Illumio传道士John Kindervag分享导入零信任架构的五个步骤,而这套流程是针对企业量身打造,并且强调反脆弱性(Antifragile),意味著系统在面对挑战时会变得更有韧性。(摄影/黄彦棻)
零信任架构(Zero Trust)的实施并非一蹴而就,需要循序渐进的部署。
零信任架构的提出者、也是现任Illumio传道士John Kindervag表示,零信任的实施可以分成五个步骤,这些步骤目的在于在简化安全流程,确保系统的每个保护面得到充分保护。
步骤1:定义保护面,确认DAS元素
导入零信任的第一步是:明确定义需要保护的核心资产、最具有价值的保护标的为何,就是「保护面」(Protect Surface)。
这些保护标的就是所谓的DAS元素,包括:资料、应用、资产和服务的缩写。
他指出,许多组织或企业在部署安全措施时,往往未能确定具体的保护标的,而是依赖于现有的安全产品。
他认为,这种「从外向内」的安全保护方式很容易失败,因为它忽视了内部核心资产的精确保护需求。
所以,零信任强调「从内向外」的设计理念,要求组织首先要确定哪些是关键资产,再围绕这些资产,进一步建构安全防护措施。
他举例说明,许多企业会认为,零信任就是透过采购不同的资安产品,就可以达到零信任架构的目标。
但问题的根源在于,不管买哪些产品,企业要保护的标的到底是什么呢?
「只要是’无法确认保护标的为何,这个所谓的零信任就会失败。」John Kindervag说,必须要先确认保护的资料或是资产是什么,之后就会再以此为核心,往外设计。
零信任架构最关键就是要保护这些核心资产,但并不是要试图保护整个网路。他认为,这种方式大大提高了安全防护的精确度,并降低潜在风险。
他说:「我们必须一次处理一个保护面。」许多人导入零信任架构会失败的原因在于,因为他们试图「一次性」实施零信任,但这是不可能的。
零信任架构成功的关键在于:必须可以将零信任架构,分解为「小而可管理」的部分来实施。
John Kindervag举例表示,如果房子在正在翻修,通常是一次翻修一个房间,不会一次找来800个朋友,请朋友周末来帮忙房屋翻修工作。
他认为,一次完成一个房间,也是在零信任中应该做的事情,一次完成一个保护面。
「当你理解了自己在保护什么标的之后,下一步,你需要了解这个系统如何作为一个整体运作。」他说。
步骤2:绘制交易流
John Kindervag认为,在实施零信任之前,必须全面了解系统的交易流,因为只有在理解这些流动的基础上,才能准确地设计出合适的安全策略,以保护每个保护面,「所以,必须先理解系统如何协同工作,才能做到这一点。」他说。
他曾经看过某些公司系统完全崩溃,不在于零信任架构出问题,而是系统营运者不懂系统是如何运作的。
John Kindervag以德州一家COBOL Cowboys软体顾问公司为例,COBOL是许多金融业、老旧大型主机系统还在使用的程式语言,但现在许多工程师不懂COBOL,一旦遇到问题,企业会寻求COBOL Cowboys这类程式语言专家,提供协助。
不过,他也坦白表示,这些COBOL专家其实多数都已经非常年长,未来倘若这些专家都过世的时候,当系统一旦出包,没有这些年长的COBOL专家帮忙时,又该由谁提供协助呢?
所以,他认为,绘制交易流(Map the Transaction Flows)的主要目的就是,为了深入理解系统中各个组成部分之间的交互和资料流动,了解这些交易流之间的依赖关系,并确定从起点到终点的每条交易流路径的风险分析等。
「通过了解交易流,组织能够更好地识别可能的风险点以及如何最有效地保护资产。」他说。
而这些内容包括:资料的传输方式、应用程序之间的通信,以及每个用户或设备如何存取特定资源等。
最终,就是帮助企业深入理解它们的应用和资料流动,以便设计出精细的安全策略,确保对每个流进行严格的控制和管理。
步骤3:设计零信任环境
John Kindervag认为,零信任架构的实施过程需要分阶段进行,而不是一口气完成,这过程则与翻修房子类似,一次只专注于一个房间,确保每个部分都得到妥善处理。
他指出,如果企业或组织尝试同时处理所有的保护面,只会导致混乱与失败;但若透过逐步实施,企业和组织可以逐步完善其安全策略,从而实现更加可靠的网路保护。
因为每个零信任架构的环境,都必须针对「保护面」量身打造,绝对不是一个通用的方案。
若以美国特勤局对美国总统的保护政策来看,这是针对总统本人量身订做的保护策略,并且会依照总统所在不同地方而有不同的保护策略,对于保护总统的安全,特勤局并没有一套「通用」的保护策略。
「设计零信任环境(Architect a Zero Trust environment)」这个步骤,是整个零信任实施过程中的核心部分,目的是将对交易流(Transaction Flows)的理解,转化为具体的安全架构,规画并建构合适的技术、安全策略和管理方法,确保网络中的每个元素都能根据零信任的原则得到保护,最大限度地减少信任带来的风险,确保所有资产和交易流的安全性,以实现全方位的零信任安全保护,
如何针对不同保护面,设计不同的保护方案呢?
首先,可以在每个「保护面」周围设计微型周界(Micro-Perimeters),将保护目标和周边的其他系统隔离开来,对每一个保护面进行精细的控制和保护,以减少不必要的攻击面。
其次,选择合适技术来实现安全控制,包括多因素身分验证(MFA)、微分割(Micro-Segmentation)、加密技术、身分与存取管理(IAM)等,来确保每个资产和交易流都得到了合适的保护。
第三,设计一个政策自动化与应用的架构,使得系统能够基于预定的安全政策,自动做出允许或拒绝的决定。这样的政策应根据每个保护面的特定需求,结合对用户、设备、应用程序的存取需求和风险评估,进行精细化设计。
第四,确保所有的保护面都能够被持续地监控,并且可以即时反应异常活动或潜在的威胁,让这些管理和监控系统,能够提供完整的可视性,并能根据即时资料,快速应对网路事件。
步骤4:制定零信任策略
John Kindervag 的制定零信任策略(Create Zero Trust Policy),是整个零信任架构中至关重要的一步,零信任的核心原则,即「永不信任,始终验证」,目的就是通过设计一套精细、动态且基于风险的存取控制政策,来确保组织内部所有的资料、资产和应用的安全性。
他进一步指出,零信任是一组粒度细致的允许规则,组织或企业则会根据个人的工作职能角色,来允许他们可以存取的资源。
这个步骤目的是,为组织内的资料、应用、资产或服务(DAS元素),按照最小权限(Least Privilege)和「始终验证」的原则,建立一套严格且细致的存取控制政策,从而最大限度地减少安全风险,并且提高网络的整体安全性,以保护每一个「保护面」。
而零信任的策略是二进制的,对于每个请求,都只有「允许」或者「拒绝」这两种结果;零信任策略也是动态的,系统会根据当前的情境,例如用户的身分、设备的状态、位置、行为模式等,动态地调整存取控制策略,可以根据风险状况,对某些存取进行额外的验证或限制,确保系统安全性。
至于这些制定的零信任政策,则必须套用在防火墙等网路设备中,并做到自动化执行和即时回应,确保相关政策和网路设定政策一致,也降低人为错误的风险。
步骤5:持续监控与维护
John Kindervag提出的零信任架构中,第五个也是最后一个导入步骤就是持续监控与维护(Monitor and Maintain),目的是通过不断的监控、资料收集和分析确保系统的安全策略能够动态应对各种威胁,并且根据新的风险情况对策略,进行调整和维护,以保持整个系统的安全。
具体作法上,即时监控所有的交易流和存取行为,以确保可以符合先前制定的安全策略,包括:使用者的身分验证、设备状态,以及应用程式之间的互动,透过持续监控,组织才能发现不正常活动或可能的安全威胁,及时应对。
在监控过程中,系统收集包括网路流量、设备状态、使用者行为等资讯,可以协助组织用来了解并分析网路内部动态,并做出相对应的防御措施;同时,根据监控分析结果,动态调整并优化安全策略,以因应新的威胁和风险。
此外,在监控基础上,建立自动化回应机制,以便即时发现异常活动。例如,系统检测到某个设备异常时,可以自动启动限制存取,或是启用额外的验证程序,以减少人工介入的时间和误差。
John Kindervag推动零信任架构最重要的使命就是,让各界关注的焦点,从身分认证转向分割技术(Segmentation),因为,分割技术是启动零信任旅程的关键技术,身分认证虽然重要,但是还是次要的。
他解释,通过网路分割、缩小信任范围的方式,可以做到最大限度地降低攻击面,并提高安全性的目的。
他指出,网路分割使得网路不再是一个单一、易于攻击的大范围,而是被划分为若干小型、精细化控制的「保护面」,每个保护面都有自己的微型周界和安全控制措施,而所有的存取,都需要根据动态的策略进行验证。
而这样的设计,不仅能够减少攻击者的入侵机会和横向移动风险,还能确保每一个资产的安全性得到保障,真正实现「永不信任,始终验证」的零信任原则。因此,网路分割也成为零信任架构中不可或缺且基础的部分。