網(wǎng)絡(luò)如何為零信任提供支持
構(gòu)建零信任架構(gòu)通常要求對網(wǎng)絡(luò)資源給予足夠的訪問權(quán)限,這樣用戶就可以完成他們的工作任務(wù),網(wǎng)絡(luò)本身也可以提供幫助。
簡單地說,零信任要求驗(yàn)證每個(gè)試圖訪問網(wǎng)絡(luò)的用戶和設(shè)備,并實(shí)施嚴(yán)格的訪問控制和身份管理措施,讓授權(quán)用戶只能訪問他們工作所需的資源。
零信任作為一種架構(gòu)有許多潛在的解決方案可供選擇,但這只是適用于網(wǎng)絡(luò)領(lǐng)域的一種解決方案。
最小特權(quán)
最小特權(quán)是零信任的一個(gè)原則,即允許用戶獲得足夠的資源來完成他們的工作。實(shí)現(xiàn)這一點(diǎn)的一種方法是網(wǎng)絡(luò)分段,它根據(jù)身份驗(yàn)證、信任、用戶角色、拓?fù)鋵⒕W(wǎng)絡(luò)分割成不相連的部分。如果有效實(shí)施,它可以隔離網(wǎng)段上的主機(jī),并將其東西流向的通信最小化,從而在主機(jī)遭到攻擊時(shí)限制附帶損害的范圍。由于主機(jī)和應(yīng)用程序只能訪問其被授權(quán)訪問的有限資源,因此分段可防止網(wǎng)絡(luò)攻擊者損害網(wǎng)絡(luò)的其余部分。
組織被授予訪問權(quán)限,并根據(jù)場景授權(quán)訪問資源:例如用戶是誰,使用什么設(shè)備訪問網(wǎng)絡(luò),網(wǎng)絡(luò)位于何處,如何通信,以及為什么需要訪問。
還有其他強(qiáng)制分段的方法。最傳統(tǒng)的方法之一是物理隔離,也就是使用專用服務(wù)器、電纜和網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)進(jìn)行物理隔離,以達(dá)到不同的安全級(jí)別。雖然這是一種行之有效的方法,但為每個(gè)用戶的信任級(jí)別和角色構(gòu)建完全獨(dú)立的網(wǎng)絡(luò)環(huán)境在成本方面可能很高昂。
第二層分段
另一種方法是第二層分段,通過設(shè)備和接入交換機(jī)之間的內(nèi)聯(lián)安全過濾將終端用戶和他們的設(shè)備隔離開來。但是在每個(gè)用戶和交換機(jī)之間安裝防火墻的成本可能會(huì)非常昂貴。另一種方法是基于端口的網(wǎng)絡(luò)訪問控制,它基于身份驗(yàn)證或請求方證書授予訪問權(quán)限并將每個(gè)節(jié)點(diǎn)分配給第三層虛擬局域網(wǎng)(VLAN)。
這些方法通常通過802.1x標(biāo)準(zhǔn)和可擴(kuò)展認(rèn)證協(xié)議在有線和無線接入網(wǎng)絡(luò)上使用。然而,組織可能無法利用供應(yīng)商的最終用戶角色、身份驗(yàn)證憑據(jù)、設(shè)備配置文件和高級(jí)流量篩選等更全面的功能,并根據(jù)用戶的可信度級(jí)別對其進(jìn)行分段。
第三層分段
創(chuàng)建應(yīng)用程序隔離區(qū)的常用方法包括將訪問電纜和端口分離到第三層子網(wǎng)(VLAN)中,并執(zhí)行內(nèi)聯(lián)過濾。過濾可以通過網(wǎng)絡(luò)設(shè)備(例如路由器)執(zhí)行,也可以通過對用戶身份和角色有所了解的防火墻或代理服務(wù)器執(zhí)行。一個(gè)典型的示例是標(biāo)準(zhǔn)的三層Web應(yīng)用程序體系結(jié)構(gòu),其中Web服務(wù)器、應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器位于不同的子網(wǎng)中。
可以采取網(wǎng)絡(luò)切片的方法,這是一種軟件定義網(wǎng)絡(luò)的方法,網(wǎng)絡(luò)在邏輯上被分成多個(gè)部分,類似于虛擬路由和轉(zhuǎn)發(fā)場景。
當(dāng)前主要的做法是為每臺(tái)服務(wù)器分配自己的IPv4子網(wǎng)或IPv6/64前綴,并讓它向網(wǎng)絡(luò)路由器公布其子網(wǎng)。該服務(wù)器子網(wǎng)中的所有通信量都是該服務(wù)器的本地通信量,并且該主機(jī)內(nèi)的虛擬網(wǎng)絡(luò)上不會(huì)發(fā)生其他滲透。
將流量封裝在IP網(wǎng)絡(luò)頂部運(yùn)行的覆蓋隧道中也可以分隔網(wǎng)段,這可以通過多種方式實(shí)現(xiàn)。其中包括虛擬可擴(kuò)展局域網(wǎng)、使用通用路由封裝的網(wǎng)絡(luò)虛擬化、通用網(wǎng)絡(luò)虛擬化封裝、無狀態(tài)傳輸隧道和TCP分段卸載。
數(shù)據(jù)包標(biāo)記(使用內(nèi)部標(biāo)識(shí)符標(biāo)記數(shù)據(jù)包)可用于在接口之間建立信任關(guān)系,并根據(jù)其身份和授權(quán)隔離最終用戶設(shè)備的數(shù)據(jù)包。組織可以在包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec在內(nèi)的協(xié)議中添加標(biāo)簽。還有一種方法是分段路由,在IPv6包中使用一個(gè)特殊的路由報(bào)頭來控制MPLS或IPv6網(wǎng)絡(luò)上的通信路徑。
美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的建議
美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)列舉了零信任體系結(jié)構(gòu)的邏輯組件,并提供了一些部署樣式的定義。這包括基于策略決策點(diǎn)和策略實(shí)施點(diǎn)驗(yàn)證和驗(yàn)證用戶。類似于云安全聯(lián)盟最初構(gòu)想的軟件定義邊界(SDP)。
這種方法采用一個(gè)軟件定義邊界(SDP)控制器,該控制器對用戶進(jìn)行身份驗(yàn)證,然后根據(jù)用戶的角色和授權(quán)通知軟件定義邊界(SDP)網(wǎng)關(guān)允許訪問特定的應(yīng)用程序。該過程可以使用傳統(tǒng)的用戶名和密碼,也可以使用帶有一次性密碼、軟件令牌、硬令牌、移動(dòng)應(yīng)用程序或文本消息的多因素身份驗(yàn)證(MFA)方法。還有一種稱為單數(shù)據(jù)包授權(quán)或端口斷開的替代方法,該方法使用客戶端瀏覽器或應(yīng)用程序?qū)⒁唤M數(shù)據(jù)包發(fā)送到軟件定義邊界(SDP)控制器,以識(shí)別用戶及其設(shè)備。
還有各種各樣的微分段、主機(jī)隔離和零信任網(wǎng)絡(luò)方法。有些是在網(wǎng)絡(luò)設(shè)備、服務(wù)器,以及在身份和訪問控制系統(tǒng)中或在中間設(shè)備(例如代理服務(wù)器和防火墻)中實(shí)現(xiàn)的。零信任方法種類繁多,可以在主機(jī)操作系統(tǒng)、軟件容器虛擬網(wǎng)絡(luò)、虛擬機(jī)管理程序或具有軟件定義邊界(SDP)或IAP的虛擬云基礎(chǔ)設(shè)施中實(shí)施。
許多零信任方法還包括終端用戶節(jié)點(diǎn)上的軟件代理以及X.509證書、相互TLS(mTLS)、單包認(rèn)證(SPA)和多因素身份驗(yàn)證(MFA)。并非所有這些都可以完全由網(wǎng)絡(luò)或服務(wù)器或安全管理員自己實(shí)現(xiàn)。為了實(shí)現(xiàn)一個(gè)健壯的零信任網(wǎng)絡(luò)架構(gòu),這些技術(shù)可以通過與跨學(xué)科的IT團(tuán)隊(duì)的協(xié)作來實(shí)現(xiàn)。
