概述
零信任是一种安全防护架构设计方法,其核心前提是所有交互均从不可信状态开始。以往的安全防护方法始于隐式信任和一次性身份验证机制。但随着云技术的广泛应用、对移动应用的日益依赖、AI 的持续发展以及远程办公的日益普及等趋势,各企业组织正逐步摒弃传统的基于边界的安全防护模式,转而采用零信任架构。
在 2010 年发布的一份 Forrester Research 报告(PDF 版)中,John Kindervag 首次提出零信任理念,他指出,网络安全的通用做法应升级为“永不信任,始终验证”的策略。传统架构依赖于强大的安全防护边界,一旦攻击者突破这一外部防线,整个架构就会极易受到攻击。这种“城堡与护城河”模型意味着外部边界之外的用户不受信任,但默认情况下网络内的所有用户均受到信任。如果用户凭据遭遇泄露,这种“默认信任”机制会导致整个环境都极易遭受攻击。
与此相反,Kindervag 主张将零信任作为信息安全领域的全新方法,该方法将所有网络流量均视为不可信,对系统内的流量进行全程检查与日志记录,并在系统内部限制且强制实施访问控制。以往,网络攻击者一旦获得对一个或多个内部端点或资产的访问权限,便可沿网络横向移动、利用漏洞、窃取受控的信息并发起进一步的攻击。而在零信任模型中,企业组织会持续对数据、用户、应用与设备之间的连接进行验证和身份认证。
零信任安全防护的原则和概念
零信任安全防护依托多项核心原则构建,可防范网络边界架构和隐式信任架构中的漏洞对敏感数据及服务造成的影响,具体原则包括:
微分段
微分段是一种细粒度的网络结构设计方法,通过划分访问权限并将用户权限限定在特定应用和服务范围内,可有效限制横向移动、缩小攻击面并遏制数据泄露。
最小权限原则
如果交互不能基于名称或位置自动假定信任,那么每次交互都应被视为可疑。决定是否允许交互,便成为一项必须要权衡利弊的业务决策。最小特权原则是一种安全实践,即用户只能访问其绝对需要的资源。这有助于降低内部威胁风险。对于每次资源访问请求,都会通过身份管理系统,结合基于风险、感知上下文的访问控制机制进行动态验证。
去边界化
如今企业不再以地理边界为界定标准。用户从不同位置、通过不同端点进行操作,访问来自企业组织可能不拥有或不控制的云环境、移动环境和边缘环境的资源。去边界化作为对防火墙、安全边界等传统防护措施的补充,采用分层安全防护方法,涵盖加密技术、数据级安全防护及可靠的多因素身份验证机制。
假设已遭入侵
“假设已遭入侵”是指预设防御边界已被突破,并且面向外部的安全控制措施不再有效。这一原则能帮助企业组织构建更合理的环境架构,确保安全防护在系统内部形成冗余控制,而非过度依赖防御边界来抵御恶意行为或侦察活动。
红帽资源
实施零信任方法
不完善的安全防护架构易受到复杂网络攻击的威胁;而随着网络范围不断扩大,纳入更多端点、资产、位置及 AI 应用,“先信任后验证”的安全方法会逐渐难以应对。
为做好漏洞管理,许多企业正在摒弃允许安全访问整个网络的虚拟专用网络(VPN),转而采用粒度更精细的零信任网络访问(ZTNA),后者将会进行访问分段并限制用户对特定应用和服务的权限。这种微分段方法有助于限制攻击者的横向移动,缩小攻击面,并遏制数据泄露造成的影响。
实施零信任架构无需全面更换现有网络或获取全新技术。相反,该框架应着力强化现有的安全实践与工具。目前,许多企业组织不仅具备构建零信任架构的必要基础,其日常运维中采用的部分实践也已在为零信任架构提供支撑。
例如,传统安全防护架构中可能已包含以下这些零信任架构所需的关键组件:
- 身份和访问权限管理
- 授权
- 自动决策
- 确保资源得到修补
- 通过事务记录和分析进行持续监控
- 自动化易出现人为错误的可重复活动
- 用于提升资产安全性的行为分析和威胁情报
零信任特别适用于Kubernetes 环境,因为 Kubernetes 集群假定运行于其上的应用和容器均为可信状态,无需进一步的身份验证和授权。如果两个服务在同一 Kubernetes 集群上运行,则默认情况下它们可以在网络级别相互访问。这意味着,面向 Kubernetes 的零信任必须提供粒度精细且覆盖全面的安全态势,同时能够跨不同基础架构保护容器化环境,确保无论部署位置如何,都能始终如一地实施零信任。
要在 Kubernetes 中构建可靠的零信任安全态势,关键一环在于集成安全的软件供应链。软件供应链安全防护可确保集群内部署的容器镜像和应用经过验证,不存在已知漏洞,并且在整个生命周期内未被篡改。通过采用安全供应链实践,企业组织可以将零信任原则扩展到 Kubernetes 部署的各个构建要素,进一步缩小攻击面,并降低因软件组件受损带来的风险。
与零信任类似,随着企业组织对 Kubernetes 和云的依赖度不断提升,机密计算的应用也日益广泛。机密计算通过保护数据最易受攻击的状态(即数据处于“活跃使用中”),为安全防护新增关键一层,可有效应对内部威胁、多租户云风险及严苛的监管合规性要求等问题。同时,机密计算还能增强运行时加密和工作负载隔离能力,并实现细粒度的远程证明,从而将零信任扩展到整个基础架构。
由于零信任要求具备对所有用户(无论处于企业组织安全边界内部还是外部)进行身份证明和验证的能力,因此必须确保身份与工作负载及部署相关联,并且仅在必要时授权并授予访问权限。对于希望在混合云环境中采用统一身份框架的企业组织,Secure Production Identity Framework For Everyone(SPIFFE)和 SPIFFE 运行时环境(SPIRE)框架提供了单一信任根,可跨本地和云平台与工作负载相关联。
SPIFFE 是云原生计算基金会(CNCF)旗下的一项开放标准,规定了工作负载身份的识别、签发和验证方法,且全程无需依赖密码、应用编程接口(API)密钥等长期有效的敏感机密字符串。SPIRE 是 SPIFFE 的一种实施,依据后者的相关规范提供生产就绪型架构,支持跨企业组织部署管理身份。
标准和框架
零信任由各类合规框架与行业标准界定,这些框架和标准可帮助企业增强自身安全态势,具体包括:
- 美国国家标准与技术研究院(NIST)于 2020 年发布的关于零信任架构的《800-207 特刊》概述了零信任架构和部署模型的定义,并涵盖了可从零信任方法中获益的用例。
- 美国网络安全与基础架构安全局(CISA)发布的《零信任成熟度模型》为机构向零信任架构转型提供了路线图,其中涵盖企业组织在推进零信任架构时可参考的五大支柱:身份、设备、网络、应用与工作负载以及数据。围绕每一支柱,企业组织需考量如何通过可见性与分析、自动化与编排以及治理措施,助力实现“确保资源访问适时适度、避免过度授权”的目标。
- 2021 年 5 月发布的《第 14028 号行政命令》强制要求企业加强安全防护,以推动零信任架构的应用普及。EO 14028 的核心举措包括:提升软件供应链安全性、在联邦政府内实施网络安全标准、消除威胁信息共享的障碍、设立网络安全审查委员会、制定应对网络安全漏洞与事件的标准化操作手册,以及完善网络安全调查与问题修复机制。
用例和优势
许多企业组织可能已在其环境中实施了一些零信任要素。以下几种用例尤其适合采用零信任方法,具体包括:
缩小攻击面
攻击面是指攻击者为窃取数据或侵入关键系统而可能利用的所有潜在切入点。向远程办公和混合办公模式的转变,以及边缘和 AI 部署的增长,大大增加了企业组织 IT 的可用攻击面。攻击面一旦扩大且不断变化,潜在安全漏洞也会随之增加。零信任模型侧重于必须受到保护的关键数据、应用、资产和服务(DAAS,即保护面),并通过实施严格的控制与监控措施保障其安全。
身份和访问权限管理
访问与端点安全防护涵盖企业组织为维护网络安全、保护网络内所有资产所采取的各类措施。 随着企业组织逐步采用云原生生态系统和先进的 AI 工作流,机器或工作负载身份的应用愈发普遍。由于跨多个云平台运行的工作负载会涉及不同身份域,这使得零信任原则的应用至关重要。在零信任模型中,证明和验证身份是安全防护的基本要素。基于零信任的最小权限访问管理方法允许管理员自定义角色并授予特定的细粒度权限,以确保用户仅拥有完成任务所需的最小访问权限,从而降低潜在威胁风险。
保护软件供应链
然而,企图渗透到软件供应链中的不法分子可能会在开发生命周期的早期损害开源组件及依赖项的安全性,进而引发网络攻击并导致应用发布延迟。为保障软件供应链的安全并在问题修复成本较低时尽早发现问题,采用零信任方法可发挥至关重要的作用。
构建安全的软件供应链需确保软件从初始设计到开发、测试、部署及持续维护整个生命周期内的完整性与安全性。具体措施包括验证代码的来源和真实性、采用安全的构建流程、扫描漏洞,以及实施防篡改控制措施。通过在整个软件供应链中建立信任机制和透明化管理,企业组织可降低恶意代码注入及其他攻击风险,避免系统和数据受损。
企业组织可通过以下方式将供应链攻击的风险降至最低:
数字主权
数字主权是指国家或组织依据自身政策、价值观及战略目标,独立控制和保护关键数字基础架构的能力。它确保关键服务安全且由内部治理,同时符合数据驻留、隐私保护及法律边界等合规要求。希望维护数字主权的企业组织可采用零信任原则来强化安全防护、保持对自身数据的控制权、为内部创新腾出时间,并降低对外部技术供应商的依赖。
多云和混合云企业级部署
多云部署及云到云架构亟需零信任安全保障,因为云提供商虽负责其自身基础架构的安全,但企业需自行承担应用层安全防护及敏感数据保护的责任。对于在多云和混合环境中运维的企业组织而言,跨云和本地环境开展威胁检测和事件响应至关重要。
防范基于 AI 的攻击
利用 AI 实施的网络攻击正不断增加,这使得攻击的检测与防范较以往更为复杂。与此同时,企业组织也可借助 AI 实现威胁响应与风险缓解的自动化,从而强化零信任安全态势。AI 的发展势头表明,零信任方法若想在未来持续为企业组织提供可靠的安全保障,就必须具备动态性和适应性,既要能检测新型威胁,又要尽可能减少运维中断。
实施零信任面临的挑战
许多企业组织在实施零信任过程中仍面临困难。零信任往往需要领导层和安全专业人员双双转变思维方式:领导者需意识到沿用过时安全架构的潜在风险。IT 和运维技术(OT)专业人员则要厘清如何利用现有资产降低零信任实施成本,以及在哪些方面应优先考虑新的投资。然而,部分协议和设备天生不兼容零信任,因此领导层必须决策是更换还是保留它们。如果某些系统无法完全采用零信任方法,OT 专业人员应评估是否可通过应用替代安全控制措施,进一步减少风险暴露。
零信任的基本原则是“默认拒绝”或“始终验证”。这就要求各团队长期致力于实施和维护系统,并确保没有任何部门通过创建影子 IT 来绕过安全架构。
红帽能如何提供帮助
红帽致力于帮助企业在自身安全态势中采用零信任措施。
红帽® 企业 Linux® 是构建可靠的零信任架构(ZTA)的基础要素。它集成了支持 ZTA 成熟度提升的关键功能,具体包括:
- 结合多因素身份验证的集中式身份管理,且可与外部身份提供商集成。
- 用于保障设备和网络完整性的安全启动及远程证明功能。
- 安全增强型 Linux(SELinux)、应用白名单及机密计算。
- 用于自动化零信任策略的镜像模式和系统角色。
红帽企业 Linux 10 从三方面增强供应链安全防护:一是采用安全至上的构建流程;二是提供数字签名的软件包;三是实现对软件物料清单(SBOM)、通用漏洞披露的有效管理。借助这些功能,红帽企业 Linux 可帮助企业组织构建、部署和维护能够持续适应不断变化的威胁和监管要求的系统,从而推动企业组织向更高的 ZTA 成熟度级别迈进。
红帽 OpenShift® 可从多维度提升零信任防护能力:整合安全控制措施、依托 SELinux 构建运行时隔离环境、通过红帽 OpenShift Pipelines 完成镜像签名和策略实施,同时提供原生基于角色的访问控制(RBAC)以实现平台和工作负载的高效治理。红帽 OpenShift 还为一致的声明式部署、与结构化身份验证原则的集成、微分段和网络策略以及可审计性和合规性奠定了基础。借助红帽 OpenShift,无论应用、数据和 AI 模型在何处运行,您都可以确保它们始终合规、可信且尽在您的掌控之中。
红帽 Kubernetes 高级集群安全防护提供值得信赖的 Kubernetes 原生安全防护解决方案,可集成到您的混合云环境中,打造一致且全面的安全防护方法。红帽高级集群安全防护包含以下功能:
- 最小权限及身份和访问权限管理。
- 持续验证与监控。
- 运行时安全控制与威胁检测。
- 策略即代码与自动化。
- 漏洞管理。
- 供应链安全性、合规性和可审计性。
零信任工作负载身份管理器为企业组织提供了安全防护功能,可跨各种云基础架构管理工作负载身份。零信任工作负载身份管理器基于 SPIFFE/SPIRE 构建,可与红帽 OpenShift 实现企业级集成,使您能够跨云平台实施集中式、可扩展的身份管理机制。
红帽可信软件供应链为云原生应用提供软件供应链安全防护,既能帮助您缓解并降低软件交付过程中的风险,同时也能让开发团队和安全团队以较低成本轻松快速地采用零信任安全防护实践。
红帽 Ansible® 自动化平台可充当安全团队、工具和流程之间的集成层,并为您在环境中实施零信任提供有力支持。通过 Ansible 自动化平台,您可实现以下功能:
- 连接您的安全防护系统、工具和团队。
- 从系统收集信息并将它高效地转到预定义的系统和位置,无需人工干预。
- 从集中式界面更改和传播配置。
- 创建、维护和访问自定义安全防护自动化内容。
- 在检测到威胁时,跨多个安全防护工具触发自动化响应操作。
红帽可帮助您开始采用零信任,并在整个环境中实施零信任实践。
