云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全架构难以应对,零信任安全架构应运而生。

零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。

本文首先对零信任安全的背景、定义及发展历史进行介绍,然后提出一种通用的零信任参考架构,并以奇安信零信任安全解决方案为例,对零信任参考架构的应用方案进行解读。

1、零信任介绍

企业的网络基础设施日益复杂,安全边界逐渐模糊。数字化转型的时代浪潮推动着信息技术的快速演进,云计算、大数据、物联网、移动互联等新兴IT技术为各行各业带来了新的生产力,但同时也给企业网络基础设施带来了极大的复杂性。企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。

网络安全形势不容乐观,外部攻击和内部威胁愈演愈烈。有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击仍然能轻易找到各种漏洞突破企业的边界;内部业务的非授权访问、雇员犯错、有意的数据窃取等内部威胁愈演愈烈。

安全事件层出不穷,传统安全架构失效背后的根源是什么呢?答案是信任。传统的基于边界的网络安全架构某种程度上假设、或默认了内网的人和设备是值得信任的,认为网络安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护就足够了。

事实证明:正确的思维应该是假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠。“四个假设”彻底推翻了传统网络安全通过隔离、修边界的技术方法,彻底推翻了边界安全架构下对“信任”的假设和滥用,基于边界的网络安全架构和解决方案已经难以应对如今的网络威胁。

需要全新的网络安全架构应对现代复杂的企业网络基础设施,应对日益严峻的网络威胁形势,零信任架构正是在这种背景下应运而生,是安全思维和安全架构进化的必然。

1.1. 零信任定义

零信任架构一直在快速发展和成熟,不同版本的定义基于不同的维度进行描述。在《零信任网络》一书中,埃文.吉尔曼(Evan Gilman)和道格.巴斯(Doug Barth)将零信任的定义建立在如下五个基本假定之上:

  • 网络无时无刻不处于危险的环境中。

  • 网络中自始至终存在外部或内部威胁。

  • 网络的位置不足以决定网络的可信程度。

  • 所有的设备、用户和网络流量都应当经过认证和授权。

  • 安全策略必须是动态的,并基于尽可能多的数据源计算而来。

简而言之:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,其本质是以身份为基石的动态可信访问控制。

NIST在最近发表的《零信任架构》(草案)中指出,零信任架构是一种网络/数据安全的端到端方法,关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施,认为零信任是一种关注数据保护的架构方法,认为传统安全方案只关注边界防护,对授权用户开放了过多的访问权限。零信任的首要目标就是基于身份进行细粒度的访问控制,以便应对越来越严峻的越权横向移动风险。

基于如上观点,NIST对零信任及零信任架构定义如下:

零信任(ZT)提供了一系列概念和思想,旨在面对失陷网络时,减少在信息系统和服务中执行准确的、按请求访问决策时的不确定性。零信任架构(ZTA)是一种企业网络安全规划,它利用零信任概念,并囊括其组件关系、工作流规划与访问策略。

1.2. 零信任历史

从零信任的发展历史进行分析,也不难发现零信任的各种不同维度的观点也在持续发展、融合,并最终表现出较强的一致性。

零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年,零信任这个术语正式出现,并指出所有的网络流量都是不可信的,需要对访问任何资源的任何请求进行安全控制,零信任提出之初,其解决方案专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。

随着零信任的持续演进,以身份为基石的架构体系逐渐得到业界主流的认可,这种架构体系的转变与移动计算、云计算的大幅采用密不可分。2014年开始,Google基于其内部项目BeyondCorp的研究成果,陆续发表了多篇论文,阐述了在Google内部如何为其员工构建零信任架构。BeyondCorp的出发点在于仅仅针对企业边界构建安全控制已经不够了,需要把访问控制从边界迁移到每个用户和设备。通过构建零信任,Google成功地摒弃了对传统VPN的采用,通过全新架构体系确保所有来自不安全网络的用户能安全地访问企业业务。

通过业界对零信任理论和实践的不断完善,零信任已经超越了最初的网络层微分段的范畴,演变为以身份为基石的,能覆盖云环境、大数据中心、微服务等众多场景的新一代安全解决方案。

综合分析各种零信任的定义和框架,不难看出零信任架构的本质是以身份为基石的动态可信访问控制,聚焦身份、信任、业务访问和动态访问控制等维度的安全能力,基于业务场景的人、流程、环境、访问上下文等多维的因素,对信任进行持续评估,并通过信任等级对权限进行动态调整,形成具备较强风险应对能力的动态自适应的安全闭环体系。

2、零信任参考架构

零信任安全的关键能力可以概括为:以身份为基石、业务安全访问、持续信任评估和动态访问控制,这些关键能力映射到一组相互交互的核心架构组件,对各业务场景具备较高的适应性。

2.1. 关键能力模型

零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系,通过以身份为基石、业务安全访问、持续信任评估和动态访问控制的关键能力,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系。(如图1所示)

图1 零信任架构的关键能力模型

(来源:奇安信集团, 2019)

零信任架构下,访问客体是核心保护的资源,针对被保护资源构建保护面,资源包括但不限于企业的业务应用、服务接口、操作功能和资产数据。访问主体包括人员、设备、应用和系统等身份化之后的数字实体,在一定的访问上下文中,这些实体还可以进行组合绑定,进一步对主体进行明确和限定。

零信任架构的关键能力包括:以身份为基石、业务安全访问、持续信任评估和动态访问控制。

1) 以身份为基石

基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。

在零信任安全架构中,根据一定的访问上下文,访问主体可以是人、设备和应用等实体数字身份的动态组合,在《零信任网络》一书中,将这种组合称为网络代理。网络代理指在网络请求中用于描述请求发起者的信息集合,一般包括用户、应用程序和设备共三类实体信息,用户、应用程序和设备信息是访问请求密不可分的上下文。网络代理具有短时性特征,在进行授权决策时按需临时生成。访问代理的构成要素(用户或设备)信息一般存放在数据库中,在授权时实时查询并进行组合,因此,网络代理代表的是用户和设备各个维度的属性在授权时刻的实时状态。

最小权限原则是任何安全架构必须遵循的关键实践之一,然而零信任架构将最小权限原则又推进了一大步,遵循了动态的最小权限原则。如果用户确实需要更高的访问权限,那么用户可以并且只能在需要的时候获得这些特权。而反观传统的身份与访问控制相关实现方案,一般对人、设备进行单独授权,零信任这种以网络代理作为授权主体的范式,在授权决策时刻按需临时生成主体,具有较强的动态性和风险感知能力,可以极大地缓解凭证窃取、越权访问等安全威胁。

2) 业务安全访问

零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权,业务安全访问相关机制需要尽可能工作在应用协议层。

构建零信任安全架构,需要关注待保护的核心资产,梳理核心资产的各种暴露面,并通过技术手段将暴露面进行隐藏。这样,核心资产的各种访问路径就隐藏在零信任架构组件之后,默认情况对访问主体不可见,只有经过认证、具有权限、信任等级符合安全策略要求的访问请求才予以放行。通过业务隐藏,除了满足最小权限原则,还能很好的缓解针对核心资产的扫描探测、拒绝服务、漏洞利用、非法爬取等安全威胁。

3) 持续信任评估

持续信任评估是零信任架构从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。

在零信任架构中,访问主体是人、设备和应用程序三位一体构成的网络代理,因此在基础的身份信任的基础上,还需要评估主体信任,主体信任是对身份信任在当前访问上下文中的动态调整,和认证强度、风险状态和环境因素等相关,身份信任相对稳定,而主体信任和网络代理一样,具有短时性特征,是一种动态信任,基于主体的信任等级进行动态访问控制也是零信任的本质所在。

信任和风险如影随形,在某些特定场景下,甚至是一体两面。在零信任架构中,除了信任评估,还需要考虑环境风险的影响因素,需要对各类环境风险进行判定和响应。但需要特别注意,并非所有的风险都会影响身份或主体的信任度。

基于行为的异常发现和信任评估能力必不可少,包括主体(所对应的数字身份)个体行为的基线偏差、主体与群体的基线偏差、主体环境的攻击行为、主体环境的风险行为等都需要建立模型进行量化评估,是影响信任的关键要素。当然,行为分析需要结合身份态势进行综合度量,以减少误判,降低对使用者操作体验的负面影响。

4) 动态访问控制

动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。

任何访问控制体系的建立离不开访问控制模型,需要基于一定的访问控制模型制定权限基线。零信任强调灰度哲学,从实践经验来看,也大可不必去纠结RBAC好还是ABAC好,而是考虑如何兼顾融合,建议基于RBAC模型实现粗粒度授权,建立权限基线满足企业基本的最小权限原则,并基于主体、客体和环境属性实现角色的动态映射和过滤机制,充分发挥ABAC的动态性和灵活性。权限基线决定了一个访问主体允许访问的权限的全集,而在不同的访问时刻,主体被赋予的访问权限和访问上下文、信任等级、风险状态息息相关。

需要注意,并非所有的风险都对信任有影响,特别是环境风险,但风险一旦发生,就需要对应的处置策略,常见手段是撤销访问会话。因此,零信任架构的控制平面需要能接收外部风险平台的风险通报,并对当前访问会话进行按需处理,从而实现风险处置的联动,真正将零信任架构体系和企业现存的其他安全体系融合贯穿。

2.2. 基本架构原则

在“关键能力模型”一节中,对“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四项零信任关键能力进行了详细描述,这些安全能力需要在零信任架构中通过架构组件、交互逻辑等进行支撑,在将安全能力进行架构映射的过程中,需要遵循一些基本架构原则,才能确保最终实现的零信任架构能切实满足新型IT环境下的安全需求。这些基本架构原则包括:

  • 全面身份化原则

对所有的访问主体需要进行身份化,包括人员、设备等,仅仅对人员进行身份管理是远远不够的;另外,访问控制的主体是网络代理,而不是孤立的人员或设备。

  • 应用级控制原则

业务访问需要尽可能工作在应用层而不是网络层,通常采用应用代理实现;应用代理需要做到全流量代理和加密,切忌不可只对应用的认证请求进行代理。

  • 安全可闭环原则

信任等级基于访问主体的属性、行为和访问上下文进行评估,并且基于信任等级对访问权限进行动态的、近实时的、自动的调整,形成自动安全闭环。

  • 业务强聚合原则

零信任架构具有内生安全属性,需要结合实际的业务场景和安全现状进行零信任架构的设计,建议将零信任安全和业务同步进行规划。零信任架构需要具备较强的适应性,能根据实际场景需求进行裁剪或扩展。

  • 多场景覆盖原则

现代IT环境具有多样的业务访问场景,包括用户访问业务、服务API调用、数据中心服务互访等场景,接入终端包括移动终端、PC终端、物联终端等,业务部署位置也多种多样。零信任架构需要考虑对各类场景的覆盖并确保具备较强的可扩展性,以便为各业务场景实现统一的安全能力。

  • 组件高联动原则

零信任各架构组件应该具备较高的联动性,各组件相互调用形成一个整体,缓解各类威胁并形成安全闭环。在零信任架构实践中,切忌不可堆砌拼凑产品组件,各产品的可联动性是零信任能力实现效果的重要基础。

2.3. 核心架构组件

基于前述关键能力模型和基本架构原则,零信任架构的核心逻辑架构组件如图2所示:

图2 零信任架构核心逻辑架构组件

(来源:奇安信集团, 2019)

1) 可信代理

可信代理是零信任架构的数据平面组件,是确保业务安全访问的第一道关口,是动态访问控制能力的策略执行点。

可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行认证,对访问主体的权限进行动态判定。只有认证通过、并且具有访问权限的访问请求才予以放行。同时,可信代理需要对所有的访问流量进行加密。全流量加密对可信代理也提出了高性能和高伸缩性的需求,支持水平扩展是零信任可信代理必须具备的核心能力。

2) 动态访问控制引擎

动态访问控制引擎和可信代理联动,对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略判定点。

动态访问控制引擎对所有的访问请求进行权限判定,权限判定不再基于简单的静态规则,而是基于上下文属性、信任等级和安全策略进行动态判定。动态访问控制进行权限判定的依据是身份库、权限库和信任库。其中身份库提供访问主体的身份属性,权限库提供基础的权限基线,信任库则由身份分析引擎通过实时的风险多维关联和信任评估进行持续维护。

3) 信任评估引擎

信任评估引擎是是零信任架构中实现持续信任评估能力的核心组件,和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。

信任评估引擎持续接收可信代理、动态访问控制引擎的日志信息,结合身份库、权限库数据,基于大数据和人工智能技术,对身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,最终生成和维护信任库,为动态访问控制引擎提供决策依据。另外,信任评估引擎也可以接收外部安全分析平台的分析结果,包括:终端可信环境感知、持续威胁检测、态势感知等安全分析平台,这些外部风险源可以很好的补充身份分析所需的场景数据,丰富上下文,从而进行更精准的风险识别和信任评估。

4) 身份安全基础设施

身份基础设施是是实现零信任架构以身份为基石能力的关键支撑组件。

身份基础设施至少包含身份管理和权限管理功能组件,通过身份管理实现各种实体的身份化及身份生命周期管理,通过权限管理,对授权策略进行细粒度的管理和跟踪分析。

零信任架构的身份安全基础设施需要能满足现代IT环境下复杂、高效的管理要求,传统的静态、封闭的身份与权限管理机制已经不能满足新技术环境的要求,无法支撑企业构建零信任安全架构的战略愿景,需要足够敏捷和灵活,需要为更多新的场景和应用进行身份和权限管理。另外,为了提高管理效率,自助服务和工作流引擎等现代身份管理的关键能力也必不可少。

3. 零信任安全解决方案

本节以奇安信零信任安全解决方案为例,对零信任参考架构的具体实践要点进行解读。

奇安信一直保持对零信任的高度关注,奇安信零信任安全解决方案基于零信任参考模型进行设计,充分利用国内外先进技术成果,结合国内典型的业务及安全现状进行完善优化,目前已经过国内大型部委和央企进行大量实践验证并得到广泛认可,具有极强的先进性和可行性。

3.1. 核心产品体系

奇安信零信任安全解决方案主要包括:奇安信TrustAccess动态可信访问控制平台、奇安信TrustID智能可信身份平台、奇安信ID智能手机令牌及各种终端Agent组成,如图3所示。奇安信零信任安全解决方案中,动态可信访问控制平台和智能可信身份平台逻辑上进行解耦,当客户现有身份安全基础设施满足零信任架构要求的情况下,可以不用部署智能可信身份平台,通过利旧降低建设成本。

图3 奇安信零信任安全解决方案

(来源:奇安信集团, 2019)

1) 奇安信TrustAccess动态可信访问控制平台

奇安信TrustAccess提供零信任架构中动态可信访问控制的核心能力,可以为企业快速构建零信任安全架构,实现企业数据的零信任架构迁移。

TrustAccess的核心组件包括:可信应用代理TAP、可信API代理TIP、可信访问控制台TAC、智能身份分析系统IDA、可信终端环境感知系统TESS和可信网络感知系统TNSS。

  • 可信应用代理系统TAP

可信应用代理系统TAP是零信任参考架构中的可信代理在业务访问场景的产品实现。

针对企业应用级访问控制需求,实现了应用的分层安全接入、一站式应用访问、应用单点登录、应用审计等能力。

  • 可信API代理系统TIP

可信API代理系统TIP是零信任参考架构中的可信代理在数据交换场景的产品实现。

针对API服务的安全保护需求,实现了API接口的统一代理、访问认证、数据加密、安全防护、应用审计等能力。

  • 可信访问控制台TAC

可信访问控制台TAC是零信任参考架构中动态访问控制引擎的产品实现。

TAC为TAP/TIP提供自适应认证服务、动态访问控制和集中管理能力,针对企业的各个业务访问场景,实现了自适应认证服务、访问控制策略统一配置管理、WEB应用和API服务集中管理、动态授权、风险汇聚关联、应用审计等功能。

  • 智能身份分析系统IDA

智能身份分析系统IDA是零信任参考架构中信任评估引擎的产品实现。

IDA基于身份及权限信息、TAP/TIP/TAC访问日志、可信环境感知上报的属性和风险评估、其他外部分析平台上报的日志及事件进行综合风险关联判定,利用大数据分析和人工智能技术,构建信任评估模型进行持续信任评估,为TAC提供信任等级作为决策依据。

  • 可信终端环境感知系统TESS

可信终端环境感知系统TESS提供各种场景的终端环境的安全状态和环境感知,为IDA提供实时的终端可信度的判断依据,是IDA的重要数据源。

  • 可信网络环境感知系统TNSS

可信网络环境感知系统TNSS提供网络环境的安全状态和环境感知,为IDA提供实时的网络可信度的判断依据,是IDA的重要数据源。

2) 奇安信TrustID智能可信身份平台

奇安信TrustID智能可信身份平台是零信任参考架构身份安全基础设施的产品实现,是一种现代身份与权限管理系统。

TrustID可为企业提供更高级、更灵活的现代身份与权限管理能力,当TrustAccess自带的基础身份和权限管理能力,或企业现有的身份基础设施无法满足企业的管理需求时,可借助TrustID对身份与权限管理方面的能力进行提升,达到零信任架构对身份安全基础设施的能力要求。除了为TrustAccess服务,TrustID也可为企业的业务系统和其他需要身份、认证、授权的场景提供身份及权限基础服务。

奇安信TrustID也支持对接企业现有的外部身份源系统,包括PKI、4A、AD等,通过将企业现有的身份源进行汇聚和同步,形成完善的身份生命周期管理能力,为TrustAccess提供身份基础设施服务。

3) 奇安信零信任安全解决方案与参考架构的关系

奇安信零信任安全解决方案在零信任参考架构的基础上对产品组件进行了拆分和扩展,但在总体架构上保持了高度一致,将其产品组件映射到零信任参考架构如图4所示:

图4 奇安信零信任安全解决方案与参考架构的关系

(来源:奇安信集团, 2019)

另外,奇安信零信任安全解决方案和奇安信丰富的安全产品和平台之间可以实现联动,比如,和奇安信的移动安全解决方案联动,可以实现强大的移动零信任解决方案;和奇安信的数据安全解决方案联动,可以实现数据访问场景的零信任解决方案;和奇安信云安全管理平台联动,可以实现云及虚拟化场景的零信任解决方案。

3.2. 典型场景方案

下面以一个典型应用场景为例,描述奇安信零信任安全解决方案的逻辑原理。此应用场景数据子网需要保护的资源包括业务应用和API服务,用户/外部平台子网的用户终端需要访问业务应用,外部应用需要通过接口调用API服务,方案逻辑图如图5所示,本图只是逻辑原理图,实际物理部署需要根据具体的网络拓扑、安全分区情况确定。

图5 典型场景方案 (来源:奇安信集团, 2019)

在此方案中,通过在用户子网和数据子网之间部署逻辑的零信任访问控制区构建端到端的零信任解决方案。通过可信应用代理接管所有的用户终端业务访问请求,通过可信API代理接管所有的外部应用API调用请求,所有的访问请求通过可信访问控制台进行身份验证及动态授权。

可信终端感知系统持续对终端进行感知和评估,可信网络感知系统持续对网络流量进行感知和评估,并生成安全事件上报至智能身份分析平台,智能身份分析平台综合访问日志信息、安全事件信息、身份与权限信息进行信息关键和信任评估,为可信访问控制台输出信任等级作为权限判定或撤销的依据。

4、结束语

零信任架构对传统的边界安全架构思想重新进行了评估和审视,并对安全架构思路给出了新的建议:默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用,而是应该基于认证、授权和加密技术重构访问控制的信任基础,并且这种授权和信任不是静态的,它需要基于对访问主体的信任评估进行动态调整。

零信任架构是一种全新的安全理念和架构,认为不应该仅仅在企业网络边界上进行粗粒度的访问控制,而是应该对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制。

关于作者

奇安信身份安全实验室

奇安信集团下属专注“零信任身份安全架构”研究的专业实验室,是业界首部零信任安全技术图书《零信任网络:在不可信网络中构建安全系统》译者。该团队以“零信任安全,新身份边界”为技术思想,推出“以身份为基石、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。该团队结合行业现状,大力投入对零信任安全架构的研究和产品标准化,积极推动“零信任身份安全架构”在业界的落地实践,其方案已经在部委、央企、金融等行业进行广泛落地实施,得到市场、业界的高度认可。

本文精选自Gartner与奇安信联合发布的《零信任架构及解决方案》白皮书(译文),首发于虎符智库。

下载链接:https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/Qi-An-Xin/Qi-An-Xin-1-1OKONUN2.pdf

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。