您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
網(wǎng)絡(luò)安全新架構(gòu):零信任安全
2019年7月12日,美國國防部發(fā)布《國防部數(shù)字現(xiàn)代化戰(zhàn)略》?!稇?zhàn)略》主要由美國國防部首席信息官(DoD CIO)牽頭制定,旨在確保國防部以更高效、更有效的方式執(zhí)行任務(wù),為美國國防部IT現(xiàn)代化領(lǐng)域一系列其他戰(zhàn)略文件提供頂層指導(dǎo)。在《戰(zhàn)略》附錄中列出的在國防領(lǐng)域有應(yīng)用前景的技術(shù)中,將零信任安全(Zero Trust Security)作為了美國國防部?jī)?yōu)先發(fā)展的技術(shù)之一。 零信任是一種網(wǎng)絡(luò)安全策略,它在整個(gè)架構(gòu)中嵌入安全性,以阻止數(shù)據(jù)泄露。此安全模型消除了信任或不信任的網(wǎng)絡(luò)、設(shè)備、角色或進(jìn)程的概念,并轉(zhuǎn)變?yōu)榛诙鄬傩缘闹眯偶?jí)別,從而在最低特權(quán)訪問概念下啟用身份驗(yàn)證和授權(quán)策略。
1 零信任安全模式從何而來?
在網(wǎng)絡(luò)監(jiān)控?zé)o處不在的時(shí)代,很難確定誰是值得信任的。我們能相信互聯(lián)網(wǎng)流量沒有被監(jiān)聽嗎?當(dāng)然不能!我們既無法信任提供光纖租用的互聯(lián)網(wǎng)服務(wù)商,也無法信任昨天在數(shù)據(jù)中心布線的合同工?!皵?shù)據(jù)中心內(nèi)部的系統(tǒng)和網(wǎng)絡(luò)流量是可信的”這一假設(shè)是不正確的?,F(xiàn)代的網(wǎng)絡(luò)設(shè)計(jì)和應(yīng)用模式,已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡(luò)邊界的安全防護(hù)模式逐漸失去原有的價(jià)值。因此,網(wǎng)絡(luò)邊界的安全防護(hù)一旦被突破,即使只有一臺(tái)計(jì)算機(jī)被攻陷,攻擊者也能夠在“安全的”數(shù)據(jù)中心內(nèi)部自由移動(dòng)。零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網(wǎng)絡(luò)位置建立信任,而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機(jī)制的前提下,有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。
據(jù)有關(guān)機(jī)構(gòu)調(diào)查分析,內(nèi)部人員威脅是造成企業(yè)數(shù)據(jù)泄露的第二大原因。企業(yè)員工、外包人員等內(nèi)部用戶通常擁有特定業(yè)務(wù)和數(shù)據(jù)的合法訪問權(quán)限,一旦出現(xiàn)憑證丟失、權(quán)限濫用或非授權(quán)訪問等問題,往往會(huì)導(dǎo)致企業(yè)的數(shù)據(jù)泄漏。外部黑客攻擊是造成企業(yè)數(shù)據(jù)泄露的第一大原因。美國Verizon 公司《2017 年數(shù)據(jù)泄露報(bào)告》分析指出,攻擊者滲透進(jìn)企業(yè)的內(nèi)網(wǎng)之后,并沒有采用什么高明的手段竊取數(shù)據(jù),81% 的攻擊者只是利用偷來的憑證或者“爆破”得到的弱口令,就輕而易舉地獲得了系統(tǒng)和數(shù)據(jù)的訪問權(quán)限。造成數(shù)據(jù)泄露的兩大原因值得我們深入思考:企業(yè)的安全意識(shí)在不斷提高,網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的投入也在不斷加大,為什么類似數(shù)據(jù)泄露這樣的安全事件并沒有得到很好的遏制,反而有愈演愈烈的趨勢(shì)?我們?cè)谄髽I(yè)網(wǎng)絡(luò)安全體系建設(shè)上忽視了什么?提到網(wǎng)絡(luò)安全防護(hù),人們第一時(shí)間會(huì)考慮如何對(duì)抗具體的威脅。例如,通過消費(fèi)威脅情報(bào)構(gòu)建積極防御能力,對(duì)抗高級(jí)威脅、APT 攻擊等。這些防護(hù)措施當(dāng)然必不可少,而且必須隨著威脅的升級(jí)持續(xù)演進(jìn)。但是,在企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系的過程中,人們往往忽視最基礎(chǔ)的架構(gòu)安全能力建設(shè)。網(wǎng)絡(luò)安全架構(gòu)往往伴隨IT 技術(shù)架構(gòu)的變革不斷演進(jìn),而數(shù)字化轉(zhuǎn)型的技術(shù)本質(zhì)恰恰是IT 技術(shù)架構(gòu)的劇烈變革。在新的IT 技術(shù)架構(gòu)下,傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念如果不能隨需應(yīng)變,自然會(huì)成為木桶最短的那塊木板。
傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)。企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時(shí),首先尋找安全邊界,把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、隔離區(qū)(DMZ)等不同的區(qū)域,然后在邊界上通過部署防火墻、WAF、IPS 等網(wǎng)絡(luò)安全產(chǎn)品/ 方案進(jìn)行重重防護(hù),構(gòu)筑企業(yè)業(yè)務(wù)的數(shù)字護(hù)城河。這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全,在某種程度上預(yù)設(shè)了對(duì)內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任,從而忽視內(nèi)網(wǎng)安全措施的加強(qiáng)。于是,攻擊者一旦突破企業(yè)的網(wǎng)絡(luò)安全邊界進(jìn)入內(nèi)網(wǎng),常常會(huì)如入無人之境。此外,云計(jì)算等的快速發(fā)展導(dǎo)致傳統(tǒng)的內(nèi)外網(wǎng)邊界模糊,很難找到物理上的安全邊界。企業(yè)自然無法基于傳統(tǒng)的安全架構(gòu)理念構(gòu)筑安全基礎(chǔ)設(shè)施,只能訴諸于更靈活的技術(shù)手段對(duì)動(dòng)態(tài)變化的人、設(shè)備、系統(tǒng)進(jìn)行識(shí)別、認(rèn)證、訪問控制和審計(jì),以身份為中心的訪問控制成為數(shù)字時(shí)代架構(gòu)安全的第一道關(guān)口。零信任安全架構(gòu)正是擁抱了這種技術(shù)趨勢(shì),從而成為數(shù)字時(shí)代網(wǎng)絡(luò)安全架構(gòu)演進(jìn)的必然選擇。
2 什么是零信任安全
零信任網(wǎng)絡(luò)的概念建立在以下5個(gè)基本假定之上。
* 網(wǎng)絡(luò)無時(shí)無刻不處于危險(xiǎn)的環(huán)境中。
* 網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅。
* 網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度。
* 所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。
* 所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。
* 安全策略必須是動(dòng)態(tài)的,并基于盡可能多的數(shù)據(jù)源計(jì)算而來。
傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)把不同的網(wǎng)絡(luò)(或者單個(gè)網(wǎng)絡(luò)的一部分)劃分為不同的區(qū)域,不同區(qū)域之間使用防火墻進(jìn)行隔離。每個(gè)區(qū)域都被授予某種程度的信任,它決定了哪些網(wǎng)絡(luò)資源允許被訪問。這種安全模型提供了非常強(qiáng)大的縱深防御能力。比如,互聯(lián)網(wǎng)可訪問的Web服務(wù)器等高風(fēng)險(xiǎn)的網(wǎng)絡(luò)資源,被部署在特定的區(qū)域(一般稱為“隔離區(qū)”,DMZ),該區(qū)域的網(wǎng)絡(luò)流量被嚴(yán)密監(jiān)控和嚴(yán)格控制。這是一種常見的網(wǎng)絡(luò)安全架構(gòu),如圖1所示。
圖1 傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)
零信任模型徹底改變了這種安全架構(gòu)。傳統(tǒng)的網(wǎng)絡(luò)分區(qū)與隔離安全模型在過去發(fā)揮了積極作用,但是現(xiàn)在卻疲于應(yīng)對(duì)高級(jí)的網(wǎng)絡(luò)攻擊。傳統(tǒng)的安全模型主要有以下缺點(diǎn)。
* 缺乏網(wǎng)絡(luò)內(nèi)部的流量檢查。
* 主機(jī)部署缺乏物理及邏輯上的靈活性。
* 存在單點(diǎn)故障。
需要關(guān)注的是,如果基于網(wǎng)絡(luò)位置劃分區(qū)域的需求消失了,那么對(duì)VPN的需求也就消失了。VPN的作用是對(duì)用戶進(jìn)行身份認(rèn)證并分配IP地址,然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò),然后進(jìn)行數(shù)據(jù)包的解封裝和路由。或許人們從來沒有想過,在某種程度上,VPN是一種不會(huì)遭人懷疑的后門。
如果網(wǎng)絡(luò)的位置對(duì)于網(wǎng)絡(luò)安全失去價(jià)值,那么諸如VPN等網(wǎng)絡(luò)安全設(shè)備也會(huì)失去其原有的價(jià)值。當(dāng)然,這也迫使我們把安全控制的實(shí)施點(diǎn)盡可能地前推到網(wǎng)絡(luò)邊緣,這同時(shí)也減輕了網(wǎng)絡(luò)核心設(shè)備的安全責(zé)任。此外,大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻,交換和路由技術(shù)的進(jìn)展也為在網(wǎng)絡(luò)邊緣部署高級(jí)功能創(chuàng)造了機(jī)會(huì)。將所有這些改變帶來的收益匯集在一起,得出一個(gè)結(jié)論:是時(shí)候進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的范式轉(zhuǎn)換了。利用分布式策略實(shí)施和應(yīng)用零信任原則,可以構(gòu)建如圖2所示的網(wǎng)絡(luò)安全架構(gòu)。2
圖2 零信任網(wǎng)絡(luò)安全架構(gòu)
3 零信任的技術(shù)方案與實(shí)踐特點(diǎn)
零信任架構(gòu)重新評(píng)估和審視了傳統(tǒng)的邊界安全架構(gòu),并給出了新思路:應(yīng)該假設(shè)網(wǎng)絡(luò)自始至終充滿外部和內(nèi)部威脅,不能僅憑網(wǎng)絡(luò)位置來評(píng)估信任;默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部或外部的任何人、設(shè)備、系統(tǒng),需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ);并且訪問控制策略應(yīng)該是動(dòng)態(tài)的,基于設(shè)備和用戶的多源環(huán)境數(shù)據(jù)計(jì)算得來。零信任對(duì)訪問控制進(jìn)行了范式上的顛覆,引導(dǎo)網(wǎng)絡(luò)安全架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”。從技術(shù)方案層面來看,零信任安全架構(gòu)是借助現(xiàn)代身份管理技術(shù)實(shí)現(xiàn)對(duì)人、設(shè)備和系統(tǒng)的全面、動(dòng)態(tài)、智能的訪問控制。
零信任架構(gòu)的技術(shù)方案包含:業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理和智能身份安全平臺(tái),三者之間的關(guān)系如下圖3所示。
圖3 零信任架構(gòu)的技術(shù)方案
業(yè)務(wù)訪問主體:是業(yè)務(wù)請(qǐng)求的發(fā)起者,一般包括用戶、設(shè)備和應(yīng)用程序三類實(shí)體。在傳統(tǒng)的安全方案中,這些實(shí)體一般單獨(dú)進(jìn)行認(rèn)證和授權(quán),但在零信任架構(gòu)中,授權(quán)策略需要將這三類實(shí)體作為一個(gè)密不可分的整體來對(duì)待,這樣可以極大地緩解憑證竊取等安全威脅。零信任架構(gòu)落地實(shí)踐中,常常將其簡(jiǎn)化為用戶和設(shè)備的綁定關(guān)系。
業(yè)務(wù)訪問代理:是業(yè)務(wù)訪問數(shù)據(jù)平面的實(shí)際控制點(diǎn),是強(qiáng)制訪問控制的策略執(zhí)行器。所有業(yè)務(wù)都隱藏在業(yè)務(wù)訪問代理之后,只有完成設(shè)備和用戶的認(rèn)證,并且業(yè)務(wù)訪問主體具備足夠的權(quán)限,業(yè)務(wù)訪問代理才對(duì)其開放業(yè)務(wù)資源,并建立起加密的業(yè)務(wù)訪問數(shù)據(jù)通道。
智能身份平臺(tái):是零信任架構(gòu)的安全控制平面。業(yè)務(wù)訪問主體和業(yè)務(wù)訪問代理分別通過與智能身份安全平臺(tái)的交互,完成信任的評(píng)估和授權(quán)過程,并協(xié)商數(shù)據(jù)平面的安全配置參數(shù)?,F(xiàn)代身份管理平臺(tái)非常適合承擔(dān)這一角色,完成身份認(rèn)證、身份治理、動(dòng)態(tài)授權(quán)和智能分析等任務(wù)。
4 零信任架構(gòu)的技術(shù)實(shí)踐具有以下特點(diǎn)
以身份為中心:零信任的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問控制,全面身份化是實(shí)現(xiàn)零信任的前提和基石?;谌嫔矸莼?,為用戶、設(shè)備、應(yīng)用程序、業(yè)務(wù)系統(tǒng)等物理實(shí)體建立統(tǒng)一的數(shù)字身份標(biāo)識(shí)和治理流程,并進(jìn)一步構(gòu)筑動(dòng)態(tài)訪問控制體系,將安全邊界延伸至身份實(shí)體。
持續(xù)身份認(rèn)證:零信任架構(gòu)認(rèn)為一次性的身份認(rèn)證無法確保身份的持續(xù)合法性,即便是采用了強(qiáng)度較高的多因子認(rèn)證,也需要通過持續(xù)認(rèn)證進(jìn)行信任評(píng)估。例如,通過持續(xù)地對(duì)用戶訪問業(yè)務(wù)的行為、操作習(xí)慣等進(jìn)行分析、識(shí)別和驗(yàn)證,動(dòng)態(tài)評(píng)估用戶的信任度。動(dòng)態(tài)訪問控制:傳統(tǒng)的訪問控制機(jī)制是宏觀的二值邏輯,大多基于靜態(tài)的授權(quán)規(guī)則、黑白名單等技術(shù)手段進(jìn)行一次性的評(píng)估。零信任架構(gòu)下的訪問控制基于持續(xù)度量的思想,是一種微觀判定邏輯,通過對(duì)業(yè)務(wù)訪問主體的信任度、環(huán)境的風(fēng)險(xiǎn)進(jìn)行持續(xù)度量并動(dòng)態(tài)判定是否授權(quán)。主體的信任度評(píng)估可以依據(jù)采用的認(rèn)證手段、設(shè)備的健康度、應(yīng)用程序是否企業(yè)分發(fā)等等;環(huán)境的評(píng)估則可能包括訪問時(shí)間、來源IP 地址、來源地理位置、訪問頻度、設(shè)備相似性等各種時(shí)空因素。
智能身份分析:零信任架構(gòu)提倡的持續(xù)認(rèn)證、動(dòng)態(tài)訪問控制等特性會(huì)顯著地增加管理開銷,只有引入智能身份分析,提升管理的自動(dòng)化水平,才能更好地實(shí)現(xiàn)零信任架構(gòu)的落地。智能身份分析可以幫助我們實(shí)現(xiàn)自適應(yīng)的訪問控制,還能夠?qū)Ξ?dāng)前系統(tǒng)的權(quán)限、策略、角色進(jìn)行分析,發(fā)現(xiàn)潛在的策略違規(guī)并觸發(fā)工作流引擎進(jìn)行自動(dòng)或人工干預(yù)的策略調(diào)整,實(shí)現(xiàn)治理的閉環(huán)。
5 結(jié) 語
基于零信任推動(dòng)企業(yè)網(wǎng)絡(luò)安全架構(gòu)的重構(gòu)應(yīng)該上升到企業(yè)數(shù)字化轉(zhuǎn)型的戰(zhàn)略層面,與業(yè)務(wù)規(guī)劃同步進(jìn)行,并明確愿景和路線圖,成立專門的組織,指派具有足夠權(quán)限的負(fù)責(zé)人,才能保障零信任安全的落地和逐步實(shí)施。數(shù)字時(shí)代,零信任架構(gòu)必將成為企業(yè)網(wǎng)絡(luò)安全的新范式。企業(yè)機(jī)構(gòu)應(yīng)當(dāng)開放心態(tài),積極擁抱這種理念的變化,務(wù)實(shí)推動(dòng)零信任架構(gòu)的落地實(shí)踐,為數(shù)字時(shí)代的企業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。
來源:信息安全與通信保密雜志社