11月26日,YUNDUN云安全专家张欢,受邀参与成都·世界信息安全大会,并于大会上发表演讲《云原生应用零信任实践》,本文将对演讲精华进行提炼分享。
边界防护体系还能坚持多久?
2020年初的一场疫情促使移动远程办公成为主流,来自不同地方的人通过互联网,接入到公司总部,访问重要的业务信息。IT环境已经在悄然变化,接入网络的人员、设备、系统、网络的多样性和复杂性无法预估,任何用户的任何设备在任何位置都有可能接入,在这样的情况下如何获悉:
· 谁真正在访问系统?
· 访问环境是否安全?
· 他有权限访问吗?
· 如何避免数据泄露?
另一方面,随着公有云市场占有率不断提升、企业上云的趋势下,企业的关键业务会越来越多地部署在公有云上,原本只能在内网访问的高敏感度的业务系统不得不对互联网开放,其暴露面和攻击面势必变大,安全战场在不断扩大,网络边界消失已经成为必然,传统基于网络位置的信任体系已经难以满足企业的数字化转型需求。
以“人”为本的新信任体系
基于对上述安全风险的分析和发现,Forrester Research提出了一种新信任体系——零信任:
“零信任”提出应消除可信内部网络区域和不可信外部网络区域的概念,本质上,任何数据流量都不能被信任,当数据流过您的网络时,至关重要的是,所有相关方都必须在每一点进行限制,重新认证和验证。
零信任要解决的核心问题实则只有一个:如何在无边界网络环境下,确保所有的业务访问都是由可信的人、终端或系统用可信的方式访问可信的资源和数据,消除传统边界安全模型中遗留的隐含信任漏洞:
1.持续验证,动态调整授权:零信任体系里信任是随时变化的,没有永久的信任。因此在业务访问之前虽然已经完成了人、终端和业务的可信判定,但给予的授权只是初步静态授权。在访问源对资源的访问过程中需要全程监测访问行为,一旦发现有异常行为需要及时降低访问源的可信度,对访问源进行再次认证或者减少访问源的访问权限;
2.确认四个可信:人可信、终端可信、资源可信、行为可信。零信任不是没有信任,而是要处处确认是否可信任,细粒度强认证;
3.摒弃内外网概念:尽量将安全关口向边缘前移,缩小信任边界:
零信任安全架构中,“人”是网络核心价值点,传统网络边界消失,以身份为新边界,构建“零信任体系”,只要处于网络中,任何用户都不可被信任,任何时刻任何环境、设备、身份、权限都有必要被验证。
SASE:通往零信任之路
如果企业从现有的物理网络上进行改造必然会花费巨大成本,缺少基础的网络架构,零信任的其他功能又像空中楼阁一样看着很美好,实际难以落地,或者说虽然看着好像落地了,但当规模起来后将遇到无法规避的大坑。信任体系的转型需要一条路径:
SASE:Gartner的定义SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
SASE,一个结合了网络即服务和安全即服务(网络+安全=SASE)的非常庞大的概念,如果将零信任当作是目的地,那么SASE则是抵达目的地的“直线”路径。
//“网络” + 安全 = SASE
SASE把网络和安全整合到一个平台中,将访问技术栈压进方便管理的连接网络,进行统一管理:SASE就是借助SD-WAN搭建起来的虚拟化架构去集中化。
整个网络架构的躯干,其实还是Internet和MPLS专线。但是,在架构之上,架设SD-WAN控制器,即SD-WAN管理控制核心。通过集中式接口,云提供了SD-WAN架构。对上它连接到公司网络,数据中心,应用程序和业务系统。而各个分公司和分支则通过客户终端设备作为边缘节点(PoP),连接到SD-WAN,管理员可以通过应用层接口对SD-WAN控制器进行配置,SD-WAN将根据现网情况和配置策略,自主选择最佳路径。在这样的架构下有效地减少了WAN费用并提高了网络连接的灵活性和性能。
SD-WAN是SASE的关键组件,甚至当做最关键的组件都不为过。因为在现如今的网络方案中,只有SD-WAN能够以最低成本,并且与业务相结合,把核心能力下放到边缘,使数据处理和安全能力都在边缘进行,满足当前和未来云上和移动业务的动态安全需求。
//网络 + “安全” = SASE
SASE把网络和安全整合到一个平台中,将访问技术栈压进方便管理的连接网络,进行统一管理:SASE就是借助SD-WAN搭建起来的虚拟化架构去集中化。
SASE将安全控制能力进行了抽离并整合,如同共享单车一般,实现了即用即租的“共享安全”:
1.弹性扩展,覆盖全需求场景:集成单点安全解决方案至统一的云平台中,基于云原生架构,实现安全服务能力的弹性扩展,契合企业各发展阶段的安全防护需求;
2.简化IT建设复杂度:SASE为企业提供统一的管控平台,实现针对所有位置、用户、设备和应用程序进行设置、监视、调整和实施,避免为不同解决方案处理多种策略;
3.降低 “人+物” 管理成本:企业无需维护大量的服务提供商,同时节省物理基础设施管理维护所需的时间、金钱、内部资源等成本。
//网络 + 安全 = “SASE”
未来可能的趋势是:互联网即企业WAN,所有的企业的内部应用都能通过边缘节点来访问,并且不需要那么复杂的网络架构,而数据中心和企业应用则由内向向外发起链接。通过零信任的访问云,实现攻击防御、身份验证、授权审计,管理者则可以轻松的实现整个平台的管理和监控的绝对控制权。
SASE通过将不同的安全能力灵活弹性的施加到靠近接入终端的边缘节点,让流量以最小代价进行安全检测,简而言之就是将安全能力以一种相对集中又分布式的方式交付给用户。
1.以身份为中心驱动网络和安全策略,企业则无需考虑设备或地理位置; 2.支持所有边缘,为企业资源创建一个独立的安全网络,涵盖移动用户、PC用户、云资源、数据中心资源、总部资源、分支资源等; 3.安全服务化,共享云端的所有安全能力; 4.基于云原生架构,包括:弹性、自适应性、自恢复能力和自维护,分摊客户开销以提供最大效率,适应新兴业务需求,而且随处可用; 5.全球分布,确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验。
YUNDUN零信任实践
//应用可信访问
YUNDUN基于边缘访问网关技术,将WAF的节点,作为边缘安全加速节点,集成身份认证和访问控制,实现:
1.资产集中收敛、统一工作入口,隐藏资产攻击面 2.替代内部VPN 3.内网应用快速SaaS化 4.提供综合的解决方案级产品 5.降低建设IT+安全复杂性 6.安全检测分析平台联动
//安全加速SDK
YUNDUN基于软件定义边界(SDP)理念,融合IP跳变的思想,将安全对抗前置至访问边缘处,实现:
小攻击面,先验证后连接,非白即黑 设备/资源/行为 动态可信链 改变DDoS攻防天平 可控流量调度
//安全边缘访问服务平台
YUNDUN基于SASE架构计划实现的安全边缘访问服务平台,满足各类用户例如企业、分支机构、个人用户、甚至IoT设备的网络需求安全需求。将所有流量都将通过一些WAN网络或CDN节点接入边缘网关,并根据不同的访问需求分配不同的安全检测路径,最后再回到客户自己的数据中心、业务系统应用。结合YUNDUN核心安全业务,构建云原生安全CDN+云原生零信任。
