零信任架構:邁向更安全的網路環境
什麼是零信任架構?
零信任架構(ZTA)的概念已經存在了一段時間。然而,在實務中,零信任實施的進展相對緩慢。這或許並不奇怪,因為全面的零信任架構是一項龐大的任務,最佳的方法是從小處著手,逐步擴展。
零信任架構正在獲得越來越多的關注,而拜登總統在2021年5月發布的行政命令《改善國家網路安全》正在推動聯邦政府和私營部門更廣泛地採用零信任模型。
舊的IT安全邊界
過去的IT安全邊界基本上是基於位置的網路。使用者要麼在網路內部,要麼透過VPN連線來驗證與網路的連線。在很大程度上,這種方式足以存取服務和數據,因為當時這些服務和數據並沒有像今天這樣分佈在雲端服務中。網路的入口點是控制存取的地方,並定義了安全邊界。
然而,這種架構的缺點在於,它對存取網路的使用者和網路本身控制存取服務和資料的能力寄予了極大的信任。傳統網路對橫向移動幾乎沒有控制,這意味著如果駭客獲得了對網路的訪問,他們很可能可以在服務和資料之間自由移動。
零信任架構的優勢
在零信任架構中,新的邊界依賴於身份驗證。每次存取網路的嘗試都必須驗證請求者的身份,無論其來源為何。這與細粒度的存取控制規則相結合,明確規定了請求方可以存取哪些服務和資料。這要求根據請求者是實際使用者還是服務,進行更複雜的身份驗證過程。現代服務在微服務架構中相互通信,這同樣需要控制。例如,帳單服務需要存取庫存服務,但可能不需要存取工資服務。
身份驗證的重要性
如果請求者的身分未知,那麼對系統和資料應用細粒度存取控制將變得不夠高效,這適用於使用者和系統。因此,在邁向零信任架構的過程中,建立身分至關重要。實際上,這是進行其他步驟之前的必要條件。
遷移到零信任架構的步驟
零信任成熟度模型概述了兩個步驟以遷移到零信任架構。第一步是“識別企業中的參與者”,即驗證特定使用者的身份。第二步是“識別企業擁有的資產”,目標是識別服務和設備的身份。
自然,身份驗證是識別用戶並確認他們是所聲稱的身份所必需的。如今,有無數的身份驗證選項,無密碼的方式正在獲得越來越多的關注。例如,WebAuthn是一個優秀的選項,其架構更強大,比SMS和電子郵件驗證選項更能抵禦釣魚攻擊。
基於令牌的架構
OAuth和OpenID Connect(OIDC)是啟用基於令牌架構的標準,這種模式與零信任架構非常契合。實際上,可以說零信任架構就是一種基於令牌的架構。
那麼,基於令牌的架構是如何運作的呢?首先,它確定使用者是誰,或哪個系統或服務請求存取。然後,它發放一個存取令牌。令牌本身將包含不同的聲明,具體取決於請求的資源以及上下文資訊。令牌中的聲明可以由策略引擎(例如Open Policy Agent,OPA)決定。策略描述了允許的存取及存取某些資源所需的聲明。在存取請求的上下文中,令牌服務可以根據定義的策略發放具有適當聲明的令牌。
資源驗證身份
被存取的資源需要驗證身分。在現代架構中,這通常是某種類型的API。當接收到對API的請求時,API驗證隨請求發送的存取權杖。系統確保存取權杖未過期,驗證令牌是否具有所需的聲明,並確保令牌是由有效的授權伺服器(發行者)發放的。
此時,基於令牌的架構還可以確定用戶的類型,例如,如果請求存取的是用戶,以及他們是內部用戶還是外部用戶。這個過程消除了使用傳統VPN的方法的需要。服務和API可以公開訊息,並根據零信任架構模型,直接驗證使用者基於其身分應有的存取權限。
結論
實施零信任架構的第一步是實施始終驗證請求者身分的協議,無論請求者是使用者還是其他服務。對於用戶身份驗證,無密碼選項正在獲得關注,這將為用戶提供更安全和更無縫的體驗。
將強大的身分層與基於令牌的架構結合,形成一個靈活且可擴展的模型,使服務和API能夠始終驗證請求存取的人,以及應允許的存取等級。
