浅谈Forrester零信任架构评估的7个技术维度
零信任是由Forrester Research的分析师John Kindervag在2009开发,并在2010年正式提出的。在过去的10年间,随着云计算、移动互联等技术发展以及全球范围内部威胁的不断涌现,零信任越来越为产业界所接受。
Google从2011年开始探索和实践零信任,并在2014年发表了BeyondCorp系列研究论文,成为零信任大规模实施的典范。
Gartner在2017年发布的其自适应安全3.0的版本CARTA框架,持续自适应的风险与信任评估的思想与零信任内涵和逻辑高度一致,进一步推进了产业界对零信任投入和研究。
NIST在2019和2020也连续发表了SP800-207零信任架构草案第一和第二版本,探讨零信任体系结构(ZTA)网络策略的核心逻辑组件。 从2018开始,Forrester 开始发布零信任扩展生态系统ZTX研究报告,探索零信任架构在企业中的应用,系统性对零信任厂商的能力进行评估。
Forrester对厂商的评估包括多个维度的一系列的指标,例如收入,厂商的零信任的战略和对零信任的宣传,以及API集成能力等。本文主要关注的是Forrester在零信任评估中所涉及的7个主要技术维度,即
网络安全
设备安全
人员/身份安全
工作负载/应用安全
数据安全
可见性和分析
自动化和编排
本文基于2019年第四季度Forrester Wave™报告中的评估数据做一个简单分析。在报告中,7个技术维度,每个都分别打分,有不同的权重,每项得分有了1、3、5三个不同的值,其中1分最低,5分是最高分,本文将从这7个技术维度逐一展开说明。
一、网络安全
网络安全能力是零信任最初关注的核心能力,在ZTX模型中,主要关注的是如何实现网络隔离和分段,以及最终安全性的原理是什么。在这个维度中,得到最高分5分的厂商最多,达到了7家,这也与零信任最初的切入点吻合。这7家分别是Check Point、Cisco、Palo Alto Networks、Symantec、Forcepoint、Okta、Cyxtera Technologies。简单来说,零信任的网络安全能力可以理解为是支持微分段和微边界的NGFW产品定义的能力,产品形态可以是硬件形态也可以是虚拟化设备或其它可以提供同等能力的软件形态。
零信任网络安全的关键架构组件包括网络分段网关,微内核和微边界。网络分段网关作为网络的核心,集成了各个独立安全设备的功能和特点,从防火墙、IPS、WAF、NAC、VPN等。它支持高速多个10GB接口,可以高性能的检查所有流量。通过微内核和微边界,连接到“网络分段网关”的每个接口都有自己的交换区。每个交换区都有一个微内核和microperiodier(MCAP),具有相同的安全信任级别。这实际上将网络划分为并行、安全的网段,这些网段可以都单独扩展,以满足特定的法律合规性要求或管理需求。下面以几个典型产品为例简单说明。
Check Point的零信任网关可以在整个IT基础架构以及私有/公共云和公司网络环境中对网络进行微分段,它可以全面控制所有东西向流量,可以准确地检查和阻止网段之间的未授权流量,同时仅允许绝对最小的合法流量。
Palo Alto的零信任网关主要是其下一代防火墙,它是单通道软件架构来实现这一目标,具有独立的控制和数据平面,加上特定功能的并行处理硬件引擎来处理流量。
二、设备安全
零信任安全架构中的设备安全的能力需要持续监控网络上的所有设备。除了“看到”传统服务器、PC、笔记本电脑和智能手机之外,还包括在连接到网络的物联网和IOT设备、外设、网络基础设施组件和恶意的设备,虚拟机、工作负载等软设备形态。根据预先收集的有关设备类型设备允许、拒绝或限制对内部网络资源的访问,从而强制让设备的行为符合执行预期。同时还可以根据已建立的策略发出通知并启动设备修复。连接后,平台持续监视设备,以确保设备行为不会偏离策略。关键点在于对设备的持续发现和安全性检查的能力,这一点有别于传统的NAC设备一次检查永久信任的模式。
设备安全相对比较容易理解,Forrester Wave™评分中得到5分有4家企业,分别是Forescout、Cisco、Proofpoint、MobileIron。下面以Forescout为例简单说明。
Forescout是传统NAC的标志性厂商,它通过对SecurityMatters的收购,将设备安全的能力扩展到了IOT环境中。它的零信任设备安全实践很有代表意义。它可以全面了解企业内所有的IP连接设备,包括数据中心、云和IOT设备,并对设备安全性和配置状态的深入检查,以确定设备的风险态势。Forescout策略引擎根据设备的风险态势,将企业的安全策略和分段策略转换为单个实施产品应用的规则。
三、人员/身份安全
人员/身份安全是关注于使用网络和业务基础架构的人员的安全,减少这些合法用户身份所带来和造成的威胁。攻击者获取敏感数据的最简单方法之一就是凭证盗用。一旦进入目标网络,攻击者一般都会扩大攻击范围,并在网络中横向移动,寻找特权帐户和凭据,帮助他们访问组织最关键的基础设施和敏感数据。人员安全主要是身份和访问管理(IAM),大多数应用程序和服务交互都与角色和权限(用户、组和服务帐户)有某种关联,因此零信任策略对象的重要主体是身份和账号。
这应该是零信任中最容易被理解的一个维度了,在Forrester Wave™评分中得到5分有6家,分别是Akamai、Cisco、Google、Proofpoint、Okta、MobileIron。下面以Okta为例简单说明
Okta的身份认证逻辑分为三个阶段,1、实现统一身份访问管理。对访问管理系统下进行整合,通过单点登录(SSO)完成的第一阶段整合。2、实现上下文访问管理。通过收集关于用户上下文信息(即他们是谁?他们是一个有风险的用户群吗?),应用程序上下文(即用户试图访问的应用程序)、设备上下文、位置和网络等信息进行综合判断,对于可能存在风险用户配合多因子身份认证进行二次验证。3、自适应的身份鉴别。这是与传统上身份验证区别最大的地方,不再是一次验证通过就获得这次会话的完全信任,而是通过自适应的、基于风险的评估来识别潜在威胁,在用户体验的整个过程中持续进行。这是第2阶段的上下文响应中添加了一个智能的、基于风险的引擎,并允许基于这些上下文信号的风险评分来确定特定身份验证事件的风险,并基于这种判断提示进行附加的身份验证。这里的关键是要避免因为误报而导致对用户正常操作的干扰。
四、工作负载/应用安全
过去10多年伴随着云计算的蓬勃发展,工作负载安全的重要性日趋凸显,无论是私有云还是公共云中的工作负载,例如应用程序、虚拟机、容器、Serverless等都容易受到攻击。要实现基于零信任的工作负载安全,首先要弄清楚组织内部的工作负载资产情况,构建工作负载、安全组、实例和防火墙的实时拓扑,通过自适应访问策略,根据工作负载的任何变化自动调整,这些策略是强制执行,可以自动发现并纠正错误的工作负载系统配置,同时,可以通过调用IPS、恶意软件检测等安全引擎实现威胁防护。
在产品和能力提供上,零信任的工作负载安全通过提供基于身份的代理网关,降低了应用和工作负载的暴露面,无论应用和工作负载在什么地方,未经授权的人员和设备都是看不见这些资源的。同时可以配合其它的传统安全手段,强化应用和工作负载的安全性。
应用和工作负载的零信任,在Forrester Wave™评分中得到5分有3家,分别是Akamai、Google、Cyxtera 。他们都是SDP的实践者,下面以Akamai为例简单说明。
Akamai是CDN的发明者和服务提供商,它原有的24万台服务器的代理平台也是它转型到以SDP提供零信任服务的重要因素。Akamai的IAP模型与Google的Beyond Corp模式相似。它通过企业应用程序访问(EAA)云产品提供工作负载保护的服务。
EAA允许企业通过Internet(无论是托管在云中还是在数据中心中)提供对私有应用程序的访问,并执行最小特权和零信任的原则。只有经过身份验证的用户和设备才能访问他们有权访问的内部应用程序,并且不需要打开或维护入站防火墙端口。EAA将数据路径保护,单点登录,身份访问,应用程序安全以及管理可见性和控制功能集成到由Akamai智能平台支持的基于云的单个服务中。它最终可以保护私有企业应用程序,从而最大程度地减少了攻击面并使企业基础结构和数据对公众不可见。 它是基于云的服务,并从一个单一窗口访问基于Web的应用程序,框架内也可以与传统的安全服务集成,例如高级威胁防护,Web应用程序防火墙等。
五、数据安全
零信任架构的核心是回归本源,聚焦于保护数据的安全,构建以数据为中心的安全。从数据安全着手建立零信任体系相对容易落地,也更容易以最好的ROI产生效果。无论数据处于在终端、应用服务器、数据库、SaaS应用程序之中,无论在组织网络内部或外部,无论数据是处于流动状态还是使用状态,都需要通过一定的技术手段,防止数据的泄露。Forrester Wave™在评估时主要关注如何实现数据的分类,隔离,加密和控制等安全措施。
虽然零信任架构的实践目前以网络微隔离、增强IAM(IDAAS等)、SDP这些形式为主,但本质上这些零信任的实践还是围绕是以实现数据安全为核心。在Forrester Wave™7个技术维度的权重中,数据安全权重17%也是最高的(网络安全权重12%,身份安全权重15%)。但是在数据安全这个维度中拿到最高分5分的企业却只有一家,远小于网络安全等其它维度,这是一个很有意思的现象。
零信任数据安全的保护应用于数据本身,与数据的位置无关。为了有效,敏感信息应在进入组织的IT生态系统后立即被自动标识出来,并应通过在整个数据生命周期中持续的保护。
典型实现包括安装在每个终端上的部署代理,在云和网络上部署探针设备,这些代理和探针由一个集中管理控制台控制,管理员在该控制台中为每个终端代理、每个用户、每个探针定义数据类型和采用适当的保护形式。作为以数据为中心的网络设计,该设计本质是在特定数据或资产周围放置了微边界,以便可以执行更细粒度的规则。这个一般分为4个步骤:
1、识别敏感数据:这看似简单,但要落地,远比想象的更具挑战性。保护看不见的数据是不可能的。识别数据后,有必要使数据分类有用,而简化是关键。
2、映射敏感数据的数据流:了解数据如何在网络内、跨网络以及在用户和资源之间流动。这里的数据既包括结构化半结构化数据,也包括非结构化的文档数据,数据流的形成是一个必要而艰难的过程。
3、创建自动化规则库:确定访问控制的规则,形成数据安全策略。要定义这些规则,必须了解哪些用户、应用和数据之间的关系。
4、持续监控持续调整:通过持续监控,并根据用户的行为和风险,自适应的调整用户的安全策略,采用不同的响应手段。
常见数据安全防护的技术包括文档加密、数据库加密、磁盘加密、数据脱敏、DLP(数据防泄漏)、数据库审计、虚拟沙箱、UEBA、CASB等。与SDP、IDAAS、微隔离等相比,这些看似不是新的名词和定义,理论上应该有更好的表现,但Forrester Wave™选的14家厂商中只有ForcePoint拿到了最高分5分,数据安全整体得分是7个技术维度中最低的,甚至长期在GartnerDLP魔力象限领导者的Symantec也只被评估为3分,为什么会出现这种情况?这是一个很有意思的话题,Forrester评价Symantec产品组合中唯一真正的缺陷是其传统的DLP方法。客户“并未真正按预期使用DLP”。但是,实际上,对于当今行业中的大多数DLP工具来说,这很常见。传统DLP的问题本文就不展开讨论了。不过,笔者一直认为,数据安全相对而言是零信任理念和架构最容易落地的一个维度,一个好的数据安全方案和产品可以基本不改变用户原有的网络架构,不改造用户原有的应用系统,不影响用户原有的使用习惯,以轻量级代理的模式介入到用户环境中,达到一个性价比相对价高的零信任安全结果。因为Forrester Wave™在数据安全维度下只有ForcePoint得到最高的5分,下面以ForcePoint为例简单说明。
Forcepoint的解决方案是围绕DLP和CASB构建数据安全平台,同时关注用户在终端上的行为监控和实体行为分析。Forcepoint将数据分为两大类,一类是个人信息类数据,另一类是知识产权类数据。对个人信息类数据,它集成各种合规检查和报告,可以帮助用户实现数据隐私法规的合规,例如GDPR、CCPA、PCI DSS等。对于知识产权类数据通过机器学习、指纹等方式定义和识别数据,制定数据访问规则,并持续监控、分析和调整。Forcepoint将看似无关的数据安全事件进行关联分析,通过事件风险排序(IRR)将不同的指标融合到机器学习模型中,以评估数据风险发生的可能性。它通过一个仪表板为管理员提供了整个企业(包括端点,网络和云应用程序)受保护数据的统一视图。
六、可见性和分析
这一个维度相对来说入围的各个厂商都做了不少工作,因为没有对安全的可见性和分析,产品的价值是无法体现出来的。看不见或看不懂的东西是无法被保护的,Forrester在这个维度主要关注技术或解决方案是否提供有用的分析和数据支撑,并尽量消除系统和基础架构中存在的死角。这在不同的关注维度下有不同的支撑场景和实现,需要在对需求,客户、业务和技术多维度的综合认知指引下,定义出产品自身的分析和可视化逻辑,本文就不展开分析了。
在Forrester Wave™评分中得到5分有7家企业,分别是Check Point、Cisco、Palo Alto Networks、Forcepoint、Forescout、Unisys、Illumio。下面以Illumio为例简单说明。
Illumio的自适应安全平台提供实时的应用程序依赖关系映射和安全分段,以阻止数据中心和云环境内部的横向移动。这对对跨异构计算环境的工作负载之间的连通性的可见性有较高的要求,它提供了异构环境中工作负载的实时显示,自动的发现和分类和全面的可视化审核。Illumio的核心能力是在整个基础架构中提供定义明确且清晰可见的资产图。
七、自动化和编排
零信任安全体系结构要发挥最大的价值,需要与更广泛的IT环境集成,可以改进的事件响应的速度,提高策略的准确性和并自动分配任务等。Forrester在这个维度主要关注技术或解决方案如何实现基于零信任原则的自动化和编排,并使企业能够对不同的系统进行更强大的控制。它认为如果工具具有辅助自动化和编排的技术能力,并且还可以进行细分,还不足以成为平台。但是,如果工具或技术支持微隔离和加密,集成了自动化和编排功能,并且具有完善的API,开发人员可以通过该API内置其他零信任功能,则可以将其视为平台。
通过自动化和编排,可以将重复和繁琐的安全任务转换为自动执行、计划执行或事件驱动的自定义工作流。可以动态地将安全策略中的对象与外部资料关联(如AD等IAM身份管理系统),以释放大量的工作人员时间,并减少由于人为错误而出错的机会。可以通过使用算法和经验值来自动识别安全事件,并更改访问策略规则进行响应,响应的方式也可以通过编排自动对接第三方工具和产品。同时也可以与第三方SIEM产品深度集成,提供更完整准确的分析。
在Forrester Wave™评分中得到5分有4家企业,分别是Okta、Palo Alto Networks、Proofpoint、Illumio。下面以Palo Alto Networks为例简单说明。
Palo Alto Networks这一块的功能主要是通过对Demisto的收购实现的。通过为SOC分析人员提供单一平台来管理事件,自动化和标准化事件响应流程以及在事件调查方面进行协作,来优化安全操作的效率。它利用机器学习(ML)来支持诸如事件分类等功能,或为SOC分析人员提供下一步建议。同时为分析人员提供了一个作战室,以便他们协作调查事件,并自动记录事件发生后的报告。Palo Alto Networks提供强大的事件/案例管理和剧本自动化功能,以及300多种现成的产品集成。
这7个维度是John Kindervag的继任者,现在Forrester 首席分析师Chase Cunningham在其零信任扩展框架中提炼出的7个支撑维度。在用户视角看,目前实现全面的零信任的改造存在复杂性和风险。但从不同用户具体的IT基础设施的实际出发,从最关切的风险出发,可以逐步落实零信任的原则和理念。
本质上,包括零信任在内的一切新的概念和总结,出发点都是为了解决网络安全和信息安全的本源问题,即应用和系统的可用性问题,数据的机密性问题。围绕可用性、机密性和完整性的原则,不断迭代新的理念和技术,为用户的业务提供更好的支撑和保障,这些零信任产品的发展也是各个厂商在某相对擅长的领域,为了更好的解决客户问题的自然演进。
所以零信任的7个维度划分也不是铁律,我们可以分解来看,一定程度上就是更细的网络边界,应用切分,数据定义,用户身份的多次验证,更细的强制访问控制,在永不信任,持续验证的理念下,如何在不影响用户体验的情况下,提供更好的安全保障和服务。
*本文作者:王文宇@ 网安网事,转载请注明来源