©2023云安全联盟大中华区版权所有1 CSA零信任工作组的官方网址是: https://cloudsecurityalliance.org/research/working-groups/zero-trust/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3 致谢 《零信任安全理念(ZeroTrustasaSecurityPhilosophy)》由CSA工作组家编写,CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组(排名不分先后): 组长:陈本峰翻译组: 王安宇余晓光袁初成李安伦鹿淑煜何国锋赵锐 审校组: 陈珊杨涛 研究协调员: 夏营郑元杰 感谢以下单位的支持与贡献: 华为技术有限公司中国电信股份有限公司研究院 上海缔安科技股份有限公司湖州市中心医院 苏州云至深技术有限公司三未信安科技股份有限公司 OPPO广东移动通信有限公司 英文版本编写专家 主要作者: PaulSimmonds 贡献者: HillaryBaron MarinaBregkou JoshBuker DanieleCatteddu SeanHeide ErikJohnson ShamunMahmud JohnYeoh CSA分析师: FrankGuancoStephenLumpe 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 序言 零信任是一个总体的安全理念,规定对系统或数据的访问请求都应基于风险,从零开始建立信任。但是诸多企业对零信任都有着不同的定义,其主要原因之一是监管机构未曾对零信任制定统一的标准定义。因此,为了减少沟通成本,统一行业标准,提高生产效率,本文对于零信任理念的解读就尤为重要了。 零信任的核心即为“假定已被入侵”。与传统的安全理念相比,零信任更注重的是问题的解决而非问题的预防,通过控制架构的转变,企业可以更好地掌握企业安全框架,通过持续的风险监控保证更好的安全态势。 本白皮书以基于风险的零信任方法为核心,通过解析以往二元信任的不足,引出新的上下文敏感的安全态势,并指出持续风险监控的重要性,表明了零信任方法的重要特征。 除了满足零信任的重要特征,迈向零信任原则还应准确地评估风险。本文就风险评估概括了九条重要的“不信任”,任何的风险评估中都应当包含这九条。云计算也可以与零信任方法结合,它们有着一部分相同的安全优势,并且它们架构上的差异可以帮助零信任更全面地维持安全态势。 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢3 序言6 总结8 零信任简介9 企业应该以零信任理念为目标解决什么问题?10 今天的零信任哲学11 基于风险的零信任方法12 迈向零信任原则13 1.不信任任何网络,包括您自己的网络14 2.互联网上无信任14 3.不信任您经营所在的国家/地区14 4.不信任第三方硬件或代码15 5.不信任DevSecOps15 6.不信任系统管理员(“您的”或“他们的”)16 7.不信任服务器(安全的)位置或系统的物理安全16 8.不信任端点17 9.不信任的身份认证生态18 云和零信任19 架构差异20 云环境中的零信任工具21 第三方环境中的数据21 云计算或零信任不适用的场景21 通过云计算交付的零信任来降低风险21 结论22 将零信任策略与业务风险、业务成熟度和业务战略情况相结合22 附录1:零信任战略的高阶方法论23 关键系统24 权限/授权24 上下文24 治理和监督25 附录2:构建您的零信任路线图25 基本原则26 零信任理念的挑战26 常见错误27 信任27 身份识别27 老旧系统27 云28 监控和观测28 隐私28 互操作和供应商锁定28 附录3:零信任架构和其他框架29 总结 如果实施得当,零信任策略或方法及其体系结构,具有巨大潜力为组织的IT提供更简单、更安全和灵活的业务环境。 本文从中立的角度阐述了零信任供应商和技术解决方案对组织的意义;为组织及其工作流程的战略和支撑架构提供制定建议;并使IT与业务目标和成果保持一致。 本文着眼于术语的起源,以及术语今天的含义,并进行主题概述,以便高管们能够理解零信任背后的目的和目标;而技术专家门可以看到他们的专业领域(或产品集)对整体方案的贡献。 原则上,可以通过以下方式将零信任视为与其他(历史)方法区分开来: 由内而外,而不是外部方法;零信任始于数据的价值和访问权限 在信任(和共享信息)之前进行验证 减少对物理边界的依赖 基于风险的数据和逻辑访问 信任决策基于身份 最终,对于大多数组织来说,零信任方法只是其工具箱中的另一个工具;补充现有的安全解决方案,如防火墙和VPN。与任何其他控制一样,它可以与其他(例如补偿控制)一起使用或代替其他(保护性)控制。 零信任简介 有一个寓言可以追溯到大约2500年前,三个盲人在丛林中遇到了一头大象,抓住它的腿的人将其描述为一棵树,抓住尾巴的人将其描述为蛇,等等。 零信任类似于大象,根据您的专业领域、您的角色或您销售的产品,您将以完全不同的方式描述问题及其解决方案。 , “零信任”已经演变成一个对立的术语,因为多年来,传统的安全模型和解决方案已经根深蒂固从某种意义上说,IT、网络和安全专业人员的培训已经失效多年。 PublicDomain, https://commons.wikimedia.org/w/index.php?curid=4581243 那么,什么是“零信任”?是一种策略吗?一套设计原则、架构或产品? 今天,“零信任”是一个总体的安全理念,规定对系统或数据的任何/所有访问请求都应基于风险,从零建立信任。 本文将论证上述所有内容。但更重要的话题是,这个理念是如何将当今业务需求与IT基础架构、网络、安全和云的风险应对方案对齐的。“零信任”也是用词不当,因为对于“问题表述” 的回应,本质上取决于如何在IT生态系统建立信任的具体实施方案。 然而,需要注意的是,零信任的定义在不同的供应商和不同的安全专业人员之间都有不同变种。也许这主要是由于监管机构没有制定统一的标准定义。为了应对这个零信任的当前挑战,零信任理念的解读就尤为重要。 企业应该以零信任理念为目标解决什么问题? 对“零信任理念”是组织的一个独特的架构战略,由组织的战略目标驱动,并与其风险偏好保持一致,以提供满足该组织当前、中期和长期需求的灵活技术环境。该目标通过将零信任原则重构或整合到当前的业务实践和方法论中来实现。 零信任方案使组织能够更安全、更具韧性。如果实施得当,它的一些关键优势是: 它使组织变得更加安全和具有韧性。 聚焦于关键业务资产,并对其安全性采取基于风险的、量身定制的方法。 建立一个供应商中立的、技术无关的方案,减少了对供应商的依赖,并使企业主对信息的访问全权掌控。 技术和安全合作变得更加简单,尤其是与其他组织(合作伙伴、合资公司、外包合作关系等)的合作。 简化了IT和网络团队的运维模式,让IT和信息安全更好地与业务需求结合。 通过消除终端用户、IT和安全团队之间的隔阂来提高用户体验。 减少资本支出(CapEx)和运营支出(OpEx)。 提供一个基于标准的方法来落地零信任和面向未来的投资,而不引入复杂的重构工作。 实施“零信任”的其他好处包括(但不限于): 加强可视化程度和自动实时响应,赋能防御者能够有效应对威胁。 使得私有部署架构向云计算解决方案的过渡更加容易。 支持企业拥抱多云战略。 使企业能够拥抱IIoT(工业物联网)并支持运营技术(OT)战略。 今天的零信任哲学 如果你严格地调研组织的IT基础架构、以及它们的资产和数据,大多数企业都认为边界无关紧要,只是作为一种可行的安全方案。最多会保留公司内网的一个企业IT流量吞吐区域,通过粗过滤器筛除流量中的“颗粒”,提供一个可控的、点对点吞吐量和服务质量。 许多组织和政府已经采用了“云优先”、“云智能”或混合云战略,而今天的初创企业不太可能拥有自己的基础设施,整个业务都依赖于外部服务,通过OpEx(运营支出)方式进行外包。1 “如果有人想要入侵,那他们就正在入侵” -前中央情报局和国家安全局主任迈克 无论组织采取的技术战略是什么,它的资产(人员、系统、用户设备和数据)广泛而分散。一些资产由组织拥有和管理,但越来越多的资产被外包(例如SAAS2和其他在云端或第三方的服务)。因此,组织的数据,尤其是关键数据,通常不存储在组织拥有或管理的基础设施上,这些数据通常通过互联网进行访问。 因此,美国政府国家安全局的“零信任”工作中有一个基本原则,即“假定已被入侵”!3 对于大多数组织来说,应对最常见的安全漏洞的架构级解决方案就是使用零信任能力。无论是公司内部网络的漏洞,还 是服务供应商或第三方的漏洞,或者合资企业合作伙伴的漏洞,都可以从零信任架构的角度进行安全管理(入侵、检测、预防等)。 通过拥有对无形财产、关键数据和数据流动的细节可见性,然后设计或减轻风险,组织可 1OperationalExpenditure;fundedbyday-to-dayrunningcost,notrequiringcapitalexpenditure/investment 2SAASisSoftware-as-a-Service 3NSA|EmbracingaZeroTrustSecurityModel(U/OO/115131-21|PP-21-0191|February2021Ver.1.0) 以更好的保护已识别的商业资产,无论这些资产在何处放置。 然而,将零信任哲学转化为可落地的架构需要一种基于风险的方法来验证交易链条中的所有实体4,并结合上下文(用户、设备、网络、行为参数等)和持续评估的角度,以确定当前交易是否合法,或者是否继续合法,这就是“授权”的概念。 组织正在从基于边界控制的架构转向联动式安全控制的架构,这是一种以数据为中心的控制和以用户/身份/行为和威胁为中心的控制的两者结合。零信任哲学的主要目标是将边界更接近“访问主体”和“企业资源”。采用零信任哲学时面临的挑战是如何适应不断变化和快速演进的安全局势,以及维持组织的稳定安全态势。 “零信任”方法是假定问题已经存在(并解决问题),而合规要求通常更注重预防。这为机构和组织带来了巨大的好处,因为与其被锁定到一个单一供应商,技术负责人现在可以掌控整个框架。区别于一个仅仅满足合规要求的产品或服务,零信任实施可以归结为一个参数化架构以及一系列产生虚假安全感的风险假设。零信任赋能技术负责人可以选择最适合监测、管理和控制各地资源的最佳技术。 基于风险的零信任方法 实施任何零信任哲学都要求组织将基于风险的方法融合到信息安全措施中,包括(数据访问治理、身份和访问控制、威胁管理、IT/OT融合等)许多支柱。这些措施涵盖了数据安全、网络安全、终端安全、服务器安全、OT安全、IT安全、物理安全、位置安全和个人安全等领域。 不幸的是,目前大多数技术和安全设计假设都基于二元信任的概念。“他们被信任因为他们在我们的内网中”,或者“他们是他们声称的人,因为他们最终提供了一个正确的密码”,或者“他们通过了安全审查”。风险,特别是在遵循零信任原则所要求的更细粒度的方法时,必须基于不断变化的因素: 了解所涉及的相关实体的上下文情况 了解实体所请求的目标的安全态势