谷歌的零信任安全架構實踐

對于谷歌公司的員工來說，無論在公司辦公樓、咖啡廳還是在家，訪問公司應用都是一樣的：從外網訪問需要的 V*N 被廢棄，所有員工到企業應用的連接都要進行加密。目前谷歌所有面向員工的企業應用都擁有公共 IP 地址，不再擁有受防火墻保護的企業級應用，不再像有內網外網之分的公司那樣，將應用置于虛擬專用網中。

谷歌公司基礎架構產品營銷負責人 Neal Mueller 將此稱為云安全的“新模式”。實際上，這種模式屬于業界所稱的“零信任網絡”或者“無邊界網絡”。

零信任架構創始人 John Kindervag

零信任網絡（亦稱零信任架構）模型是 John Kindervag 于 2010 年創建的，當時他還是研究機構 Forrester 的首席分析師（現為 PAN 技術主管）。Google 公司在 2013 年開始向零信任架構轉型之后，帶動“零信任”安全架構的流行。

隨著零信任的支撐技術逐漸成為主流、防護企業系統及數據安全的壓力越來越大，以及網絡攻擊演變得更加復雜高端，零信任模型也在 CIO 、CISO 和其他企業高管中間愈加流行了。Forrester 認為，3 年內零信任將成為網絡安全流行框架之一。

什么是零信任網絡

零信任是一個安全概念，中心思想是企業不應自動信任內部或外部的任何人 / 事  / 物，應在授權前對任何試圖接入企業系統的人 / 事 / 物進行驗證。

簡言之，零信任的策略就是不相信任何人。除非網絡明確知道接入者的身份，否則任誰都別想進入。什么 IP 地址、主機之類的，不知道用戶身份或者不清楚授權途徑的，統統不放進來。用戶的訪問權限將不再受到地理位置的影響，但不同用戶將因自身不同的權限級別擁有不同的訪問資源，而過去從外網登陸內網所需的 V*N 也將被一道廢棄。

這與無邊界網絡概念有點類似。在無邊界網絡概念中，最終用戶并不是所有都位于辦公室以及防火墻后，而是在遠程工作，使用他們的 iPad 或者其他移動設備。你需要了解他們角色的更多信息，并明確哪些用戶被允許連接網絡來工作。

選擇零信任網絡的背后

為什么要用零信任？可以看看下面一組統計數據：

美國網絡安全公司 CybersecurityVentures 發布的《 2017 年度網絡犯罪報告 》預測，到 2021 年，網絡犯罪所致全球經濟損失總額將達 6 萬億美元 / 年，比 2015 年的 3 萬億美元足足翻了一倍。

同時，波耐蒙研究所在 IBM 資助下所做的《 2017 數據泄露研究 》發現，數據泄露事件所致平均損失為 362  萬美元。盡管該數字比上一年有所下降，但數據泄露事件的平均規模卻上升了 1.8% ，達到了平均每起事件泄露 2.4 萬條記錄之多。

而且，這些數據還是在公司企業對網絡安全工作投入越來越多的情況下取得的。科技研究與咨詢公司 Gartner 將 2017 年全球信息安全產品及服務開支標定在 864 億美元上，比 2016 年增長了 7% 。這家公司還預計，到 2018 年，信息安全開支會達到 930 億美元。

企業高管們認識到了現有安全方法并不足以應對愈趨嚴峻的安全態勢，他們需要更好的東西，而零信任模型恰好就能得到最好的結果。

Neal Mueller 表示，谷歌認為防護墻已經不能發揮作用。與其用 V*N 防護所有的基礎架構，谷歌決定完全放棄防護墻。

為新世界而生的安全

零信任模型基本上打破了舊式邊界防護思維。舊有思維專注防御邊界，假定已經在邊界內的任何事物都不會造成威脅，因而邊界內部事物基本暢通無阻，全都擁有訪問權限。

但安全專家和技術專家并不認同邊界防御的效果。他們指出，最嚴重的幾起數據泄露事件都是因為黑客進入公司防火墻之后基本沒遇到什么阻礙就能在內部系統中來去自如。

IT 系統的一個固有問題在于，太多東西可以經由默認連接四處巡游。人們的信任太過寬泛，這是互聯網得以騰飛的原因所在，因為每個人都可以在任何時間共享任意東西。但這也是互聯網安全的癥結所在：如果你信任所有東西，你就沒機會保住任何東西的安全。

黑客和惡意威脅并非驅動零信任模型的唯一因素。

今天的企業 IT 部門為什么需要新安全思維？很大程度上是因為邊界已經不存在了。純內部系統組成的企業數據中心不再存在，企業應用一部分在辦公樓里，一部分在云端 —— 分布各地的雇員、合作伙伴和客戶通過各種各樣的設備訪問云端應用。

所有這些宏觀變化都推動了零信任這一新模型的流行。

面對工作流的移動化和云端化，我們難免捫心自問：“新形勢下我們該如何保護自身安全呢？”新世界里，防火墻已經逼近到了需要保護的資產身邊。

谷歌 BeyondCorp 實踐

谷歌公司稱，在 2009 年經歷高度復雜的 APT 攻擊 —— 極光行動（ Operation Aurora ）后，該公司對員工與設備如何訪問內部應用的安全架構，開始嘗試重新設計。由此，零信任架構 BeyondCorp 開始萌芽。

與傳統的邊界安全模式不同，BeyondCorp 摒棄了將網絡隔離作為防護敏感資源的主要機制。取而代之的是，所有的應用都部署在公網上，通過用戶與設備為中心的認證與授權工作流進行訪問。

這就意味著，作為零信任安全架構的 BeyondCorp ，將訪問控制權從邊界轉移到個人設備與用戶上。由此員工可以實現在任何地點的安全訪問，無需傳統的 V*N 。

谷歌的零信任安全架構涉及復雜的庫存管理，記錄具體誰擁有網絡里的哪臺設備。設備庫存服務來從多個系統管理渠道搜集每個設備的各種實時信息，比如活動目錄（ Active Directory ） 或 Puppet 。

對于用戶的認證則基于一套代表敏感程度的信任層。無論員工使用什么設備或身處何處，都能得到相應的訪問權限。低層次的訪問不需要對設備做太嚴格的審核。

谷歌企業項目經理 Max Saltonstall 表示，對于訪問授權是基于上下文：“你是誰，是否經過嚴格認證？ 你使用什么設備？對你的設備了解情況如何？”

在谷歌網絡中不存在特權用戶。谷歌使用安全密鑰進行身份管理，比密碼更難偽造。每個入網的設備都有谷歌頒發的證書。網絡的加密則是通過 TLS（傳輸層安全協議）來實現。

與傳統的邊界安全模型不同，BeyondCorp 不是以用戶的物理登錄地點或來源網絡作為訪問服務或工具的判定標準，其訪問策略是建立在設備信息、狀態和關聯用戶的基礎上，更偏向用戶行為和設備狀態的分析。

據了解，谷歌 BeyondCorp 的主要包括三大指導原則：

• 無邊界設計 —— 從特定網絡連接，與你能獲得的服務沒有關系；

• 上下文感知 —— 根據對用戶與設備的了解，來授予所獲得的服務；

• 動態訪問控制 —— 所有對服務的訪問必須經過認證、授權和加密。

零信任背后的技術

在各種各樣的現有技術和監管過程支撐之下，零信任方法才得以完成保護企業 IT 環境的使命。

它需要企業根據用戶、用戶所處位置和其他數據等條件，利用微分隔和細粒度邊界規則，來確定是否信任請求企業特定范圍訪問權的用戶 / 主機 / 應用。

• 首先，要弄清楚用戶身份，確保用戶真的是他 /她所聲稱的那個人；

• 然后，要保證用戶所用終端是安全終端，或者該終端處在安全狀態；

• 最后，還要有個條件策略，指定哪些人能訪問哪些東西。

零信任依靠多因子身份認證、身份與訪問管理（ IAM ）、編排、分析、加密、安全評級和文件系統權限等技術來做上述工作。最小權限原則也是零信任倚賴的監管策略之一，也就是只賦予用戶完成特定工作所需的最小訪問權限。

基本上，零信任就是公司企業收回安全戰場控制權，在各部門應用網絡分隔和下一代防火墻，控制網絡接入的身份、對象、地點和時間，是從內而外地施行控制，而不是由外而內。

現今的大部分 IT 場景中，零信任不僅僅是技術，還有關思維和過程。

如何實現零信任

部分企業的 IT 部門已經實現了零信任的很多方面。他們通常已經部署了多因子身份驗證、IAM 和權限管理。其環境中也越來越多地實現了微分隔。

但建立零信任環境不僅僅是實現這些單個技術，而是應用這些技術來施行“無法證明可被信任即無法獲得權限”的理念。企業得從戰略上確定哪些技術有助實現這一理念，然后再去買入這些技術。

在技術的應用上最忌諱病急亂投醫，與其期待亂買來的藥能治好病，不如先好好診斷診斷，弄清楚自身情況再采用相應的技術。轉向零信任模型不是一朝一夕之功，也不是件容易的事兒，尤其是在有不適應該新模型的遺留系統的時候。

很多公司都在向云端遷移，這是個全新的環境，很適合應用零信任模型，可以從云端開始零信任旅程。公司企業，尤其是有著復雜 IT 環境和大量遺留系統的大型企業，應將零信任遷移看做是多階段跨年度的一項工程。

零信任遷移中的另一項挑戰，是讓員工具備該新理念的思維方式。

比較不幸的是，大多數企業 IT 專家接受的教育或培訓讓他們默認企業環境是可信的，他們被教導得想當然地認為防火墻能將壞人擋在外面。人們需要調整自己的思維模式，要清楚當前態勢下壞人可能早就在自家環境中了。

公司企業還需認識到，零信任與其他成功的 IT 或安全原則一樣，需要長期堅守，不斷維護，而且零信任工作中的某些部分會更具挑戰性。從傳統企業網絡遷移至 BeyondCorp 前，谷歌花費兩年時間來創建用戶和設備信任庫，這是一個比較漫長的過程。谷歌實行 BeyondCorp 計劃離不開高層的支持，盡管該類型網絡維護成本較低，但對預算要求頗高。

比如說，微分區工作中，安全 / IT 團隊就必須確保配置修改是恰當的，并更新不停改變的 IP 數據以保證員工工作或企業交易所需訪問不被中斷。否則，企業可能會面臨工作阻塞問題。

很多公司都會想，遭遇惡意軟件導致業務中斷，和配置錯誤導致停工一天，本質上都不是什么好事。微分隔方法所需的持續維護可能會帶來很多臨時應急的措施，或許會讓網絡更加脆弱。

在遺留系統和現有環境中整體應用零信任模型所導致的復雜性，表明公司企業真的沒有做好完全實現該模型的準備。

因此，公司企業最好是從設計上就打造零信任，而不是在原有基礎上修修補補。換句話說，應將零信任模型作為公司整體數字轉型戰略的一部分，實現那些有助于在云遷移過程中達成零信任的技術，淘汰掉那些老舊的遺留系統。

而且，CISO 、CIO 和其他高管應參與進轉向零信任的過程中，這樣他們才能安排過程中各項事務的優先級，確定哪些動作應盡快完成，而哪些部分可以先等等。

零信任遷移基本等同基礎設施轉型。信息安全并沒有跟上數字轉型 / 現代化環境的腳步。但企業必須轉換安全管理的方式。想要整體安全，想要有安全準備度，就需要換一種思維方式。

無論是 BeyondCorp 還是其他零信任網絡架構，都提供了一種新的安全模式，設備和用戶只能獲得經過驗證的資源，如此企業才構建了更為安全的環境。

 

來自: mp.weixin.qq.com