概述
零信任是一种安全防护架构设计方法,其核心理念是所有交互默认处于不可信状态。以往的安全防护方法基于隐式信任和一次性身份验证。但是,随着云的广泛应用、对移动应用的日益依赖、AI 的持续发展,以及远程办公的日益普及等趋势,企业组织正逐步摒弃基于边界的传统安全防护方法,转而采用零信任架构。
在 2010 年发布的一份 Forrester Research 报告(PDF 文件)中,John Kindervag 首次提出零信任理念,他指出,网络安全防护的通用做法应更新为“永不信任,始终验证”策略。传统架构依赖于强大的安全防护边界,一旦攻击者突破这一外部防线,整个架构就会极易受到攻击。这种“城堡与护城河”模型意味着外部边界之外的用户不受信任,但网络内的所有用户都默认受到信任。如果用户凭据遭到泄露,这种“默认信任”方法会导致整个环境都极易遭受攻击。
与此相反,Kindervag 主张将零信任作为一种新的信息安全防护方法,该方法将所有网络流量视为不可信,检查并记录整个系统内的流量,还会在整个系统内限制并强制实施访问控制。以往,网络攻击一旦获得对一个或多个内部端点或资产的访问权限,便可沿网络横向移动、利用漏洞、泄露受控信息并发起进一步攻击。在零信任模型中,企业组织会持续对数据、用户、应用和设备之间的连接进行验证和身份验证。
零信任安全防护的原则和概念
零信任安全防护基于多项核心原则,这些原则能够保护敏感数据和服务,使其免受网络边界和隐式信任架构中漏洞的威胁,具体包括:
微分段
微分段是一种精细的网络结构方法,通过划分访问权限并将用户权限限定在特定应用和服务范围内,可有效限制横向移动、缩小攻击面并遏制数据泄露。
最小权限访问
如果交互不能基于名称或位置自动假定信任,那么每次交互都应被视为可疑。决定是否允许交互,便成为一项必须要权衡利弊的业务决策。最小权限是一种安全防护实践,即用户只能访问他们绝对需要的资源。这有助于降低内部威胁的风险。对于每个资源访问请求,都会通过身份管理以及基于风险、感知上下文的访问控制进行动态验证。
去边界化
企业的边界不再局限于地理范围。用户从不同位置、通过不同端点进行操作,访问不归企业组织所有或不由其控制的云环境、移动环境和边缘环境的资源。去边界化作为对防火墙、安全边界等传统防护措施的补充,采用分层安全防护方法,涵盖加密技术、数据级安全防护及可靠的多因素身份验证机制。
假设已遭入侵
“假设已遭入侵”是指预设防御边界已被突破,并且面向外部的安全防护控制措施不再有效。这一原则可帮助企业组织构建更合理的环境架构,确保安全防护在系统内部形成冗余控制,而非过度依赖防御边界来抵御恶意行为或侦察活动。
红帽资源
实施零信任方法
不完善的安全防护架构容易受到复杂网络攻击的威胁,随着网络范围不断扩大,纳入更多端点、资产、位置及 AI 应用,“先信任后验证”的安全防护方法会逐渐难以应对。
为做好漏洞管理,许多企业正在摒弃允许安全访问整个网络的虚拟专用网络(VPN),转而采用更精细的零信任网络访问(ZTNA),后者将会进行访问分段,并限制用户对特定应用和服务的权限。这种微分段方法有助于限制攻击者的横向移动,缩小攻击面,并遏制数据泄露造成的影响。
实施零信任架构无需全面更换现有网络或获取全新技术。相反,该框架应着力强化现有的安全防护实践与工具。目前,许多企业组织不仅具备构建零信任架构的必要基础,其日常运维中采用的部分实践也在为零信任架构提供支撑。
例如,传统安全架构中可能已经包含了实施零信任所需的一部分关键组件:
- 身份和访问权限管理
- 授权
- 自动化策略决策
- 确保资源得到修补
- 通过事务记录和分析进行持续监控
- 自动执行易出现人为错误的可重复活动
- 用于提升资产安全性的行为分析和威胁情报
零信任特别适用于 Kubernetes 环境,因为 Kubernetes 集群假定运行于其上的应用和容器均为可信状态,无需进一步的身份验证和授权。如果两个服务在同一 Kubernetes 集群上运行,它们默认可以在网络级别相互访问。这意味着,面向 Kubernetes 的零信任必须提供精细且全面的安全态势,同时能够跨不同基础架构保护容器化环境,确保无论部署位置如何,都能始终如一地实施零信任。
要在 Kubernetes 中实现可靠的零信任安全态势,关键在于集成安全的软件供应链。软件供应链安全防护可确保集群内部署的容器镜像和应用经过验证,不存在已知漏洞,并且在整个生命周期内未被篡改。通过采用安全的供应链实践,企业组织可以将零信任原则扩展到 Kubernetes 部署的各个构建要素,进一步缩小攻击面,并缓解软件组件受损所带来的风险。
与零信任类似,随着企业组织越来越依赖 Kubernetes 和云,机密计算的应用也日益广泛。机密计算通过保护数据最易受攻击的状态(即数据正被使用),新增一层关键的安全防护,可有效应对内部威胁、多租户云风险及严苛的监管合规要求等问题。机密计算还能增强运行时加密和工作负载隔离,并实现精细的远程证明,从而将零信任扩展到整个基础架构。
由于零信任要求能够证明和验证所有用户(无论处于企业组织安全防护边界之内还是之外)的身份,因此必须确保身份与工作负载及部署相关联,并且仅在必要时授权并授予访问权限。对于希望在混合云环境中采用统一身份框架的企业组织,Secure Production Identity Framework For Everyone(SPIFFE)和 SPIFFE 运行时环境(SPIRE)框架提供了单一信任根,可跨本地和云平台与工作负载相关联。
SPIFFE 是云原生计算基金会(CNCF)的一项开放标准,规定了如何识别工作负载、分配与验证身份,同时避免使用长期有效的密钥字符串,这些字符串是指密码或应用编程接口(API)密钥等长期有效的敏感身份识别信息。SPIRE 是 SPIFFE 的一种实施,依据后者的相关规范提供生产就绪型架构,支持跨企业组织部署管理身份。
标准和框架
零信任由各类合规框架与行业标准共同界定,这些框架和标准可帮助企业组织增强自身安全态势,具体包括:
- 美国国家标准与技术研究院(NIST)在 2020 年发布了关于零信任架构的 800-207 特刊,其中概述了零信任架构和部署模型的定义,并涵盖了可从零信任方法中获益的用例。
- 美国网络安全和基础设施安全局(CISA)发布的零信任成熟度模型为机构向零信任架构转型提供了路线图,其中涵盖企业组织在构建零信任架构时可参考的五大支柱:身份、设备、网络、应用与工作负载,以及数据。围绕每一支柱,企业组织需考量如何通过可见性与分析、自动化与编排以及治理措施,助力实现“在正确的时间访问正确的资源、避免过度授权”这一目标。
- 2021 年 5 月发布的第 14028 号行政命令强制要求企业加强安全防护,以推动零信任架构的采用。第 14028 号行政命令的核心举措包括:提升软件供应链安全性、在联邦政府内实施网络安全标准、消除威胁信息共享的障碍、设立网络安全审查委员会、制定应对网络安全漏洞与事件的标准化操作手册,以及完善网络安全调查与修复机制。
用例和优势
许多企业组织可能已在其环境中实施了一些零信任要素。以下几种用例尤其适合采用零信任方法,具体包括:
缩小攻击面
攻击面是指攻击者为窃取数据或侵入关键系统而可能利用的所有潜在切入点。向远程办公和混合办公模式的转变,以及边缘和 AI 部署的增长,大大增加了企业组织 IT 的潜在攻击面。当攻击面不断扩大和变化时,潜在的漏洞也会随之增加。零信任模型侧重于必须受到保护的关键数据、应用、资产和服务(DAAS),并通过实施严格的控制与监控措施确保它们安全无虞。
身份和访问权限管理
访问与端点安全防护涵盖企业组织为维护网络安全、保护网络内所有资产所采取的各类措施。 随着企业组织逐步采用云原生生态系统和先进的 AI 工作流,机器或工作负载身份越来越普遍。由于跨多个云平台运行的工作负载会涉及不同身份域,这使得零信任原则的应用至关重要。在零信任模型中,证明和验证身份是安全防护的基本要素。采用基于零信任的最小权限访问管理方法,管理员可以指定自定义角色并授予特定的精细权限,确保用户仅拥有完成任务所需的最小访问权限,从而减少潜在威胁。
保护软件供应链
企图渗入软件供应链的不法分子可能会在开发生命周期的早期损害开源组件及依赖项的安全性,进而引发网络攻击并导致应用发布延迟。为了保证软件供应链的安全并在问题修复成本较低时尽早发现问题,采用零信任方法可发挥至关重要的作用。
要构建安全的软件供应链,关键在于确保软件在整个生命周期(包括初始设计、开发、测试、部署及持续维护)中的完整性与安全性。具体措施包括验证代码的来源和真实性、采用安全的构建流程、扫描漏洞,以及实施防篡改控制措施。通过在整个软件供应链中建立信任和透明度,企业组织可降低恶意代码注入及其他攻击带来的风险,避免系统和数据受损。
企业组织可通过以下方式将供应链攻击的风险降至最低:
数字主权
数字主权是指国家或企业组织能够依据自身政策、价值观及战略目标,独立控制和保护关键数字基础架构。它确保关键服务安全且由内部治理,同时符合数据驻留、隐私保护及法律边界等合规要求。希望维护数字主权的企业组织可采用零信任原则来强化安全防护、保持对自身数据的控制权、为内部创新腾出时间,并减少对外部技术供应商的依赖。
多云和混合云企业级部署
在多云部署以及云到云架构中,零信任安全防护不可或缺,这是因为云服务提供商负责其基础架构的安全防护,但企业需要确保应用层安全无虞,还要保护敏感数据。对于在多云和混合环境中运维的企业组织而言,跨云和本地环境开展威胁检测和事件响应至关重要。
防范基于 AI 的攻击
利用 AI 实施的网络攻击不断增加,这使得攻击的检测与防范比以往更为复杂。与此同时,企业组织也可借助 AI 实现威胁响应与风险缓解的自动化,从而强化零信任安全态势。AI 的发展势头表明,零信任方法必须具备动态性、自适应能力,既可检测新型威胁,又能尽可能减少运维中断,才能为企业组织提供具有弹性且面向未来的安全防护。
零信任实施的挑战
许多企业组织在实施零信任过程中仍面临困难。零信任往往需要领导层和安全专业人员双双转变思维方式:领导者需意识到沿用过时安全架构的潜在风险。IT 和运维技术(OT)专业人员则要厘清如何利用现有资产降低零信任实施成本,以及在哪些方面应优先考虑新的投资。然而,部分协议和设备天生不兼容零信任,因此领导层必须决定是更换还是保留它们。如果某些系统无法完全采用零信任方法,OT 专业人员应评估是否可通过应用替代安全防护控制措施,进一步减少风险暴露。
零信任的基本原则是“默认拒绝”或“始终验证”。这就要求各团队长期致力于实施和维护系统,并确保没有任何部门通过创建影子 IT 来绕过安全架构。
红帽能如何提供帮助?
红帽致力于帮助企业在自身安全态势中采用零信任措施。
红帽® 企业 Linux® 是构建可靠零信任架构(ZTA)的基础要素。它集成了支持 ZTA 成熟度的关键功能,具体包括:
- 集中式身份管理,支持多因素身份验证并与外部身份提供商集成。
- 确保设备和网络完整性的安全启动及远程证明。
- 安全增强型 Linux(SELinux)、应用白名单及机密计算。
- 实现零信任策略自动化的镜像模式和系统角色。
红帽企业 Linux 10 凭借安全至上的构建流程、经过数字签名的软件包,以及对软件物料清单(SBOM)、通用漏洞和披露的管理,全面增强供应链安全防护。借助这些功能,红帽企业 Linux 可帮助企业组织构建、部署和维护能够持续适应不断变化的威胁和监管要求的系统,从而推动企业组织向更高的 ZTA 成熟度级别迈进。
红帽 OpenShift® 可从多维度提升零信任防护能力:整合安全防护控制措施、基于 SELinux 的运行时隔离、通过红帽 OpenShift Pipelines 实现镜像签名和策略执行,同时提供原生基于角色的访问权限控制(RBAC)来实现平台和工作负载治理。红帽 OpenShift 可为一致的声明式部署、与结构化身份验证原则的集成、微分段和网络策略以及可审计性和合规性奠定基础。借助红帽 OpenShift,无论应用、数据和 AI 模型在何处运行,您都可以确保它们始终合规、可信且尽在掌控之中。
红帽 Kubernetes 高级集群安全防护提供值得信赖的 Kubernetes 原生安全防护解决方案,可集成到您的混合云环境中,打造一致且全面的安全防护方法。红帽高级集群安全防护包含以下功能:
- 最小权限及身份和访问权限管理。
- 持续验证与监控。
- 运行时安全防护控制与威胁检测。
- 策略即代码与自动化。
- 漏洞管理。
- 供应链安全性、合规性和可审计性。
零信任工作负载身份管理器为企业组织提供了安全防护功能,可跨各种云基础架构管理工作负载身份。零信任工作负载身份管理器基于 SPIFFE/SPIRE,可与红帽 OpenShift 实现企业级集成,让您能够跨云平台实施集中式、可扩展的身份管理机制。
红帽可信软件供应链可为云原生应用提供软件供应链安全防护,既能帮助您缓解并降低软件交付过程中的风险,同时也能让开发团队和安全防护团队以较低成本轻松快速地采用零信任安全防护实践。
红帽 Ansible® 自动化平台可充当安全防护团队、工具和流程之间的集成层,并为您在环境中实施零信任提供有力支持。通过 Ansible 自动化平台,您可以:
- 连接安全防护系统、工具和团队。
- 从系统收集信息并将它高效地转到预定义的系统和位置,无需人工干预。
- 从集中式界面更改和传播配置。
- 创建、维护和访问自定义安全防护自动化内容。
- 在检测到威胁时,跨多个安全防护工具触发自动化响应操作。
红帽可帮助您开始采用零信任,并在整个环境中实施零信任实践。
红帽官方博客
获取有关我们的客户、合作伙伴和社区生态系统的最新信息。
