为什么云原生环境下需要零信任安全

一. 零信任安全是什么

零信任安全不是一种特定技术、产品,而是一种基于“不相信任何人”理念的安全模型。Forrester[1]将零信任定义为“默认情况下拒绝访问应用程序和数据的信息安全模型。威胁预防是通过仅使用策略授予对网络和工作负载的访问权限来实现的,并通过跨用户及其相关设备的持续、上下文、基于风险的验证来通知”。包含以下四个原则:

  • 最小化信任:假设任何用户、设备、应用程序不可信,将所有请求视为潜在的威胁,并进行验证和授权。
  • 多重身份验证和授权:使用多因素验证用户、设备、程序身份,进行细粒度的授权,使其只能访问所需的资源和数据。
  • 实时监控和审计:实时监控和审计所有用户、设备和程序行为,及其访问的资源和数据。
  • 动态安全策略:安全策略随用户、设备、数据及外部风险的变化动态更新。

图1. 零信任安全模型中的访问过程

二.云原生环境特点

云原生环境是一个现代化基础架构,面向云计算基础设施及应用程序,倡导以容器为核心的轻量级应用程序开发和交付模式。它具有以下特点[2]:

  • 容器化:云原生环境以容器技术为核心,将应用程序及依赖打包进容器,实现跨平台运行和快速部署;
  • 自动化:云原生环境倡导自动化,包括自动化部署、自动化扩缩容、自动化监控等,以提高效率、降低成本;
  • 弹性伸缩:云原生环境具有弹性伸缩能力,可以根据负载和需求实时增加或减少资源,以应对不同的业务场景;
  • 微服务架构:云原生环境以微服务架构为基础,将程序拆分成独立微服务,并通过轻量级的通信机制通信,提高灵活性、可伸缩性及可维护性。

图2. 云原生环境

三. 为什么云原生环境下需要零信任安全

由于云原生环境具有动态、容器化、微服务等特点,传统的边界型安全防护策略已无法完全适应。云原生环境下安全防护策略面临以下挑战[3,4]:

  • 网络安全边界消失:传统网络架构中的网络安全边界通常由防火墙、网关等硬件设备实现。随着公有云、私有云及混合云技术的发展,云原生程序可能被部署到任何地方,甚至跨越多个云服务提供商和地区,传统的安全边界正在消失。
  • 不可信因素增多:云原生环境中,容器的数量和位置不断变化,其运行状态会因外部攻击、软件缺陷等原因异常,这将对云原生环境的安全产生不利影响。此外,云原生应用程序在自动化部署、管理过程中依赖多种开源工具,越多的工具意味着其中的不可信因素数量增多。
  • 统一授权机制复杂:云原生应用通常由运行在不同容器中的微服务构成,这意味着每个微服务需要配置不同的身份认证、鉴权、授权机制,并确保它们之间的相互作用是安全的。此外,云原生环境下通常使用多种技术栈来构建和部署应用程序,需要为每个技术栈配置不同的身份验证和授权机制。
  • 基础设施共享的复杂性:云原生应用的部署和运行可能需要依赖同一组计算资源、存储资源、网络资源等。为了提高资源利用效率,对这些资源进行了多层次的管理和共享。在管理和共享的过程中容易出现越权、资源挤兑等问题,影响其他正常服务运行。
  • 数据安全和合规性要求:云原生应用程序和的部署和运行可能会跨越不同的安全域,数据安全和合规性有了更高的标准,如《个人信息保护法》[5]、GDPR[6]、PIPEDA[7]等。

综上,云原生环境中需要一种更为灵活、精细、可扩展的安全模型——零信任。零信任安全模型的本质诉求是以身份为中心的访问控制,它引导安全体系架构从网络中心化走向身份中心化,建立更加高效、全面、灵活的安全防御体系,减少云原生环境中的攻击面,降低云原生环境中的安全风险,增加访问控制的细粒度,避免信息、数据泄露等。

四. 云原生环境下的零信任安全实践

云原生环境下零信任安全实践可从以下几个方面开展[8,9]:

  • 云原生环境资产清点:资产清点能够及时发现未知或未授权的资产,确定哪些资产应该被授权或禁止访问,提升云原生环境的安全性和可控性。
  • 最小权限原则:限制用户和云原生服务的访问权限,确保其只能访问所需的资源和数据,以降低攻击面和减少潜在的攻击风险。
  • 精细的访问控制和授权机制:采用强制、精细的身份认证和授权机制,如多因素身份验证(MFA)和单点登录(SSO),能够减少未授权的访问。
  • 数据加密:云原生应用程序通常需要处理敏感数据,在数据存储、传输和处理过程中均需要使用加密和解密技术,以确保数据安全。此外,也需要采用安全的密钥管理和分发策略,确保密钥安全。
  • 风险面和威胁管理:云原生环境会依赖其他开源组件、框架,这些组件、框架或多或少会存在漏洞和安全风险。通过实施云原生环境下的风险面管理,能够减少开源组件、框架带来的安全风险。
  • 持续安全监控和审计:持续的安全监控和审计可确保用户、服务对敏感数据和应用访问的合法性,实时监控潜在的威胁,降低未授权访问的危险。
  • 凭证自动化轮换:自动化的凭证轮换可以减少人为错误和疏漏,降低凭证泄露、被盗窃带来的安全风险。在勒索软件事件频发的现在,这点尤为重要。
  • 动态的安全策略:安全风险日益增,需要可动态更新的安全防护策略,以应对层出不穷的安全威胁。
  • 安全培训:对员工进行定期的安全培训,帮助员工了解安全风险和防范措施,可以有效提高企业的整体安全水平。

五. 总结

由于云原生环境动态、无固定安全边界等特性,传统安全策略无法有效解决云原生环境下的诸多安全问题。零信任安全模型的核心原则是身份验证和授权,只有经过验证和授权后的设备、用户才能访问特定的资源。以身份为核心的零信任安全模型可以更加地动态、精细、有效地解决一些传统安全策略无法解决的问题。但是,零信任安全模型仍无法完全替代传统安全策略,应结合两者构建具备“纵深防御”能力的安全体系,多角度、全方位地保护服务、数据、网络及系统的安全。

参考文献

1. https://www.forrester.com/blogs/the-definition-of-modern-zero-trust/

2. https://www.simplilearn.com/cloud-native-application-article

3. https://www.suse.com/c/rancher_blog/zero-trust-the-new-security-model-for-cloud-native-applications-and-infrastructure/

4. https://thenewstack.io/why-the-castle-and-moat-approach-to-security-is-obsolete/

5. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

6. https://gdpr.eu/what-is-gdpr/

7. https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda

8. https://knowtechie.com/how-to-implement-zero-trust-security-in-your-cloud-native-environment/

9. https://thenewstack.io/why-cloud-native-systems-demand-a-zero-trust-approach/

内容编辑:创新研究院 刘文新

责任编辑:创新研究院 董炳佑

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。