您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
基于零信任的安全架構
摘 要:隨著高級威脅和內部風險的日益增強,云計算、大數據、移動互聯(lián)的飛速發(fā)展,遠程辦公、異地分支的大量應用,網絡邊界越來越模糊,傳統(tǒng)的網絡安全架構已難以滿足安全新需求。零信任網絡打破了傳統(tǒng)的認證即信任、邊界防護、靜態(tài)訪問控制,以網絡為中心等思維,建立起一套以資源為中心,以識別、認證、動態(tài)訪問控制、授權、審計以及監(jiān)測為鏈條,以最小化實時授權為核心,以多維信任算法為基礎,認證達末端的動態(tài)安全架構。
內容目錄:
0 引 言
1 概 念
2 傳統(tǒng)網絡架構
3 零信任網絡安全架構
3.1 架構模型
3.2 信任評估算法
3.3 核心思想
3.3.1 懷疑一切
3.3.2 核心保護對象為資源
3.3.3 精細化、最小化授權
3.3.4 持續(xù)驗證每個訪問請求的可信性
3.4 特 點
3.4.1 由網絡中心化向身份中心化轉變
3.4.2 安全防護層面由網絡防護向應用防護轉變
3.4.3 無邊界化
3.4.4 認證控制向末端延伸
3.4.5 向細粒化方向發(fā)展
3.4.6 向泛在化方向發(fā)展
3.4.7 授權時機由門檻式授權向動態(tài)授權發(fā)展
4 結 語
00 引 言
零信任網絡(亦稱零信任架構)概念最早是John Kindervag(約翰·金德維格)于2010年提出的,開始幾年并未得到廣泛關注。隨著高級威脅和內部風險層出不窮,云計算、大數據、移動互聯(lián)網的飛速發(fā)展,遠程辦公、企業(yè)異地分支等的大量應用,網絡邊界的物理界限越來越模糊。另外,傳統(tǒng)網絡的安全短板日益明顯。2017年9月,美國發(fā)生了史上最大的用戶數據泄露事件——Equifax數據泄露事件,造成美國1.43億人的個人信息泄露。美國最大的移動運營商Verizon報告分析指出,81%的黑客成功利用偷來的口令或者弱口令,可輕而易舉地獲得數據的訪問權限,成功竊取數據。根據《2018 Insider Threat Report》顯示,內部威脅是造成數據泄露的第二大原因。零信任網絡的內生驅動力持續(xù)加強。
谷歌在2011年啟動BeyondCorp計劃,于2017年成功完成,為零信任在大型、新型網絡的實踐提供了參考架構。在BeyondCorp計劃中,訪問只依賴于設備和用戶憑證,而與用戶所處的網絡位置無關。美國網絡安全廠商PaloAlto利用其下一代防火墻產品,實現了零信任網絡架構。另一家美國網絡安全廠商Cyxtera提出了AppGateSDP方案,實現了CSA的SDP架構。其他網絡安全和IT廠商,如Symantec、Cisco、VMWare等,相繼推出了自己的零信任產品或架構。隨著各大廠商的進入與推進,零信任在業(yè)界持續(xù)升溫,在RSAC 2019年展會達到高潮。
01 概 念
零信任網絡是在不依賴網絡傳輸層物理安全機制的前提下,有效保護網絡通信和業(yè)務訪問。
零信任,顧名思義,即對任何事務均建立在不信任的基礎之上。中心思想是不應自動信任內部或外部的任何人/事/物,應在授權前對任何試圖接入系統(tǒng)的人/事/物進行驗證。
零信任網絡不是完全摒棄已有的安全技術另起爐灶。傳統(tǒng)網絡中的安全技術,如身份認證、訪問控制等依然可用,只是將認證與控制的大門從“小區(qū)大門”移到了各戶的“家門”。
零信任模型基本上打破了舊式邊界防護思維。舊有思維專注防御邊界,假定已經在邊界內的任何事物都不會造成威脅,因而邊界內部事物基本暢通無阻,全都擁有訪問權限。它要企業(yè)根據用戶、用戶所處位置和其他數據等條件,利用微隔離和細粒度邊界規(guī)則來確定是否信任請求企業(yè)特定范圍訪問權的用戶/主機/應用。傳統(tǒng)模式下是以系統(tǒng)為中心的安全,在零信任網絡下是以資源為中心的安全。把安全聚焦在資源本身,圍繞著資源的全生命周期建設部署安全。
02 傳統(tǒng)網絡架構
傳統(tǒng)網絡一般在網絡邊界上設置隔離認證區(qū)進行認證與控制。而零信任網絡沒有圍墻和大門的概念,將門從單位圍墻處移到了辦公室,甚至每一個辦公桌小間。
一個存在內、外網互聯(lián)需求的傳統(tǒng)網絡,建立基于網絡位置的可信控制模型,將網絡劃分為內部網絡和外部網絡。一般認為內部網絡是可信的,外部網絡是不可信的。內部網絡可以根據業(yè)務系統(tǒng)的需要劃分為若干個在物理或邏輯上相隔離的子網絡。子網絡內用戶間的通信是自由的。為維護內部網絡安全,內外網之間通過邊界隔離設備進行連接可控通信。邊界防護如單位大門一樣,訪客在單位大門口的接待區(qū)辦理完手續(xù)后即可進入,在單位內部可隨心所欲溜達。傳統(tǒng)網絡存在信任過度問題,面對從內部網絡發(fā)起的內部攻擊毫無招架之力。即使攻擊來自于外部,只要穿過邊界防護這道大門,在內部網絡可以肆意穿梭。傳統(tǒng)網絡架構,如圖1所示。
圖1 傳統(tǒng)網絡架構
03 零信任網絡安全架構
3.1 架構模型
零信任網絡在任何一個用戶,任何一臺設備,發(fā)起的任何一次連接,申請的任何一次服務,在通過認證策略判決前均認為是不可信的。它的認證不再是一站式服務,而是細化到了一事一論。零信任網絡邏輯如圖2所示。
零信任網絡邏輯體系由策略判決、策略執(zhí)行、監(jiān)測系統(tǒng)、風險分析系統(tǒng)、數據訪問策略、身份管理系統(tǒng)、設備管理系統(tǒng)、安全管理系統(tǒng)以及證書系統(tǒng)等組成。
在零信任網絡中,主體對客體的訪問服務請求是否通過,由策略判決模塊完成,并將判決結果告知策略執(zhí)行模塊,由策略執(zhí)行模塊決定訪問通道是否打開或關閉。策略判決模塊可分為策略引擎和策略管理兩部分。策略引擎負責通過信任算法進行信任評分。
監(jiān)測系統(tǒng)。監(jiān)測系統(tǒng)主要監(jiān)測、收集網絡自身的狀態(tài)信息,包括操作系統(tǒng)和應用程序版本、補丁安裝情況以及系統(tǒng)是否存在已知漏洞等。監(jiān)測系統(tǒng)將收集的上述信息提供給策略引擎,作為信任評分函數的輸入參數。
風險分析系統(tǒng)。風險分析系統(tǒng)主要是搜集和分析來自于網絡外部的風險信息,并將分析結果提供給策略引擎作為信任評分函數的輸入。它包括新發(fā)現的攻擊或漏洞、DNS黑名單以及發(fā)現的惡意軟件等。
數據訪問策略。它是根據資源屬性而創(chuàng)建的一組關于數據訪問的屬性和規(guī)則組合。該策略根據組織任務需求而建立,為網絡中的用戶、設備以及應用程序提供基本的訪問特權。這是資源訪問權限的基點,而不是全部。
證書系統(tǒng)。證書系統(tǒng)負責為用戶、設備、應用程序等產生并頒發(fā)證書,形成記錄。
身份管理系統(tǒng)。身份管理系統(tǒng)負責創(chuàng)建、存儲和管理用戶賬戶和身份信息。該系統(tǒng)包含姓名、身份證書、Email地址、崗位、角色以及訪問屬性等用戶信息。
安全管理系統(tǒng)。安全管理系統(tǒng)匯總系統(tǒng)日志、網絡流量、資源授權等進行系統(tǒng)安全態(tài)勢分析,可依據分析進行策略優(yōu)化,或警告可能對網絡進行的主動攻擊。零信任將安全的自動化置于“安全運維”的中心地位。
3.2 信任評估算法
信任評估算法是零信任網絡的大腦,維護整個零信任網絡的正常運轉。信任算法的輸入包括用戶信息、設備狀態(tài)、訪問信息、行為屬性、訪問策略以及外部威脅情報等。用戶信息包括用戶ID、用戶憑證、用戶屬性和角色等。設備信息包括設備ID號、設備所處位置等。設備狀態(tài)包括已安裝的操作系統(tǒng)及應用軟件版本、補丁修補情況和網絡位置等。訪問信息包括待訪問資源的屬性、類別和級別等。行為屬性包括用戶訪問業(yè)務的行為、操作習慣、訪問時間、設備分析、來源IP地址、來源地理位置、訪問頻度以及使用模式偏差等。外部威脅情報包括監(jiān)測到的惡意攻擊、已知漏洞等。信任評估算法模型,如圖3所示。
圖3 信任評估算法模型
進行信任評估時,采集當前的用戶信息、設備狀態(tài)、訪問信息以及行為屬性,與存儲在策略引擎中的相應基準值進行比較,計算其偏差,將上述偏差值匯總風險分析系統(tǒng)分析所得的風險,結合所要訪問資源的屬性進行最終的判斷?;鶞手悼梢詣討B(tài)調整。
3.3 核心思想
3.3.1 懷疑一切
不再以網絡邊界為限,將內部網絡定義為可信任的。無論是遠程來自于企業(yè)網絡之外的用戶還是近端來自于企業(yè)網絡內部的用戶,無論是企業(yè)配置的專用設備還是個人私有設備,在建立連接前均需進行認證授權。不再認為一個合法用戶、合法設備的訪問是永遠合法的。原有的基于系統(tǒng)的物理或網絡位置而存在的隱式信任盡量縮小或消除。認證和授權是零信任體制下的兩個基本領域。零信任網絡對資源的訪問授權一事一議按需受理,不再橫向關聯(lián)。
3.3.2 核心保護對象為資源
隨著移動辦公需求的日益加強,隨著企業(yè)基礎設施云端化的發(fā)展,企業(yè)內部網絡的界面越來越模糊,零信任網絡將對網絡邊界的保護轉變?yōu)閷ζ髽I(yè)所擁有的所有資源的保護,保護重點是資源的訪問限制,確定哪些資源可以被哪些用戶訪問。資源包括數據庫中存儲的數據、打印機打印以及部署于云端的計算資源、存儲資源等。
3.3.3 精細化、最小化授權
最小權限原則是零信任倚賴的監(jiān)管策略之一,也就是只賦予用戶完成特定工作所需的最小訪問權限,實施精確訪問決策。在認證與授權過程中,從參與者(包括用戶、設備、應用程序)到數據的每個流均進行身份驗證和授權,并以動態(tài)和細粒度的方式持續(xù)分析和評估訪問請求。
3.3.4 持續(xù)驗證每個訪問請求的可信性
主體對客體的訪問控制不是門檻式靜態(tài)部署配置,而是基于外在風險,結合用戶的歷史行為等進行動態(tài)評估,根據評估結果進行訪問策略的動態(tài)調整。
零信任網絡下,信任體系的建立包括用戶的可信、設備的可信和應用的可信。用戶、設備和應用在訪問資源前,需要通過身份管理系統(tǒng)進行身份鑒別。用戶的可信建立在對用戶進行認證的基礎上。用戶提供動態(tài)口令、人臉識別、指紋識別以及認證令牌等方式進行身份鑒別,結合用戶行為、地理位置、訪問時間等進行風險分析與判斷,并實時做出調整。
3.4 特 點
3.4.1 由網絡中心化向身份中心化轉變
零信任網絡引導安全體系架構從網絡中心化走向身份中心化,本質訴求是以身份為中心進行細粒度的、自適應的、對資源的訪問控制。
3.4.2 安全防護層面由網絡防護向應用防護轉變
安全防護層面由網絡防護向應用防護轉變。零信任網絡認為網絡是不可信的,因此不再在網絡層面增強防護措施應對風險,而是把防護措施建立在應用層面,針對服務應用進行認證、訪問控制和加密保護。
3.4.3 無邊界化
網絡防御由關注廣泛的網絡邊界轉移到每一個或每一組資源,旨在消除網絡內尤其是內部網絡內橫向移動的未經授權的訪問操作。
3.4.4 認證控制向末端延伸
認證的邊界由網絡邊界向用戶、設備和應用延伸。
3.4.5 向細粒化方向發(fā)展
細化到每一個服務,每一個數據流。零信任是分布式信任的高度細?;刂啤?/span>
3.4.6 向泛在化方向發(fā)展
所有通信數據均加密,所有訪問都審計,做到全程可視。
3.4.7 授權時機由門檻式授權向動態(tài)授權發(fā)展
在動態(tài)授權中,基于信任算法將設備和用戶的多元數據作為輸入進行計算,獲得動態(tài)的信任度評估值,基于主體的評估值和客體的屬性確定是否授權。
04 結 語
零信任網絡必將成為網絡安全流行框架之一,尤其是在云環(huán)境、遠程辦公等應用需求下。零信任網絡打破了傳統(tǒng)網絡模式下的防護機制、管理模式,而非安全技術自身。機制的打破不是一蹴而就的,要面臨著企業(yè)已有資產的再利用等問題。在很長一段時間內,零信任網絡將與傳統(tǒng)網絡共同作戰(zhàn),結合零信任中管理風險的方法與身份認證、持續(xù)監(jiān)測等技術,共同防護面臨的威脅。在向零信任網絡遷移時,需要根據現有設備的配置情況,對現有業(yè)務流程進行重新梳理和設計,最大化有效利用現有設備,增大已有資產的有效利用,減少資金再投入比例。
作者簡介 >>>
曾玲(1975—),女,碩士,高級工程師,主要研究方向為保密通信;
劉星江(1984—),男,碩士,高級工程師,主要研究方向為保密通信。
選自《通信技術》2020年第七期(為便于排版,已省去原文參考文獻)