技术简介:零信任

概述

注意:

零信任新手?学习什么是零信任安全和Citrix零信任解决方案．

传统的、基于边界的保护信息系统和数据的方法是不够的。

多年来，网络安全范式一直在模仿中世纪的一种熟悉的物理安全形式:城堡和护城河。这是许多企业已经采用的一种方法，但发现在云世界中还不够。

在这个经典的防御模式中，层层严密的关卡和通道包围并保护着王冠上的宝石。所有访问都在授予身份验证和授权的网关进行控制和验证。然而，一旦得到验证，人们实际上就被赋予了环境的自由。

该模型存在缺陷，主要是由于不充分的身份验证和授权而授予过多的访问。攻击者经常使用诡计绕过网关和旨在打破墙壁的高级工具。

同样，在网络安全领域，有价值的数据被多层防火墙、分割、身份验证和授权所包围。虽然这些组件是必要的，但由于迁移到云和移动所导致的“非边界化”，它们是不够的。

此安全模型的一个问题是授予网络墙内的人员或服务的隐含信任。设备或用户所在的位置或网络绝不能隐式地授予信任级别。必须假设私有网络及其上的任何设备本质上都不值得信任。

组织如何使用包含以下变量的复杂模型来保护皇冠上的宝石?

• 用户:位于公司办公室和公共场所
• 设备:移动设备、自带设备(BYOD)、选择自己的设备(CYOD)和企业自行启用(COPE)
• 应用:(内部网/SaaS、浏览器、虚拟化、移动)
• 数据访问和存储(现场和云)

考虑到访问的所有这些方面，依赖护城河作为安全边界成为一种负担。

长期以来，vpn一直是用户在公司之外访问企业应用程序和数据的传统方式。这种模型适用于最终用户只能从经过批准的公司管理的设备访问公司网络的用例。

但这就是VPN模型不能充分满足不断发展的用例需求的原因。应用程序已经现代化，可以基于web访问，并部署在多云环境中。应用程序、数据和服务不只是在数据中心的墙内。位置已经移动，变得动态，用户可以在任何地方访问资源，组织需要一个框架，允许在不降低工作效率的情况下轻松访问所有资源。强制用户通过企业VPN访问云应用程序不利于最终用户体验。

对远程工作者的需求加快了对新战略的需求。组织如何围绕同时存在于多个位置的资源建立一堵墙?

指导原则

零信任的工作原理是假设“从不信任，总是验证”或一种天生的不信任(“默认拒绝”)。约翰·金德威格(John Kindervag)创造了“零信任”(Zero Trust)一词，作为解决“非边界化”(deperimeterization)这一复杂问题的一种方式——随着边界变得更加多孔，它的扩展和溶解。

零信任体系结构的目的是保护数据。它不是一个单一的网络架构，而是一套网络基础设施设计和运营的指导原则。零信任方法提供了一致的安全策略，用于从任何地方、任何设备、以任何方式访问驻留在任何地方的数据。

使用零信任，不会根据系统的物理或网络位置向系统授予隐式信任。无论原始请求位于何处，该方法都需要持续授权;并提高整个网络的可见性和分析能力。

零信任是通过框架的有意实现实现的。使用一组集成并内置了零信任原则的产品，提供了一种实现预期业务结果的集体方法。

思杰认为零信任不仅适用于网络，而且适用于整个组织的用户、设备、网络、应用程序以及人们的工作方式。

Citrix Zero Trust架构专注于保护资源，并遵循模仿美国国家标准与技术研究院(NIST)的原则进行设计和部署。零信任原则：

1. 所有数据源和计算服务都被视为资源
2. 无论网络位置如何，所有通信都是安全的，因为每个网络，无论是企业网络还是远程网络，都是天生敌对的，不值得信任
3. 对单个企业资源的访问是在每个会话的基础上授予的
4. 对资源的访问由动态策略强制执行，该策略包括身份、设备、应用程序、网络的可观察状态，还可以包括行为属性
5. 由于没有设备本身是受信任的，因此企业监视资产以确保它们处于尽可能安全的状态
6. 所有资源认证和授权都是动态的，在允许访问之前严格执行
7. 企业尽可能多地收集有关网络基础设施和通信的当前状态的信息。该公司利用这些数据来改善其安全态势

零信任的支柱

从企业信任到零信任的过程需要一个建立信任结构的策略。组织必须确定当前关注的问题，并定义他们的信任结构，以支持数字化转型。访问必须与数据的敏感性以及请求和使用数据的情况相一致。Zero Trust必须精确地识别网络上的人员、设备、数据和工作负载。

Citrix称之为上下文访问。访问策略仔细检查访问的5w中的信任元素，以授予特定的使用权限。上下文访问是一个连续的过程。它从请求事件扩展到特定的数据使用权限和管理数据安全生命周期的动态策略。

• 哪些数据需要保护?
• 对数据的请求来自哪里，数据在网络中的位置是什么?
• 谁可以访问这些数据，可以访问多长时间?
• 为什么这些人需要访问权限?
• 他们什么时候需要访问数据?

人

对可信用户进行持续的身份验证和授权对于零信任至关重要。身份是请求访问资源的“谁”。用户身份验证是动态的，在允许访问之前严格执行。这是一个不断循环的访问:

• 扫描和评估威胁
• 适应
• 不断进行身份验证
• 监控
• 验证用户的可信度

身份包括身份、凭据和访问管理等技术的使用。身份是企业开发的用户和属性的集合。用户和属性构成了资源访问策略的基础。用户身份可以包括逻辑身份、生物特征数据和行为特征。使用时间和地理位置等身份属性来获得信任分数，以动态评估风险并适当地调整访问。

在建立连接之前执行身份验证(包括用户和设备)，并且只有那些经过验证的最终用户才能最大限度地访问资源。不断对人们进行身份验证，以确定每个访问请求的身份和安全状况。满足这些要求后，只有在需要资源时才授予对数据资源的访问权。

设备

组织需要一种跨设备和所有权模型管理策略的一致方式。管理员需要能够确定他们对设备的信任程度。设备是“在哪里”问题的一部分。请求来自哪里，设备风险级别是什么?设备的实时安全态势和可信赖性是零信任方法的基本属性。

传统上，在研究端点设备时，有三种流行的所有权模型(企业所有、BYOD/CYOD、COPE)，每种模型都具有不同的固有信任、信任因素和验证需求。有了零信任，固有的信任就被消除了，无论所有权如何，每个设备都需要验证。

网络

零信任架构的重点是保护资源，而不是网段。用户、设备或资源的网络位置不再被视为安全态势的主要组成部分。然而，分段、隔离和控制网络的能力仍然是安全的支柱，对于零信任网络来说是必不可少的。选择适当的应用程序和工作空间交付模型的能力是“在哪里”问题的第二部分。

零信任网络有时被描述为“无边界”。一些人认为，外围保护对网络和运营的重要性正在降低。实际上，周长仍然存在，但以一种更细的方式。零信任网络实际上试图从网络边缘移动边界，并创建段来隔离关键数据与其他数据。外围必须更靠近数据，以加强保护和控制。因此，传统的城堡和护城河方法是不够的。

在基于互联网的技术转型期间，考虑如何:

1. 控制特权网络访问
2. 管理内部和外部数据流
3. 防止网络横向移动
4. 对网络和数据流量进行动态策略和信任决策

工作负载

保护和正确管理应用程序层、计算容器和虚拟机是采用零信任的核心。能够识别和控制技术堆栈有助于做出更细粒度和更准确的访问决策。不出所料，在为零信任环境中的应用程序提供适当的访问控制方面，MFA越来越重要。

零信任模型的一个重要方面是只授予最终用户完成工作所需的特定应用程序访问权限。不提供对网络本身的访问，通过减少攻击面来显著改善组织的安全态势。

数据

客户、员工和合作伙伴的移动性越来越强，他们从连接到的每个网络中消费应用程序、数据和其他资源。当有人想要访问数据时，零信任模型将数据的价值与确保正确的人在那里并被授权在使用安全设备时访问数据进行权衡。

访问资源的最低要求可以包括验证者保证级别，例如MFA和或系统配置请求。这个人是在公司网络内部还是外部，并不是这三个保证中的任何一个可靠指标。但是，标记明显不寻常或未经批准的网络位置，例如拒绝来自海外IP地址或在意外的时间范围内访问。

可见性、分析和编制

零信任架构需要增加访问可见性。如果没有安全信息管理、高级安全分析平台和安全用户行为分析等工具，它是不完整的。随着时间的推移，这些系统持续监控和记录访问请求和策略更改。安全专家需要这些工具来实时观察正在发生的事情，并更智能地定位防御。

分析是一个系统，它负责启用、监控并最终终止主体与企业资源之间的连接。分析策略引擎负责最终决定是否授予给定客户端或主题对资源的访问权。它可以使用企业策略和来自外部来源的输入。

分析数据可以单独分析，也可以与其他安全监控和日志数据集结合分析。多个服务从多个外部源获取数据，并提供有关新发现的攻击或漏洞的信息。这些数据包括DNS阻止列表、发现的恶意软件或策略引擎想要拒绝来自企业系统的访问的命令和控制系统。通过使用威胁情报馈送，策略引擎可以帮助在实际事件发生之前制定主动的安全措施。分析可以使用基于标准的评分，该评分假设在授予资源访问权限之前必须满足一组合格属性。

Citrix零信任架构

在从边界、基于边界的安全模型转向基于资源的安全模型的过程中，Citrix Workspace使用了一种整体的上下文感知VPN-less方法。

Citrix Workspace充当控制对应用程序和数据的访问的实施点。访问以“默认拒绝”开始，而不是建立在固有的信任之上。只有在通过用户和设备凭据以及其他因素(包括时间、位置和设备位置)验证实体后才授予访问权限。Citrix Zero Trust通过消除假定的信任并在每个步骤中确认它，减轻了围绕这些因素的复杂性。

Citrix端点管理

Citrix Endpoint Management提供数据来评估设备信任。它通过持续评估设备状态来支持授权，从而帮助回答设备风险/信任级别的问题。认证前和认证后的设备评估支持安全执行工作所需的授权。此外，对每个访问请求进行更多评估。Citrix Endpoint Management检查设备是否已被泄露、其软件版本、保护状态和加密启用情况。Citrix Endpoint Management可用于执行端点分析扫描，以检查平台证书，并包括域加入和非域加入设备的特性。不同级别的信任可以分配给完整的设备管理、应用程序或从浏览器访问，这三者都有不同的要求。

Citrix网关

Citrix Gateway提供了增强且灵活的安全方法。IT可以根据用户角色、位置、设备状态等配置多个身份验证步骤来访问机密数据。Citrix Gateway决定每个会话使用的身份验证机制。它利用用户的位置和用户或设备的风险概况等因素。

思杰的身份识别方法允许企业保留其投资。它允许他们使用原生IdP安全功能，如MFA，生物识别来保护工作区内的用户。它支持LDAP、RADIUS、TACACS、Diameter和SAML2.0等身份验证机制。

Citrix Gateway提供SmartAccess和SmartControl策略，提供灵活性，以平衡用户的便利性和风险。根据SmartAccess扫描的结果，可以授予用户完全访问权、减少访问权、隔离或完全不访问权。例如，如果用户未能通过设备遵从性检查，则可以访问一组减少的应用程序。敏感应用程序可能具有限制功能，如阻止打印和下载。SmartControl将策略管理集中在Citrix Gateway上，在用户到达后端资源之前加强网络层的访问控制。

请参阅Citrix Gateway技术简介获取有关思杰网关的更多信息。

Citrix安全私有访问

安全私有访问提供对SaaS和web应用程序的即时单点登录(SSO)访问、细粒度和自适应安全策略、所有应用程序的应用程序保护策略以及web浏览器隔离。安全专用访问结合了多个思杰云服务的元素，为最终用户和管理员提供集成的体验:

• MFA和设备信托
• Web和SaaS单点登录
• 网关
• 云应用控制
• 安全浏览器
• 应用程序保护
• 分析

请参阅思杰安全私人访问技术简介获取有关思杰安全专用访问的更多信息。

思杰安全互联网接入

思杰工作区提供了一个集成的方法来安全访问互联网。除了管理用户设备，安全互联网访问还注重保护用户的工作空间。用户信息始终受到保护，无论是访问允许列表或阻止列表URL或URL类别。

Citrix Internet Access提供了与浏览器隔离服务集成的URL过滤引擎。它通过提供孤立的浏览器来解决“灰色状态url”的问题。用户可以安全地访问黑名单或白名单之间的网址。总之，它们让管理员可以选择完全阻止URL或访问沙箱环境中的任何URL。此外，管理员甚至可以在访问允许列表url时采取谨慎的方法。

这种方法确保用户能够访问他们需要的信息。它不会影响生产力，同时提供保护，防止任何不可预见的威胁或来自互联网的恶意内容。

一个传统的URL过滤引擎，假定允许列表URL是可信的。安全互联网访问并不隐式地信任一个允许列表URL，因为URL过滤引擎认为安全的网页可能承载恶意链接。与安全互联网访问URL内的可信URL也进行了测试。

请参阅思杰安全互联网接入技术简介获取有关思杰安全互联网接入的更多信息。

思杰内容协作

Citrix Content Collaboration是一种基于云的软件即服务(SaaS)解决方案，支持机密业务文件的安全交换。内容协作保护传输中的文件和静止的文件。

内容协作采用TLS安全协议来保护身份验证、授权和文件传输。文件在传输中加密，最高可达256位加密。使用HMAC (key -hashed message authentication code)对系统内通信进行认证，保证通信的完整性。

Citrix Content Collaboration提供管理员可配置控件。管理员通过访问控制、审计日志、帐户锁定和会话超时阈值保护公司文档。通过思杰安全分析，客户可以检测文件相关活动中的异常情况，识别漏洞，并采取适当的措施。

Citrix分析

思杰安全分析及其对风险评分的持续监测和评估支持“永不信任，始终验证”的零信任理念。在提供对资源的访问之前，会计算适当的风险/安全状况水平。

思杰安全分析汇总来自所有思杰服务的事件。来自第三方安全解决方案(如Microsoft security Graph)的风险指标被用于发布用户风险评分。Citrix Security Analytics基线，帮助可视化和映射信任关系。它将事件和活动关联起来，以识别异常情况，并根据用户、组和应用程序提供见解。

思杰安全分析还提供对网站访问的持续监控和洞察。监控的行为包括访问恶意、危险或未知网站、带宽消耗、危险下载和上传活动。如果用户下载了过多的数据，则可以触发一个操作，请求用户响应以验证其身份。根据用户的回复，可以触发次要操作。

规则配置为通过持续评估风险评分阈值来触发对用户帐户的特定操作。例如，通过身份验证进入Citrix Workspace的会话可以在风险评分发生更改时注销。

一旦用户风险级别低于可接受的级别，安全管理员可以重新启用访问。这些功能是根据登录期间的上下文因素触发的，或根据Citrix Security Analytics的触发器连续触发。它持续监控来自思杰服务和第三方安全解决方案(如微软的Azure AD保护)的事件和风险指标。

结论

传统的安全模型基于假设假设所有数据和事务都是可信的。诸如妥协、数据丢失、恶意行为或非典型的用户行为等事件会降低这种信任。零信任通过假设所有数据和事务从一开始就不可信来扭转信任态势。

对于组织来说，零信任和减少过度访问的承诺是多年来的目标。但它的实施一直难以捉摸。作为一个端到端的安全解决方案，构建和管理所有必要的元素都异常困难。其中包括多因素身份验证(MFA)、动态身份管理、端点分析、加密、信息权限管理(IRM)、特定于应用程序的网络和数据使用策略。

使用Citrix Workspace，客户不需要为SSO、MFA、SSL VPN、web代理和浏览器隔离部署第三方产品。使用Workspace，通过在身份验证时提供访问策略，以及在整个会话中提供访问策略，可以确保对敏感资源的无vpn访问。在云、本地或混合部署模型中部署的所有类型的应用程序和资源的访问都是安全的。