相信大家已經通過各種信息渠道越來越多地接收到數字化轉型這個提法,特別是經歷過新冠疫情大流行后,至少會有一個共識,即各行各業不僅僅是數字化基礎較好的互聯網行業,還包括傳統制造業,都需要立即啟動并持續深化數字化轉型,這不是一個組織能否健康持續發展的選擇題,而是一個事關組織基本生存的必答題。那什么是數字化轉型?如何判斷組織的數字化轉型處于哪個階段?成熟度如何?
數字化轉型是通過開發數字化技術及支持能力以構建一個富有活力的數字化業務生態,對企業來說就是最終構建一個有活力的數字化商業生態,其中一個潛在的前提是所有的業務都可以在線完成。數字化轉型有幾個發展階段,第一階段是信息數據化,包含兩部分:第一部分是數字孿生,物理空間有的實體通過建模仿真進行數據化存儲和展示,第二部分是在物理空間中沒有的只存在于虛擬世界中的實體,比如網絡IP地址資源、帶寬資源、存儲容量、CPU算力等,也需要進行數據化。第二階段是基于已有數字化實體的數據進行流程化,我們的業務都是基于這些數據的流動,如果不能將業務流程化那無法高效使用數據。第三階段是聯接在線化,這不僅僅是業務在內部的封閉式連接,更是需要業務更開放式在線化連接,同時支持聯接人、設備或者任意的身份實體以構建萬物互聯的數字化業務生態。第四階段做到所有業務數字化在線化,不管在全球何時何地都可以方便聯接以及業務運作。以上幾個階段體現了數字化轉型的不同成熟度,疫情期間的遠程協作辦公也能側面體現當前數字化轉型的成熟度,如果成熟度不夠,員工很難居家安全高效地完成所有業務運作。
圖1 數字化轉型定義和層次結構
站在業務角度來看我們為什么要進行數字化轉型呢?首先從宏觀角度看,我們人類歷史上三次工業革命,第一次是蒸汽動力革命,第二次是電力革命,第三次是信息化革命。如果作為業務負責人,不考慮信息化去推進業務的數字化轉型,那么跟時代的生產力發展是違背的。其次是降本增效,通過數字化轉型我們可以把成本降低,效率和質量提升上來。最后是打造開放協作的業務生態的需要。現在大家看到的平臺型互聯網公司,都是在通過深度的數字化轉型來打造開放協作的業務生態,與整個社會經濟融合共生,從而增強自己的生命力和抗風險能力。我們舉一個快遞行業數字化轉型的例子,很久之前大家寄快遞都是手寫面單,分撥中轉都是靠人工記憶大頭筆進行分流,而現在都已經變成了電子面單,通過無人化的自動分揀來實現快件的中轉分流,這是數字化轉型的典型,如果還繼續用手寫的話,是很難達到目前的購物體驗的,在效率和成本上也是遠遠達不到現在的水平。
站在從業人員的角度看為什么要關注數字化轉型呢?第一,作為從業人員要保住飯碗,如果對數字化轉型,對現有新的模式不了解,有可能無法很好地完成現有工作,因為現在整個業務模式都在逐步發生改變。第二,如果在組織的數字化轉型過程中做出了貢獻,提高了業務效率和優化了用戶體驗,那就有更大概率得到升職加薪的機會。第三,如果能夠適應、了解、學習、深刻地理解數字化轉型背后的技術和方法論及相關實踐,那對個人和團隊來說是一個非常巨大的機會,機會點來源于傳統方法論、技術、產品設備在未來都會被逐步淘汰,我們就可以投身數字化轉型的革命打造出更適應時代的產品和服務,這給從業人員的價值輸出提供了一個出入口。
綜上所述,關注和推進數字化轉型是各類組織及個人都要考慮的優先重要任務,而且由于其復雜性必然是一個長期戰略,因此在真正落地執行之前需要考量以及準備的事項非常多,其中信息安全是數字化轉型中最重要的基礎保障之一。要構建開放成熟的深度化的數字業務生態也必然會面臨實際的信息安全挑戰,一部分是原本線下的或者內部的轉移過來的安全風險,另外一部分就是線上必然要面對的安全風險。下面列舉一些數字化轉型中可能會面臨的安全挑戰場景。
一、護城河式或城堡式的安全建設思路帶來的安全挑戰
這種思路通常是以網絡邊界為中心來打造安全邊界,典型的做法有部署域控、VPN、防火墻等,我們從頻發的信息安全事件結果來看這類方法無法更有效地降低安全風險。另外從數字化轉型的安全保障需求來看,首先我們需要整個業務生態對外開放和在線協作,我們的業務需要在全球范圍內隨時隨地通過BYOD接入并高效運作。其次公有云、私有云、混合云是任意異構使用的,對用戶來說感知到的是業務服務本身,需要能夠在多云切換下獲得絲滑般如2C下的一致性用戶體驗。目前常用的以網絡邊界為中心的傳統安全訪問控制模型難以滿足上述需求,需要遷移到更現代化的以全面身份化為支撐、軟件定義并構建動態虛擬邊界、基于策略的新安全訪問控制模型。
二、串糖葫蘆式安全建設思路帶來的安全挑戰
這種思路通常是將多個廠商的產品串行到業務鏈路中去,相互之間無中心化的控制平面使用統一的的安全策略進行聯動,相當于強調各自的單兵作戰能力但是無協同,同時下發安全策略通常需要申請每個設備的變更窗口。另外由于串行的設備比較多,只能最大限度地保障相鄰設備之間的高可用,無法保障整體業務鏈路的高可用。而在數字化轉型視角下,我們需要業務應用及市場活動能夠快速上線并試錯,其安全策略等必須得到快速配置和應用以及業務的安全性和連續性有充分的保障。因此現有的串糖葫蘆式的安全產品部署模型需要更新迭代到更適用的部署模型,即打造一個中心化的安全控制平面,各類安全功能組件以插件化的方式部署在業務鏈路的數據平面上,統一格式規范的安全策略通過策略管理控制臺實時下發配置和應用,從而在架構層面實現縱深上的即時聯動以取得較好的安全防御效果,同時獲得足夠的高可用性及充分的靈活性。
三、外掛飆車式安全建設思路帶來的安全挑戰
當前無論是甲方還是乙方在安全建設心態上都是求穩為主,甲方角度是希望線上業務可用性別出問題,出了事也要能免責,乙方為了產品服務能容易落地銷售不可避免要迎合這樣的心理,在這種情況下安全建設的初心就被改變了,同時動作也不可避免地變形,安全建設的效果就很難真正保障,這種情況在安全產品部署方式上體現的最為明顯,即相當一部分安全產品都是以旁路鏡像的方式部署,俗稱外掛,就像原生系統多出來的外來補丁,難免水土不服,無法高效聯動,難以發揮出該有的作用。而在數字化轉型的視角下,萬物互聯場景中聯接的深度和廣度是前所未有的,而且聯接的協議和內容也更加豐富并更實時互動,同時它們普遍采用各類加密方式進行傳輸,不同安全等級的應用訪問控制策略需求差異非常大,即使同一個應用也會細分不同的業務場景有不同的業務規則參與訪問控制策略的生成和執行,也就是說傳統的所有流量請求全部走一遍大一統的訪問控制策略列表是行不通的,同時需要能在明文情況下將業務規則參與進來。因此我們的方案是在應用層接入和分流應用場景并解析所有上下文為明文,結合業務規則在串行的鏈路接入統一的安全控制平面執行安全策略,將上述安全能力巧妙地融入到現有的技術和業務架構的基礎設施中,實現原生的安全賦能。
四、東西向放羊式安全現狀帶來的安全挑戰
當前內網東西向的安全防護能力普遍較弱,大部分組織幾乎處于放羊式管控現狀,而業界也沒有太多切實有效的安全方案,源于其巨大的落地實施的復雜性,這也是上了很多安全產品或者服務后依然會被突破邊界進而全局失陷的重要原因之一。在未來,隨著網絡邊界的模糊,東西向不僅僅局限在內網,更是擴散到不同組織的IDC到IDC之間,云服務到云服務之間,安全風險更是上升到新的層面。現有的一些對東西向安全有幫助的方案如微隔離、HIDS、欺騙防御等,要么難以實施要么隔靴搔癢,如基于防火墻等設備實施的微隔離方案實施集成的難度非常大、HIDS稍有幫助但是從架構上難以有更好的效果、欺騙防御思路很好但目前常用方案仍有引狼入室的風險。在數字化轉型的視角下,大的趨勢是面向用戶的業務流程編排化、底層服務中臺化、所有實體的身份化,各類服務之間相互依賴加深,非人員的身份實體自動化訪問增加,我們需要的將是能對各類資源、身份實體及訪問行為進行實時動態地自動化精細化的訪問控制管理,這也需要基于原生架構就能支持的數據面和控制面結合的安全能力,此時所謂的東西向和南北向的邊界也會模糊并走向融合。
五、保險箱式安全建設思路帶來的安全挑戰
當前偏傳統型的組織在做安全保護時采用的是嚴防死守的思路,把關鍵數據核心資產像鎖到保險箱一樣重重保護起來,設置多層訪問控制和加密等,如VPN、防火墻、堡壘機、客戶端加密、文件加密、數據庫加密、操作系統層加密、各類網閘設備等,在業務處理流程上設置多級審批,操作上純人肉搬運,這類解決方案在部分場景以及特殊組織下是合理的,但是對于需要在線運營業務的組織或者用戶來說就是體驗和效率的噩夢,極大地制約生產效率和市場競爭力。在數字化轉型的視角下,我們需要絕大部分的數字資產如數據、服務等都是聯接在線的,通過內外部的開放協作以打造閉環的業務生態,如果還是采用保險箱式安全建設思路,要么嚴重阻礙組織的數字化轉型進程要么讓業務暴露出極大的安全風險,其對策就是根據安全信任評估模型在數據面的策略執行點上實施實時動態的安全訪問控制策略,打造真正的零信任數據安全閉環解決方案,從而讓數據像血液一樣高效流動起來以促進業務發展并且確保安全和合規。
六、抓瞎式盲目自信的安全建設思路帶來的安全挑戰
安全建設者的根本任務是保護組織的關鍵和高價值的資源以及規避或者緩解業務風險,但是如果連組織的資源和業務的詳情都不能梳理得非常清楚、資源和業務的狀態變化不能實時感知、各類主體的操作行為不能識別監測和控制,那么很難講安全建設體系有多完善,組織的安全成熟度有多高,即使拿了多少安全合規證書或者修復了多少漏洞以及開發了多么酷炫的態勢感知大屏,都屬于抓瞎式盲目自信安全。道理很簡單,因為連被保護對象都不能足夠了解就無法推斷出安全保護工作做得有多好的結論。在數字化轉型視角下,組織需要將所有的有形和無形資產數據化轉化成資源,梳理好這些資源并嘗試通過各類業務進行變現,更有挑戰的是這些資源是隨時動態變化的,需要能夠進行自動化全生命周期的管理。解決方案是打造統一的資源管理中心,建立全局的統一資源標識體系,將所有資源按照分類分級以及標簽梳理清楚,對資源狀態及變更即時感知和應用策略進行聯動,對所有訪問資源的操作主體的行為進行識別、監測、控制和審計。
如何正面化解和規避上述常見的種種安全挑戰和潛在安全風險,我認為零信任安全架構將會是一個有價值的長期發展方向,并且與可信計算方向其實也是殊途同歸,因為究其本質現有的各類安全風險都是一個安全信任治理問題,都是需要解決信任的問題。各類安全風險絕大多數可以歸結為特定網絡邊界或區域內及區域間默認信任問題、身份偽造騙取信任問題、會話過程或代碼執行過程中劫持信任問題等。我們需要對安全信任的全生命周期進行更加精細化和動態化的治理,包括信任的預授權準備、信任建立和傳遞過程、信任的動態評估和度量、信任與其他實體(資源、身份、操作行為等)的綁定聯動、信任的撤銷等。那現有的護城河式或者外掛式等安全建設方法的問題是只能在某些孤立的點或者環節對信任進行管理控制,由于在架構設計時并沒有融入安全,從而無法在業務流程的關鍵點進行控制和及時拿到安全控制所需的足夠數據,同時不同的環節無法進行默契的聯動做到全生命周期的信任治理。因此如果能在架構層面融入原生的安全設計并做到安全信任的全生命周期治理那一定是個正確的解題方向,這里的架構層面既包括技術架構同時包括業務架構,需要說明的是安全架構是融入其中而不是新建一個平行空間。
接下來簡要介紹零信任安全架構,包括相關概念、技術方向、部分業界落地實踐案例以及未來可能的發展方向等。
零信任安全架構的基本概念如下圖所示,另外它也不是萬能的,只有在充分的基礎設施支持的前提下才可以解決大部分安全問題。
圖2 零信任安全架構的基本概念
零信任安全架構有幾個理念如下圖所示。第一,我們不作任何假定。比如說不會假定內網是安全的。第二,不信任任何身份。這是指在初始情況下不信任任何身份,而是要從零開始建立信任,并且要盡可能收縮隱式信任的范圍,這里隱含一個前提是首先要能對相關實體全面身份化。另外傳統情況下會把IP作為一個受信任的網絡身份來進行訪問控制策略配置,但在零信任理念里IP僅是基礎設施資源。第三,隨時檢查一切。這是對每次操作請求都進行檢查,而且重新進行信任評估,收窄了傳統的會話隱式信任。第四,防范動態威脅。從訪問控制策略本身到信任評估結果在運行時都可以是動態的。第五,準備最壞的情況。設想一些最壞的情況,比如數據中心部分節點失陷、部分用戶端點失陷以及內外勾連等場景下,組織的核心敏感資源也應該能得到有效保護。
圖3 零信任安全架構的理念
具體技術設計上,首先從抽象模型出發,這里我們參考美國國家標準技術研究院(NIST)發布的模型,如下圖。其核心元素有處于不可信域的訪問端點、邊界的策略執行點和策略決策點、隱式可信域的受保護資源,因此零信任安全架構的最終目標是保護資源,基于策略的訪問控制、身份管理等都是實現這一目標的必要支撐。
圖4 NIST零信任安全抽象模型
基于上述抽象模型,NIST也發布了零信任安全概念框架如下圖所示,目前業界廠商的相關產品基本上都是按照這個框架來設計,整個概念框架更加細化,拆分成數據平面和控制平面,再加上一些外部支撐組件,如身份管理、公鑰基礎設施、威脅情報、合規遵循、行為分析、統一訪問控制策略等。
圖5 NIST零信任安全概念框架
上述NIST零信任安全概念框架在全球范圍內有較大的影響力,當前業界的產品方案大都以此為藍本,具體的實現技術上有三個方向:SDP軟件定義邊界方向、MSG微隔離方向、現代化IAM身份增強方向。這三個技術方向并不是相互獨立的,而是可以相互融合和支撐以構成端到端的零信任整體安全解決方案,并且在架構上都需要具備獨立的數據平面和控制平面,功能上SDP和MSG都需要IAM作為基礎支撐。接下來簡要介紹這三個發展方向以及典型的落地實踐案例。
一、SDP軟件定義邊界方向
這個方向目前是最為成熟的,其初始階段的落地部署相對容易,主要著眼點在終端用戶端點的安全以及南北向的安全接入,對于東西向安全訪問控制考慮得較少,可以直接替換原有的遠程辦公接入工具如各類VPN等,因此也是眾多零信任安全供應商選擇的方向。下圖是CSA云安全聯盟推薦的SDP抽象模型,但實際落地場景中通常不會直連服務,而是通過代理或者網關進行中轉,因為安全策略控制點需要可以融入到代理或者網關。
圖6 CSA推薦的SDP抽象模型
國外比較經典的案例是Google的BeyondCorp方案,如下圖所示。這套方案嚴格意義上屬于SDP技術方向,采用了流量代理的模式,主要面向的是內部員工辦公場景,對線上生產業務以及服務間東西向的安全考慮得較少。國內相關產品較多,大多采用了網關,部分使用了隧道代理等。
圖7 Google的BeyondCorp方案
二、MSG微隔離方向
這個方向是相對較難部署實施的,因為需要梳理現有資產以及應用和服務間相互的依賴關系,還要能進行動態的自動化管理,挑戰非常大,但是它可以對東西向應用和服務做嚴格的安全訪問控制,因此價值也非常大。這個方向有三條技術路線,第一條是通過復用現有的SDN軟件定義網絡的基礎設施實施可編程的網絡控制,但實際上這條路線是難以走通的,因為零信任安全需要在應用層借助類自然語言的訪問控制策略做更深度的解析和控制。第二條是通過復用現有的軟硬件防火墻或者虛擬化設備來實施訪問控制,這條路線挑戰也非常大,因為現有設備的開放性及對接聯動等方面的困難導致難以形成統一的控制平面和策略管理,應用層的支持往往也不夠好。第三條是通過附著在工作負載上的EDR組件來組建整個微隔離控制網絡,我認為這條路線是可以走通的,目前業界也有些比較成功的案例。需要說明的是這不是簡單的基于主機的HIDS方案,而是更加深入的融合數據面和控制面的策略執行組件,基于此還可以發展出更加先進的欺騙防御解決方案等,形成真正的縱深防御體系。
下面介紹兩個不同應用場景下的微隔離案例,都是屬于EDR組件技術路線的。首先是Google的在云原生場景下的BeyondProd的方案,其和BeyondCorp相互補充,構成了谷歌企業辦公和業務生產完整的零信任安全解決方案。如下圖所示,首先在GFE完成邊緣的安全接入,形成一個安全邊界,同時將TLS轉化成內部的ALTS,將請求加密傳輸到應用前端,應用前端對請求進行認證,這里認證包括對作為調用方的前端服務是否合法(運行的二進制是否在中心倉庫注冊驗證過、運行的環境是否為正常可信啟動、內部的ALTS雙向加密傳輸是否合法、本次調用是否符合以服務為身份來配置的權限策略)和本次請求中的終端用戶的身份憑據是否合法有效,認證通過后生成包含終端用戶上下文加密的臨時有效的ticket,再新建ALTS通道將ticket附加到本次請求轉發到后端服務,這樣前端應用和后端服務形成一個安全的調用鏈,最后在后端服務上根據ticket獲得的上下文等來執行配置好的服務訪問策略得到相關判定結果。整體而言,微隔離方案在容器環境下更加容易部署實施。
圖8 Google的BeyondProd方案
而在非云原生環境下,微隔離就比較困難了,但Illumio落地實施的微隔離方案讓人眼前一亮,其架構如下圖所示。其采用虛擬執行節點安裝在各類工作負載上,通過和控制中心進行聯動,組建成一套能夠跨越物理網絡邊界的面向混合云的微隔離解決方案,當然背后的自動化的資產依賴關系梳理、策略管理等都是需要并且難以邁過去的檻。
圖9 Illumio的微隔離方案架構
三、現代化IAM身份增強方向
首先從個人角度解讀一下為什么過去偏冷門的IAM突然就變得重要和火熱起來了。基于上述的安全風險本質上是信任治理的問題,信任治理首先是要以身份為中心進行該身份的全生命周期的動態信任管理,對于某次的資源訪問則是根據身份信息結合身份行為基線、身份被賦予的權限、外部環境及上下文信息等給出信任評估結果,該信任評估結果則是被應用在對本次資源訪問請求的訪問控制上,因此對于每一次的訪問請求都可能會出現相當不同的訪問控制結果。零信任被證明能夠解決上述的大部分安全風險,那么既包括身份治理也包括動態訪問控制能力的現代化IAM必然會逐步成為數字化轉型下IT基礎設施的堅實底座。
那么相比現在,IAM要達到作為數字化轉型下IT基礎設施的成熟度,從安全的角度看還有哪些挑戰呢?第一,在身份層,數字實體還未完成全面身份化,特別是企業內網的微服務、中間件服務以及遍布各個角落的IOT設備,沒有完成身份化,意味著無法做精準的安全訪問控制。第二,在協議層,業界特別是國內還沒有升級到統一標準的現代化身份認證協議,目前很多企業還在應用基于LDAP的AD域控,對多因子認證及實時的人機挑戰等缺乏靈活的支持,同時安全性不足。第三,在訪問控制層,單純基于身份的訪問控制模型仍然停留在傳統的4A模型,無法滿足在淡化網絡邊界的混合云環境下更靈活的訪問控制需求,例如結合身份的基于資源的訪問控制、基于會話的訪問控制和基于權限邊界的訪問控制需求等,需要一個結合身份的全新訪問控制模型。
現代化IAM設計的核心目標之一就是適配數字化轉型下對數字化身份治理平臺的新要求。一是解決全面身份化的問題。需要設計和實現獨立的數字化身份實體管理模塊,將所有數字實體進行有效管理并通過唯一資源標識進行身份化處理。二是解決現代化的身份認證協議問題。設計和實現一套框架兼容現有的各類身份認證協議,能夠靈活支持多因子認證和人機挑戰的編排,并能夠實現和傳統AD域控打通或者替換。三是實現滿足現代化的動態訪問控制需求的新模型以及必要的延伸組件如融入策略執行點的訪問網關、EDR和RASP等。 核心點之一是需要設計和實現基于策略的訪問控制模型PBAC,PBAC結合了RBAC和ABAC的最佳特性,在應用層采用自然語義的策略管理,它能實現更多應用場景復雜且靈活的管理控制需求,是當前和未來的最佳訪問控制方案。一個可供參考的現代化IAM框架如下圖所示,但其缺乏必要的策略執行組件。
圖10 現代化IAM框架參考(來自于網絡,侵刪)
現代化IAM到底是如何基于PBAC對任何資源進行訪問控制的?這種深入到底層架構層面的徹底改造是非常有挑戰的,從全球角度來看,個人認為AWS是做得非常到位的,真正實現了包括服務在內的所有資源的原生安全,其概覽如下圖所示,可以看到AWS是非常有遠見的,很多年前就定下了服務化的強制性的架構原則,如果不能把訪問實體、資源以及操作資源的API定義清楚,那么將無法實現如此靈活和強大的現代化IAM,具體的設計和實現細節會在后續文章里進行解讀,敬請關注本公眾號(gotocreate)。
圖11 AWS現代化IAM設計原型(來自于網絡,侵刪)
以上介紹了零信任安全架構的三種典型技術方向和部分業界落地實踐案例,未來可能的發展方向個人認為是以上三種典型技術的相互滲透和融合。如某互聯網金融企業的流量處理技術架構演進如圖12所示,在此基礎上可以較好地融合SDP南北向和微隔離東西向的安全解決方案。
圖12 SDP南北向和微隔離東西向的融合示意圖(來自于網絡,侵刪)
另外該互聯網金融企業所提的切面安全概念,如圖13所示,理念上和零信任安全架構也非常相似。它是從用戶端、外網接入層、應用層再到應用底層的微服務網關層形成全鏈路的安全防護,每一層都設計有統一代理層即數據平面以深入解析和管控所有資源的訪問,層與層之間有統一的控制面以共享基礎信息和聯動防控,可以支持全鏈路的數據安全流動。
圖13 某互聯網金融企業所提的切面安全概念(來自于網絡,侵刪)
總結起來,零信任安全架構理念在工程實現上需要能做到兩點,如圖14所示。第一點是在業務全流程的關鍵節點實現全流量的代理層從而嵌入策略執行點進行安全訪問控制,第二點是建立統一的策略控制平面及相關組件,實現全局的安全策略聯動和策略決策點的功能。在數據平面動態加載各類功能插件,結合和控制平面相關聯的策略執行點,可以解決護城河式、串糖葫蘆式、外掛式、東西向放羊式等安全建設思路帶來的安全管控問題,以上架構再結合KMS和在線加解密服務等保障數據全鏈路安全閉環流動。另外零信任安全架構對清晰的資源定義以及相互調用的依賴關系有明確的需求,資源是一切可以抽象為具體數據表征的對象,如身份實體、被操作對象、操作行為等,它們的屬性在資源中心可以使用標簽來方便地創建和聚合查詢。資源中心定位為一個中心式的數據倉庫,作為底層基礎組件,提供了統一的數據出口、入口以及完備的數據訂閱消費和同步機制,為所有安全組件共享數據及保持數據一致性搭建了橋梁,并負責與外部系統的數據對接。通過資源中心對所有數字實體及其訪問依賴關系進行全生命周期的管理和可視化,來解決抓眼瞎式安全問題,其中部署在工作負載和業務運行托管環境上的EDR組件作為資源中心的數字資產及資源狀態的關鍵來源。
圖14 零信任安全架構理念的抽象工程實現
最后回到本文的主題,我的判斷是傳統的信息安全建設思路已經無法滿足當下及未來的數字化轉型需求,包括以網絡為中心的安全邊界防護方法論、以護城河式串糖葫蘆式和外掛式的堆孤島設備的安全實踐、以傳統4A為基礎的安全訪問控制模型以及以保險箱式的封閉式非在線協作的數據安全保護方法等,那零信任安全架構將大概率地逐步成為數字化轉型的基石,其主要特征如下圖所示,主要包括以資源保護為中心、以全面身份化為基礎支撐、以動態策略執行為訪問控制和以應用層動態信任評估及信任的全生命周期管理為根。
圖15 零信任安全架構的主要特征
因此建議各類組織的負責人們特別是數字化轉型及信息安全方面的負責人可以盡早考慮規劃起本組織的零信任安全架構的中長期演進路線圖,早做相關的準備工作,逐步推進起來。因為零信任安全與數字化整體架構共生,觸及數字化轉型靈魂,在技術架構層面還需解耦為數據平面和控制平面,還要融合業務架構做業務層的風險控制,與技術架構、業務架構、組織架構以及組織的安全成熟度強相關,決策上需要組織的CXO進行戰略決策,在項目推進部署實施過程中也會面臨比較多的挑戰和風險。首先是整體技術難度比較高,現有系統及歷史遺留系統的改造周期漫長。其次是投入成本較大,需各業務部門協助配合改造,并且有可能影響線上業務系統的高可用。最后是沒有一招鮮的方案,需要盡可能借鑒業界最佳實踐以少走彎路,然后根據自身需求進行裁剪。
那具體如何推進組織的零信任安全架構戰略呢?需要能遵循必要的戰略規劃和部署遷移步驟,如下圖所示。首先要確定組織的戰略愿景,安全架構的調整一定要匹配組織的業務及其技術支撐戰略,如果組織現有情況比如業務規模還比較小、業務還處于野蠻生長階段、現存的安全風險缺口還能控制得住等,可能不太需要花太多時間在部署實施零信任安全架構上,只需要把基礎安全、數字資產梳理、帳號權限、安全運營等提升到一定成熟度即可。如果經過組織決策層判斷決定部署遷移到零信任安全架構,就進入到確定戰略規劃階段,這個階段最重要的是搞定人和組織資源,因為零信任安全項目是典型的一把手工程,如果沒有決策層的一把手掛帥和鼎力支持,是很難持續走下去的。有了一把手支持、具體負責人、項目團隊及相關資金預算支持后,就可以根據現狀確定具體的技術路線、藍圖和演進路線,在戰略上明確建設哪些核心能力以及改造哪些業務及其改造范圍。確定戰略規劃后可以根據經典的項目管理方法論制定詳細的項目計劃,特別注意預留一些處理各種意外的緩沖時間,在這個階段需要確定范圍優先還是能力優先,或者是兩者混合交替進行。范圍優先是指某些能力達到一定成熟度后不斷地擴大應用范圍,待推廣實施完后再繼續提升打磨能力,能力優先是指盡可能地在特地范圍內打磨能力到相當成熟度后再進擴大范圍推廣。最后是進入真正的分步迭代建設階段,根據已制定的項目計劃,每一步經歷概念驗證、業務接入或者回退以及能力演進。
圖16 零信任安全架構的戰略規劃和部署遷移