2022-9-28 16:40

用统一微隔离做零信任可以多便宜

零信任应该更便宜

作为一种新的网络安全范式,零信任被全球热捧的主要原因之一,就是可以更省钱。相较于传统的基于攻防对抗的亡羊补牢式的网络安全范式,零信任将工作重点转向构建起精细化的最小权限的网络结构。这样做从成本角度看有两个明显的影响:

一)从无限螺旋转为有限收敛

基于攻防的网络安全,就像是永无止境的猫鼠游戏,Tom总在尝试抓住Jerry,Jerry永远有新的逃逸手段,在Tom和Jerry无休止的追逐博弈中,主人的家被搞得支离破碎。这种无休止的追与逃的过程,渐渐的已经把用户压得喘不过气来,他们日益厌倦乃至心生愤怒,这就是美国为啥要搞零信任的原因。零信任的指导原则就是“以不变应万变”。安全管理者,不再花心思研究攻击者又出啥幺蛾子了,他拒绝成为攻击者的舞伴。相反,他反过来仔细地研究自己的业务需求,以及内部用户的身份以及行为特征。在了解了这一切之后,他要做到的就是,只有他充分理解,有基于数学计算的信任水平的访问才允许发生,否则就绝不可以。在这场新的战役中,管理者首次掌握了战场主动权,而且他还得到了来自业务团队与内部用户的友军支援。虽然,研究和管理内部业务也是个需要成本的过程,但是理论上这个过程是有尽头的,从局部到整体,从个人到部门,从一个业务到全部业务,终究是在有限集合里面的可收敛行为,无限开口的预算转化为有限的投入,这是一次质的飞跃,正如美国联邦首席信息官所言:“零信任是隧道尽头的曙光”。

二)从攻击对抗转向攻击抑制

正如古代的武侠小说一样,传统的网络安全行业往往津津乐道于攻击过程中的高强度对抗,刀光剑影你来我往,浪漫而低效。而事实上,早在春秋时期,兵圣孙武就提出:“不战而屈人之兵”、“善战者无赫赫之功”的战略指导原则。当战斗已经打响,那么无论作战过程是多么的精彩,其总体成本都是极其高昂的,其总体效果只能是伤敌一千自损八百。

相较而言,零信任体现了更为先进的战略理念,它以极强大的体系性战略优势,在最大的可能上抑制了攻击的发生。零信任首先要做的就是“隐藏”。所谓最小权限访问,所谓暴露面管理,目的都是隐藏。让业务与数据只被尽量少的用户看到,甚至就连用户在使用过程中也并没有真正“看到”,连“看”都看不到,还怎么攻击呢。传统的网络安全体系,在网络层面上放的极宽,这使得攻击者很容易看到攻击目标并展开攻击,胜负完全取决于挡(只是对抗,但无法隐藏)在攻击目标前面的安全设备的能力。而零信任网络本身成为了无法被看穿、无法被穿透的异次元空间,这使得攻击完全无法发生,正如孙子兵法所言:“善守者,藏于九地之下”。

如果隐藏的努力失败了,零信任下面的努力在于快速发现与精细化隔离。零信任发现攻击的思路与传统的攻防对抗也完全不一样,攻防对抗研究的是攻击本身,那是个永远在变化的对象,因此研究也永无止境,成本永远在支出。而零信任研究的是业务体自身,通过比对攻击与业务的区别来发现攻击。首先业务本身是稳定的,获取其特征的成本在攻防两端极度不对称,防御者对它的获取是一个完全可以自动化无成本执行的过程(DEVSECOPS负责搞这一块)。其次,业务的复杂性一点也不比攻击的复杂性低,这个复杂性反过来成为攻击者必须要去对抗的东西,一下子成本优势就来到了防御者一方,所以基于业务特征的对抗要远比基于攻击特征的对抗便宜得多。而一旦发现了攻击的存在,零信任的处置手段是非常精细化的,因为零信任本来就要求有最小粒度的数据获取与控制能力,因此在处置的时候就能做到“微创”、“无痛”,避免在对网络攻击进行“动态清零”的过程中形成“次生危害”。

综上,零信任的工作逻辑从攻击对抗转向攻击抑制,进一步极大地降低了网络安全的总体成本。

零信任成本构成分析

零信任可以极大降低网络安全总体成本,但是零信任自身也是需要成本的。对于零信任理念的探讨,在国内外已经比较充分了,但是对于零信任自身成本的探讨,还非常少见。这一方面是因为零信任的成功实践还较少,给不出太多的数据,另一方面也是因为厂商对这块视为机密,一直采取三缄其口讳莫如深的态度,甚至还在有意无意地塑造“零信任就应该花许多钱”的刻板印象,从而达成其获利目的。在这方面,蔷薇灵动的看法与众不同,我们认为只有让广大用户明白无误地了解零信任的成本构成,准确地了解零信任投入产出的性价比,才有可能真正放大国内的零信任市场,加快网络安全行业的零信任转型。因此我们很愿意和大家一起分析下零信任的成本构成。

零信任项目的目标,是实现对核心业务与数据的保护,要求对每一个能访问到业务和数据的流量都做基于身份的访问控制,一般来说,需要IAM+SDP+微隔离这三大块。

一)IAM

IAM在零信任里作为概念,定位比较清楚,但是作为项目中的产品,就可大可小了,可以展开如下:

1.1 身份管理系统(必须,不一定花钱):负责身份的全生命周期管理,这块可以由用户系统内现存的身份体系来担任(比如AD)。一般来说,企业要经营,最基本的IT需求就是身份服务,所以,身份服务系统的存在是普遍的,当然传统的身份服务系统能力不那么全,但毕竟可用。

1.2 身份安全系统(必须,不一定花钱):这个是零信任的基石,传统身份服务系统的身份管理能力较强,但身份安全能力较弱,最好有个独立的身份安全系统,去识别校验身份的可靠性。行业客户一般会自己采购和建设这套东西,中小企业有很多免费工具可用,比如企业微信和钉钉。

1.2.1 身份系统对接与迁移(不必须,得花钱):如果你是重新建立了一套新的身份服务+身份安全系统,一般来说,意味着你需要把过去的身份体系迁移上来,或者让新系统和老系统之间做个对接,这个过程取决于你的用户规模以及对接或迁移方案,但无论如何,这部分成本还是比较可观的,用时也较长,不应该被忽视。

1.3 基于身份的授权管理(必须,不一定花钱):零信任就是面向身份的最小授权。一般来说,在建设零信任系统之前,企业内部没有这套东西,而这套东西是零信任的核心,所以这个肯定得弄。这套系统可能在IAM体系里,也可能在SDP或者微隔离体系里,但不管物理上存在在哪里,逻辑上得有这个东西。如果你除了微隔离和SDP所需资源权限之外还希望能管理其他权限,你当然需要独立买一套授权管理系统,但如果你就是给SDP和微隔离用的话,建议就别单独买了,SDP或者微隔离系统一般都带这套东西。

1.4 单点登录(SSO)系统(不必须,得花钱):SSO有两个作用,一个是提升用户工作效率,另一个是提升老业务的整体身份安全水平。作用一挺有价值,但不是零信任的必须,作用二也挺有价值,但是与SDP冲突。所以,整体看,SSO这个功能在零信任项目里可有可无。

1.4.1业务系统身份验证模块对接(不必须,得花钱):如果选择了SSO,就有一个工作必须得做,那就是让SSO系统与每一个需要被支持的系统进行对接。这块取决于你现有的业务规模,以及其标准化程度,当然也取决于你选取的SSO系统的兼容性水平。

差不多在IAM这块,零信任需要的预算就是这些。总的看,可以是很多钱,也可以不花钱。

二)SDP

按Gartner的理解,IAM只是前提条件,本身不是零信任的一部分。真正的零信任就两个东西,一个ZTNA(也就是SDP),一个微隔离。SDP主要解决南北向流量问题,微隔离解决东西向流量问题,两个东西在一起就把全部流量都搞完了。

2.1 策略管理引擎(必须,得花钱):零信任是软件定义的结构,其中策略定义点(PDP)是核心,所以这个引擎就是SDP最重要,也最值钱的部分,当然得买了。

2.2 身份安全系统(不必须,得花钱):一般来说,SDP应该和IAM联动,这比较符合零信任得理念,但是确实国内很多用户还没有IAM系统,所以,国内的一些SDP系统也可以自建身份安全系统,这个要看用户了。我们的建议是最好还是独立建设IAM,然后别忘了让SDP供应商在报价时把这部分系统的能力刨除下去。

2.3 终端(必须,得花钱):SDP有两类,一类是基于客户端的,这花钱好理解,但还有一类是基于浏览器隔离技术的,原则上不需要客户端,但是在购买的时候还是要基于用户接入数量支付费用。

2.3.1 终端安全系统(不必须,得花钱):国外的SDP一般在终端安全上采用联动方案,但国内的SDP很多都有较重的终端安全能力。这块咋说呢,也不是说就一定好或者不好。要看用户现在有没有终端安全,也要看SDP自带的终端安全能力如何,以及计算开销怎样。终端License是SDP采购成本中的大头,而一般用户都有一定的终端安全能力(免费的或付费的),所以如果不必要的话,把终端安全能力砍掉,只保留基本的网络能力和身份能力,既降低终端资源开销又省钱。

2.4 网关(必须,得花钱):这个没啥说的,要做服务隐藏,要做加密通信这些都需要一个网关的存在,而且网关的能力(比如吞吐、稳定性啥的)是SDP系统的核心能力。要说省钱吧,建议最好用虚拟化网关,因为硬件算力其实很便宜了,网关虚拟化后,不但不用多付硬件的钱,而且部署和管理都更加的方便,将来进行资源升级也很方便(硬件就得重新买了)。

2.5 与业务系统对接(必须,得花钱):SDP要保护现有业务,必须和业务系统做对接,但复杂度不一样。一般来说,对接分为两块,一块是业务对接,一块是技术对接。业务对接指的是让SDP理解业务的访问需求,并基于访问需求设计最小权限策略(这部分是不可免的)。而技术对接的成本,要看SDP的具体技术,多数SDP产品采用的是七层代理,这就要求和业务做HTTP协议对接,除了SDP产品要做定制开发,原有的业务往往也得做出改动,这个成本较高。而还有的SDP技术采用的是四层隧道技术,这就不需要做任何的业务对接了。

跟SDP有关的指出就这些,这块无论如何要花些钱,毕竟这是零信任的核心部分,但根据方案的不同,成本相差可以很大。

三)微隔离

3.1 引擎(必须,得花钱):和SDP一样,策略定义引擎也是微隔离产品的核心,因此需要花钱。和SDP不一样的地方是,微隔离引擎的复杂度要高得多,根据管理规模不同,往往要求更大规格的策略管理引擎。这块要注意这个引擎的可扩展性(最多能管多少服务器,是否满足你的需求)。如果扩展性不强,将来就有可能还得重买,这部分钱就白花了。

3.2 终端(必须,得花钱):微隔离的控制点在端上,因此这部分也是微隔离体系中不可或缺的部分。

3.2.1 终端安全(不必须,得花钱):从国内外的实践看,服务器端终端安全和微隔离基本没有什么联系,没有任何供应商,敢基于服务器端终端安全产生的有很高误报率的安全事件进行阻断。另外,服务器端终端安全往往有较大系统开销,在真正的关键业务生产网上部署很少,即使偶有部署的案例,后期往往由于各种问题被卸载掉。

3.3 业务系统对接(必须,得花钱):微隔离部署完成后,需要对业务系统的东西向流量进行分析,并根据业务构成配置微隔离策略,这部分是不可少的。区别在于,有经验的厂商会让这个过程比较顺畅,从而降低实施成本。

以上,就是我们对零信任项目全部成本构成的分析,可以看出来,零信任的内核部分其实并不大,但可选的技术模块较多,根据用户的具体选择,成本可能有很大的不同。

统一微隔离的成本分析

统一微隔离是蔷薇灵动在ZTNA技术和微隔离技术的基础上研发的新一代零信任产品,可以通过一个产品解决用户的全部业务访问的零信任安全问题。在具体实施统一微隔离项目的过程中,根据用户的不同技术选择,统一微隔离项目的成本也会有一定的变化,但是,本文的标题是“用统一微隔离做零信任可以多便宜”,因此我们将在这个部分给出一个投入最少但功能完整的解决方案。

一)背景:

蔷薇灵动自己也是家中小企业,因此我们对零信任当然也是有需求的。而作为一家网络安全公司,我们在认知上对于很多安全上过于激(kua)进(zhang)的价值主张一直抱有较深的怀疑态度。因此蔷薇灵动在规划统一微隔离的时候,从自身实际需求、企业资源限制、以及目前国内外最佳实践的多维角度出发,设计出了一套与众不同,简约而不简单的产品架构。本文要给出的就是我们自己的网络安全实践。

二)方案

2.1 IAM

我们用的是钉钉,其实企业微信和飞书也可以,他们都内建了组织架构系统,而且都有极强的身份验证能力,最关键的是,他们都是免费的。

2.2 统一微隔离引擎

蔷薇灵动的统一微隔离兼具ZTNA和微隔离能力,一套引擎干两套引擎的活,少用一套引擎不说,管理、维护以及算力开销都低了不少。

2.3 终端

统一微隔离把用户终端和数据中心终端放在一起来管理,加起来部署了几百个点吧。

2.4 终端安全

服务器端没有终端安全,用户侧主要依靠免费安全软件。

2.5网关

用两台4核8G虚拟机搭建起一对HA统一微隔离网关。统一微隔离网关为四层架构,因此不需要做业务适配,可以对现存业务做完整的防护。

2.6 云端无网关

这里再介绍一个蔷薇灵动的独门绝技。一般来说SDP都是必须要有网关的,虽说蔷薇的网关是虚拟化的,花在算力上的钱比软硬一体产品少多了,但是这毕竟也是钱呀,尤其是考虑到公有云场景,哪怕是建立一个2核4G的小镜像,一年也得大几百的成本。不过,大家别忘了,蔷薇灵动是干微隔离出身,我们拥有点到点直接访问控制的能力,因此我们在云端就没有部署网关,而是通过工作负载上的终端直接进行访问控制,这又省了一笔钱。

三)效果

3.1 所有业务完成身份安全升级

过去蔷薇很多自建业务(比如wiki、代码服务器、文件服务器等)甚至都没有身份安全的设计,有也只是简单的用户名密码系统。现在,所有业务的访问都必须经过钉钉系统的身份认证,相当于一分钱没花,让这些系统的身份安全都达到了一个业界非常主流的水平上。

3.2 所有业务系统基于身份做零信任访控

过去蔷薇的业务系统的访问控制也是基于IP来做的,服务器有一个固定网段,办公网有一个大的网段,通过开源防火墙实现从办公网段到服务器网段的访问控制。现在,已经全部实现基于用户身份(角色)到域名的细粒度访问控制。

3.3 域名改造与IP地址隐藏

过去,对服务器的访问时直接面向IP的。现在,利用统一微隔离的FAKEDNS能力,实现了域名化改造。不但如此,FAKEDNS还会对服务器IP地址进行伪造和隐藏,用户通过DNS解析得到的是个虚拟IP地址,真实地址不再可见。而且通过服务器上部署的微隔离终端与微隔离网关之间的策略协同,使得一切尝试绕过网关的访问都无法成功,彻底锁死了业务的访问路径。

3.4 云端统一防护

蔷薇的网站是部署在云端的,从接入的体验来说,以及对DDOS攻击的防御水平而言,公有云显然更有优势,另外,把对公众的业务放在本地其实相当于开了一个本地业务对互联网的大口子,也不是个安全的做法。但是,因为云端就这么一台虚拟机,要是为了这一台虚拟机再买一台虚拟机做微隔离网关就显得太浪费了。于是我们采用了基于端点的防御能力,把从公司员工到网站的运维管理流量给管理了起来,网站只留一个对公网的443端口。

3.5 远程安全接入

蔷薇的团队,主要分布在北京、上海、深圳和武汉。疫情期间,各团队被反复隔离在家。但是由于部署了统一微隔离系统,使得员工在家办公和在办公室办公基本没有任何区别。不但对于全部内部业务(包括各种测试、运维、远程桌面等)都能正常使用,而且由于采用了终端分流的技术,使得只有企业业务被引流回公司数据中心,而其它业务还走原来的网络路径,使得企业网的压力也没有太过剧烈的上升,挺住了疫情期间远程访问集中爆发的网络压力。

而实现这一切,我们没花一分钱(因为统一微隔离是我们做的)。我们想,如果我们的用户也采用我们的方案(虽然不完美,但真的很够用了),那么除了统一微隔离,他也不用花任何额外的一分钱。有人说,你们这个就叫丐版零信任吧。我们说,这咋能叫丐版零信任呢,应该叫普惠零信任!

来源:C114通信网

相关

网关网络安全网络TOM转型
本评论 更新于:2024-3-29 15:46:11
在C114 APP中与业内人士畅聊通信行业热点话题!