Gartner将思科列为ZTNA市场收入排名前五的厂商。Forrester声称,思科零信任产品基于从Duo Security收购而来的技术,因此非常适合已经采用Duo技术的企业。

4、思杰:实现应用层的访问控制

思杰的Secure Private Access是通过云交付的ZTNA产品,适用于需要替代VPN方案,并让用户能够安全地访问应用程序的组织。思杰将其服务定位于让企业可以实施自适应身份验证和访问策略,这些策略根据位置、行为和设备状态等因素控制用户可以访问的内容。

Citrix Secure Private Access仅在应用层对用户进行身份验证,防止可能已闯入环境的攻击者在网络上横向移动。与其他ZTNA产品一样,Citrix Secure Private Access持续监控所有应用程序访问,以发现可疑活动或设备状态/行为的意外变化。Forrester认为,作为一家传统的虚拟桌面和远程访问提供商,思杰拥有成熟的网关技术以保护用户对本地应用程序的访问。已经通过思杰搭建本地基础设施的企业可以很好地利用其ZTNA产品。

5、Forcepoint:ZTNA整合到更全面的SASE平台

Forcepoint的ZTNA产品是其Forcepoint ONE平台的一部分,该平台还包括Forcepoint的云访问安全代理(CASB)技术及安全Web网关(SWG)服务。

Forcepoint的ZTNA产品可以让企业无需代理即可访问本地数据中心和云端的私有应用程序;拥有托管和非托管设备的用户可以通过浏览器快捷方式或通过Ping Networks和Okta等单点登录门户网站,连接到企业应用程序。Forcepoint还为使用传统架构和胖客户端的企业提供基于代理的方案。

企业可以选择添加Forcepoint的CASB和SWG以支持其实施的ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问,同时防止恶意软件攻击和敏感数据泄露等。企业可以使用Forcepoint的SWG,根据风险和可疑活动等因素来监控与网站之间的交互。

6、Cloudflare:身份验证和访问控制的托管服务

Cloudflare的ZTNA产品是一项托管服务,旨在让企业可以使用通用策略替换VPN连接方法,通用策略可基于身份和上下文授予用户访问内部应用程序的权限。该服务让企业能够以两种方式连接到公司资源:一种是通过客户软件访问非HTTP应用程序,路由到私有IP地址和远程桌面协议(RDP);另一种模型是无客户软件,这意味着Web浏览器被用于连接Web、安全外壳协议(SSH) 和虚拟网络计算(VNC)应用程序。

针对用户身份验证,Cloudflare Access支持多种身份和访问管理平台,包括Azure Active Directory、Okta、Citrix、Centrify和Google Workspace。当企业根据零信任规则评估设备状态时,Cloudflare Access可以使用来自CrowdStrike、Carbon Black、SentinelOne及其他厂商端点保护技术的监测数据。

Gartner在2020年将Cloudflare列为ZTNA即服务这个类别的代表性厂商。Forrester也关注到Cloudflare Access可与多家身份和访问提供商集成这个优点,但与终端安全控制集成是Cloudflare有待改进的一个方面。

7、Appgate:为访问控制提供托管选项

Appgate的ZTNA产品为AppGate SDP。与其他零信任访问技术一样,AppGate SDP使用设备、身份和基于上下文的信息,授予用户对企业资源的最低特权访问。Appgate SDP架构为混合、多云和本地企业设计,由两个可以作为服务或托管设备使用的核心组件组成。

一个组件是Appgate SDP Controller,充当策略引擎和策略决策点,为访问企业资源的用户执行身份验证、访问策略和权限等任务;另一个组件Appgate SDP Gateway,充当策略执行点,该组件根据SDP Controller的决定来控制用户对企业资源的访问。

Appgate提供额外的可选组件,如满足物联网和分支机构需求的Connector,以及让用户使用浏览器即可访问企业资产的门户网站。Forrester指出,Appgate是该领域为数不多的专注于ZTNA而不直接采用整个零信任边缘(ZTE/SASE)安全模型的厂商之一,其技术适合希望托管ZTNA功能的企业。

8、Netskope:快速部署和易用性是最大亮点

Netskope的Private Access(NPA)ZTNA是该公司更广泛的Security Service Edge技术组合的一个组件。企业可以用它将已验证身份的用户连接到应用程序,将应用程序访问与网络访问分开,并确保用户只能访问已被授权的特定资源。它让安全管理员可以根据设备状态、用户身份和用户所属组来实施细粒度的访问策略。Netskope Private Access适用于希望能够安全地远程访问私有Web 应用程序的企业,为其提供无客户软件的浏览器访问服务。

Netskope Private Access有两个部署组件:安装在设备上的轻量级客户软件和Private Access Publisher,后者建立从企业到Netskope云的出站连接,以减小入站访问请求带来的风险。Forrester表示,Netskope在设备状态安全方面表现出色,客户认为其部署仅需数周,而其他厂商则需要数月。这家厂商有待改进的一个方面是需要支持更多身份提供商。