云深互联：NIST建议的零信任安全8大应用场景

2025-01-31 03:40:40admin

本文的内容来源于NIST SP 800-207《零信任架构》(草案)、NIST NCCoE发布《实现零信任架构》(草案),互联着重为大家介绍零信任安全应用场景。零信任架构(草案)可以去关注云深互联公众号免费领取中文版。建议景

零信任是一个安全概念,其核心思想是组织不应自动信任其边界之内或之外的任何事物,而必须在授予访问权限之前验证试图连接到其系统的所有事物。也就意味着每个试图访问专用网络上的安全资源的人和设备(无论它们位于网络外围之内还是之外)都必须进行严格的身份验证。没有单一的云深用场特定技术与零信任相关。这是互联一种结合了几种不同原理和技术的整体网络安全方法。

之前,我们已经发布的《零信任安全架构标准》,主要为大家精讲了零信任架构和零信任体系架构的逻辑组件。为配合NIST SP 800-207《零信任架构》(草案)的信任推进工作,本月(2020年3月)NIST下属单位NCCoE发布了《实现零信任架构》(草案)项目说明书并征求公开评论。该项目说明书瞄准的安全是零信任架构的落地实践,希望实现安全性与用户体验的兼得。本文着重为大家介绍零信任安全应用场景:

1.分支机构访问总部业务系统

最常见的情况是,企业只有一个总部和一个或多个地理上分散的位置,这些位置没有企业拥有的物理网络连接(见图1)。

远程位置的员工可能没有完全由企业拥有的本地网络,但仍需要访问企业资源才能执行其任务。同样,建议景员工也可以使用企业拥有或个人拥有的设备,进行远程工作或在远程位置工作。在这种情况下,信任企业可能希望授予对某些资源(如员工日历、电子邮件)的安全访问权限,但拒绝访问更敏感的资源(如人力资源数据库)。

在这个用例中,PE/PA最好作为一个云服务托管,终端系统有一个连接代理或访问一个资源门户。由于远程办公室和工作人员必须将所有流量发送回企业网络才能访问云服务,因此将PE/PA托管在企业本地网络上可能不是响应最迅速的。

图1:有远程办公员工的企业

2. 企业多云战略

部署ZTA策略的一个越来越常见的用例是使用多个云提供商的企业(见图2)。在这个用例中,企业有一个本地网络,但使用两个(或更多)云服务提供商来承载应用程序和数据。有时,应用程序,而非数据源,托管在一个独立的云服务上。为了提高性能和便于管理, 托管在云提供商A中的应用程序,应该能够直接连接到托管在云提供商B中的数据源,而不是强制应用程序通过隧道返回企业网络。

这个多云用例是ZTA采用的主要驱动因素之一。它是CSA的SDP规范的服务器到服务器实现。随着企业转向更多的云托管应用程序和服务,依赖企业边界进行安全保护显然成为一种负担。ZTA认为,企业拥有和运营的网络基础设施与任何其他服务提供商拥有的基础设施之间应该没有区别。多云使用的零信任方法,是在每个应用程序和数据源的访问点放置PEP。PE和PA可以是位于云或甚至第三个云提供商上的服务。然后,客户端(通过门户或本地安装的代理)直接访问PEPs。这样, 即使托管在企业外部,企业仍然可以管理对资源的访问。

图2:多云用例

3 .临时工、外包员工访问业务系统

另一个常见的场景是,一个企业包含需要有限访问企业资源才能完成工作的现场访问者和/或外包服务提供商(见图3)。例如,企业有自己的内部应用程序、数据库和员工工作系统。这些包括外包给偶尔在现场提供维护任务的供应商的服务(例如,由外部供应商拥有和管理的智能暖通空调(HVAC)系统和照明系统)。这些访客和服务提供商将需要网络连接来执行他们的任务。ZTA网络可以通过允许这些设备(以及任何来访的服务技术人员)访问Internet来实现这一点,同时还可以屏蔽企业资源。

在本例中,该组织还有一个会议中心,访客可以在其中与员工进行交互。同样,通过ZTA的SDP策略,员工设备和用户是有区别的,可以分别访问恰当的企业资源。进入校园的访客可以访问Internet,但不能访问企业资源。它们甚至不能进行网络扫描,以查找可能可见的企业服务(即阻止主动网络侦察)。

图3:具有非员工访问的企业

4. 跨企业协同

第四个用例是跨企业协作。例如,有一个项目涉及企业A和企业B的员工(见图4)。这两个企业可以是独立的联邦机构(G2G),甚至是联邦机构和私营企业(G2B)。企业A运行用于项目的数据库,但必须允许企业B的某些成员访问数据。企业A可以为企业B的员工设置专用账户,以访问所需的数据并拒绝访问所有其他资源。

图4:跨企业协作

5. 提供面向公众或面向客户的服务的企业

许多企业的共同特征是面向公众的服务,其中可能包含或不包含用户注册(即用户必须创建或已获得一组登录凭据)。这样服务可能是针对普通大众,具有现有业务关系的一组客户,或一组特殊的非企业用户,例如员工家属。在所有情况下,要求资产不是企业所有,企业在内部网络安全政策可以得到执行。对于不需要登录凭据即可访问的通用公共资源(例如,公共网页),则ZTA的原则并不直接适用。企业不能严格控制请求资产的状态,公共资源不需要凭据即可访问。企业可以为注册的公众用户,(例如客户,即拥有业务关系)和特殊用户(例如雇员的家属)。如果要求用户产生或获得证书,企业可以制定有关密码长度的政策,生命周期以及其他详细信息,并且可以提供MFA作为选项或要求。然而,企业在可以针对此类用户实施的策略方面受到限制。相关信息传入请求可能有助于确定公共服务的状态并检测冒充合法用户的可能攻击。例如,一个已知的注册用户门户由注册客户使用一组常见的Web浏览器之一访问。突然来自未知浏览器类型或已知过时版本的访问请求可能会增加表示某种形式的自动攻击,企业可以采取措施限制请求来自这些确定的客户。企业还应了解任何法规或规定关于可以收集和记录有关请求用户和资产的信息。

6.员工访问互联网资源

员工正在尝试访问公共Internet以完成某些任务。此场景将演示一种特定的用户体验,其中员工尝试使用企业管理的设备在Internet上访问基于web的服务。虽然基于Web的服务不是由企业拥有和管理的,但是该项目中实现的ZTA解决方案仍然会动态和实时地提供对该资源的相关访问请求。该解决方案将允许员工在任何位置访问,也就是说,员工可以使用企业管理设备在企业内部网、分支办公室或公共互联网内连接时访问互联网。

图5:访问互联网

7.企业内的服务器间通信

企业服务通常有不同的服务器相互通信。例如,web服务器与应用服务器通信。应用服务器与数据库通信以将数据检索回web服务器。此场景将演示企业内服务器间交互的示例,其中包括场内、云中或在本地和云中服务器之间的服务器。本项目中实施的ZTA解决方案,将动态和实时地提供相互交互的指定服务器之间的关联网络通信。