安全牛评
零信任架构的实现可谓“条条大道通罗马”,但是对于大多数企业来说,“长周期、高成本”是零信任道路最大的障碍,而基于云计算的零信任方案和服务,大大降低了零信任的门槛,提高了部署和回报速度,在充满不确定性的2021年,从一开始就选择正确的零信任道路,降低试错成本,是安全主管们的重点议题之一。本文,我们将解读云计算如何赋能零信任,并对比四大零信任路线的优劣,希望能对企业网络安全建设和决策者提供一些参考建议。
云计算的本质是资源池共享,通过云服务弹性的资源分配服务,为企业提供与业务运营相匹配的硬件设施和服务资源,具备基础设施建设成本低、安全能力构建快速、安全运营管理简化等特性。这一先天特性应对非预期、临时的、突发的业务具有显著优势。新技术赋能云计算也将云服务淬炼的更加成熟,云原生的安全能力发展使云基础架构更坚固、AI赋能云计算更智慧、边缘计算使云与用户距离更接近,SD-WAN让上云更加便捷。新技术让云服务的应用变得更加广泛,成为国家基础建设的重要组成。
疫情如穹庐笼罩四野,居家隔离仍是目前我们应对疫情的最有效方式,业务走出去成为大疫环境下企业新的营运战略,这促使云计算更快速扩张。疫情扩大了企业远程访问的需求,疫情防护常态化让企业加速资产数字化、业务和服务纷纷上云。新的需求变化导致安全和风险管理也需要一种融合云交付的安全服务来应对安全需求的突变。零信任不再是一个让企业百感陌生的新名词,在企业纷纷规划和构建自己零信任安全网络的同时,正如Gartner的预测《The Future of Network Security Is in the Cloud》,安全厂家也开始了云上零信任服务战略的部署。
应用远程访问的业务特性决定零信任网络访问本身就不是一个点或企业内部个体的安全防护,而是基于业务完整性的、与网络域划分无关的立体防御。它通过每个访问连接的可信识别和验证来避免传统网络隧道内默认信任引入的安全风险、业务的访问安全和服务质量。
在《现代企业零信任安全构建应用指南》报告的调研过程中,我们发现不少通过部署云服务提供零信任解决方案的厂商,采访中也发现一些使用SaaS服务构建自己零信任安全访问网络的企业。根据调研和分析,目前零信任云服务主要有以下几种形式:
基于CDN网络构建零信任访问网络服务;
基于internet构建端—端的安全访问服务;
基于终端沙盒构建端—端的安全访问服务;
基于虚拟化桌面构建零信任访问服务。
一、基于CDN构建零信任网络访问服务
CDN本身是基于反向代理原理为应用访问代理接入请求和响应服务的代理网关。CDN厂商借助部署在广域网中的分发网络边缘连接优势,在各分发节点上增强零信任访问控制,可以很方便的为业务提供零信任的安全访问能力。
基于CDN的零信任访问网络的优点:
利用CDN网络的广域连接的优势,可以帮助企业实现广域的零信任连接;
CDN节点间具有很强的冗余能力,临近节点的故障,不影响用户远程接入;
分发节点与企业数据中心分离,某个CDN节点被攻击失陷不影响业务服务器;
分发网络与安全访问控制集成,企业不需要再单独为远程访问控制寻找解决方案。
适用于面向公众访问的应用。
二、基于internet构建端-端的安全访问服务
在现有的物理网络中,通过端到端连接组件的部署,为用户构建安全访问连接,零信任服务商接管overlay面设备、策略的维护和管理,如下图。客户端配置DNS服务器使URL解析到服务商的控制器,经云端的控制器认证授权后建立业务的访问连接。
该方案是传统VPN应用的升级,优势在于将安全延伸到了端,会话不再像VPN一样拥挤在一条隧道中,释放了VPN隧道的负载压力,避免了相互的影响。
但从下图可以看出DP控制器前置,一旦故障或失陷,不但外部访问中断,从企业内部进行应用访问同样会受牵连。因此,SDP和网关本身的脆弱性、抗D能力、接入性能、单点故障、部署位置都是企业内网安全和业务连续性的重要保障。因此,尽管该方案通过软件定义边界为企业解决了资源单包授权和访问控制,但企业内网的风险管控仍旧显得非常重要。
适用于企业分支互联和移动终端连接企业内网,是远程办公场景的典型应用方案。
三、基于终端沙盒构建端-端的安全访问服务
客户端采用虚拟化部署和微隔离的安全容器/沙箱构建安全域,通过对计算和存储资源的控制,比如文件IO、进程间通讯等,保证应用运行加载、资源调用、数据存储都在一个相对独立的空间内。
安全域的网络配置和可信应用由管理员统一管理,安全域的DNS服务器需要配置零信任服务商的控制器,以保证URL请求时能解析到云端控制器。用户使用虚拟空间内的应用发起访问连接,经身份验证、授权后为访问建立业务连接。
终端的隔离域可以保证数据应用的全过程可控、不被外发、转储或者本地留存。
适用于设备流动性强且对数据安全要求较高的应用场景。
四、基于虚拟化桌面构建零信任访问服务
虚拟桌面也是一种常见的远程办公方式,它利用虚拟化技术动态分配vCPU、内存、存储及网络资源。在网络路由可达的情况下,用户可以使用不同类型终端在任何时间、任何地点访问云桌面。这个跟WEB VPN有点相似,不同在于客户端需要安装企业浏览器或插件去访问云桌面上的应用和服务。
优势在于浏览器的兼容性较好,用户部署简单,不需要定制化的配置,在应用服务器向虚拟桌面服务器发布的时候不需要太多URL改写的工作量。
缺点在于传统的虚拟桌面对C/S访问及PC的访问兼容做的不是很好,另外在于大量访问时,虚拟桌面的性能会容易是个瓶颈。
较适用企业远程办公的应用场景。
总结
以上几种典型的零信任云服务中,我们看到零信任与云分发、虚拟化、云桌面等传统云—边业务进行了融合,任何一种或多或少都能看到一些传统安全的影子。
云服务短平快的优势是显而易见的,它确实可以帮助我们在一定程度上应对紧急的、突发的远程访问的安全需求。但缺陷同样同在,所有的业务都要出内网,这显然不是对任何企业都适用。
企业内网现有的安全风险管理是否可以与第三方的云服务更深入的有机结合从而最大化企业的成本效益、基于云的零信任安全访问能力的需求及市场的整合是否能帮我们形成一种新的安全架构,仍值得我们进一步探索。