零信任是一组不断演进的网络安全范式,它将网络防御范围从静态的基于网络的边界,转移到关注用户、资产和资源。其要点是在网络分段基础上着重保护资源,这是为了有效应对当今企业网络的发展趋势,即不在企业所辖网络边界内的远程用户和基于云的资产。
2020年2月NIST(美国国家标准与技术研究院)发布《零信任架构》标准草案第2版,表明零信任架构的标准化进程正在加速推进中。
本文从粗粒度的角度,介绍了《零信任架构》标准草案第2版与第1版之间最主要的差别。总体而言,结构几乎一致,变化不是太大。
但从细粒度的角度看,仍有很多细节性变化,甚至对一些定义进行了修改。奇安信身份安全团队将很快公布非常细致的对比结果。
一、新版草案发布背景
2020年2月12日NIST(美国国家标准与技术研究院)发布《零信任架构》标准草案第2版(《NIST.SP.800-207-draft2 Zero Trust Architecture》,注:2月13日NIST更新了该文件)。此次,公开评论时间是2020年2月13日至2020年3月13日,整整一个月。
该标准第1版草案发布于2019年9月,其公开评论时间是两个月(2019年9月23日至2019年11月22日)。
再往前看,该标准的倡议和指导小组于2019年2月成立。而其动机在于:美国FCIOC(联邦首席信息官委员会)认识到需要制定指南,使美国政府能够采用并过渡到零信任架构。
对于美国而言,零信任的实施依赖于美国当前正在进行的各大工程项目,如NIST网络安全与风险管理框架/FISMA(用于规划)、FICAM(用于身份供给)、CDM(用于ID/设备/应用程序管理)、智能云和数据中心优化计划更新(云迁移是ZTA的主要驱动力)等。正是由于零信任架构与这些工程项目的密切关系,《零信任架构》标准草案的第一作者Scott Rose说到:“We"ve been moving to ZTA for years! (without knowing it) ”。(我们已经在向零信任架构迁移的进程中很多年了!只是没觉得而已。)
《零信任架构》标准草案第1版的全文翻译可参见《NIST标准<零信任架构>草案全文译文》。草案第1版译文2万多字,草案第2版由于新增小节和增补内容,篇幅更大(近60页)。考虑到草案第2版的公开评论周期只有一个月,后续的版本更新速度可能会更快,所以我们不打算再对草案更新版本进行全文翻译,而是对每个后续版本的变化进行对比说明。
我们相信,随着公开评论时间的缩短,零信任架构的标准化进程正在加速,奇安信团队也将持续跟踪这一进程。
二、对比总结与评述
1)粗粒度对比总结
本文从粗粒度的角度,对标准草案第2版与第1版进行了对比。总体而言,结构几乎一致,变化不是太大。
从细粒度的角度看,草案第二版中有很多细节性变化,甚至对一些基本定义进行了修改。但根据NIST官网所述,主要是根据公众评论对草案进行的针对性修改。比如将“传统/遗留模式(legacy mode)”表述为更加准确的“基于边界模式(perimeter-based mode)”等。
再比如,在1.1节关于零信任工作的历史中,比第一版增加了一段与零信任相关的更早渊源:“自‘零信任’一词出现之前,零信任的概念就一直存在于网络安全中。国防信息系统局(DISA)和国防部公布了他们在一个更安全的企业战略上的工作,称为‘黑核’(black core)。黑核涉及从基于边界的安全模型转移到关注单个事务的安全的模型。”这一说法再次将零信任与美国国防部(DoD)联系起来。所以,了解美国国防部对零信任的看法是非常有益的,参见《美国国防创新委员会<零信任架构(ZTA)建议>解读》,其第一条建议就是:国防部应将零信任实施列为最高优先事项。
2)零信任=零隐性信任
再次强调一下“零信任”一词的含义:“零信任”肯定不是“不信任”,勉强可解释为“默认不信任”,更接近的说法是“从零开始建立信任”。简言之,“零信任”中的“零”是“尽可能小”的相对概念,而非“无或没有”这样的绝对概念。
而NIST的标准草案,为零信任提供了新的解释,即零信任=零隐性信任。理解“隐性信任”的概念,需要借助标准草案中的访问模型:
零信任访问
由于PDP/PEP只能应用一组公共的控制,使得检查点之后(也就是图中PDP/PEP的右侧)的所有通信流量都具有共同的信任级别。PDP/PEP无法在其之后(即右侧)的流量中应用更细致的策略。为了使PDP/PEP尽可能细致,隐含信任区必须尽可能小。
而零信任架构的目标就是让PDP/PEP更接近资源(从而缩小隐性信任区),其基本思想是对网络中从参与者(或应用程序)到数据的每个工作流进行身份验证和授权。
3)实践零信任从识别工作流开始
由于零信任架构缩小隐性信任区的基本思想是对网络中从主体到客体的每个工作流进行认证和授权,那么识别工作流(workflow)就成为重中之重的任务。
实施ZTA路线图的第一步就是识别候选工作流,包括涉及到的资产和用户帐户,围绕该工作流开发访问策略;然后在部署和监控的过程中,逐步对访问策略进行调优。
之所以称为“候选工作流”,是因为可以渐进式、选择性地应用零信任。企业向ZTA方法的迁移,可以一次只迁移一个业务流程。因此,只需要准确识别与该业务相关的工作流即可。
这样也就容易理解,为何零信任架构的基础是识别资源(资产)、用户(帐户)、工作流。换个角度,也就是主体、客体和两者之间的访问关系。
三、新版草案目录
《零信任架构》标准草案第2版的目录如下:
摘要
1 简介
1.1 与联邦机构有关的零信任工作的历史【原名:背景】
1.2 本文档的结构
2 零信任基础【原名:零信任网络架构】
2.1 零信任原则
2.2 网络的零信任视图
2.2.1 针对企业自有网络基础设施的假设
2.2.2 针对非企业自有网络基础设施的假设
3 零信任架构的逻辑组件
3.1 零信任架构方法的变体【新增】
3.1.1 使用增强身份治理的ZTA
3.1.2 使用微分段的ZTA
3.1.3 使用网络基础设施和软件定义边界的ZTA
3.2 抽象架构的部署变体
3.2.1 基于设备代理/网关的部署
3.2.2 基于飞地的部署【原名:基于微边界的部署】
3.2.3 基于资源门户的部署
3.2.4 设备应用程序沙箱
3.3 信任算法
3.3.1 信任算法的变体
3.4 网络/环境组件
3.4.1 支持ZTA的网络需求
4 部署场景/用例
4.1 拥有分支设施的企业
4.2 多云企业
4.3 提供外包服务和/或非员工访问的企业
4.4 跨企业边界的协作
4.5 提供面向公众或客户服务的企业【新增】
5 与零信任架构相关的威胁
5.1 ZTA决策过程的受损
5.2 拒绝服务或网络中断
5.3 被盗凭证/内部威胁【原名:内部威胁】
5.4 网络可见性
5.5 网络信息的存储
5.6 对专有数据格式的依赖
5.7 在ZTA管理中非个人实体(NPE)的使用
6 零信任架构与现有联邦指南的可能交互
6.1 ZTA和NIST风险管理框架
6.2 ZT和NIST隐私框架
6.3 ZTA和联邦身份、凭证和访问管理(FICAM)架构
6.4 ZTA和可信Internet连接(TIC)3.0
6.5 ZTA和爱因斯坦(NCPS-国家网络安全保护系统)
6.6 ZTA和DHS持续诊断和缓解(CDM)计划
6.7 ZTA、云智能和联邦数据战略
7 迁移到零信任架构
7.1 纯零信任架构
7.2 混合ZTA和基于边界架构
7.3 将ZTA引入基于边界架构网络的步骤
7.3.1 识别企业中的参与者
7.3.2 识别企业拥有的资产
7.3.3 识别关键流程并评估与执行流程相关的风险
7.3.4 为ZTA候选制定策略
7.3.5 识别候选解决方案
7.3.6 初始部署和监控
7.3.7 扩展ZTA
参考文献
附录A-缩略语
附录B-已识别的ZTA当前技术水平的差距
B.1 技术调查
B.2 阻碍立即转移至ZTA的差距
B.2.1 缺乏ZTA设计、规划和采购的通用术语
B.2.2 以为ZTA与现有联邦网络安全政策相冲突
B.3 影响ZTA的系统性差距
B.3.3 组件间接口的标准化
B.3.4 解决过度依赖专有API的新兴标准
B.4 ZTA的知识差距和未来研究领域
B.4.5 攻击者对ZTA的回应
B.4.6 ZTA环境中的用户体验
B.4.7 ZTA应对企业和网络中断的弹性
B.5 ZTA测试环境
B.6 参考
说明:草案两个版本的目录的所有变化,已通过符号【】进行了标注。经过对比发现,草案两个版本的目录结构几乎完全一致。除了新增的小节外,还有几个小节的名称也发生变化,但并未影响该小节的主要内容(只是改名而已)。
四、新版草案的新增内容译文
通过两版草案的粗粒度对比,我们发现两个版本的最主要差别在于:第2版草案在第1版草案的基础上,增加了3.1节(零信任架构方法的变体)和4.5节(提供面向公众或客户服务的企业)。我们将这两节的全文翻译如下:
3.1 零信任架构方法的变体
企业可以使用多种方法为工作流实施ZTA。这些方法因使用的组件和策略规则的主要来源而异。每种方法都实现了ZT的所有原则(见原文第2.1节),但可能使用其中一个或两个(或一个组件)作为策略的主要驱动因素。这些方法包括增强的身份治理驱动、通过下一代防火墙(NGFW)实现的逻辑微分段、基于网络的分段。
这些方法中,某些方法比其他方法更适合于某些场景/用例。希望为企业开发ZTA的组织可能会发现,其选择的用例和现有策略指向一种方法而非其他方法。这并不意味着其他方法不起作用,而是意味着其他方法可能更难实施,并且可能需要对企业当前组织业务流的方式进行更多改变。
3.1.1 使用增强身份治理的ZTA
开发ZTA的增强身份治理方法,使用行动者身份作为策略创建的关键组件。如果不是针对请求访问企业资源的主体,则无需创建访问策略。对于这种方法,企业资源访问策略基于身份和分配的属性。资源访问的主要要求,基于授予给定主体的访问权限。其他因素,如使用的设备、资产状态和环境因素,可以改变最终置信水平/可信度的计算(和最终访问授权),或者以某种方式调整结果,例如基于网络位置仅授予对给定数据资源的部分访问。保护资源的单个资源或PEP组件,必须具有将请求转发到策略引擎服务或认证主体,并在授予访问权限之前批准请求的方法。
基于增强身份治理的企业方法,通常使用开放网络模型,或具有来访者访问权限的企业网络,或网络上频繁出现的非企业设备(如原文第4.3节中的用例)。网络访问最初被授予所有那些想要访问资源的资产,这些资产仅限于具有适当访问权限的身份。身份驱动的方法与资源门户模型良好配合,因为设备身份和状态为访问决策提供辅助支持数据。其他模式也可以工作,这取决于现有的政策。
3.1.2 使用微分段的ZTA
通过将单个资源或资源组放置在由网关安全组件保护的自身网段上,企业可以实现ZTA。在这种方法中,企业放置NGFW或网关设备作为PEP,来保护每个资源或资源组。这些网关设备动态地授予对来自客户端资产的单个请求的访问权。根据模型的不同,网关可以是唯一的PEP组件,也可以是由网关和客户端代理组成的多部件PEP的一部分(见原文第3.2.1节)。
此方法适用于各种用例和部署模型,因为保护设备充当PEP,而对这些设备的管理充当PE/PA组件。这种方法需要一个身份治理程序/计划来完全发挥作用,但依赖于网关组件充当PEP,这些PEP用于保护资源免受未经授权的访问和/或发现。
这种方法的关键要点在于,PEP组件是受管理的,并且应该能够根据需要作出反应和重新配置,以响应威胁或工作流中的变更。
虽然使用不太先进的网关设备甚至无状态防火墙,也可以实现微分段企业的某些特性,但管理成本和难以快速适应变化将使之成为一个非常糟糕的选择。
3.1.3 使用网络基础设施和软件定义边界的ZTA
第三种方法使用网络基础设施来实现ZTA。ZT的实现可以通过使用overlay网络(即第7层网络,但也可以创建在ISO网络栈的较低层)来实现。这些方法有时被称为软件定义边界(SDP)方法,通常包括来自SDN和IBN(基于意图网络)的概念。在这种方法中,PA(策略管理器)充当网络控制器,并根据PE(策略引擎)做出的决策创建和重新配置网络。客户端继续经由PEP请求访问,PEP由PA组件管理。
当该方法在应用层(即第7层)实现时,最常见的部署模型是代理/网关(见原文第3.2.1节)。在此实现中,代理和资源网关(充当单个PEP并由PA配置)建立了用于客户端和资源之间通信的安全通道。
4.5 提供面向公众或客户服务的企业
许多企业的一个共同特点是面向公众的服务,可能包括也可能不包括用户注册(即,用户必须创建或已获得一组登录凭据)。这类服务可以面向公众、存在业务关系的客户群,或者特殊的非企业用户群(如员工家属)。在所有情况下,请求的资产很可能不是企业所有,企业在可以执行哪些内部网络安全策略方面受到了限制。
对于不需要登录凭据就能访问的一般面向公共的资源(例如公共网页),ZTA原则并不直接适用。因为企业无法严格控制资产请求过程的状态,公共资源也无需凭据就能访问。
企业可以为注册的公共用户(如客户(即与企业有业务关系的用户)和特殊用户(如员工家属)制定策略。如果要求用户创建凭据或获得颁发的凭据,企业可以制定有关密码长度、生命周期和其他详细信息的策略,并可以提供MFA作为选项或要求。然而,企业在为这类用户实施策略方面受到限制。有关传入请求的信息,可能有助于确定公共服务的状态,并检测伪装为合法用户的可能攻击。例如,已注册用户门户由注册客户使用一组通用web浏览器中的一个访问。来自未知浏览器类型或已知过时版本的访问请求突然增加,可能暗示某种自动化攻击,于是企业可以采取措施,限制来自这些已被标识的客户端的请求。企业还应了解有关可收集和可记录请求用户和资产的哪些信息的任何法规或条例。
【需要获得NIST SP800-207《零信任架构(草案)》(第2版草案+第1版草案)英文原文的朋友,请关注本公众号(奇安信战略咨询规划)并在后台留言"ZTA-NIST"】
声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
