技术简报:零信任

概述

注意:

零信托的新手?了解 什么是零信任安全 以及 Citrix 零信任解决方案

保护信息系统和数据的传统、基于周边界的方法是不够的。

多年来,网络安全模式模仿了中世纪熟悉的物理安全形式:城堡和护城河。这是许多企业已采用的方法,但在云世界中发现这种方法不够。

在这种经典的防御模式中,多层防护和密切安全的检查站和网关周围环绕着并保护皇冠珠宝。所有访问都在授予身份验证和授权的网关上进行控制和验证。但是,一旦经过验证,人们实际上可以自由地管理环境。

该模型存在缺陷,主要是因身份验证和授权不足而授予过多访问权限。攻击者经常使用 subterfuge 来绕过网关和旨在打破墙壁的高级工具。

同样,在网络安全领域,有价值的数据被多层防火墙、分段、身份验证和授权所包围。虽然这些组件是必要的,但由于迁移到云和移动设备导致的 “过渡”,它们还是不够的。

这种安全模式的一个问题是向网络围墙内的人员或服务授予的隐含或隐含的信任。设备或用户所在的位置或网络绝不能隐含地授予一定级别的信任。必须假设私有网络或其上的任何设备本质上都不值得信赖。

组织如何使用包含以下变量的复杂模型来保护皇冠珠宝?

  • 用户:位于公司办公室和公共场所
  • 设备:移动设备、自带设备 (BYOD)、选择自己的设备 (CYOD) 和企业自己的个人启用 (COPE)
  • 应用程序:(Intranet/SaaS、浏览器、虚拟化、移动)
  • 数据访问和存储(本地和云端)

考虑到访问的所有这些方面,依靠护城河作为安全边界将成为一项责任。

长期以来,VPN 一直是用户在公司外部访问企业应用程序和数据的传统方式。此模型适用于最终用户只能从经批准的企业管理设备访问公司网络的使用案例。

但这就是为什么 VPN 模型不能充分满足不断变化的使用案例的需求。应用程序已对基于 Web 的访问进行了现代化改造,并部署在多云环境应用程序、数据和服务不仅仅位于数据中心的墙内。位置已经移动,变得动态,用户在任何地方访问资源,组织需要一个允许在不降低生产力的情况下轻松访问所有资源的框架。在迁往云应用程序的途中强制用户通过公司 VPN 进行访问,这不会影响最终用户体验。

随着对远程工作人员的需求,对新战略的要求也加快了。组织如何围绕同时存在于多个位置的资源建造墙?

指导原则

Zero Trust 的工作原理是假设 “永远不信任并始终验证” 或者天生的不信任(“默认拒绝”)。John Kindervag 创造了 “零信托” 一词,作为解决复杂的 “地区化” 问题的一种方法,即随着周边的漏洞变得越来越大而扩张和解体。

零信任体系结构的目的是保护数据。它不是单一的网络架构,而是网络基础设施设计和运营的一套指导原则。Zero Trust 方法为从任何设备和任何方式访问驻留在任何地方的数据提供了一致的安全策略。

使用 Zero Trust,不会根据系统的物理位置或网络位置向系统授予隐式信任。无论发出请求的位置如何,该方法都需要持续授权;并提高整个网络的可见性和分析能力。

零信任是通过有意实施框架来实现的。使用集成并内置了零信任原则的一系列产品为实现预期的业务成果提供了一种集体方法。

Citrix 将零信任视为一种战略,不仅适用于网络,还适用于整个组织的用户、设备、网络、应用程序以及人们的工作方式。

Citrix 零信任架构侧重于保护资源,其设计和部署遵循美国国家标准与技术研究所 (NIST) 零信任原则

  1. 所有数据源和计算服务都被视为资源
  2. 无论网络位置如何,所有通信都是安全的,因为每个网络,无论是企业网络还是远程网络,都是天生的敌对性和不值
  3. 每个会话授予对单个企业资源的访问权限
  4. 对资源的访问由动态策略强制执行,该策略包括可观察到的身份、设备、应用程序、网络状态,并可包括行为属性
  5. 由于没有任何设备本身是值得信赖的,企业会监控资产以确保资产保持在尽可能安全的状态
  6. 所有资源身份验证和授权都是动态的,并在允许访问之前严格
  7. 该企业收集尽可能多的关于网络基础设施和通信的当前状态的信息。它使用数据来改善其安全态势

零信托的支柱

从企业信任到零信任的旅程需要一个构建信任结构的策略。组织必须确定当前的问题并定义信任结构,以支持数字化转型。访问必须与数据的敏感性以及请求和使用数据的情况保持一致。Zero Trust 必须精确识别网络上的人员、设备、数据和工作负载。

Citrix 称之为 “上下文访问”。访问策略会仔细审查 5W Access 中的信任元素,以授予特定的使用权利。上下文访问是一个持续的过程。它从请求事件延伸到特定的数据使用权利和控制数据安全生命周期的动态策略。

  • 哪些数据必须受到保护?
  • 数据请求来自哪里?它在网络中的位置?
  • 谁可以访问数据?持续多长时间?
  • 为什么这些人需要访问权限?
  • 他们什么时候需要访问数据?

用户

对可信用户的持续身份验证和授权对于零信任至关重要。身份是请求访问资源的 “谁”。用户身份验证是动态的,在允许访问之前严格执行。这是一个持续的访问周期:

  • 扫描和评估威胁
  • 适应
  • 持续身份验证
  • 监视
  • 验证用户可信度

身份包括使用身份、凭据和访问管理等技术。身份是企业开发的一组用户和属性。用户和属性构成资源访问策略的基础。用户身份可以包括逻辑身份、生物识别数据和行为特征的混合。使用身份属性(例如时间和地理位置)来获取信任评分,以动态评估风险并适当调整访问权限。

在建立连接之前先执行身份验证(用户和设备),只有经过验证的最终用户才能最大限度地减少对资源的访问。人们不断进行身份验证,以确定每个访问请求的身份和安全状况。满足这些要求后,只有在需要资源时才授予对数据资源的访问权限。

设备

组织需要以一致的方式跨设备和所有权模式管理策略。管理员需要能够确定他们对设备的信心程度。设备是 “在哪里” 问题的一部分。请求来自哪里?设备风险级别是多少?设备的实时安全状况和可信度是零信任方法的基本特征。

传统上,在查看终端设备时,有三种流行的所有权模式(公司拥有、BYOD/CYOD、COPE),每种模式都有不同的固有信任、信任因素和验证需求。使用 Zero Trust,这种固有信任将被消除,每台设备,无论所有权如何,都需要验证。

网络

零信任体系结构侧重于保护资源,而不是网段。用户、设备或资源的网络位置不再被视为安全状况的主要组成部分。但是,分段、隔离和控制网络的能力仍然是安全的支柱,对于零信任网络来说至关重要。而选择适当的应用程序和工作空间交付模型的能力是 “在哪里” 问题的第二部分。

零信任网络有时被描述为 “无边界”。一些人认为,外围保护对网络和运营的重要性越来越不那么重要。实际上,周边仍然存在,但是以更加精细的方式。Zero Trust 网络实际上试图将外围从网络边缘移入,并创建区段以将关键数据与其他数据隔离开来。边界必须更接近数据,以加强保护和控制。因此,传统的城堡和城河方法还不够的原因。

在过渡期间,基于互联网的技术,关键是要考虑如何:

  1. 控制特权网络访问
  2. 管理内部和外部数据流
  3. 防止网络中的横向移动
  4. 制定关于网络和数据流量的动态策略和信任决策

工作负载

保护和正确管理应用层、计算容器和虚拟机是采用 Zero Trust 的核心。能够识别和控制技术堆栈有助于做出更精细、更准确的访问决策。毫不奇怪,MFA 是在 Zero Trust 环境中为应用程序提供适当访问控制的关键组成部分。

Zero Trust 模型的一个重要方面是仅向最终用户完成工作所需的特定应用程序授予访问权限。网络本身没有访问权限,通过减少攻击面来显著改善组织的安全态势。

数据

客户、员工和合作伙伴的移动性越来越大,他们消耗来自所连接的每个网络中的应用程序和数据其他资源。当有人想要访问数据时,Zero Trust 模型将权衡数据的价值与确认有正确的人在那里并授权在使用安全设备时访问数据的保证。

访问资源的最低要求可能包括身份验证器保证级别,例如 MFA 和或系统配置请求。该人是在公司网络内还是外部并不是这三种保证中的任何一项的可靠指标。但是,标记明显的不寻常或未经批准的网络位置,例如拒绝从海外 IP 地址访问或在意外的时间范围内访问。

可见性、分析和编排

零信任体系结构需要提高访问可见性如果没有安全信息管理、高级安全分析平台和安全用户行为分析等工具,这是不完整的。这些系统持续监控和记录访问请求和策略随着时间的推移而变化。安全专家需要这些工具来实时观察正在发生的情况,并更智能地定向防御。

Analytics 是负责启用、监控并最终终止主题与企业资源之间的连接的系统。分析策略引擎负责最终决定授予给定客户端或主体对资源的访问权限。它可以使用企业策略和外部来源的投入。

Analytics 数据可以单独分析,也可以与其他安全监控和日志记录数据集合使用。多项服务从多个外部来源获取数据,并提供有关新发现的攻击或漏洞的信息。数据包括 DNS 阻止列表、发现的恶意软件或策略引擎希望拒绝企业系统访问的命令和控制系统。通过使用威胁情报源,策略引擎可以帮助在实际事件发生之前制定主动安全措施。Analytics 可以使用基于标准的评分,该评分假定在授予对资源的访问权限之前必须满足一组合格属性。

Citrix 零信任架构

在从边界、基于边界的安全模型转变为基于资源的安全模型的过程中,Citrix Workspace 使用了整体上下文感知的无 VPN 方法。

零信任图

Citrix Workspace 充当控制对应用程序和数据的访问的强制点。访问从 “默认拒绝” 开始,而不是建立在固有的信任之上。只有在通过用户和设备凭据以及其他因素(包括时间、位置和设备状态)验证实体后,才会授予访问权限。Citrix Zero Trust 通过删除假定的信任并确认每一步的信任,从而降低了围绕这些因素的复杂性。

Citrix Endpoint Management

Citrix Endpoint Management 提供数据来评估设备信任度。它通过持续评估设备状态以支持授权来帮助回答设备风险/信任级别的问题。身份验证前和身份验证后设备评估支持安全执行工作所需的授权。此外,还会针对每个访问请求进行更多评估。Citrix Endpoint Management 会检查设备是否受到威胁、其软件版本、保护状态和加密启用。Citrix Endpoint Management 可用于执行端点分析扫描以检查平台证书,并包括加入域和未加入域的设备的功能。可以将不同的信任级别分配给完整的设备管理、应用程序或浏览器访问,这三种都有不同的要求。

Citrix Gateway

Citrix Gateway 提供了一种增强而灵活的安全方法。IT 部门可以配置多个身份验证步骤,以根据用户角色、位置、设备状态等来访问机密数据。Citrix Gateway 确定要用于每个会话的身份验证机制。它使用诸如用户所在位置和用户或设备的风险状况等因素。

Citrix 的身份方法允许企业保留投资。它允许他们使用原生 IdP 安全功能,如 MFA、生物识别技术来保护 Workspace 中的用户。它支持 LDAP、RADIUS、TACACS、直径和 SAML2.0 身份验证机制等。

Citrix Gateway 提供了 SmartAccess 和 SmartControl 策略,可灵活地平衡用户便利性和风险。根据 SmartAccess 扫描的结果,用户可以被授予完全访问权限、减少访问权限、隔离或根本不访问权限。例如,未通过设备合规性检查的用户可以访问减少的应用程序集。敏感应用程序的功能可能受限,例如阻止打印和下载SmartControl 将策略管理集中在 Citrix Gateway 上,在用户访问后端资源之前加强网络层的访问控制。

有关 Citrix Gateway 的更多信息,请参阅 CCitrix Gateway 技术简报

Citrix Secure Private Access

Secure Private Access 提供对 SaaS 和 Web 应用程序的即时单点登录 (SSO) 访问、精细的自适应安全策略、适用于所有应用程序的应用程序保护策略以及 Web 浏览器隔离。Secure Private Access 结合了多种 Citrix Cloud 服务的元素,为最终用户和管理员提供集成的体验:

  • MFA 和设备信任
  • Web 和 SaaS SSO
  • 网关
  • 云应用程序控制
  • Secure Browser
  • 应用程序保护
  • 分析

请参阅 Citrix Secure Private Access 技术简报,以获取有关 Citrix Secure Private Access 的更多信息。

Citrix Secure Internet Access

Citrix Workspace 提供了一种集成的方法来安全访问互联网。除了管理用户设备外,Secure Internet Access 还侧重于保护用户的工作空间。无论是访问允许列表还是阻止列表 URL 还是 URL 类别,用户信息始终受到保护。

Citrix Internet Access 提供与浏览器隔离服务集成的 URL 过滤引擎。它通过提供隔离的浏览器来解决 “灰色状态网址”。用户可以安全地访问列入黑名单或白名单的 URL 之间的站点。结合起来,管理员可以选择完全阻止 URL 或访问沙箱环境中的任何 URL。此外,即使在访问允许列表 URL 时,管理员也可以采取谨慎的方法。

这种方法可确保用户能够访问他们所需的信息。它不会影响工作效率,同时为抵御任何意外威胁或从互联网传送的恶意内容提供保护。

假定允许列表 URL 的信任的传统 URL 过滤引擎。Secure Internet Access 不会隐式信任允许列表 URL,因为被 URL 过滤引擎视为安全的网页可以托管恶意链接。使用 Secure Internet Access 时,还会测试受信任的 URL 中的 URL。

请参阅 Citrix Secure Internet Access 技术简报 ,了解有关 Citrix Secure Internet Access 的更多信息。

Citrix Content Collaboration

Citrix Content Collaboration 是一种基于云的软件即服务 (SaaS) 解决方案,可实现机密业务文件的安全交换。Content Collaboration 可保护传输中和静态文件。

Content Collaboration 使用 TLS 安全协议来保护身份验证、授权和文件传输。文件在传输过程中使用最高 256 位加密进行加密。使用密钥哈希消息身份验证代码 (HMAC) 进行身份验证并确保系统内通信的完整性。

Citrix Content Collaboration 提供管理员可配置的控件。管理员通过访问控制、审核日志、帐户锁定和会话超时阈值来保护公司文档。借助 Citrix Security Analytics,客户可以检测文件相关活动中的异常情况、识别漏洞并采取适当的措施。

Citrix Analytics

Citrix Security Analytics 及其对风险评分的持续监控和评估支持零信任理念 “永远不信任,始终验证”。在提供资源访问权限之前,需要计算适当的风险/安全状况。

Citrix 安全分析汇总来自所有 Citrix 服务的事件。来自第三方安全解决方案(如 Microsoft 安全图表)的风险指标被采集来发布用户风险评分。Citrix 安全分析基线可帮助可视化和映射信任关系。它将事件和活动关联起来,以识别异常情况,并按用户、群组和应用程序提供洞察。

Citrix 安全分析还提供持续监控和洞察网站访问。监控的操作包括访问恶意、危险或未知网站、使用的带宽、有风险的下载和上载活动。如果用户正在下载过量的数据,则可以触发操作以请求用户的响应以验证其身份。根据用户的回复,可以触发次要操作。

规则被配置为通过持续评估风险评分阈值来触发对用户账户的特定操作。例如,通过 Citrix Workspace 身份验证的会话可以在风险评分发生变化时注销。

一旦用户风险级别低于可接受级别,安全管理员可以重新启用访问权限。这些功能是基于登录期间的上下文因素或根据 Citrix Security Analytics 的触发器连续触发的。它持续监控来自 Citrix 服务和第三方安全解决方案的事件和风险指示器,例如 Microsoft 提供的 Azure AD 保护。

零信任函数

结论

根据假设,传统的安全模型假定所有数据和交易都是可信的。妥协、数据丢失、恶意行为者或不寻常的用户行为等事件将降低信任度。Zero Trust 假设所有数据和交易从一开始都不受信任,从而扭转信任态势。

对于组织而言,零信任和减少过度访问的承诺多年来一直是目标。但是,它的实施一直难以捉摸。作为端到端安全解决方案,所有必要的元素都非常难以构建和管理。其中包括多因素身份验证 (MFA)、动态身份管理、端点分析、加密、信息权限管理 (IRM)、特定于应用程序的网络和数据使用策略。

使用 Citrix Workspace,客户无需为 SSO、MFA、SSL VPN、Web 代理和浏览器隔离部署第三方产品。使用 Workspace,不仅通过在身份验证时提供访问策略而且在整个会话期间提供访问策略来保护对敏感资源的无 VPN 访问。在云、本地或混合部署模型中任意位置部署的所有类型的应用程序和资源中,都能保护访问权限。

技术简报:零信任