象Google,微软,华为,腾讯这样的企业,一方面安全能力足够强,安全投资足够大,且网络建设之初就有很好的安全顶层设计,绝大部分企业是做不到的。一般企业的安全,还是需要专业的安全公司来帮忙实现。
安全公司的零信任方案,看两个有代表性的案例,CrowdStrike偏云,PaloAlto偏传统企业网络。
1.CrowdStrike的零信任解决方案介绍
CrowdStrike的零信任解决方案旨在为现代企业提供无缝的安全防护,通过云端交付的方式实现实时防护。零信任架构的核心理念是“不信任任何人,始终验证”,即不再依赖于传统的网络边界,而是将安全防护扩展到用户、设备、应用和工作负载,无论它们位于何处。
云端交付是非常关键的点,其架构如图:
在这个架构中,Security Cloud(安全云,基于云服务提供安全功能)起到统一访问控制的作用。它本身作为云的网关,有策略引擎,实现策略执行点的功能(即访问放行还是阻断),它整合了Threat Graph,Risk Engine,可以直接实现设备、负载等的评估(类似Google BeyondCorp的资产服务),支持API外接和零信任访问外接。
这两个外接非常重要。API外接,支持SSO,AD等外部身份管理系统。企业已经有身份管理系统必须复用,而不是再搞一份,造成管理困扰。还可以外接SIEM,SOAR等系统,提供数据给统一的安全监控,实现零信任的持续监控能力。另外还有50+的应用对接,其实可以为应用提供身份管理、策略控制器等的作用,实现应用的权限策略统一管理。
ZTA则给其它零信任访问控制提供赋能,包括风险评分,身份等。
CrowdStrike的零信任解决方案依赖其安全云平台——CrowdStrike Security Cloud。该平台处理海量事件,通过精确的攻击关联和实时威胁分析,实现任何部署模型下的安全防护。
CrowdStrike生于云,长于云,重点为云客户服务,这是个比较好的架构。
2.Palo Alto零信任解决方案
再看看Palo Alto,其零信任方案如下图:
说实话,这个方案真的没什么好说的,就是打着零信任的旗号卖盒子或软件。其中,IAM是三方的,然后就是无穷无尽的对接。至于怎么对接,那是甲方的事情了。
有一点国外比国内好,就是应用相对比国内简单,云上方案多,所以,加了Prisma的云的相关方案,还算有点亮点。
这种打补丁的方式,国内的主流方案也差不多,就主打一个词,概念。
小结:
甲方基础架构的选择非常重要,尤其是云的架构,访问控制,策略管理等各方面都容易很多,这也是CrowdStrike成功的重要原因。
零信任是思维方法,而不是工具集。但实际操作中,大部分就是把它当成了工具集,安全公司只负责工具。
没有全局改造的零信任方案,其实就是个说说而已。全局改造,核心是身份管理、资产管理要集中,最好一套,所有的应用要与其对接,实现中心管理。
