资讯速递 > 正文

VPN的墙要倒了,但零信任时代还有多远?

2021-03-17

来源: 波波夫同学

疫情期间,猖狂的不止是新冠病毒,还有黑客。

美国的网络安全公司 Proofpoint 的研究人员在2020年2月首先注意到,一封奇怪的电子邮件在2月份发送给了它的客户。上述电邮来自一位神秘的医生。他声称有一份文件,其中详细记载了一种冠状病毒疫苗。Proofpoint说,好奇的收件人点击了文件,就会被带到一个看起来像一个正常、值得信赖的电子签名页面,但它实际上是一个罪犯自己建立的网页,目的是获取登录者的细节。一旦他们拥有你的帐户名称和密码,你这台机器上的文档也就变成了他们的文档。

疫情爆发初期,黑客就开始冒充世界卫生组织(WHO)发送信息。一些黑客创建了部分依托于政府网站内容的假网站,模仿政府网站来发布有关新冠病毒的信息,或是向感染该病毒的患者提供建议与帮助。但是,一旦点击这些按键,用户的计算机就将遭到恶意软件的入侵,此外,还会通过用户的账号传播大量与新冠病毒相关的电子邮件。而随着这些电子邮件传播的,还有作为邮件附件的恶意程序。

许多国家相关部门已经注意到这类情况,德国联邦信息技术安全办公室就在去年11月表示,此类恶意程序可能属于加密和勒索型的程序,它们会对存储在计算机或网络中的所有数据进行加密,例如一款叫做“ Emotet”的恶意软件。黑客通常会勒索用户,要求其支付赎金以换取对相关数据的再次解密。

更有甚者还专门针对疫苗研发企业实施攻击。据路透社11月下旬的报道,这家英国与瑞典合作开发新冠疫苗的制药公司的员工曾收到一份假电子邮件,称可以提供报酬丰厚的工作机会。去年11月中旬,微软一位高管在公司博客上报告了来自加拿大、法国、印度、韩国和美国的共7家知名疫苗制造商遭到黑客攻击。

医院也是黑客攻击的热门目标。网络安全解决方案提供商Check Point Research 在今年2月24日发布的《2021 年网络安全报告》称,2020 年第四季度,CPR 报告称,全球范围内针对医院的网络攻击(尤其是勒索软件攻击)增加了 45%,因为犯罪分子认为,由于新冠病例激增造成的压力,医院更有可能满足赎金要求。

VPN之墙已千疮百孔

疫情加速了全球数字化进程,但在黑客的攻击之下,也暴露了传统组织所架设的VPN之墙的落伍和脆弱。

VPN(虚拟专用网)是在公用网络上建立专用网络,通过对数据包的加密和数据包目标地址的转换实现远程访问,在企业政府机构远程办公中起着举足轻重的地位。VPN奉行的“内部即可信”、“外部即不可信”的安全模式,也就是说可信的员工在内部,不可信的员工在外部。

过去,企业的服务器和办公设备主要运行在内网环境中,所有的企业安全都是围绕着内网的“墙”来建设的,在这种情况下,VPN所搭建的防护墙还算牢靠。但这种模式不再适用于现代商业环境。

但是在远程办公、云计算日益普及的今天,一方面,云计算、移动互联等技术的采用让企业的人和业务、数据“走”出了企业的边界;另一方面,大数据、物联网等新技术的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河。复杂的现代企业网络基础设施已经不存在单一的、易识别的、明确的安全边界,或者说,企业的安全边界正在逐渐瓦解。

因此,VPN的“内部即可信”、“外部即不可信”的安全模式成为其致命弱点。企业不可能把阿里云、腾讯云都装到自己的防火墙里面,当然也不可能把防火墙修到世界每个角落。

黑客也专挑VPN的漏洞下手。Check Point Research 在今年2月24日发布的《2021 年网络安全报告》称,黑客利用新冠疫情造成的混乱,特别是针对远程办公的vpn的安全事件快速增长,其中,87% 的组织曾经历利用已知漏洞的网络攻击,46% 的组织至少有一名员工下载了恶意移动应用。

去年三月,雷锋网援引外媒消息称, 影响 iOS 13.3.1或更高版本的当前未匹配的安全漏洞可能会阻止虚拟专用网络(VPN) 对所有流量进行加密。虽然连接到 iOS 设备上的后 VPN 后进行的连接不受此错误的影响,但所有以前所建立的连接都将在 VPN 的安全隧道之外。

Check Point 软件技术公司产品副总裁 Dorit Dor 表示:“全球企业对其 2020 年数字计划的推进速度感到惊讶:据估计,数字化转型提前了最多 7 年。但与此同时,攻击者和网络犯罪分子也改变了其作案策略,借以利用这些变化和疫情所造成的混乱,各行各业遭受的攻击均迅猛增长。”

零信任网络靠谱吗?

随着企业转向更灵活、粒度更细的零信任安全框架(该框架更适合当今的数字业务世界),数十年来一直为远程工作者提供进入企业网络的安全通道的古老VPN正面临消亡。

谁来取代VPN?Gartner 2019年4月发布的《零信任网络访问市场指南2019》预测,到2023年,60%的企业将淘汰大部分远程访问虚拟专用网络(VPN),转而使用ZTNA(零信任网络)。

零信任网络并非横空出世。零信任的最早雏形源于 2004 年成立的耶利哥论坛 (Jericho Forum),其使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010 年,零信任术语正式出现,并指出默认情况下所有的网络流量都是不可信的,需要对访问任何资源的任何请求进行安全控制。

作为VPN的一种替代方案,零信任的核心思想就是:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制。

零信任网络已是大势所趋,并将引导安全体系架构从网络中心化走向身份中心化,中美两国均已把零信任网络作为未来发展方向。

2019 年 4 月,美国技术委员会—行业咨询委员会(ACT-IAC)发布了《零信任网络安全当前趋势》,对当前零信任的技术成熟度及可用性进行评估,随后国防创新委员会(DIB)、美国国家标准委员会(NIST)均发表了零信任相关的报告或标准,其中《零信任架构》标准正式版也于今年 8 月 11 日发布,美国国防部已明确将零信任实施列为最高优先事项。

中国零信任亦紧锣密鼓地展开,标准及应用案例逐渐落地。2019 年 9 月,工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中将“零信任安全”列入需要“着力突破的网络安全关键技术”。2019 年 7 月腾讯牵头提交的《零信任安全技术—参考框架》行业标准通过评审。

在美国国家标准技术研究院(NIST)发布的零信任架构标准中,明确列出了当前实现零信任的三大技术路线,可以归纳为“SIM”组合:SDP,软件定义边界; IAM,增强的身份管理; MSG,微隔离。这三种技术路线既可以单独实现零信任方案,也可以配合起来实现更加全面的零信任架构。

Gartner发布的《零信任网络访问市场指南 (2020版)》表示,ZTNA削弱了网络位置的优势地位,消除了过度的隐式信任,代之以显式的基于身份的信任。从某种意义上说,ZTNA创建了个性化的“虚拟边界”,该边界仅包含用户、设备、应用程序。ZTNA还规范了用户体验,消除了在与不在企业网络中所存在的访问差异。最关键的是,它还将横向移动的能力降到最低。

安全新赛道谁在抢跑

早在政府确定零信任标准前,一波科技巨头已在悄然布局,而SDP模式已一马当先,成为零信任相对成熟的技术路线。

谷歌堪称先锋,早在2014年Google 基于其内部项目 Beyond Corp 的研究成果,陆续发表了多篇论文,阐述了在 Google 内部如何为其员工构建零信任架构。2011-2017年期间,Google Beyond Corp项目实施落地,实现不区分内外网,让员工不借助VPN安全地在任何地方开展工作,将访问权限从网络边界转移到设备、用户和应用。Beyond Corp的核心思想是组织不应该信任任何实体,无论该实体是在边界内还是在边界外,应该遵循“永不信任,始终验证”的原则。

国际云安全联盟于2013年成立SDP工作组,由美国中央情报局(CIA) CTO Bob 担任工作组组长,并于2014年发布SPEC 1.0等多项研究成果。SDP作为新一代网络安全解决理念,其整个中心思想是通过软件的方式,在移动和云化的时代,构建一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的粗粒度控制问题,以此达到保护企业数据安全的目的。

经过多年发展,SDP技术越来越被广泛应用,成为零信任最成熟的商业解决方案,Zscaler、Akamai、网宿科技等国外著名云安全厂商和一些国内公司如联软科技、云深互联等都有相关产品和解决方案。其中,Google、Microsoft 等巨头率先在企业内部实践零信任并推出了完整的解决方案;OKTA、Centrify、Ping Identity 等为代表的身份安全厂商推出“以身份为中心”的零信任方案;Cisco、Symantec、VMware、F5 等公司推出了偏重于网络实施方式的零信任方案;此外 Vidder、Cryptzone、Zscaler、Illumio 等创业公司亦表现。

疫情之下快速的普及远程办公和不断增长的黑客攻击,也加速了零信任网络的用户教育。2019 年底,Cybersecurity Insiders 联合 Zscaler 发布的《2019 零信任安全市场普及行业报告》指出, 78%的 IT安全团队希望在未来应用零信任架构,19%的受访者正积极实施零信任,而 15%的受访者已经实施了零信任,零信任安全正迅速流行起来。

万事俱备,一场企业安全升级的新赛道徐徐展开。 MarketsandMarkets预计,到2024年,零信任安全的全球市场规模将达到386.31亿美元(约合人民币2585.6亿元),复合年化增长率为19.9%。

今年1月27日,谷歌云官方发布博客宣布,零信任平台BeyondCorp Enterprise正式上市,该产品替代并扩展了谷歌云去年4月发布的BeyondCorp远程访问产品,标志着零信任时代的正式到来。几乎同一时间,网宿科技发布面向企业安全领域的新一代零信任远程访问接入产品——SecureLink。据介绍,网宿SecureLink遵循CSA软件定义边界(SDP)标准规范与Zero-Trust安全框架体系,并整合全链路传输加速能力开发而成,颠覆了VPN、远程桌面等传统内网访问技术,针对云与移动时代企业全场景远程办公安全访问需求,提供以身份认证与动态信任为基础的企业远程访问安全接入服务。证券日报网报道称,网宿科技为CDN转型云安全的后起之秀,今年在零信任领域发力较为明显,基于中国本土产业格局,零信任安全公司估值仍具有较大想象空间。

网络安全的潮水正在转向,零安全网络时代已悄然降临。