当前世界经济新旧动能转换加速,科技竞争日益激烈,银行业正全力打造科技创新引领能力,全面推动数字化转型,随着移动计算、云计算、物联网等具备开放共享敏捷特性的新兴技术的广泛应用,银行的物理边界日趋瓦解,传统边界防御措施面临失效挑战。同时为获取最大非法利益的高级持续性攻击(APT)已成为当前网络战的重要形式,我国是APT组织攻击的主要受害国,作为国家关键信息基础设施的金融业更是重中之重,伴随数字化转型而来的安全风险不断攀升,因此迫切需要改进原有防御理念和架构,构建敏捷高效的网络安全体系,支持业务持续安全快速发展,夯实金融企业在新环境下健康发展的安全基石。零信任就是新时代背景下的一种新型的企业网络安全架构。
2010年为解决传统“基于网络边界建立信任”理念固有问题的零信任架构应运而生,该架构对传统架构进行了范式上的颠覆。首创者JohnKindervag指出,“可信”的内部网络充满威胁,“信任是安全的致命弱点”,提倡从网络中心走向身份中心,在“零信任”网络(不可信网络)中,通过实现对人、设备、系统、应用的自适应访问控制构建安全系统。随着2017年谷歌公司在其新一代企业网络安全架构(BeyondCorp)项目中运用的巨大成功,零信任越来越受到业界的关注和认可。微软、亚马逊等众多厂商在内部推动零信任的实践应用,NIST推出了《零信任架构》标准草案,美国国防创新委员会发布的《零信任架构建议》白皮书中更是直接建议美国国防部将零信任实施列为最高优先事项。零信任在国内也引起了相关部门的高度重视,工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术;中国信息通信研究院发布的《中国网络安全产业白皮书(2019年)》中,首次将零信任安全技术和5G、云安全等并列为我国网络安全重点细分领域技术。
中国银行信息科技运营中心于2018年启动零信任技术研究,根据深入技术分析和特定场景测试,我们认为可将其作为数字化转型过程中应对安全挑战的主流架构之一。引入零信任理念,能够在三个方向上为金融行业数字化转型提供强有力的支撑。
中国银行信息科技运营中心(上海)副总经理 林蓉
保障金融科技发展,强化模糊边界防御能力
随着金融行业数字化转型的深入,IT基础架构大量引入云计算、移动计算等新兴技术,内外网络物理边界日趋模糊。传统防护思维中,默认内网比外网安全,通过边界部署防火墙等设备,以达到安全保障的目标。在新技术冲击下,防御面急剧膨胀,内外部网络边界交错,边界防护节点难以有效定位。同时,攻击者的技术手段也在日益提升,特别典型的是APT组织,他们通常不会正面进攻,而是以钓鱼邮件,或者从防御薄弱的分支机构迂回等多种方式,绕过边界防护进入企业内部。在内网可信的思维指导下,内网安全防御能力普遍不足,一旦边界被突破,攻击者往往能在整个企业内部自由移动,最终达到攻击目的。
零信任架构的核心思想是“从来不信任,始终在校验”。它默认不信任内外部任何人和行为,遵循“先认证用户和设备,后访问业务”的原则,以身份为中心进行访问控制。零信任的安全监控不仅限于准入的过程,在访问过程中也会持续进行监控,及时发现终端是否被入侵控制,用户是否存在异常威胁行为,并实施动态访问控制。这种将安全技术与应用、业务特性相结合,安全技术与安全运营相结合的理念,使得安全体系具备足够的安全弹性和自适应能力,有利于应对APT等主流攻击。
边界防护是在可信资源和不可信资源之间建一堵墙,依靠这堵墙来保护墙内的资产。而零信任则是接受“坏人”无处不在的现实,它要让所有资产都拥有自保的能力,互相之间不信任,这样既可以保护内部资产免受外部攻击,还能防护资产互相之间的攻击。区别于传统边界防护的特性,使得零信任天然适合在内外互联的新技术环境中发挥高效安全控制能力。金融企业数字化变革引发的IT基础架构转型,及早引入零信任技术,在IT架构的研发、设计、运营阶段强化零信任思维,同步规划、同步建设、同步运营,无疑能够帮助我们在科技竞争中抢占先机。
支撑科技赋能落地,推动“坐商”向“行商”转变
银行在科技赋能的过程中提出“通过提升网点管理、产品服务和业务营销的数字化和智能化水平,推动网点从“坐商”向“行商”转变。从“坐商”向“行商”转变,需要让我们的员工无论是在公司内网、家庭网络、酒店还是咖啡馆的公共网络,能够在确保安全的前提下,随时随地办理业务,随时随地为客户提供服务。
不同于传统的VPN连接进入企业内网,基于零信任技术可以基于设备状态、用户身份,以及行为模式进行动态管理,实现对不同企业资源细粒度的访问控制,解决VPN账号鉴权技术落后、缺乏环境识别、无法发现横向移动等安全缺陷以及令人头疼的网络设备集中式安全策略管理带来的开销等问题。零信任技术无论是在用户体验上还是在其安全性上,比传统VPN更具优势。
深化安全防护能力,完善业务连续性方案
庚子年初,突如其来的新冠病毒肺炎疫情成为全球各国共同面临的重大挑战。金融行业肩负疫情期间护航国民经济运行的使命,国内金融机构纷纷借助科技手段有效支持保障金融服务。我们意识到,以往业务连续性管理侧重于数据中心场所级、城市级灾难场景,而对由于疫情导致的全国、全球性交通、人力等问题带来的机构、网点服务的连续性能力不足的场景应对考虑不够充分。应以此为契机,建立和完善协同联动、敏捷高效、安全可靠的应急预案和业务连续性管理方案。
疫情期间,全球性银行许多境内外机构无法在办公场所正常工作,转入居家模式。与场所级灾备场景不同,大量人员可以从企业安全边界外访问内部资源,在提供极大便利的同时,安全边界进一步被打破,攻击暴露面进一步增加,终端设备难以管控,用户行为难以预知。传统的基于边界的VPN等技术面临挑战。
零信任基于“从来不信任”核心思想设计的安全架构,恰巧是解决突发应急情况下,利用现有环境和设备,快速进行应急保障与业务恢复的最佳技术选择。
基于上述三个方向,结合国内外技术标准和典型应用案例以及自身网络安全防御实践,我们形成了两个基本认识。
一是规划建设零信任网络安全架构,不是要将原有安全架构推倒重来。零信任不能一蹴而就,现有边界防御、纵深防御与零信任相结合,可以发挥更好的效果。在研究中我们发现,通过与边界防御联动,可以将零信任技术从应用层下移到网络层,使其能够在更大范围发挥作用。
二是传统金融企业可以在缩小边界防御单元、细化应用场景等基础上,引入零信任技术,从而快速提升网络安全防御能力。以前边界防御主要是指企业内外部边界,以及大的功能区边界。现在通过引入零信任技术,我们可以根据安全等级,在更小规模的单元边界实现持续主动的防御。
2018年以来,我们在对基于身份与访问管理、终端设备风险评估、基于属性的访问控制模型、基于机器学习的身份分析等技术研究测试基础上,以3个特定场景为突破,持续开展零信任技术实践。
1.强化开发测试互联网出口安全管控,实现点对点持续安全监测和防护。随着手机银行等移动应用迅猛发展,越来越多移动应用列入测试清单,为保证安全管控,开发测试互联网出口通常采用按需按时开放IP地址访问控制的方法,一方面数以万计、频繁变更的防火墙控制策略管理开销巨大;另一方面存在部分测试用户IP地址动态变化,无法实现点到点访问控制情况,同时前端测试设备安全性难以管控,极易感染病毒、木马,甚至被攻击者控制,加之开发测试阶段应用系统健壮性、安全性原本低于生产系统,导致开发测试环境容易成为攻击入侵的突破口。
针对上述问题,我们设计通过零信任安全架构,以持续认证替代一次性强认证,以基于风险和信任持续度量的动态授权替代静态授权,同时与防火墙等网络设备自动联动,有效提升开发测试互联网出口访问控制强度,实现点对点持续监控和动态防护。所有开发测试用户和设备都要经过认证、授权以及安全检测后,才可以点对点的开放测试应用的访问。同时持续监控用户行为、设备安全状态、工作环境变化,以确保访问过程的安全性。此外对进入的数据流量进行检测,及时发现并阻断攻击者入侵后的横向移动。
2.精细化内网跨区高危端口访问控制,兼顾业务需求和入侵防御。禁止高风险网络端口的访问和使用是防止网络入侵的重要控制手段。但在实际生产中,我们时常会遇到因为业务或者运维需要,必须开放高危端口访问的特例。随着特例的增多,内网高位端口的控制措施面临失效的风险。
就此场景,我们设计缩小边界防御单元,针对不同的服务或网络功能区进行零信任防护。精细化权限和端口控制,默认隐藏后台服务资源,进行多因子用户认证和设备认证后动态开放后台资源,确保只有合法的用户、合法的终端能够访问权限范围内的服务。在终端侧持续感知终端环境风险,根据信任评估情况动态调整网络访问控制权限。此外,通过联动SIEM平台,结合机器学习等技术建立智能动态访问控制模型,识别可疑用户并自动处置,提供业务和数据安全防护能力。
3.升级安全管控,支撑业务连续性和敏捷服务。综合疫情期间总行部门和驻外机构远程办公,以及总部机构业务连续性的需求,我们提出了零信任加持的远程方案。在原来VPN和云桌面的技术架构基础上,引入零信任技术,增强远程办公在工作环境安全、人员安全、终端设备安全、数据传输安全、边界入口安全、云桌面虚拟环境内部安全,以及应用访问安全的监测和防护能力,通过身份为基石,用动态的信任关系取代了原有远程办公静态的信任关系。在为业务部门提供便利、敏捷服务的同时,能够更好地强化安全防护能力。
在当前新技术不断涌现、企业边界迅速瓦解的大背景下,企业安全架构也面临着新的挑战。零信任针对传统架构思想进行了重新评估和审视,并给出了新的防护思路。我们认为,零信任的创新价值不仅仅在于具体的技术本身,而是在于它的架构理念和安全逻辑。随着大数据、人工智能等新技术的演进,零信任技术本身也在不断演进。我们对零信任安全研究仍处于探索阶段,希望与同业携手,持续推动企业网络安全架构的变革,在零信任的世界中动态地建立起真正的信任,为银行数字化转型提供敏捷高效的安全支撑。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
