專家視野| 零信任擴展生態廠商觀察

發布時間 2020-12-18

前言:

零信任擴展生態,是由Forrester首席分析師Chase Cunningham提出,他認為零信任應該擴展到企業的整個數字化業務生態系統中。本文通過對“The Forrester Wave?:零信任擴展生態廠商”2020年Q3版報告的觀察,主要介紹了Illumio的兩大支柱產品、Guardicore的自動化測試工具和Appgate的零信任技術,以便幫助大家更好地構建自身的零信任生態。


零信任擴展生態(ZeroTrust eXtended(ZTX) Ecosystem),是由Forrester首席分析師Chase Cunningham提出,他認為零信任應該擴展到企業的整個數字化業務生態系統中。稱為“ZTX生態”的另一個原因可以從《Forrester方法論》得到啟示:“Forrester認為,健康的生態遠比一項獨角獸技術的質量或成熟度重要?!?br/>


從2018年Q4開始,Forrester每年發布“The Forrester Wave?:零信任擴展生態廠商”報告。最初共有15個評估標準,分布在“現有產品(Current offering)”、“戰略(Strategy)”、“市場形象(Market presence)”三個維度。


2019年Q4的評估標準增加到16個,新增了“倡導(advocacy)”部分,即廠商必須證明他們是在遵循自己的建議,在自己的組織中(而不僅僅是銷售能力)實現或利用零信任。此外,圍繞廠商的零信任產品宣傳,廠商在用詞和介紹上必須簡明。


而2020年Q3的評估標準則增加到19個。


1.png

 Forrester Wave?:ZTX平臺廠商,2020年Q3



2020年Q3,Forrester對19個零信任平臺廠商進行的標準評估中,確定了15個最重要的廠商,并對它們進行了研究、分析和評分。


Forrester認為零信任是一次旅程并沒有單一的目的地。組織可能需要數年才能完成零信任之旅,并達到其終極狀態。


2020年初的新冠疫情加速推動了零信任之旅,整個世界的辦公形態已經轉移到了原來明確的網絡邊界之外。


Forrester對遠程辦公安全性和易用性的研究發現,市場上Illumio、Cisco、Appgate、AkamaiTechnologies、MobileIron和PaloAlto Networks是領導者(Leaders);Microsoft、Guardicore、Unisys、Okta、Google、BlackBerry和Forcepoint是強勁表現者(Strong Performers);Ionic Security和Proofpoint是競爭者(Contenders)。


Illumio產品


Illumio在15個廠商中排名第一,很好奇他們的產品有多強,他們有兩大支柱產品Illumio Core、Illumio Edge。

Illumio Core,通過提供實時可見性和微隔離保護數據中心和云中的工作負載,阻止橫向移動;

Illumio Edge,通過將執行能力延伸到單個端點,終結勒索軟件和惡意軟件在終端間的傳播。


2.png

Illumio Core架構


Illumio Core提供跨異構計算環境中工作負載間的連接可見性,根據工作負載的通信方式生成最佳隔離策略,并制定每個主機的主體狀態(native stateful)執行點,以便執行應用防火墻規則。Illumio將隔離從網絡基礎結構中解耦,這種方式消除了基于網絡進行隔離的局限性和挑戰。


Illumio Core由以下組件組成:


◆ 虛擬執行點(VEN)


安裝在組織希望實現完全可見性和執行策略的操作系統實例中。它可以在裸金屬服務器、虛擬機、容器化主機和公有云實例上運行。VEN不是執行點,它收集工作負載中的遙測(telemetry)數據,如操作系統類型、接口IP、正在運行的進程以及正在與這些工作負載通信的對端IP。


然后,它將信息傳輸到PCE,PCE創建實時可見性通信圖,用于構建隔離策略。PCE將該策略轉換為狀態防火墻規則并將其傳輸到VEN,VEN在每個工作負載中制定基于主機的狀態防火墻規則。


VEN可制定以下內容:


1、在主機操作系統中制定第3、4層防火墻策略(Windows Filtering平臺、Linux上的iptable和AIX/Solaris上的IPFilter),還有Kubernetes和OpenShift;

2、負載均衡(F5和AVI)以及交換機(思科和Arista)中的訪問控制列表(ACL)。


◆ 策略計算引擎(PCE)


PCE是大腦,它收集來自VEN的所有遙測信息,通過實時應用依賴映射(Application DependencyMap)可視化這些信息,然后根據環境、工作負載和流程的有關上下文信息計算和推薦最佳防火墻規則。這些規則將傳回VEN,VEN再對每個主機的第3、4層防火墻規則進行制定。PCE可通過Illumio的公有SaaS平臺、本地和虛擬私有云部署。


◆ 應用依賴映射


實現每個工作負載中運行的連接、流和進程信息的實時可視化,以及它們的行為和相互依賴性,使得應用基線得以檢測異常行為。另外,在實施策略前使用可視化反饋對隔離策略進行建模,以確保應用在遷移或實施策略時不會中斷。


◆ 自然語言策略(Natural Language Policy)


為了反映現代數據中心的安全需求,就必須與底層基礎架構完全分離。要使安全獨立于計算環境,得從策略規范開始。如果安全策略以通用方式編寫,那么可以應用這些策略來保護任何數據中心或云環境中的資產。通過運用自然語言策略規范模型,可以使通用安全策略成為可能。


3.png

Illumio Edge架構


通過與領先的終端安全廠商CrowdStrike合作。借助簡單的基于云的部署和跟隨用戶的輕代理,Illumio Edge利用現有的主機防火墻來加強端點安全。


Illumio Edge的VEN是輕代理。但這不是一般的代理,它幾乎不使用CPU,不會降低網絡性能。VEN對用戶完全不可見,但可查看其機器中的每條流信息。它收集機器的上下文和遙測數據并將其發送到PCE。Illumio Edge PCE的特性和Illumio Core的幾乎一樣,在此就不展開了。


自動化測試


來自以色列的Guardicore與Microsoft、Unisys、Google一樣,都是強勁表現者。Guardicore除提供ZTX平臺,還有自動化測試工具Infection Monkey與之配合。


4.png

ATT&CK知識庫映射


時間回到2010年。Netflix開發出Chaos Monkey成為了混沌工程的開端。一年后,Netflix逐漸形成了他們的混沌工程工具集“Simian Army(猿軍)”,此后混沌工程作為一門新興學科獨自演化。Chaos Monkey用一組自動化流程檢查云應對各種故障場景的彈性。它會隨機關閉基礎設施中的服務器,以測試應用抵御服務器故障的能力。當知道Chaos Monkey正在組織的基礎設施中自由運行,而服務依然保持正常運行時,就可以放心了。Guardicore認為類似的方法也適用于保護云基礎設施。


安全事件隨時發生,它們永遠不會按預期或計劃出現。組織的基礎設施應能夠承受外部安全層的破壞,處理內部服務器的感染。像云應用需要被設計來應對服務器故障一樣,云安全需要被設計來應對入侵。所以,有效的方法是定期在云中釋放Infection Monkey。


Infection Monkey是開源安全工具,用于測試數據中心面對邊界失陷和內部服務器感染的彈性。Monkey使用各種方法在數據中心中自我傳播,并將結果報給Monkey Island Command和控制服務器。新版本可實現與ATT&CK知識庫的映射。


5.png

ZTX框架匹配度


此外,還能測試網絡是否符合ForresterZTX平臺框架。過去四年,Infection Monkey在網絡安全社區中非常受歡迎,并獲得了巨大的發展動力。Infection Monkey在Github上擁有4900+顆星,受到包括大型企業、教育機構在內的眾多用戶信賴。


AppGate


AppGate是以SDP技術作為零信任技術落地的廠商,是最早倡導推動替換VPN的廠商,優秀的繼承了Forrester零信任理念,即關注人、設備、數據、網絡和工作負載。


AppGateSDP是第一個獲得CC(Common Criteria)認證的SDP解決方案,統一所有環境的訪問策略和控制,并通過AppGate的軟件定義邊界提供對任何位置的安全訪問,表明滿足對安全敏感或關鍵系統進行操作的嚴格要求。


AppGate能處于Forrester ZTX領導者的位置,得益于讓組織獲得簡單、高效、安全的方式去應對數字化轉型帶來的端到端訪問實時精準訪問的不確定性,讓組織的安全規則圍繞以身份展開基于風險的身份驗證和數字威脅防護,讓組織遠離AnyConnect VPN,總體架構設計如下圖:


6.png

AppGate SDP組件流程圖


具有如下特點:


1、Appgate SDP對單數據包授權技術(簡稱:SPA)的使用給客戶留下了特別深刻的印象,該技術用于向攻擊者隱藏網絡資源,繼而消除攻擊面,網絡資源在身份驗證和授權之前是不可見的。


2、利用獲得專利的多隧道功能將用戶無縫連接到應用程序,無論它們在何處運行,組織不必為混合環境管理不同的安全模式,簡單的入門過程即可獲得無縫一致的用戶訪問體驗,小于1ms的延遲。


3、通過與自有RBA解決方案(基于風險的身份驗證)集成,將設備狀態作為訪問的標準,利用來自身份和目錄系統的數據以及環境元數據來動態創建或擴展策略和權限。如下圖。


7.png

RBA解決方案圖


4、根據上下文數據授予對企業資源的訪問權限,包括用戶配置文件,環境和企業。


5、提供網絡活動的完整可見性,包括有關訪問的資源,用戶和上下文的詳細信息。


6、利用與特定于云的安全性功能的本機集成來保護公共云工作負載并在混合環境中提供一致的訪問控制。


7、啟用透明的遠程和第三方對網絡資源的訪問,同時消除了VPN的負擔和漏洞,VPN長期以來的漏洞和基于長連接的模式機制,為組織帶來了不少的困擾。


8、減少網絡攻擊面,并確保針對DDoS,中間人和其他攻擊的強大防御。


2020年初全球新冠疫情的爆發,組織開始采用上線服務模式,帶來了線上化辦公用戶數量的顯著增長,伴隨著組織數字化轉型的開展帶來的業務訪問路徑的多樣化。同時,傳統以VPN方式作為遠程接入辦公的模式在高效、易用和安全上顯得力不從心,組織繼而將該方式逐步遷移至SDP方式。


分析能力是重點


從報告中可以看出,ZTX平臺對于數據分析能力是十分依賴的。Cisco和Proofpoint還為此進行了專項收購,而Illumio則長期以來以“專注于可見性和分析”而受到Forrester稱贊。Forrester對Forcepoint點評是“他們的分析提供了‘強大的鏡頭’來觀察零信任……企業如果需要智能的UBA和高級內部威脅檢測能力,選擇Forcepoint的平臺?!?/p>


NIST在今年8月正式發布了《零信任架構》標準,將策略引擎描述為零信任“大腦”,其信任算法需要多種信息的“喂養”才能做出足夠準確的決策。同樣,DoD、ACT和Forrester無一例外地將“可見性與分析”作為零信任的支柱。因此,分析能力不應該只是停留在slide中的幾句時髦詞。


全情投入


“全世界90%的互聯網用戶經過一個網絡跳就可以到達一臺Akamai服務器?!边@就是全球最大CDN廠商Akamai。1998年誕生于MIT的Akamai掐指算來也是20多年的老廠了,卻依舊活力四射,全情投入零信任。


正如Forrester對零信任的認識:“組織可能需要數年才能完成零信任之旅,并達到其終極狀態?!笆堑?,零信任之旅漫長曲折,一路上有掉隊的,也有堅守的,這一切需要堅定的信念。


在此以Forrester對Akamai的評價作為本文終點:“從CEO一直到新員工,無論是對客戶還是自己,Akamai始終秉持零信任信念。Akamai覆蓋了從數TB級DDoS攻擊防護到MFA和訪問控制(零信任的關鍵)的能力??蛻魠⒅\指出,Akamai技術團隊對零信任高度投入,使得其產品在企業內外網都易于部署,這是其與友商的關鍵區別。應該把賭注押在Akamai上?!?/p>



|文章引自于微信公眾號:啟明星辰專家視野|