如今,网络复杂化、业务多样化、数据流动越来越频繁且复杂。零信任在这样的背景下诞生,还成为安全行业的热门。我们通过上一期的《零信任从入门到精通(壹)》了解到,零信任是以身份为基石的动态访问控制,通过持续信任评估保证业务安全访问,为实现它可以运用多种技术手段。那么,零信任可以有哪些技术支撑落地呢?它们又是怎么在零信任架构下协调运行的呢?

接下来,奇安信身份安全实验室为您带来《零信任从入门到精通》第二期,一问一答看看零信任技术的那一面。

Q1: 零信任其中一个核心能力是以身份为基石,系统是如何获取或者判断“身份”的呢?

“身份”是指访问资源的主体的身份。身份数据可以来自企业的4A/PKI系统、终端资产库等。零信任安全解决方案可以与企业原有的4A、IAM等进行联动,也可以通过智能身份管理平台提供身份管理、认证、权限管理。

对身份的判断,应通过可信代理拦截后对用户、设备进行认证,从而识别访问主体的身份。

Q2:零信任安全解决方案如何标识设备?需要使用额外的硬件吗?

零信任安全解决方案可通过可信终端环境感知进行设备标识。传统用于标识设备的MID机制是利用主板的唯一标识结合其他的环境唯一标识混合计算而来,很容易被破解和仿冒。然而,可信终端环境感知的唯一标识采用多个关键设备部件标识法,将主板、硬盘、网卡等多个硬件的唯一串号进行混合运算。该标识不容易被破解和仿冒,如果想通过更换硬盘、网卡等方式绕过,环境感知系统会立刻发现异常。所以,设备标识不但可以唯一标识设备,也具备设备仿冒的安全能力。

Q3:很多员工使用私人设备办公,如何管理这些设备?如何获取私人设备安全信息呢?

无论是企业自身拥有的设备还是BYOD设备,都可以通过可信终端环境感知来采集设备本身的信息,包括设备指纹等。这些信息都可以作为设备的标识,在上一问题的回答中也说明了该标识具备安全防护能力。而对于无法通过可信终端环境感知标识的BYOD设备,可以将其标识为“不可控设备”,根据安全策略降低其可以访问的资源权限范围。

Q4:零信任架构下,如何保证身份认证代理的安全性?

零信任架构下,由可信代理实现身份认证代理。可信代理与传统的身份认证代理存在较大差异。可信代理是零信任数据平面的核心组件,实现业务隐藏的核心价值,提供业务隐藏、全流量代理、强制策略执行、业务基础防护等能力。而传统的身份认证代理只是简单接管认证请求。

可信代理要实现暴露面收缩,其自身安全性很重要。在零信任安全解决方案中,通过端口隐藏、自身系统加固、内置安全防护引擎、数据平面和控制平面分离、基于TPM的进程白名单等技术可确保可信代理自身安全。

Q5:如果可信代理被攻破,如何保证零信任架构的安全性?

零信任作为一个体系架构,其安全性不仅仅依靠可信代理。其安全性是从整体架构上考虑的,这也是零信任与VPN在远程访问场景应用中的重大安全差异之一。零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系。对默认不可信的所有访问请求进行加密、认证和强制授权,收缩暴露面,所有的业务都要隐藏在可信代理后面。

就可信代理的安全性而言,包含几个层面的安全防护:

  • 可信代理前有FW、IPS等安全设备进行网络层防护;
  • 可信代理采用端口隐藏技术,隐藏可信代理地址和端口,只有可信的用户和设备才能访问可信代理;
  • 可信代理采用TPM可信进程白名单技术,内置系统加固引擎等手段增强自身安全;
  • 即使可信代理被攻破,由于零信任架构数据平面和控制平面是分离的,也可根据策略让可信代理设备停止工作或发出警告。

Q6:零信任架构如何实现信任评估?

NIST《零信任架构》标准建议将信任评估方法分为两类:基于标准和基于评分。无论是哪一类,其规则/模型的输入可以包括访问请求上下文、用户信息、设备信息、权限信息、威胁情报信息等。

信任评估可以分成规则引擎和推理引擎去实现。规则引擎充分利用这些输入信息形成规则并评估,企业用户可以根据使用场景进行组合和自定义,同时,也存在一些内置规则。另一方面,推理引擎根据各类信任模型,采用机器学习技术进行评估计算。

Q7:零信任架构下,信任规则是预先指定的吗?

零信任架构中,规则分为两大类,访问规则与信任规则。规则本身是需要预先制定或预置,但规则的执行是根据实时信息动态计算的。信任评估除了包含信任规则,还包含信任模型。信任模型是基于机器学习和大数据分析实现的。企业用户在定制规则时,需结合实际的场景及企业管理制度。

Q8:零信任架构如何实现动态访问控制?

零信任架构中,在控制平面通过ABAC+RBAC的授权引擎和信任评估引擎,对当前访问请求的主体进行实时的策略判定。当发现风险或异常时,进行终止访问权限、告警或二次认证等处置。

Q9:零信任架构如何实现终端感知和网络感知?

零信任架构中的信任分析依赖于多源数据的输入,而终端风险和网络风险又是两个非常重要的数据源。零信任通过在终端安装agent的方式进行终端风险感知探针,传给后台做风险分析。网络风险感知是采集网络流量后,后台做网络风险分析,最终汇总到智能身份分析系统对访问主体进行信任评定。

Q10:如何确保终端环境不被劫持?

终端环境劫持是一个攻防问题,永远是此消彼长的,在此简单列举可采用的技术手段供参考:

  • 通过证书和自校验机制来保证终端感知的主程序文件不被篡改,一旦主程序文件被篡改,会自动进行恢复;
  • 通过自保护机制保证终端感知的进程不被恶意关闭或篡改;
  • 通过白盒加密,保证验证密钥不被逆向和修改,保证内存不被恶意DUMP;
  • 通过通讯加密机制保证跟服务端的通讯不被劫持。

上述问答以零信任的四大关键能力“以身份为基石,业务安全访问,持续信任评估,动态访问控制,”的逻辑,解释了零信任架构背后的技术相关问题。需要铭记的是,零信任架构不是一种单一的技术手段,它是一种网络安全架构、理念。

本期《零信任从入门到精通》关注零信任背后的技术问题,下一期我们将聚焦零信任落地实施,敬请期待。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。