张如旭
德尔塔毒株的出现打破了成千上万人原本稳步恢复的工作和生活,使得许多企业只能回到在家办公的模式。许多学校,尤其是在出现疫情的地区的学校都发布了推迟秋季开学的通知。事实上,远程工作应用程序已经成为继续防控疫情和维护经济社会正常运行的重要工具,其用户数量正在迅速增长。据中国互联网络信息中心发布的第47次《中国互联网络发展状况统计报告》,截至2020年12月,中国远程办公用户规模达3.46亿,占网民整体的34.9 %。
远程生活的转变使得员工越来越多地将工作设备用于个人用途,同时企业也提供更多的网络访问,使员工可以在家顺利工作。随着远程工作成为常态,有成千上万人在企业安全边界之外通过多个设备访问应用程序,使得企业信息或系统安全遭到破坏的风险大大增加。但是,这些提供网络访问的企业并不总是知道谁在使用哪些应用程序。即使经过培训,员工也不一定能识别网络罪犯的可疑活动。
上述这些都令企业的安全变得摇摇欲坠。为了加强自身安全,更好地保护自己的数字资产免于威胁和攻击,企业应实施零信任策略。零信任安全模式不存在安全与员工应用程序访问便捷性之间的“取舍”,因此适合几乎所有类型的企业。
零信任:新现实中的关键组成部分
零信任是一项简单的策略,其核心是最小特权网络安全原则的加强版。但与这个名字恰恰相反的是,零信任是一项对员工友好的安全解决方案,因此可以被IT专业人员和其他员工所接受。
零信任可以真正地为各种规模的企业提供更好的安全结果。2021年6月中国刚刚通过了《数据安全法》,中国企业被要求改善他们的数据保护实践。未能保护数据并导致大规模数据泄露的组织将面临最高200万元人民币的罚款,并可能被暂停相关业务。因此,许多企业已经实施或正在实施零信任,有些甚至建立了基于零信任安全的新一代远程办公系统。
在最近一些备受瞩目的网络攻击中出现了一种明显的模式———恶意软件通过网络钓鱼或由恶意行动者利用暴露的服务器漏洞对企业进行攻击。恶意软件在进入后会在企业内部横向移动,寻找高价值的目标。勒索软件正是通过这种模式找到可以加密的目标,然后索取解密贖金。令人震惊的是,全球不乏脆弱和暴露的服务器,也不乏勒索软件的受害者。
幸运的是,零信任可以在这方面有所作为。零信任的基本理念是确保用户只能访问他们需要访问的应用程序,而且必须在经过验证和授权之后才能访问。事实上,在采取零信任策略的情况下,用户在经过验证并被授予访问权限之前无法访问应用程序,因此不会暴露应用程序。在零信任威胁保护下,用户会被自动阻止访问钓鱼网站或恶意软件分发网站,而恶意软件会被自动阻止访问其命令和控制。通过这些基本机制,零信任使恶意软件更难进入或传播。
零信任的核心是非常严格的访问控制,能够确保只向经过验证和授权的用户授予访问权限,而且只用于必要的用途。尽管该策略的名称是“零信任”,但它并不吓人。这个概念十分简单,可以认为是一种添加了环境变量的最小权限访问形式。
零信任网络访问“名不副实”
尽管零信任并不复杂,并且可以被看作是最小权限访问安全原则的加强版,但其实二者并不相似。事实上,它与最小权限访问最显著的区别之一在于零信任基于应用程序访问,而不是网络访问。了解网络访问和应用程序访问之间的区别至关重要。
传统的企业应用程序访问基于网络访问,需要在企业网络上才能访问企业应用程序。例如在企业的某幢办公大楼里,会连接该企业的WiFi网络或以太网,可能还需要通过一个额外的网络访问控制(NAC)步骤,如果在其他地方,可能使用虚拟私人网络(VPN)。无论哪种方式,都会有某种形式的验证和授权允许您在企业网络上访问,此时,如果有较高的权限,就可以访问企业的应用程序。
但这种伴随着网络访问的高级权限也会带来不需要的额外功能。具体而言,您可能无法登录到每一个这样的应用程序,但可以看到它们,也就是说,可以将数据包发送给它们。这个区别十分重要,如果能看到一个应用程序,就可以让它执行代码(例如显示登录屏幕或启动一些其他形式的登录挑战)。如果能让它执行代码,就可以利用漏洞。
这明显违反了最小权限原则,访问某些应用程序但无需看到其他应用程序,更不用说扫描网络漏洞。零信任通过使用基于应用程序的访问模式来解决这个问题。
通过零信任访问,用户和应用程序之间不存在直接路径,所有访问均通过代理进行。一般情况下,零信任访问作为一种服务提供,代理位于多个互联网地点,这样,用户只需要连接互联网,而不需要连接企业网络。
即使在远程访问的情况下,也不需要VPN,当用户试图连接一个应用程序时,他们会被转到这些代理之一。只有在代理对用户进行认证并确定用户被授权使用该应用程序后,它才会建立与该应用程序的前向连接并允许用户与该应用程序进行通信。
现在已了解基于网络的传统访问模式和基于应用程序的零信任访问模式之间的明显区别。在基于网络的访问中,应用程序被暴露在网络中(无论是整个互联网还是企业网络),对任何可能需要访问的人都是可见的。相反,在基于应用程序的访问中,应用程序是不可见的,只有确实需要访问的人在经过验证和授权后才能看见应用程序。
在边缘部署零信任
在这个用户、威胁和应用程序无处不在的时代,所有流量都必须通过一个可靠的安全堆栈,但回传流量会破坏性能,而且回传攻击流量会造成更大的破坏。那么如何在不进行回传的情况下实现这一目标?答案是部署零信任安全并将其作为一项边缘服务提供。
在深入研究传统部署模式时,应首先考虑员工访问基于互联网的网络应用程序这一情况。此类应用程序可能是工作所需的SaaS应用程序,也可能是在工作环境中使用或者用于个人活动的网络应用程序。为了确保这些流量的安全,需要一个安全网络网关(SWG)。
SWG确保可接受的使用政策得到执行,员工不会意外尝试访问钓鱼网站,恶意软件不会被下载到员工的设备等。SWG是安全堆栈的一个重要组成部分,而在强大的网络安全态势下,所有对基于互联网的网络应用程序的访问都要经过SWG。
问题在于在传统的SWG部署模式需要进行回传,SWG作为设备或虚拟设备部署在一个或少数几个地点。如果几乎所有员工都在一个或少数几个办公地点工作,那就可以选择让这些SWG地点位于办公室内或附近,这样就不需要进行回传。
但由于员工经常远程工作并且一般通过远程访问VPN,所以流量必须回传到SWG。这会破坏性能并带来其他扩展挑战。此外,SWG并不是安全堆栈的唯一重要组成部分。在强大的网络安全态势下,所有流量都必须接受访问控制和检查,而不仅是那些通过SWG的互联网流量。该要求是零信任的一个基本原则。
回传流量破坏性能
在零信任安全态势下,所有流量都需要通过安全堆栈;而在传统部署模式下,该要求会迫使回传流量及其所有相关问题。回传不但成本高昂并且会破坏性能,而且当其中一些流量被攻击时,情况会变得更糟。
处理攻击流量是安全堆栈的功能之一。在流量到达安全堆栈之前,不知道哪些流量是攻擊流量,回传攻击流量只是给了它更多的机会与网络链接和设备互动。而这也给了它进行破坏的机会,例如破坏关键的上游链接并使整个安全堆栈无法访问。
当安全问题被部署在边缘时的回传
那么应该怎么做呢?与其将流量回传到安全堆栈,不如将安全堆栈部署在流量所在的边缘。在这种模式下,一个完整的零信任安全堆栈可以作为一项服务在边缘基础设施上运行。由于安全堆栈位于边缘,因此它靠近在任何地点工作的用户/员工,无论他们是在办公室、家中还是在路上工作。同样,它还靠近被部署在任何位置的应用程序,无论它们是在数据中心、云端,还是在其他位置。
靠近用户和应用程序的边缘正是安全堆栈的用武之地———这里是流量所在,不需要回传。此外,安全堆栈还靠近位于边缘的任何攻击者,比如被破坏的企业设备或蠕虫,因此可以在攻击流量有机会造成任何破坏之前在源头阻止它。
随着企业继续面临更加先进和恶性的网络威胁,同时还需要管理远程工作团队,与一个值得信赖的网络安全合作伙伴合作可以为企业提供实现完整零信任安全架构的工具,从而在新的办公世界取得成功。鉴于上述这些优点以及目前市场上产品的成熟度,在向后疫情时代迈进时,没有理由不使用零信任解决方案来保护自己的企业。