到目前为止,零信任已成为一种著名的网络安全方法,用来防御基于身份的入侵。正如身份定义安全联盟(IDSA)的“零信任之路始于身份”白皮书中所举例说明的那样,零信任是指承认威胁参与者将进入组织的环境,因此,防御必须牢记这一理念。
许多企业在遇到违规或审核失败后,便开始建立零信任的道路。零信任以身份管理和访问控制为重点,自然而然地满足了合规性法规和网络安全的许多要求。尽管如此,许多组织仍缺乏与身份相关的密钥安全控制。实际上,IDSA最近的一项研究表明,基于凭证的数据泄露是普遍存在的(94%的调查对象经历过与身份相关的攻击),而且是高度可预防的(99%)。
可怕的事实是,黑客不再入侵,他们登录时使用的是脆弱的、默认的、被盗的或其他泄露的凭证。
当今的经济环境加剧了这些网络风险,并且COVID-19流行病的影响导致数字化转型和技术变革的加速,将进一步对组织的身份和访问管理(IAM)做法进行压力测试。这在最小化传统数据中心、云和DevOps环境中与访问相关的风险方面提出了新的挑战。
采用了以身份为中心的安全措施的公司通常将重点放在人类用户(客户、员工、IT管理员、顾问或业务合作伙伴)身上。然而,这与现实背道而驰。今天,身份不仅包括人,还包括工作负载、微服务和应用程序。
事实上,在许多组织中,非个人身份(也称为机器身份)代表了大多数“用户”。计算机标识通常与特权帐户相关联,并且通常比现代IT基础设施中的传统人工特权帐户占用的空间大得多。在DevOps和云环境中尤其如此,在这些环境中,任务自动化占主导地位。
归根结底,这些新型机器和现代云计算原生应用架构正促使企业重新思考其IAM战略,否则他们将面临网络对手很容易利用的盲点。在Gartner最近的一份报告“管理机器身份、机密、密钥和证书”中,作者证实了“一种无法控制的不安感和缺乏责任感是有充分理由的。”Gartner提到存在发布、管理和控制密钥、机密和证书的影子IAM部署;ghost Secure Shell(SSH)密钥在组织的不同设备和工作负载中的出现;以及在使用机器标识方面缺乏良好的指导,这是公司如何努力处理机器标识的几个例子。
除了低估非个人身份在数据泄露情况下的相关性外,许多组织也很快意识到,传统的静态密码概念(通常需要手动和耗时的配置)不适合快速移动的多云和混合环境,在这种情况下,访问需求往往是暂时的,变化是不断的。那么,这对密码的未来意味着什么?组织如何控制对其敏感资源的访问?
零信任:从基础开始
Gartner建议重新考虑并制定企业范围内的身份,机密和密钥管理策略,其中应包括以下基本步骤:
· 定义机器标识的通用命名法。
· 区分机器身份如何存储在中央和本地身份存储库(例如Active Directory或数据库)和机器使用的凭据之间。
· 了解组织必须满足的不同业务部门的需求和法规要求。
· 评估可以帮助管理机器凭据的不同技术,例如:硬件安全模块(HSM)、密钥管理系统(KMS)、秘密管理系统、特权访问管理(PAM)、IaaS/PaaS提供商提供的内置功能和工具
· 建立计算机的所有权和凭证。
· 向整个组织的利益相关者提供最佳实践和指导(例如,DevOps)。
推进身份验证模型
一旦组织实施了这些基本步骤,他们就必须放弃对静态密码模型的依赖,而转而采用动态密码方法。这些基于证书的临时访问凭据解决了困扰静态密码的主要安全问题,而又不影响高度数字化的IT环境中的可用性和敏捷性。
在实现短暂的基于证书的授权时,目标系统的访问不需要永久访问凭据,这基于零信任原则建立了“零常设特权”的立场,确保对服务的所有访问都必须经过身份验证、授权和加密。对于每个会话(无论是对于人还是机器),临时证书都是由证书颁发机构(CA)颁发的,CA作为可信的第三方,并且基于行业标准,例如临时X.509证书。为了安全起见,它对用户身份进行编码,并且具有较短的生存期,避免了中间人攻击的风险。
最终,CA根据基于规则创建的用户角色(包括分配给工作负载,服务和计算机的角色)控制对目标系统的访问。特定角色的规则是根据安全策略和访问要求生成的。然后,CA从传统企业目录(例如,Microsoft Active Directory)中获取每个角色的规则,并使用它们来确定适当的身份验证。这种方法减轻了为每个单独的用户/计算机设置访问权限的可能性,并简化了对用户/计算机组的更新。
结论
身份与安全性的集成仍在进行中,根据IDSA的研究,只有不到一半的企业完全实施了与身份相关的关键密钥访问控制。开始这条道路的关键是要认识到,基于零信任原则的以身份为中心的安全方法不仅适用于人类,而且还适用于机器。
