11月3日,第三届国际零信任峰会暨首届西塞论坛在浙江湖州隆重召开。本届峰会以“因为看见,所以信任”为主题,由联合国数字安全联盟、湖州市人民政府指导,国际云安全联盟大中华区联合湖州市吴兴区人民政府与湖州市大数据发展管理局共同主办。
零信任是安全战略,是一把手工程。CSA大中华区零信任工作组组长、西塞数字安全研究院院长陈本峰与国际云安全联盟CSA安全顾问、“零信任之父”John Kindervag对话,John认为信任是一种情感,而在传统的网络安全架构中,情感往往会导致各类安全事件,所以零信任才被提出。零信任是一种安全战略,旨在防止数据泄露的同时,阻止各类未知的网络攻击,而随着科学技术的发展,来到如今的云计算时代,我们更加需要使用零信任来保护我们的网络。John着重分享了“零信任五步法”模型,即定义保护面、映射事务流、投入技术实施或构建零信任环境的架构、构建策略、监控和维护我们监控每个保护面的所有探针数据。这个模型对企业的作用,就如同地图对旅行者的作用,可以有效帮助企业落地零信任战略。
以下为对话实录
Q1
陈本峰:如果您需要向非网络安全专业人士(例如董事会成员)解释什么是零信任安全以及为什么零信任对一个组织来说它显得如此重要,您会怎么说?
A1
John Kindervag:零信任是一种安全战略,旨在防止数据泄露。也就是说,当敏感数据从我们的系统网络中被窃取或泄露,落入恶意攻击者手中,根据国际法规,这就是数据泄露的定义。
因此零信任是一种安全战略。它首先旨在阻止数据泄露,同时也旨在阻止其他类型的网络攻击成功。世界上存在各种各样的攻击,我们无法控制攻击者,所以我们无法阻止攻击的发生,但我们可以阻止攻击的成功,这是关键。展望未来,我们需要阻止这些攻击成功。
Q2
陈本峰:为何零信任战略如此重要?一个组织为什么需要在零信任战略上进行投资呢?
A2
John Kindervag:当前的网络和安全设计模型是有缺陷的,其中内置了一个有缺陷的信任模型,因此才会有信任以及不信任的系统区分。
数据泄露和成功入侵都因黑客有效利用了这种有缺陷的信任模型作为他们攻击计划的组成部分。
信任是一种人类情感,但却被毫无理由地被植入数字系统中,这就是为什么我们必须(在数字系统中)摆脱“信任”这个词。因为我们将人类的东西放入数字世界中是不起作用的。
当我们说:“约翰在网络上”,但其实我并不在网络上的任何地方。我还没有办法缩小成一个亚原子粒子并通过公共互联网传输到ZOOM服务器上,以致最后出现在您的屏幕上。这在历史上从未发生在任何人身上,在电影中也很少发生。请记住,即使在《黑客帝国》电影中,他们也只是身体插上连接线。 所以重要的是要理解,人类并不是数据包,所以我们必须摆脱这种信任的概念。对数字系统来说,信任总是不好的。那么数字系统应该有多少信任呢?零。
因此,当有人告诉我,他们将使用零信任来使系统变得可信任时,我马上就知道他们其实不清楚零信任的概念以及零信任可以做什么。
Q3
陈本峰:出于好奇,能否请您告诉我们零信任起源的故事,您是如何提出这个想法的,又是如何命名的?
A3
John Kindervag:在二十一世纪初,我正在安装防火墙,而防火墙有信任和非信任的体系。它的工作原理是,如果一个数据包从不受信任的网络移动到另一个受信任的网络,它需要被防火墙规则校验。但是如果一个数据包从一个受信任的网络移动到另一个不受信任的系统,它就不需要任何防火墙规则校验。我发现这是错误的,因为这意味着,如果攻击者进入我们的网络,他们就可以轻松获取数据并将其发送到外部。
当我试图提出增加出站的约束规则时,我遇到了麻烦,因为人们会说系统不是这样工作的,信任模型不是这样工作的。因为当时我意识到信任模型有缺陷,所以最终我打算去Forrester研究中心,在这里我可以自由地说信任模型不起作用。
当时我作为一名普通的 IT 网络安全人员,并没有人会听我那一套,但是当我到了Forrester研究中心,我终于有了发言权,于是零信任这个概念应运而生。
零信任来自于我意识到防火墙中每个接口的信任级别、网络中每一个系统的信任等级最终都需要为零。所以很简单,在网络环境中应该有多少信任?零!因此我们称之为零信任。所以我们需要消除数字系统中”信任”的概念。人们太喜欢这个词了,但是无法很好定义它,也不知道它意味着什么。坦白说,这是一种非常可悲的现状。
Q4
陈本峰:目前您对零信任模型的被采用情况是否满意?作为 CSA 的安全顾问,您认为CSA应该如何帮助提高零信任的采用率?
A4
John Kindervag:大家当然希望看到更高的采用率,但我们今天看到的采用率比我第一次提出零信任理念、在 Forrester 发表第一份报告、发表第一次演讲、开始设计第一个零信任信任网络的整体预期要高得多......
当时人们真的嘲笑我,甚至上前当面嘲笑我。今天事实上这件事情(零信任的应用普及)已经是一场全球运动,现在我正在与中国交谈,对我来说是一个惊喜,它给了我很大的信心。随着时间的推移,我们将能够对各种各样环境进行大规模的部署,我们将使世界一天一天变得越来越安全。
Q5
陈本峰:展望未来,您如何看待它的未来发展以及它和像防火墙这样的传统安全产品的关系是什么?
A5
John Kindervag:零信任不是一种产品,而是一种战略,它使用产品来实现战略。它有意与技术解耦,首先是战略部分,然后根据战略以特定的方式使用技术。
提及 CSA 在这个领域的角色,CSA在零信任领域发挥着重要的作用,CSA促进组织间的对话,并向没有考虑过使用零信任的组织宣传(零信任概念)。这些组织认为已经上云了,而云上系统不需要零信任。
但坦率说,云计算更需要零信任,云原生安全的形势已经非常严峻。众所周知,技术一定会变得越来越好,这就是为什么我从来没有谈论过“零信任产品”,而是把它称为一种理念、一种战略。我已经给出了一个部署零信任的框架模型,如果您听过我的演讲,演讲中经常我谈到的“零信任五步法”模型,这五步法中将会使用多种多样的产品。
Q6
陈本峰:您能告诉我们更多关于“零信任五步法”模型的信息吗?
A6
John Kindervag:当然可以。比如说您要去旅行,首先需要一张地图。我已经为您提供了零信任之旅的地图,也就是我们所说的“零信任五步法”模型。
第一步就是定义所谓的保护面,保护面是攻击面的反面。我们需要整理所有攻击面,并将其收缩到非常小且易于了解的状态。
举例来说,对于一个处理信用卡的数据管理系统,我们真正关心的系统是存储交易流程和传输持卡人数据或个人帐号,这是一个二进制数据流,所以这是我提到的的保护面。现在,我已经知道我要保护什么,
第二步就是映射事务流。我这样做的目的是因为我需要了解各个系统之间是如何作为一个整体系统进行协同工作的,大多数人不知道他们的系统是如何工作的。因此,一旦我们看到系统是如何工作的,它就会向我们展示需要如何被保护。
第三步,我们将开始投入技术实施或构建零信任环境的架构。零信任环境可以构建在任何地方。
它可以是本地部署,或者在公共云、私有云、端点上进行部署。在哪里部署这个不重要,重要的是保护面在哪里,所以一切都以保护面为准。
第四步,我们构建策略。总的来说,零信任策略是作用在(OSI网络模型)7 层,我们只需要第7层的访问控制来执行该策略。因此,这些技术的存在是为了实施零信任策略。值得注意的是,所有策略都是二进制的,您对一个数据包所能做的处理就是允许或拒绝它。在零信任的环境下,我们从“拒绝一切”开始。因此,一开始我已经消除了您 50% 的选择,对吗?在您的决策过程中,您将打开允许规则:打开这个允许规则,打那个允许规则等等…
至关重要的,您需要了解任何一件坏事都将发生在某个允许规则内。因此,如果您的组织中的发生负面网络安全事故,您需要做的是仔细检查所有的允许规则,而不是那些拒绝规则。您拒绝什么根本不重要,您允许什么通过系统并获得保护面的访问权才是重要的。
第五步是监控和维护我们监控每个保护面的所有探针数据,我们检测它、采集它、通过人工智能之类的引擎处理它。我们从数据中挖掘知识,将其注回系统,因此我们可能会不断缩小保护面的攻击;或者当我们看到某些元素缺乏时,我们可以添加一个新的控制;或者我们更新了一个策略,所以这个做法使得这个环境更强大,并且随着时间的推移越来越强大。
Q7
陈本峰:当您谈论这些步骤时,例如保护面、允许规则等,让我想起了SDP(软件定义边界)安全模型。在 SDP 标准规范中,SPA单包授权 是一个可以隐藏服务的协议,保护攻击面,它内置“拒绝一切”防火墙规则。请问这个SDP安全模型在零信任中扮演什么角色?
A7
John Kindervag:当然, SDP 的所有想法都和零信任理念高度重合,当我在Forester做研究时,我为外部公司提供咨询服务,这一切都是融合在一起的。
Q8
陈本峰:那么您今天能给在场观众提点建议吗?他们可能是正尝试在组织中采用零信任战略的CIO,或者是正在开发零信任产品和解决方案的网络安全服务商,您会给他们什么建议?
A8
John Kindervag:好的,如果您想要部署零信任,需要首先了解您的保护面。然后从内向外设计,而不是从外向内设计。我们通常都从边缘向内设计网络(安全),但那是行不通的。
所以从内向外设计真的很重要,并且要利用好“零信任五步法”模型。如果您使用“零信任五步法”模型,您就会成功;如果您不使用它,您就不会成功。其实就是这么简单。因此,了解您需要保护的对象。
我经常收到客户打的咨询电话,他们声称刚刚买了某个X设备或者某个Y产品,问我应该把它放在哪里,以及如何使用它。但我只能回答我不知道,因为我不知道您需要保护什么。然后他们说,他们没有考虑过这个问题。因此,如果您要部署防御体系,您首先需要知道您要保护什么,对吧?这只是一种基本的防御理念。但我们目前所处的现状是,先购买技术,然后再想办法用它做什么,这个现状是必须要被改变的。