零信任之父亲述:零信任架构的前世今生与未来展望
零信任之父亲述:零信任架构的前世今生与未来展望
随着网络空间成为第五个战争领域,全球的军事、执法机构和企业,每天都在应对这场无形的战争。零信任架构作为最具影响力的安全战略之一,其核心理念是"永不信任,始终验证"。本文将带你深入了解零信任架构的起源、发展及其在网络安全中的重要性。
John Kindervag是全球第一提出零信任架构的资安专家,被誉为零信任之父,日前访台时,畅谈企业导入零信任架构的五步骤。(图片来源/SEMI)
随着网络安全威胁日益严峻,全球政府机构和企业正积极寻求创新方法来保护其数字与实体资产。在这一背景下,零信任架构(Zero Trust)逐渐成为最具影响力的安全战略之一。全球率先针对零信任架构的提出者、也是现任Illumio传道士John Kindervag,日前于国际半导体展(SEMICON 2024)召开的半导体资安趋势高峰论坛,这 是他二度访台并公开发表演说,也揭露并分享他对网络战争及零信任架构的深刻见解。
现代战争的范围之广,已经远远超越传统的陆海空领域,随着全球依赖数字基础设施,网络空间成为空中、海洋、太空、陆地之外的第五个战争领域,全球的军事、执法机构和企业,每天都在应对这场无形的战争。
John Kindervag强调,我们每天都在与网络战争对抗,从事网络安全的专业人士,并非只是维护简单的防火墙IT设备,或进行日常的防毒软件更新,而是每天都在对抗一个无形但强大的敌人,是一场关键的全球战役。
"每天你所做的事都对全球的安全有深远的影响,应该为自己的工作感到骄傲,因为这是一场与威胁全球安全息息相关的战争。"他说。
John Kindervag被誉为"零信任之父",早在2010年9月14日,便发表了第一篇关于零信任的文章,正式提出这一信息安全架构。
他回忆当时的情况:"当时没有人认真看待零信任,很多人认为这个想法过于天马行空,甚至是不可能实现的。"但他坚信,这是正确的方向,因为他在后来又进行了两年的研究,并建立了一个零信任的原型环境。
时至今日,零信任已成为全球网络安全战略的重要支柱,也是网络安全的致胜策略。John Kindervag表示,零信任架构以"拒绝信任"为核心理念,要求所有系统、用户和设备的信任等级都设定为"零",从而有效地降低了网络攻击成功的可能性。
2021年,美国总统拜登在一次演讲提到:"联邦政府必须推进零信任架构,并加快向安全云服务的过渡。"这一政策要求美国各政府机构设立零信任计划办公室,并指派专责经理来推动该策略的落实。
John Kindervag便提到,他与美国政府的合作不仅限于联邦层级,还涉及军事领域,包括与美国军事导弹防御局讨论如何将零信任应用于军事设施及系统的保护上。
"这不仅仅是为了保护我们的网络资产,因为这些资产与实体世界紧密相连,必须同时受到保护。"他说。
零信任架构过去大家曾怀疑可行性,如今成为全球共识
John Kindervag身为全球第一个提出零信任架构的发起人,若回溯零信任架构的起源,可以溯及2010年9月14日,当时这一理念首次被提出时,并未引起太大的关注。
他说,最初发表零信任架构的演说,当时仅有14人参加,许多人觉得这个理念过于激进,甚至难以实施;然而,他在经过两年的深入研究并获得一些企业的支持,逐步完善了这一安全战略。
但即便如此,零信任当时依旧曲高和寡的资安架构,直到2021年5月12日这一天,美国总统拜登发表声明,要求联邦政府全面推行零信任架构并且重视云端安全之后,零信任架构瞬间成为全球重要的资安框架。
这也意味着,零信任理念从边缘进入主流,还促使美国政府各部门纷纷设立零信任专责部门及管理办公室,开启了政府层面的零信任安全计划。
"零信任架构不仅是为了保护数字资产,它同样涉及保护实体设施,这一点在与美国导弹防御局的合作中体现得尤为明显。"John Kindervag指出,网络威胁与实体设施日益相关,任何数字攻击都有可能转化为实体威胁,对于军事和政府机构更是如此。
零信任架构与传统安全模式不同,零信任消除了内部系统的固有信任,拒绝信任传统系统的任何内外部设备或用户,无论内部网络还是外部设备,都必须接受相同的安全策略监控,并且对于每个用户、设备和应用程序,设置了同样严格的验证和授权要求。
John Kindervag表示,"很多人将零信任与多因素身份验证(MFA)混为一谈,或者认为它只是VPN的替代技术,这是错误的观念。"
他进一步解释,零信任其实是一种战略理念,能够适用于任何组织,防止数据泄露并降低网络攻击的成功率。
零信任架构常见的4大谬误(False)
- 零信任是让系统变得可信。(Zero Trust means making a system trusted.)
- 零信任是关于身份验证的。(Zero trust is about identity.)
- 市场上有零信任的产品。(There are zero trust products.)
- 零信任非常复杂(Zero trust is complicated)
资料来源:Illumio传道士John Kindervag,iThome整理,2024年10月
打破传统信任模型,零信任成应对内外威胁的新标准
传统的信任模型是"内外有别",对于内部和外部的信任程度并不一样,这种方式在过去也主导了网络安全的策略。
然而,随着内部网络和外部攻击者的界限逐渐模糊,传统的信任模型已经无法有效应对日益复杂的网络威胁。
在零信任架构中,每一个数字行为——无论是来自内部还是外部——都被视为潜在的风险,这意味着所有的流量、设备和用户,都必须被持续监控和验证。
通过这种方式,可防止攻击者进入系统后的进一步扩展权限,从而有效降低了数据泄露的风险。
"人类的信任是一种情感联系,但在数字世界中,这种信任应该被完全消除。数字系统中的一切只是数据,没有情感,只有0和1。"John Kindervag强调,信任只应存在于人与人的互动,而不是机器与机器的通信。
随着零信任的理念逐渐被全球政府和企业所接受,这一资安架构也不断地演进和扩展。特别是随着美国政府积极推行零信任政策,许多国家和跨国大企业也开始跟随这一趋势,并将零信任作为防御网络攻击的核心策略之一。
零信任不仅适用于网络资产的保护,还涵盖对实体设施的安全保障,这一点在美 国政府与导弹防御局的合作中,也得到验证。
他表示,随着现代网络与实体设施的深度整合,如今的网络威胁,正逐渐演变为直接影 响实体安全的风险。
零信任的另一个核心理念在于"分权管理",目的就是为防止过度授权所造成的内部安全风险。
过去,许多企业和政府机构的授权管理上存在过度信任,这使得内部威胁成为了网络安全的重大隐患。
他也特别提出曼宁(Chelsea Manning)和斯诺登(Edward Snowden)的案例说明,前者将超过70万份美国国防部和国务院的机密文件,泄露给维基解密(WikiLeaks);后者则向《卫报》和《华盛顿邮报》的记者泄露了大量的机密文件,揭露美国国家安全局针对全球互联网通信和电话记录的全球监控计划。
这些内部威胁者,原本是系统中的"可信用户",拥有多重身份验证措施,但由于缺乏对数据流量的监控,他们最终成功窃取大量敏感数据。
"这些案例揭露了传统网络安全模式中的致命漏洞,即进入系统后就可以自由存取的权限。"John Kindervag说。
"零信任的核心不仅在于身份验证,而是基于身份验证来决定用户是否应该被授予存取权限。"他指出,这正是零信任架构与传统安全策略的根本区别。
零信任架构在技术上被一些人视为复杂的安全实施,但事实上,它的理念非常简单。
John Kindervag表示,他的好友Greg Tuhill将军、被美国奥巴马总统任命为美国首任美国联邦首席信息安全长便曾提及:"为什么人们总是让零信任听起来那么复杂。"
对此John Kindervag提出回应,他表示,这可能是因为人们喜欢把事情变复杂,才会显得他们更加聪明。
但事实上,零信任的理念是直观且易于理解的。因为,他认为,零信任的简单性,恰恰就是它的力量所在。
他总结说,只要可以正确理解零信任架构的基本原则,就可以作为一个强大的武器,帮助政府和企业在网络战争中,立于不败之地。
用特勤局保护美国总统的策略来比喻零信任
为了能够更好地理解零信任架构,John Kindervag透过美国特勤局如何保护总统的方式,进行比喻。
他表示,特勤局的保护过程也揭示了零信任三个核心理念的关键要素,也适用于网络安全中保护数据和资产的方式。
首先,特勤局始终知道"谁是总统",这意味著他们不需要发现总统的存在,因为总统是他们全程保护的焦点。
这一点对应了零信任的概念中,必须先清楚了解需要保护的资产对象,并且无需多次验证其存在。
其次,特勤局清楚总统的具体位置,知道"总统在哪里",确保在整个过程中不会弄丢总统。
这一点在零信任中对应的是资产的可视性,意即需要时刻掌握数据和关键资产的流向,并保证它们在预期的范围内。
最后,特勤局严格控制"谁可以接近总统",确保只有通过审查的人员才能靠近总统。
这与零信任中的授权过程类似,强调每个存取的请求都需要被精确审核,并根据具体需求进行动态管理。
这三个要素构成了零信任的核心,他表示,在充分理解这些原则后,零信任看起来就不会那么复杂,而是极其严谨的保护策略。
Illumio传道士John Kindervag以美国特勤局保护美国总统为例,解释零信任的核心概念,那就是知道"谁是总统"、"总统在哪里"以及"谁可以接近总统"。(摄影/黄彦棻)
深入分析特勤局的工作方式,可用來进一步说明零信任的内涵。
当我们看到特勤局人员执勤,有些人可能看起来只是站著,拉紧了外套,並未进行实际的保护工作,然而,这实际上是一种"安全剧场"(Security Theater)。
所谓安全剧场,是指那些看似保护措施的行为,实际上并没有发挥任何实际保护作用,这类似於一些企业所采取的、仅具表面作用的安全策略。
相反的,真正的安全措施,是在更隐秘且精確的位置进行的,这正是零信任中的"保护面"(Protect Surface),就是需要集中保护的关键资产範围,这也是零信任的核心概念之一。
许多网络安全讨论都集中在如何管理"攻击面"(Attack Surface),但事实上,攻击面不断扩大,犹如无穷无尽的宇宙,几乎无法完全控制。
因此,与其尝试缩小攻击面,不如将焦点转向保护面,这一思路转变,有助于企业集中力量保护最核心的资产,避免资源分散。
举例来说,特勤局的保护对象并非每位民众或整个城市,而仅限於总统及其家人,而这样的保护策略,非常类似零信任的做法,重点在於精準保护,而不是试图一网打尽,避免所有风险。
零信任运作强调动态权限与最小授权
特勤局的保护措施不仅靠近总统这个"保护面",还建立紧密环绕在总统周围的"微型边界"(Micro-Perimeter),促使控制更为精确。
这意味著在零信任架构下,对于特定资产、数据或应用,要设置更精细化的安全边界,以确保更严格的存取控制。
不过,在传统的网络安全策略中,这种微型边界周边的控制措施通常放在外围,例如:防火墙或端点装置的安全工具,这些地方与真正要保护的资产相距太远,从而产生"滞留时间"(Dwell Time),滞留时间是指:攻击者成功入侵系统后,尚未被发现的时间。
长时间的滞留,会给攻击者提供更多时间进行横向移动,最终可能导致数据泄露。
而John Kindervag表示,零信任透过可视性和持续验证,大大缩短了滞留时间,使得攻击者无法长期隐匿於系统内。
在零信任模型中,可以随时查看系统中发生的所有行为,针对所有存取请求,只有允许或拒绝两种结果。
这种二进制的安全策略,意味著系统从最初,就不允许任何不受信任的行为进入,不是在事後试图阻止潜在的威胁。
以美国特勤局的保护策略为例,只有经过特殊许可的特定探员可以接近总统,而保护总统的具體工具,如專車"野獸",僅僅是交通工具,並不是保护的核心。他說,無論總統處於什麼環境,核心的保护策略始終不變。
同样的,在零信任的框架下,則會通过动态的安全策略即时监控环境变化,不断更新政策来应对潜在的威胁;特勤局也会即时更新威胁情报,通知相关人员进行应对,这类动态反应的策略与零信任所提倡的精准控制理念,不谋而合。
零信任的关键特征是基于"需要知道"原则动态授予权限。在这个模式下,并不是试图通过各种被动的安全措施阻止攻击,而是从一开始就不允许所有未经授权的请求,并只允许符合条件的存取。
举例而言,当总统乘坐专车时,只有两位特勤局探员可以接近他,这样的精确控制符合零信任的"最小授权原则",每位接触数据或系统的使用者,都必须根据角色和任务,分配最小的存取权限,这样可以最大程度降低内部风险。
而John Kindervag认为,这一动态授权过程的最大挑战是:保持系统的精确可视性,只有清楚掌握每个存取请求的背景与目的时,才能根据具体需求来灵活调整授权策略,从而实现对内外部威胁的即时防护。
虽然许多人认为零信任是一个复杂的安全体系,但它的核心理念其实非常简单。正如John Kindervag所說,这种安全模型只是基于"信任最小化"的基本原则进行设计,并不像传统安全技术那样试图解决所有问题。
通过将每个安全控制措施紧密围绕在最需要保护的资产周围,零信任大大降低了系统受到攻击的风险。他表示,这不是一个技术上的复杂策略,而是应用简单且严格的原则来防止潜在的威胁。
零信任架构的理念强调"永不信任,始终验证"
随着网络攻击的频率与复杂度不断增长,零信任逐渐成为全球安全策略的核心框架之一,像是美国政府在其联邦网络安全政策,便已经全面采用零信任作为防御的主要模式,其他也有许多国际大企业和其他国家,开始将这一架构纳入其安全防护计划中。
随着全球网络环境的不断变化,零信任将在未来的安全框架中扮演愈加重要的角色,传统安全防护模式,已经无法应对日益复杂的网络威胁,这使得零信任架构成为当今网络安全的关键解决方案之一。
随着各种数据外洩事件頻繁發生,John Kindervag表示,企业对于数据保护的需求变得越来越迫切,而零信任不仅适用于数据保护,还可以灵活应对实体基础设施的安全需求。
在过去的几年中,也发生数起重大数据外洩事件,这些事件则揭露了传统安全措施的缺陷,并强调零信任架构的重要性。
例如,某个大型企业的S3云端资料库,因为配置错误导致数据外洩,根据诉讼文件的显示,这并非是单纯的技術失誤,而是由於公司高层,故意放鬆了安全限制,以便能够加快开发进度。
John Kindervag认为,这种错误的安全观念就暴露出,企业过度依赖传统安全措施的风险,他也强调了,零信任架构对于保护企业核心数据、资产的必要性。
正如美国特勤局保护总统的策略一般,零信任架构同样关注"保护面"的安全。
这种方式,要求组织不仅保护整个网络,而是专注于具体的资料、应用、资产或服务,确保这些核心资产得到最严格的保护。
他强调,零信任架构的理念强调"永不信任,始终验证",将每个进入网络的用户或设备视为潜在威胁。