传统网络边界消失,基于零信任的安全连接护航数字化转型
- 2020.06.10
- 4598
在零信任十周年峰会上,360集团云安全研究院高级安全总监魏小强分享了有关零信任的身份管理与安全连接架构的话题。
零信任峰会由云安全联盟大中华区主办,联合国UN2020指导,于6月5日圆满召开,360公司为主要承办单位之一。
数字化转型推动着企业上云的数量持续激增,不仅使得企业网络高度异构,融合了移动、物联网、公有/混合云和SaaS等,更重要的是使得传统业务和IT运营模式不断被颠覆。
企业把越来越多的关键型和生产级应用逐步迁移到云端并使用云服务。大量的人工服务趋向自动化技术代替,单一生产趋向协同。数字化转型使得以前没有连接的东西都连接起来了。
连接不断创造价值,也带来巨大的安全风险。例如,员工可以携带自己的电脑在咖啡厅或机场等公共WiFi环境访问公司的数据中心网络,同时还希望访问公有云或SaaS服务等。
通常来说,在这个场景下,员工是无法得到公司的安全栈的保护的。黑客很容易进行攻击,窃取用户敏感信息,控制用户设备,控制用户账号,进而入侵公司的数据中心等。
因此,安全连接是数字化转型的基础设施。简单来说就是,需要有一种技术能保证用户可以通过任何设备,在任何地点,通过任何网络,安全接入和访问任何服务和资源。
魏小强表示网络的设计是为了将用户与数据中心内的应用连接起来,我们在网络周围建立了一个安全的边界,以保证这些用户和应用不受外界的影响。
但随着应用迁移到云端,用户从任何地方连接到云端,边界已经消失了。
现在是时候将安全与网络脱钩,并使用在应用驻留的任何地方和用户连接的任何地方来执行安全策略。
魏小强认为零信任是一种方法论,是一种安全范式,旨在通过建立默认拒绝的初始安全态势来消除企业中过度的隐性信任。
然而,在某些时候必须建立信任以允许连接,但与以网络为中心的方法不同的是,这种信任必须是动态的,根据用户、设备、位置和应用的上下文变化而变化。
零信任策略的目的是消除过度风险。它首先是永远不要默认授予信任,它要求信任是上下文的和自适应的。特权或访问的级别取决于已建立的信任,必须不断监测和适应风险。
零信任的概念是在10年前创立的。John Kindervag构思了这个想法,以防止企业团队给予访问网络的用户和设备过多的信任。
但是,由于当时的技术,它仅仅是在以网络为中心的安全背景下产生的,这种安全还是以网络防护为中心,存在一定的局限性。
随着云和移动性的采用,IT专业人士已经意识到,以网络为中心的安全策略已经变得无效。
网络和用户设备不再为企业所拥有,超过一半的员工正在远程访问应用。通过在云优先时代重新思考以网络为中心的安全方法,企业正在打开采用真正的零信任的大门。
魏小强表示,随着我们进入万物互联、多云连接以及软件定义的时代,连接无处不在。我们所说的身份可以是任何“东西”,用户身份化、设备身份化、应用身份化。
他们之间的关系就是连接,所以连接可以涵盖SaaS、公有云、私有云、数据中心以及用户和物联网等等,连接的网络会越来越复杂。
魏小强强调,身份正从单一属性走向多属性,从认证走向连接。身份管理的本质是连接,连接既创造价值也带来风险,安全连接是零信任的基石。
我们应该从安全连接的视角去重新思考零信任架构,寻找新的解决方案以应对软件定义时代的到来。
基于对零信任的理解,360提出了在多云环境下的基于零信任的连接云平台架构(如下图所示)。
据魏小强介绍,360连接云平台基于零信任网络访问技术,也被称为软件定义边界(SDP),在360安全大脑的赋能下打造而成。它围绕着企业专有应用创建了一个基于身份和上下文的访问边界,并实现了应用的隐藏。
360连接云平台由安全分析中心模块、安全运营中心模块、基础云平台、零信任身份管理平台、SDN调度管理平台等组成。
通过信任代理限制访问模块,仅对应该访问的一组实体进行授权。从本质上讲,基于SDP技术消除网络周围的边界,围绕用户、设备和应用创建虚拟边界对传统网络边界取而代之,最终实现了自适应和安全的私有应用访问。
360连接云平台遵循Gartner SASE(安全访问服务边缘)模型理论,基于零信任访问网络技术创建,仅在经过认证的用户和企业的私有应用之间进行权限微分段并实现安全连接。
该连接云平台可支持私有云、多云或混合云等复杂环境。其独特价值还在于基于360安全大脑赋能,整合海量的威胁情报技术实现持续风险监控和评估。
基于身份的网络访问控制:如网络微隔离、安全的远程访问(可以代替传统的VPN)等;
安全第三方用户访问:解决特权用户安全访问问题,实现高价值的应用安全访问;
托管服务器的访问安全:如简化网络集成,安全迁移到IaaS云环境等;
强化身份认证解决方案:简化企业合规性控制,防御DDos攻击等。
最后,魏小强针对基于零信任的的安全连接技术提出了自己的思考,数字化转型使得应用和业务流程之间拥有更高水平的连接,大大提高了业务敏捷性,也更容易与客户和业务伙伴联系。但是他也带来的巨大的安全风险和挑战。
基于零信任的安全连接技术将为数字化转型护航。他认为基于零信任的身份管理和连接技术未来会有三大发展趋势:
基于零信任的身份管理和微服务会走向融合,解决微服务的安全连接问题;
基于区块链的主权身份管理会极大影响当下的IAM的模式。
魏小强说:
我们都知道连接创造价值,安全护航连接。未来可能对于身份的隐私性要求会越来越高,所以实现对等的连接技术会出现,从某种程度上这种基于区块链的自主主权的一种身份技术,很大程度上会改变目前IAM的模式。
关注本公众号,回复“PPT”下载CSA零信任十周年峰会演讲PPT。