详情
本书是一本详尽介绍零信任网络的全面指南,旨在帮助读者构建灵活、安全且高效的零信任网络架构。本书分为12章,从介绍零信任的基本概念开始,阐述了管理信任、上下文感知代理、授权决策、建立设备信任、建立用户信任、建立应用信任和建立流量信任,以及零信任网络的实现、攻击者视图、零信任架构标准和框架等内容,重点展示了如何让读者专注于通过强大的身份认证、授权和加密机制构建安全的零信任系统。
本书适合网络工程师、安全工程师、CTO以及对零信任技术感兴趣的读者阅读。
书名:零信任网络:在不可信网络中构建安全系统(第2版)
ISBN:978-7-115-66698-7
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 [美] 拉齐·赖斯 (Razi Rais)
克里斯蒂娜·莫里洛(Christina Morillo)
埃文·吉尔曼(Evan Gilman)
道格·巴斯(Doug Barth)
译 云安全联盟大中华区(CSA GCR)
责任编辑 单瑞婷
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
Copyright ©2024 Christina Morillo and Razi Rais. All rights reserved.
Simplified Chinese Edition, jointly published by O’Reilly Media, Inc. and Posts & Telecom
Press, 2025.
Authorized translation of the English edition of Zero Trust Networks, 2nd Edition©2023 O’Reilly Media, Inc., the owner of all rights to publish and sell the same.
All rights reserved including the rights of reproduction in whole or in part in any form.
本书中文简体版由O’Reilly Media, Inc.授权人民邮电出版社出版。未经出版者书面许可,对本书的任何部分不得以任何方式复制或抄袭。
版权所有,侵权必究。
零信任不仅是一种策略,还是一种思维方式,它质疑司空见惯的假设,仔细审查每一次交互,阻止看不见的敌人入侵数字系统。本书是一本零信任指南,适合刚踏上零信任之旅的首席技术官、工程师和信息技术专业人士阅读。
——微软安全副总裁Ann Johnson
本书用简单易懂的语言诠释了基本的零信任安全概念。无论你是初学者还是专业人士,本书都是必读读物。
——谷歌安全工程经理Karan Dwivedi
本书出色地诠释了零信任安全模型。它阐释了零信任安全的重要支柱,介绍了NIST、DoD、CISA等机构开发的零信任框架,对任何想要理解如何实现零信任安全模型的人来说都极具参考价值。
——汽车行业技术研究员Andrew Cameron
我们的生活已经离不开计算机,虽然大家可能没有意识到这一点。无论是在机场、医院、火车上,还是在家里,其背后都是计算机在起作用。网络安全事故足以导致一片混乱,因此确保这些基础设施的安全至关重要。本书阐述零信任背后的原理及如何实施零信任计划,是值得开发人员、基础设施工程师和管理人员阅读的绝佳参考资料。
——IT行业安全工程师Sahil Malik
随着云网络、自带设备办公和居家办公的普及,在当今的企业网络中必须实现零信任安全,但这说起来容易做起来难。有本书在手,只要具备基本的IT背景知识,就能搞明白与零信任安全相关的所有技术细节,因此对所有管理计算机网络的人来说,本书都是必读读物。
——网络安全研究人员Kim Crawley
本书是一本详尽介绍零信任网络的全面指南,旨在帮助读者构建灵活、安全且高效的零信任网络架构。本书分为12章,从介绍零信任的基本概念开始,阐述了管理信任、上下文感知代理、授权决策、建立设备信任、建立用户信任、建立应用信任和建立流量信任,以及零信任网络的实现、攻击者视图、零信任架构标准和框架等内容,重点展示了如何让读者专注于通过强大的身份认证、授权和加密机制构建安全的零信任系统。
本书适合网络工程师、安全工程师、CTO以及对零信任技术感兴趣的读者阅读。
全球数字化转型浪潮汹涌,随着云计算、远程办公的普及,传统基于物理边界的安全架构的局限性暴露无遗。零信任安全理念凭借其“永不信任,始终验证”的核心原则,已成为保障网络安全的关键范式。正如NIST所强调的,零信任不仅是一次技术升级,更是一场对网络安全思维方式的根本性变革。这一理念彻底颠覆了传统安全架构,为应对高级持续性威胁(APT)攻击、供应链渗透及内部威胁等复杂挑战提供了全新的解决方案。
作为全球最具影响力的网络安全组织之一,云安全联盟(CSA)在零信任的发展历程中扮演着关键角色。CSA提出了零信任首个技术架构—软件定义边界(SDP)。自2013年率先提出并开源SDP技术架构以来,CSA培育了全球主要的SDP技术供应商,并通过持续创新推动零信任生态演进。
在中国,CSA大中华区(CSA GCR)积极推动零信任理念在国内的普及与应用,全面覆盖零信任研究、技术标准、开源、人才培养、赛事与峰会等领域,并与多家行业领军企业合作,探索不同场景下的零信任解决方案。CSA大中华区推出的首个零信任专家认证(CZTP)课程已吸引超过5000名学员参与,为国内零信任产业的快速发展提供了专业人才支持。
《零信任网络:在不可信网络中构建安全系统(第2版)》在第1版的基础上进行了全面升级。本书不仅深入解析了管理信任、上下文感知代理、授权决策等零信任的核心技术,还详细阐述了建立设备、用户、应用和流量信任的具体方法。在此基础上,本书创新性地采用“生产环境”视角,循序渐进地指导读者完成从传统边界网络到零信任网络的迁移。为了增强实用性,本书还新增了多个行业真实案例,深入剖析零信任在各组织中的实践路径。
本书是零信任领域不可多得的实用指南,适合希望系统学习零信任理论的研究人员,也为计划落地零信任方案的实施人员提供了完整的技术路线。无论是网络安全从业人员、企业IT管理者,还是高校师生,都能从中获得专业且实用的指导。
翻译工作细致且烦琐,此书的成功翻译离不开大家的辛勤付出,在此对党超辉、卜宋博、陆琦玮、赵锐、罗智杰、赵晨曦、黄振、汪海、吴满等翻译专家表示感谢,同时衷心感谢人民邮电出版社的信任与支持,以及编辑老师的辛勤工作。
由于中英文表述存在差异,我们在翻译过程中力求准确传达原意,并对原书部分内容进行了修正。因水平有限,译文难免存在疏漏,恳请读者批评指正。希望本书能帮助读者掌握零信任知识,理解并落地零信任方案,提升网络安全性。如对本书内容有任何疑问,欢迎广大读者朋友与我们交流。
云安全联盟大中华区(CSA GCR)
2025年4月
感谢阅读本书!在充斥着威胁的网络中构建可信的系统,是网络安全从业者多年来孜孜以求的目标。在设计和构建可信系统的过程中,人们在解决困扰业界的一些根本性安全问题时遇到了挫折,因此我们非常希望业界同人更加积极主动地构建能够解决这些问题的系统。
为此,建议在建设和维护安全的计算机网络时采取全新立场,将安全融入系统运营管理,而不是叠加在建立后的系统上。安全应自始至终与系统并存,要为系统运维赋能而不能成为绊脚石。鉴于此,本书提出了一系列设计模式和考量,它们让系统富有弹性,能够抵御现今的大部分攻击向量。
这一系列设计模式和考量被统称为零信任模型。在这种模型中,不存在默认的信任,对于每个访问请求都要求经过严格的检查,并确认其拥有合法的授权,而不管它是来自咖啡馆的客户端还是数据中心的服务器。借助于零信任模型,几乎可以解决横向移动问题、令人头痛的VPN配置管理问题,减轻集中式防火墙的管理负担。零信任模型完全不同于传统的安全模型,我们深信它代表着网络和基础设施安全设计的未来。
本版扩大了覆盖范围,新增了零信任的最新进展。具体地说,新增了两个全新的章节,同时在大部分原有章节末尾增加了场景介绍。为了帮助读者更深入地了解NIST、CISA、DoD等头部组织眼中的零信任,新增了第11章,讨论零信任架构、标准和指导原则。鉴于零信任计划实施起来并不容易,我们专门在第12章讨论了零信任计划实施过程中面临的挑战,提供了实用的应对建议,在该章末尾,还探讨了最新技术(包括人工智能、量子计算和隐私增强技术)的进展,因为它们都与零信任和网络安全紧密相关。
你是否已经发现,集中式防火墙存在局限性,有时甚至效果不彰?你是否曾经因VPN难题、多应用和多语言环境下的TLS配置问题、合规性问题或审计难题而举步维艰?这些只是零信任模型可解决的众多问题中的很小一部分。如果你正考虑另辟蹊径,寻求更佳的解决之道,那么恭喜你,本书正是为你而写的。
网络工程师、安全工程师、CTO等都可受益于学习零信任模型,即便没有相关的专业背景知识,也能轻松地理解本书介绍的很多原则。本书还可促使领导者下定决心,借助于零信任模型逐步改善组织的整体安全态势。
另外,具备配置管理系统使用经验的读者将发现,可将同样的理念应用于构建更安全、运维起来更容易的网络系统——一个默认保障资源安全性的系统。因此,通过阅读本书,他们将了解自动化系统如何实现新型网络设计,从而更轻松地进行细粒度的安全控制。最后,本书探讨了一种成熟的零信任设计,可帮助已接受零信任理念的人进一步提高安全系统的健壮性。
在2014年的行业会议上,我们开始谈论要采用的系统和网络设计新方法。当时,我们使用配置管理系统严格地定义系统状态,以便在网络拓扑发生变化时以编程方式修改配置。通过以这样的方式使用自动化工具,能够以编程方式处理网络执行细节,而无须人工管理配置。同时,借助于自动捕获系统设计,能够比以前更轻松地部署和管理安全功能,如访问控制、加密等。更重要的是,这还让我们能够最大限度地降低对网络的信任度,而这正是公有云环境中的重要安全考量。
在撰写本书的过程中,我们与数十家企业的相关人员交流,旨在了解他们对网络安全设计的看法。我们发现,其中不少企业正在降低对内部网络的信任度。虽然不同的公司在设计安全系统时采用的方法不尽相同,但有一点很明显,那就是他们的工作都是基于相同的威胁模型展开的,因此构建出的解决方案有很多共同点。
本书并非阐述一两个特定的安全系统,而是力图定义一种默认不信任通信网络的安全模型。因此,本书的侧重点不是具体的软件或实现,而是构建零信任网络所基于的概念和理念。希望通过阅读本书,读者能够对如何构建零信任系统有清晰的认识,甚至能够构建可复用的零信任解决方案。
本书涵盖如下内容。
● 第1~2章讨论零信任安全模型中的基本概念。
● 第3~4章探讨成熟的零信任网络中常见的两个新概念——上下文感知代理和信任引擎。
● 第5~8章详细描述如何在各种网络参与者之间建立信任,重点是设备、身份、应用和网络流量的信任。这些章节主要探讨了那些在传统网络安全模型中同样具有应用价值的现有技术。每章末尾都有场景介绍,旨在帮助读者理解零信任核心原则在真实场景中的应用。
● 第9章讨论如何使用学到的知识来构建零信任网络,并提供两个案例研究。
● 第10章从攻击者的视角审视零信任安全模型,探讨该模型存在的弱点,以及哪些弱点得到了很好的缓解,哪些没有。
● 第11章探讨NIST、CISA、DoD等组织推出的零信任架构、标准和框架,旨在帮助读者了解行业头部组织眼中的零信任安全模型。
● 第12章概述组织在实施零信任计划的过程中将面临的职能和技术障碍,并提供可帮助组织有效应对这些挑战的粗略建议。另外,还探讨人工智能、量子计算和隐私增强技术给零信任安全模型带来的影响。鉴于这些技术在网络安全策略中扮演着重要角色,因此读者必须熟悉它们,这至关重要。
本书采用下述排版约定。
斜体(Italic)
表示新术语、URL、电子邮件地址、文件名和文件扩展名。
等宽字体(Constant width)
表示代码,段落内表示与代码相关的元素,如变量或函数名称、数据库、数据类型、环境变量、语句和关键字。
|
|
表示一般的注释。 |
|
|
表示警告或注意。 |
近40年来,O’Reilly Media致力于提供技术和商业培训、知识和卓越见解,帮助众多公司取得成功。
我们拥有独一无二的专家和创新者组成的庞大网络,他们通过图书、文章、会议和我们的在线学习平台分享知识和经验。O’Reilly的在线学习平台为您提供按需访问的直播培训课程、深入的学习路径、交互式编程环境,以及来自O’Reilly和200多家出版商的大量文本和视频资源。更多信息请访问http://oreilly.com。
如果读者对本书有任何的评论或疑问,可以与出版社联系。
美国:
O’Reilly Media,Inc.
1005 Gravenstein Highway North
Sebastopol,CA 95472
中国:
北京市西城区西直门南大街2号成铭大厦C座807室(100035)
奥莱利技术咨询(北京)有限公司
我们还为本书建立了一个网页,其中包含勘误表、示例和其他信息。读者可以在O’Reilly官方网站访问本书对应的网页。
关于本书的技术性问题或建议,请发电子邮件到errata@oreilly.com.cn。
要查看更多的图书、课程信息,可以访问https://oreilly.com。
感谢编辑 Courtney Allen 在写作过程中给予的指导和帮助,还要感谢 Virginia Wilson、Nan Barber 和Maureen Spencer在审校过程中给予的帮助。
在本书编写期间,我们得以有机会接触到很多人,感谢他们同我们交流,并向我们引见该领域的其他人。感谢 Rory Ward、Junaid Islam、Stephen Woodrow、John Kindervag、Arup Chakrabarti、Julia Evans、Ed Bellis、Andrew Dunham、Bryan Berg、Richo Healey、Cedric Staub、Jesse Endahl、Andrew Miklas、Peter Smith、Dimitri Stiliadis、Jason Chan和David Cheney。
特别感谢Betsy Beyer为本书编写了Google BeyondCorp案例分析部分。
感谢技术审校Ryan Huber、Kevin Babcock和Pat Cable,你们的意见极具价值,感谢你们抽出宝贵的时间仔细阅读本书的初稿。
Doug要感谢妻子Erin、女儿Persephone和Daphne,感谢她们在本书写作期间给予的理解与支持。
Evan要感谢伴侣Kristen在本书写作期间给予的支持和帮助,还要感谢Kareem Ali和Kenrick Thomas,如果没有他们,本书不可能付梓。
这里要特别感谢策划编辑Michele Cronin在整个编写过程中给予的帮助和指导,同时要感谢策划编辑Simina Calin引导本书走上了成功之路。
衷心感谢技术审校Kim Crawley、Steve Winterfeld和Karan Dwivedi给予大量反馈和建议,让本书的各个方面都更上一层楼。万分感谢!
Razi要感谢妻子Javeria、母亲Zahida和妹妹Khaizran,感谢她们在本书编写期间矢志不渝的支持。
Christina要感谢丈夫和孩子们,感谢他们在本书编写期间坚定不移的支持和耐心。
在这个网络监控无处不在的时代,无论是谁,都很难确定他是值得信任的,也很难对信任本身给出定义。你能相信通过互联网发送的流量是安全的,未被监听吗?当然不能!将光纤租借给你的提供商呢?给数据中心布线的合同工呢?
正如爱德华·斯诺登(Edward Snowden)和马克·科雷恩(Mark Klein)等人所揭露的,有美国政府背景的间谍组织始终在监视网络流量。得知这些间谍组织试图进入大型组织的数据中心后,整个世界都为之震惊。他们为何这样做呢?其实如果你身处他们的位置,也会这样做,尤其是知道数据未经加密时。
“数据中心内的系统和流量是值得信任的”这种假设并不成立。很多年前,基于网络边界的安全防护合乎逻辑,但对现代网络及其使用模式而言,这种做法不再适用,因为只要攻陷一台主机或一条链路,攻击者便可在所谓“安全”的基础设施内畅行无阻。
你可能认为,根本不可能通过网络攻击扰乱核电站和电网等重要基础设施的正常运行,但科洛尼尔管道(美国最大的成品油管道运营商)和印度库丹库拉姆核电站都遭受了这样的攻击,这表明重要基础设施将继续成为黑客眼中的高价值攻击目标。这两次攻击有何相同之处呢?
在这两个案例中,安全措施都很糟糕。在第一个攻击案例中,攻击者利用了如下一点:科洛尼尔管道网络的虚拟专用网络(VPN)连接可能使用的是明文密码,且没有采用多因素认证(MFA)。在第二个攻击案例中,在一名印度核电站员工使用的计算机上发现了恶意软件,而该计算机连接到了管理网络中的服务器。一旦进入管理网络,攻击者便可畅行无阻,因为网络内部的系统和流量默认是可信的。
零信任旨在解决在网络内部默认采取信任态度所带来的固有问题,有效地确保网络内部的通信和访问是安全的,无须考虑传输层的物理安全。这可谓志存高远,但借助当今强大的加密算法和自动化系统,这样的愿景完全可以实现。
零信任网络中存在如下5个基本断言:
● 网络无时无刻不在危险之中;
● 网络始终面临着内部和外部威胁;
● 仅根据网络位置不足以确定是否可信;
● 所有设备、用户和网络流都必须经过认证和授权;
● 安全策略必须是动态的,并根据尽可能多的数据源来确定。
传统的网络安全架构将不同的网络(或单一网络的不同部分)划分为不同的区域,并使用防火墙来隔离不同的区域。每个区域都被赋予不同的信任等级,而信任等级决定了可访问的网络资源。这种模型提供了极其强大的纵深防御能力,例如,对于风险较高的资源,如面向公共网络的Web服务器,将其放在隔离区(DMZ),并对进出该区域的流量加以严密的监视和控制。这种做法催生了一种类似于图1-1所示的架构(你以前可能见过)。
图1-1 传统的网络安全架构
为了改善这种传统的网络安全架构,存在很多权宜之计,但面对现今的网络攻击形势,这些措施收效甚微。传统的网络安全架构存在如下缺点:
● 不检查区域内部的流量;
● 在主机部署位置方面缺乏灵活性(物理和逻辑方面也是如此);
● 存在单点故障。
必须指出的是,如果不再根据网络位置来确定可信度,VPN也就没有存在的必要。VPN让用户能够进行认证,以获取位于远程网络中的IP地址;再通过隧道技术将流量传输到远程网络,流量到达远程网络后被解封装并路由。这是一个严重的安全后门,但未曾被人怀疑。如果宣称网络位置对确定可信度毫无价值,诸如VPN等多种现代网络通信方式将惨遭淘汰。当然,这意味着必须将安全措施实施点尽可能前推到网络边缘,同时意味着网络核心无须再承担这种职责。另外,所有主流操作系统都提供了有状态防火墙,交换和路由技术也取得了长足进展,这让人能够在网络边缘部署高级功能。考虑到所有这些因素,可得出如下结论:转变网络安全范式正当其时。通过分散地执行安全策略并遵循零信任原则,可构建出类似于图1-2所示的网络安全架构。
图1-2 零信任架构
在零信任模型中,支持系统被称为控制平面。除控制平面以外的其他部分都属于数据平面,由控制平面进行协调和配置。针对受保护资源的访问请求,将先由控制平面进行处理,对设备和用户进行认证和授权。这一层将应用细粒度的控制策略,可能考虑如下因素:在组织中的角色、在一天中的什么时间访问、地理位置和设备类型。如果要访问的是安全等级较高的资源,可能需要强制进行更高强度的认证。
确定请求得到许可后,控制平面动态地配置数据平面,使其接收来自该客户端(也仅限该客户端)的流量。另外,控制平面还可能进行协调,以确定要在请求者和资源之间建立的加密隧道的细节,这可能包括一次性的凭证、密钥和临时端口号。
需要指出的是,控制平面对于请求的许可决策是有时间限制的,而不是永久性的。这意味着,如果最初促使控制平面做出许可决策的因素发生变化,控制平面可以与数据平面进行协调,进而撤销资源访问权限。
对于上述措施,在严格程度上可以做出一些妥协,但基本理念是不变的,那就是由权威方或可信的第三方根据各种输入实时认证、授权和协调访问。第2章将更详细地讨论控制平面和数据平面。
本书描述的传统架构通常被称为边界安全模型,借鉴了现实世界中通过修建城墙来保护城堡的方法。这种方法通过构建层层防线来保护敏感资源,入侵者必须穿透这些防线才能访问敏感资源。可惜这种方法在计算机网络中存在根本缺陷,当前已无法提供足够的保护。为了帮助读者充分理解这种缺陷,让我们回顾一下这种模型的发展历程。
边界安全模型的发展历程始于地址分配。在互联网发展的早期,越来越多的网络连接在一起。在那个时候,互联网并不像现在这样无处不在,有些网络并没有连接到互联网,而是与其他业务部门、公司或研究机构网络相连。即便如此,每个网络使用的IP地址也必须是独一无二的,如果两个网络恰好使用了重合的地址范围,网络管理员必须花很大的力气进行修改。如果网络连接到了互联网,其使用的地址必须是全局唯一的,显然,为确保这一点,必须做些协调工作。
1998年,互联网编号分配机构(Internet Assigned Numbers Authority,IANA)正式成立,是当前负责协调工作的机构,承担IP地址分配工作。在IANA成立之前,这项职责由乔恩·波斯特尔(Jon Postel)承担,他绘制了如图1-3所示的互联网地图。乔恩·波斯特尔是IP地址所有权记录的权威来源,要确保IP地址全局唯一,必须向他注册。在那个时候,即便注册的网络不会连接到互联网,也鼓励网络管理员去注册IP地址空间,因为说不定哪天就可能要连接到其他网络。
图1-3 乔恩·波斯特尔绘制的互联网发展早期(1982年2月)的地图
20世纪80年代末到90年代初,IP网络技术的应用日益广泛,随意使用地址空间的问题变得严重。很多网络没有连接到互联网,却占用了很大的公有IP地址空间,这样的典型示例包括连接ATM的网络、连接大型机场航班信息显示屏的网络。出于各种原因,这些网络确实需要与互联网隔离:为满足安全或隐私需求,有些设备(如ATM)不能连接到互联网;有些设备功能有限(如机场航班信息显示屏),以至需要访问互联网的可能性极小。为了解决公有IP地址资源浪费问题,RFC 1597(Address Allocation for Private Internets)应运而生。
RFC 1597发布于1994年3月,它规定IANA保留3个IP地址范围给私有网络使用,分别是10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。这确保了大型私有网络只使用上述范围内的IP地址,降低了公有IP地址的消耗速度,同时让网络管理员能够在适当的情况下使用非全局唯一的地址。这还带来了另一个有趣的影响:使用私有地址的网络更安全,因为这些网络基本上不能连接到其他网络,尤其是互联网。
在那个时候,连接到互联网的组织很少,因此内部网络通常使用保留的私有IP地址空间。另外,因为这些网络通常限于组织内部,所以安全措施薄弱甚至根本就没有。
互联网上有趣的新生事物层出不穷,很快大多数组织想要以某种方式出现在互联网上。一个早期的例子是电子邮件,大家希望能够收发电子邮件,这就意味着需要有可供公众访问的邮件服务器,而要实现邮件服务器可供公众访问,就必须连接到互联网。在那时的私有网络中,通常只有邮件服务器是连接到互联网的,这些服务器有两个网络接口,一个面向互联网,另一个面向内部网络,这让内部私有网络中的系统和用户能够收发互联网邮件。
人们很快就认识到,在原本安全的私有网络中,这些服务器打开了通往互联网的通道。如果攻击者攻陷了一台邮件服务器,就可能进入私有网络,因为私有网络中的主机能够与邮件服务器通信。考虑到这一点,必须严格地检查这些服务器及其网络连接。为了限制通信,并挫败潜在攻击者从互联网访问内部系统的企图,网络管理员在服务器两侧部署防火墙,如图1-4所示。至此,边界安全模型便诞生了。在这种模型中,内部网络为“安全”网络,而受到严格控制的服务器所在的区域为隔离区(DMZ)。
图1-4 在互联网和私有网络中,均可访问位于隔离区的服务器,但在私有网络中,访问范围仅限于隔离区,不能直接访问互联网
随着需要从内部网络访问的互联网资源数量的快速增长,相比于为每个所需的应用维护代理主机,授予内部系统访问互联网的权限是一项更容易完成的工作。网络地址转换(NAT)很好地解决了这个问题。
RFC 1631(The IP Network Address Translator)定义了相关标准,规定了位于组织边界的网络设备如何执行IP地址转换。这些设备维护着一个映射关系表,在公有IP地址/端口和私有IP地址/端口之间建立映射关系,让私有网络中的设备能够访问任何互联网资源。这种轻量级映射关系独立于应用,这就意味着网络管理员不再需要提供针对应用的互联网连接,而只需要提供一般性的互联网连接。
NAT设备有一个有趣的特性:IP地址映射关系是多对一的,因此除非有相应的NAT配置,否则无法从互联网访问内部的私有IP地址,这让NAT设备具有与有状态防火墙一样的功能。事实上,防火墙很快就集成了NAT功能,将这两项功能合二为一,使它们几乎无法区分开来。这让防火墙同时提供了网络连接功能和严密的安全控制措施,因此几乎所有的组织边界上都有它们的身影,如图1-5所示。
图1-5 典型的边界防火墙设计(经过简化)
在内部网络和互联网之间部署防火墙/NAT设备后,便清晰地划分出了不同的安全区域,包括内部安全区、隔离区和不可信区域(互联网)。如果组织需要与其他组织相连,将以类似的方式在边界上部署防火墙/NAT设备,而所连接的另一个组织将成为一个新的安全区,该安全区与当前组织的隔离区和安全区一样,也定义了什么样的流量可以进出的规则。
回顾过去,可以看到明显的进步:最初私有网络是离线的,只有一两台主机能够访问互联网,后来私有网络是高度互联的,并在边界部署了安全设备。显然,出于各种商业目的,必须向互联网敞开大门,同时又不能以牺牲离线网络的安全性为代价,因此必须在敞开的每扇大门处采取严密的安全控制措施,以最大限度地降低风险。
在互联网面世之前,与远程计算机系统进行通信是人们梦寐以求的目标,这通常是通过公共电话系统实现的:用户和计算机系统通过拨号连接到远程计算机,并将数据编码为音频信号进行传输。在那个时候,拨号接口是最常见的攻击向量,因为与此相比,物理接触计算机要困难得多。
组织将其主机连接到互联网后,攻击方式从通过电话网络发起变成了从互联网发起,攻击态势发生了翻天覆地的变化。通过拨号接口发起攻击会占用电话线,而通过互联网发起攻击只需建立TCP连接,因此前者很容易被发现,而后者要隐蔽得多,攻击者可长时间地尝试发起漏洞利用和暴力破解攻击而不会引起怀疑。另外,攻击方式的转变还催生了更有影响力的攻击方式:利用恶意代码监听网络流量。
20世纪90年代末,第一款特洛伊木马程序问世并四处传播。通常,特洛伊木马欺骗用户安装恶意软件,从而打开特定的端口并等待连接请求。攻击者可连接到这个打开的端口,进而远程控制目标计算机。
人们很快就认识到,需要对面向互联网的主机加以保护,为此,最佳的方式是使用硬件防火墙(那时大多数操作系统没有提供基于主机的防火墙)。硬件防火墙执行安全策略,确保只有位于白名单中的“安全”互联网流量能够通过。如果管理员无意间安装了暴露开放端口的软件(如特洛伊木马),除非有显式规则允许访问该端口,否则防火墙将在物理上阻断到该端口的连接。同样,对于从内部主机到面向互联网的服务器之间的流量,也可加以控制,确保内部用户能够与这种服务器通信,但反过来不行。这有助于防止攻击者利用隔离区中已被攻陷的服务器进入内部网络。
虽然隔离区出入站的流量受到严密控制,使得经由隔离区进入内部网络困难重重,但鉴于隔离区服务器是面向互联网的,它们无疑是主要的攻击目标。攻击者必须先攻陷由防火墙保护的服务器,再安装用于隐蔽通信的应用,以便从内部网络窃取数据。要访问内部网络,利用拨号接口发起攻击依然是最容易得逞的。
这里发生了一个有趣的转折。NAT最初被引入,是为了让内部网络中的客户端能够访问互联网。虽然内部客户端或许能够自由地访问外部资源,但鉴于NAT采取的机制以及对现实安全的担忧,网络管理人员依然对入站流量进行了严格控制。在部署了NAT和没有部署NAT的网络之间,有一个重要的区别,那就是前者对出站网络流量的控制策略比较宽松。
这导致网络安全模型发生了翻天覆地的变化:位于可信的内部网络中的主机能够直接与不可信的互联网主机通信,这让不可信的互联网主机能够利用想与自己通信的客户端,雪上加霜的是,能够利用恶意代码从内部网络向互联网主机发送消息,这种攻击方式现在被称为回连(Phoning Home)。
回连在大多数现代攻击方式中扮演着重要角色,让攻击者能够从受保护的网络中窃取数据,但更重要的是,鉴于TCP连接是双向的,回连也让攻击者能够向受保护的网络注入数据。典型的攻击包含多个步骤,如图1-6所示。首先,攻击者需要攻陷内部网络中的一台计算机,为此可在用户访问特定网页时利用浏览器存在的漏洞,也可向用户发送电子邮件,其中的附件可利用用户本地安装的某个软件存在的漏洞。漏洞利用程序的有效负载很小,能够连接远程互联网主机并执行接收到的响应中的代码即可。这种有效负载有时被称为拨号器。
图1-6 客户端建立发起攻击所需的所有连接,轻松地穿透拥有宽松出站安全策略的边界防火墙
拨号器会下载并安装真正的恶意软件。恶意软件的作用通常是建立到远程互联网主机的新连接,而该主机是由攻击者控制的。攻击者使用这个连接向恶意软件发送指令、窃取敏感数据甚至建立交互式会话。攻击者可将这个“零号病人”(内部网络中被攻陷的主机)作为跳板,在网络内部发起进一步的攻击。
|
|
出站安全 对于基于拨号工具的攻击,出站网络安全是一种很有效的缓解措施,因为回连是能够被检测到并加以阻止的。然而,回连常常伪装成常规Web流量,甚至是看似无害或正常的流量。如果出站安全措施足够严格,能够阻止上述攻击,通常会导致用户感受到的Web可用性不佳。对后台系统来说,这种问题尤其严重。 |
内部网络中的主机的攻击能力是强大的,因为这些主机几乎都具备访问当前安全区域内其他主机的权限(横向移动),甚至能够访问比当前安全区域更安全的区域内的主机。因此,攻击者会先攻陷内部网络中安全等级较低的区域内的主机,再在网络中移动,最终获得进入安全等级较高的区域的权限。
从前面的介绍可知,这种攻击方式从根本上瓦解了边界安全模型。其关键漏洞虽微妙却显而易见:安全策略是基于网络区域制定的,只在区域边界执行,且判断依据仅包含源信息和目标信息。
近年来,随着互联网的普及,出现了一些其他类型的攻击。由于自带设备(Bring Your Own Device,BYOD)的普及,现在很多公司允许员工使用自己的设备办公,这提高了员工的工作效率,因为在家办公的情况比以往任何时候都普遍。然而,这也增大了攻击面,因为相比于给单台设备打上最新的安全补丁,给大量设备打上这样的补丁要难得多。在这些新兴的攻击类型中,有一种零点击攻击,它甚至不需要与用户进行交互(下面对此做了更详细的介绍)。在这种攻击中,攻击者寻找没有安装最新安全补丁的设备,以便利用安全漏洞来获得对这些设备的未授权访问权限。有关安全补丁的影响以及如何自动提高设备的可信度,将在第5章详细介绍。
|
|
零点击攻击 零点击攻击是一种非常先进的攻击方式,无须用户配合就能感染用户的设备。零点击攻击通常利用未打补丁的代码执行和缓冲区溢出等安全缺陷。由于这种攻击无须用户参与就能得逞,因此非常有效。据报道,诸如WhatsApp和Apple的iMessage等应用都可能遭受零点击攻击。2021年,Google发表了一份有关iMessage零点击漏洞的详尽调查报告,报告中指出这种攻击的影响深远。鉴于此,对于有权访问公司资源和服务器的所有设备,务必确保它们都安装了最新的补丁。 |
当前,边界安全模型依然是最常见的网络安全模型,但它存在的缺陷也日益明显。那些部署了完善边界防护的网络,每天仍会遭受复杂且成功的攻击,攻击者手握无数种攻击方法,可将远程访问工具(RAT)注入网络,获取远程访问权限,并开始在网络内部横向移动。边界防火墙就像为防止间谍入侵而在城市周围修建的城墙,效果甚微。
问题其实出在将网络划分为安全区域上。设想如下场景:一家小型电子商务公司雇用了一些员工,部署了处理薪酬、库存等事务的内部系统,还有一些运行网站的服务器。面对这样的场景,可能先需要对访问情况进行分类:员工需要访问内部系统;Web服务器需要访问数据库服务器;数据库服务器无须访问互联网,但员工需要。传统的网络安全模型将这些访问类型组定义为区域,再确定各个区域的访问权限,如图1-7所示。当然,制定安全策略后,还需要实际执行它们:既然安全策略是基于区域定义的,那么合理的做法就是在需要将流量从一个区域路由到另一个区域的地方执行安全策略。
图1-7 企业办公网络与生产网络之间的交互
可以想见,对于这些通用的安全规则,总会存在例外,俗称防火墙例外规则。通常,会尽可能严格限定这些例外规则的适用范围,例如,Web开发人员可能需要能够使用SSH访问生产网络中的Web服务器,而HR代理人可能需要访问HR软件的数据库,以便完成审查工作。在这些情况下,一种可以接受的方法是,配置一条防火墙例外规则,允许来自相应IP地址的流量进入相应的服务器。
现在假设前述电子商务公司的竞争对手雇用了一个黑客团队,试图获取该公司的库存和销售数据。这些黑客在互联网上查找该公司员工的电子邮件地址,向他们发送电子邮件,并将邮件内容伪装成他们办公室附近一家餐馆的优惠券。不出所料,有员工单击了电子邮件中的链接,让攻击者得以安装恶意软件。这款恶意软件回连到攻击者控制的主机,让攻击者得以建立一个与被攻陷计算机的会话。所幸这台被攻陷的计算机由一个实习生使用,因此攻击者获得的访问权限有限。
黑客开始在内部网络中四处搜索,最终发现公司在其网络中使用了一款文件共享软件,且在所有员工使用的计算机上安装的都不是最新版本的软件,无法抵御最近发布的一种攻击。
黑客逐个攻陷员工的计算机,并查找具有特权的计算机(如果黑客具备更高级的攻击知识,这个过程将更有针对性)。最终,他们找到了Web开发人员的计算机,在其中安装了按键记录器,并获取了登录Web服务器的凭证。黑客使用所获取的凭证通过SSH登录到Web服务器,使用Web开发人员的sudo权限从磁盘读取了数据库密码,并使用该密码连接了数据库。他们转储并下载该数据库的内容,再将所有的日志文件都删除。如果这家公司足够幸运,可能会发现这次数据泄露事件,但无论如何,黑客都得逞了,整个攻击过程如图1-8所示。
图1-8 攻击者攻陷办公网络,进而进入生产网络
黑客就这样得逞了?如你所见,在很多层面都存在缺陷,这些缺陷导致了这次安全事故的发生。你可能认为,这个案例的人为设计痕迹太过明显,但类似这样得逞的攻击司空见惯。然而,其中最令人惊讶的部分却常常被人忽略:各种网络安全措施为何形同虚设?精心地部署了防火墙,制定了安全策略,并严格地限定了例外规则的适用范围,从网络安全的角度看,这些都做得非常正确。那么究竟是什么原因导致了这样的结果呢?
如果仔细研究,你将发现这种网络安全模型显然无法抵御这样的攻击。借助于回连的恶意软件,可轻松地绕过边界安全措施,部署在区域之间的防火墙只根据源地址和目标地址来做出策略执行决策。虽然边界安全措施在确保网络安全方面依然具有一定的价值,但是否要将其作为主要的网络安全措施,这绝对是一个需要重新考虑的问题。
|
|
前述示例中的具体攻击过程介绍如下。 1.使用钓鱼邮件将公司员工作为攻击目标。 2.攻陷办公网络中的计算机,找到了突破口。 3.在办公网络中横向移动。 4.找到特权计算机。 5.在特权计算机上安装按键记录器,以达到提权的目的。 6.窃取开发人员的密码。 7.以特权计算机为跳板攻陷生产网络中的应用服务器。 8.利用开发人员的密码在生产网络中的应用服务器上提权。 9.从应用中窃取数据库登录凭证。 10.以被攻陷的应用服务器为跳板窃取数据库内容。 |
当然,先要寻找现成的解决方案。边界安全模型确实是被广泛接受的确保网络安全的方法,但这并不意味着没有其他更好的选择。就网络安全而言,最糟糕的情形是什么呢?这个问题的关键点与信任相关,虽然这样说有点儿绝对。
要考虑边界安全模型之外的其他方案,必须对什么可信、什么不可信有深入认识。信任等级决定了安全协议必须达到什么样的保护强度,但安全协议的保护强度很少能够达到要求,因此明智的做法是尽可能降低信任等级。一旦在系统中内置信任,就很难将其消除。
顾名思义,零信任网络是完全不可信的网络,我们经常与这样的网络打交道,它就是互联网。在安全方面,互联网给我们带来了一些宝贵的经验和教训。显然,对于面向互联网的服务器,确保其安全的方式所带来的困扰与仅供本地访问的服务器有天壤之别,这是为什么?另外,如果能消除或只是减轻这样的困扰,但需要以牺牲安全为代价,是否值得?
在零信任模型中,像对待面向互联网的主机那样对待所有的主机:假定它们所在的网络已被攻陷,面临危险。只有基于这样的考虑,才能着手建立安全通信机制。大多数管理员搭建或维护过面向互联网的系统,因此对如何保护IP通信,使其难以被拦截或篡改(当然还有如何确保主机安全)有一定的认识。自动化让我们能够在基础设施中的所有系统中实现这种程度的安全。
构建零信任网络不需要新的协议和库,但确实需要以全新的方式使用既有技术。自动化系统使得建立和运营零信任网络成为可能。
在零信任网络中,控制平面和数据平面之间的交互至关重要,而这种交互离不开自动化。如果不能动态地调整策略,就做不到零信任,因此,必须确保策略执行过程自动而快速地完成,这至关重要。
实现这种自动化的方式有很多,最理想的选择是使用专门为此开发的自动化系统,但也可使用更为通用的自动化系统,如传统的配置管理系统。广泛使用配置管理系统是通往零信任网络的重要基石,因为这种系统通常维护着设备清单库,并能够在数据平面自动配置网络策略。
现代配置管理系统能够维护设备清单库,同时自动配置数据平面,非常适合作为实现成熟零信任网络的第一步。
边界安全模型和零信任模型之间有天壤之别,前者试图在可信资源和不可信资源之间(本地网络和互联网之间)建立一道屏障,而后者基本上放弃了这种想法,接受了“坏人”无处不在的现实,不再通过设立屏障来保护内部易受攻击的对象,转而采取全民皆兵的策略。
边界安全模型赋予了受保护网络一定的信任等级,这种做法违背了零信任模型的基本原则,引发了一些糟糕的行为。当网络被认为可信时,管理员常常会放松警惕,毕竟他们是人。位于同一个信任区内的主机很少会彼此防范,毕竟既然在同一个信任区,好像就意味着大家的可信度是一样的。但随着时间的推移,我们逐渐认识到这种假设不成立,因此,不仅需要保护主机免受来自外部的攻击,还需要使其免受来自内部的攻击。
零信任模型假定网络被完全攻陷,因此必须同时假定攻击者可能使用任意IP地址进行通信。鉴于此,仅根据访问者的IP地址或物理位置来授予资源访问权限是不够的,所有的主机都必须提供合适的身份标识,甚至位于当前信任区内的主机亦如此。攻击者并非只会发起主动攻击,他们还可能执行被动攻击,即通过监听流量来获取敏感信息。在这种情况下,仅有主机身份标识还不够,还必须对流量进行强加密。
在零信任网络中,有3个关键组件:用户/应用认证与授权、设备认证与授权、信任。其中第一个组件具有二元性(用户和应用),因为并非所有操作都是由用户执行的。对于自动执行的操作(例如,数据中心内的操作),需要考虑应用的质量,就像在正常情况下需要考虑用户的品性一样。
设备认证与授权同用户/应用认证与授权同样重要,但在采用边界安全模型的网络中,很少使用这种特性来保护服务和资源。这种特性通常是使用VPN或NAC技术来部署的,在较成熟的网络中尤其如此,但在端点(而不是网络节点)之间很少部署这种特性。
|
|
边界安全技术——NAC 网络访问控制(Network Access Control,NAC)指的是一系列相关技术,用于对要访问敏感网络资源的设备进行强认证。这些技术包括802.1X和可信网络连接(Trusted Network Connect,TNC)等协议族,专注于网络访问许可而非服务访问许可,因此并不在零信任模型的范畴之内。一种更符合零信任理念的做法是,在离受访问服务尽可能近的地方做类似的检查(可使用TNC来执行这样的检查,有关详情请参阅第5章)。在零信任网络中,也可使用NAC,但它距离远程端点太远,无法满足对零信任设备进行强认证的要求。 |
最后,需要计算信任评分,并将应用、设备和信任评分组合在一起,形成代理(agent)。然后,将策略应用于代理,以便给访问请求授权。代理包含丰富的信息,可用于实现灵活而细粒度的访问控制,即通过在策略中包含信任评分,设置各种适应条件来调整访问控制策略。
访问请求获得授权后,控制平面通知数据平面,让它接受请求。在此过程中,还可配置详细的加密参数。加密可在设备层面、应用层面或这两个层面进行,为确保机密性,至少需要在其中一个层面进行加密。
借助于这些认证/授权组件,以及控制平面在协调加密信道方面提供的帮助,可确保网络中的流量都经过了认证。对于没有经过认证、授权和加密的流量,主机和网络设备将其丢弃,以确保敏感数据不会被泄露。另外,通过将每个控制平面事件和操作都写入日志,可轻松地对网络流量进行基于流或基于请求的审计。
在有些采用边界安全模型的网络中,也提供了类似的功能,但只在网络边界执行它们。VPN力图提供这些功能,以确保对内部网络的安全访问,但流量到达VPN集中器后,便不再处于这些安全功能的保护范围内了。管理员显然知道互联网强度的安全措施是什么样的,只是没有将这些安全措施贯彻到整个网络中。
只要想象一下全面实施了这些安全措施的网络是什么样的,就会发现零信任网络这种新范式存在很多亮点。它使用加密技术来验证身份,这意味着对于所有的连接,其源IP地址不再重要(严格地说,依然可根据源IP地址来判断风险,稍后将详细讨论)。自动化系统消除了技术壁垒,这导致VPN基本上已成明日黄花。私有网络不再有任何特殊之处,其中的主机与互联网中的主机一样坚固。如果以批判性思维看待NAT和私有地址空间,可能会发现零信任模型使得它们提供的安全功能毫无意义。
总之,边界安全模型的缺陷在于缺乏全面的安全保护,犹如由安全外壳包裹柔弱躯体,而我们真正想要的是坚固的躯体:知道如何核查身份,还知道如何以无法被窃听的方式发送信息。有坚固的躯体并不意味着不再需要维护安全外壳,在极度敏感的场景中,维护安全外壳的做法依然值得提倡。然而,坚固的躯体确实将安全的堤坝构筑到了足够的高度,即便弱化或取消安全外壳,也绝非不理智的。同时考虑到大部分零信任功能是对最终用户是透明的,零信任安全模型看起来几乎消除了安全性和便利性之间的矛盾:越安全,越便利。解决便利性问题的责任或许已被转移到管理员的头上。
将基础设施部署到云端面临众多挑战,其中较大的一个就是安全性。零信任非常适合用于云端部署,其原因显而易见:不能信任公有云环境中的网络。在零信任模型中,认证和通信保护不依赖于IP地址(或者说是IP地址所在网络的安全性),这意味着计算资源可以商品化。零信任模型主张对每个数据包都进行加密,即便数据包仅在数据中心内部传输,因此管理员无须关心哪些数据包将传输到互联网,哪些不会。这种优点常常被低估。为确定何时、何地以及如何对流量进行加密的相关认知负荷很大,对那些对底层系统没有全面认识的开发人员来说尤其如此。零信任模型消除了需要考虑的特殊情况,进而消除了与这些特殊情况相关的人为错误。
有人可能会反驳说,对在数据中心内部传输的流量进行加密有点小题大做,虽然这样做可以减轻认知负荷,但事实证明并非如此。在类似于AWS这样的大型云提供商中,一个区域(region)包含大量数据中心,数据中心之间通过光纤相连,但最终用户通常不知道这些细节。美国国家安全局(NSA)就曾在类似于图1-9所示的实验室中监听这种链路。
图1-9 641A实验室:美国国家安全局位于旧金山AT&T数据中心的拦截设施
云提供商的网络基础设施本身还存在其他风险。不难想见,这种基础设施可能存在漏洞,让邻居能够监听你的通信流量。更有可能出现的情况是,在排除故障期间,网络管理员可能捕获网络流量。网络管理员或许诚信可靠,但如果几小时后,他的笔记本计算机被盗,而该计算机的磁盘中就存储着捕获的流量呢?因此现实情况是,不能再假定在数据中心内部传输的流量不会被监听和篡改。
2021年,白宫发布了14028号行政令,指出了改善美国国家网络安全的迫切需求。该行政令是在如下背景下发布的:多年来,来自国外的网络攻击日益频繁,将国家安全置于危险之中。14028行政令呼吁转向零信任网络架构,为改善国家网络安全迈出重要的一步:
联邦政府机构必须遵循安全最佳实践,向采用零信任架构这个目标迈进。
——摘自美国政府第14028号行政令
采用零信任架构的并非只有美国政府机构,全球的政府机构都在积极拥抱它,力图改善安全态势。例如,英国国家网络安全中心制定了零信任架构设计原则。
本书后面将介绍各种政府机构和非政府组织在制定零信任架构、原则和指南方面做出的努力,这包括美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)、美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)、The Open Group等。
本章探讨了导致我们转向零信任模型的原因和相关的基本概念。零信任模型摒弃了边界安全模型的做法,不再试图将攻击者阻挡在可信的内部网络之外。相反,零信任系统认识到这种做法注定会失败,进而假定攻击者已经进入内部网络,并通过建立安全机制来防御他们带来的威胁。
为何边界安全模型注定会失败?为了让你对此有更深入的认识,我们回顾了边界安全模型的诞生和发展历程。在互联网发展的初期,整个网络是完全可路由的。随着网络的发展,有人认识到网络的某些部分没有必要连接到互联网,于是私有网络这个概念应运而生。随着时间的推移,这种理念成了共识,由此各个组织纷纷围绕着如何保护可信的私有网络来建立安全模型。然而,此时的私有网络不可能像最初的私有网络那样完全隔离,这导致边界防线千疮百孔,突破这种防线的安全事故时有发生。
介绍边界安全模型后,我们将其同零信任模型做了比较。零信任模型在系统中精心地管理信任,这些网络依靠自动化来管理安全控制系统,让我们能够搭建更动态、更坚固的系统。本章还介绍了一些重要的概念,如用户、设备和应用的认证以及各组件组合体的授权,本书后面的章节将对这些概念做更详细的介绍。
最后,本章讨论了如何将零信任迁移到公有云,以及互联网的普及如何从根本上改变了网络威胁格局。当前,内部网络日益外部化,形成了一个高度抽象的概念,这导致最终用户对如下事实没有清晰的认识:在什么情况下,其数据将通过脆弱的长距离网络链路进行传输。这种变化导致的最终结果是,在构建新系统时,数据安全是一个比以往任何时候都更重要的考虑因素。第2章将讨论构建能够可靠地管理信任的系统时必须理解的一些高阶概念。
