一、时代发展背景
随着全球数字化转型浪潮的到来以及信息安全威胁环境的持续变化,云计算、大数据、物联网、人工智能等新技术的出现,推动IT架构发生了巨变,正在从有边界向无边界转变。互联网和企业内网之间,企业内网不同网段之间,需要实现业务系统的高效互联互通。网络边界的消失导致基于网络位置的信任体系无法适应数字化转型,IT架构正在逐渐向更灵活、更安全的零信任框架转变。
二、什么是零信任
零信任(Zero Trust)既不是技术也不是产品,而是一种安全理念。
“Always verify, Never trust (持续验证,永不信任)”成为零任的基本原则。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。从零开始建立信任,并以身份为中心实施先认证后连接。
基于零信任原则,可以保障办公环境的三个“安全”:终端安全、链路安全和访问控制安全。
美国国家标准委员会NIST于2019年对外公布的“SIM”,已成为行业公认的实现零信任的三大技术路径,即软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)。
三、零信任三大技术的优势
零信任的三大技术对比以往传统的安全防护技术有着明显的优势:
1 软件定义边界
软件定义边界(Software Defined Perimeter,SDP)是基于零信任理念的新一代网络安全技术架构。
传统的网络安全是基于防火墙的物理边界防御,也就是我们所熟知的“内网”。
随着迁移上云、移动办公、物联网等应用,网络边界越来越模糊,业务应用场景越来越复杂,传统物理边界安全无法满足企业数字化转型的需求。因此,更加灵活、更加安全的软件定义边界SDP技术架构顺势而生。
附图:SDP系统架构
相比VPN,SDP具备以下优点:
1、SDP的“网络隐身”技术,实现了服务隐藏与单包敲门。受保护的服务对未授权的用户及设备完全不可见,在互联网实现“隐藏”。服务隐藏技术可以有效防止端口扫描和TCP协议本身的漏洞攻击等,使黑客“无从下手”。严格的终端单包敲门机制,确保只有认证过的用户及设备才能访问受保护服务。达到了最小化攻击面,极大程度的降低了安全风险。
2、SDP打破了传统的网络物理边界,实现了先认证后访问的机制。SDP客户端先进行多因素认证,然后进入用户登录阶段。全部通过后,客户端才能够与服务建立连接。
3、SDP的“按需授权”安全模型,可以最小化被攻击后的安全风险。根据身份的登陆习惯变化(如时间、地理位置、网络等),并结合终端运行环境检测评级技术,动态调整用户登录策略,始终控制用户的最小访问权限。
4、SDP通过分离访问控制和数据信道,保护关键资产和基础架构,从而阻止潜在的基于网络的攻击。
5、SDP实现了更细颗粒度的服务级别的安全传输加密隧道。隧道根据终端运行环境和用户身份安全评级实现动态建立和销毁,始终保持最小访问授权。
6、SDP预先审查控制所有连接,从哪些设备、哪些服务、哪些设施可以进行连接,整体安全性方面比传统的架构更有优势。
附图:SDP系统与VPN系统对比
2 身份识别与访问管理
身份识别与访问管理(Identity and Access Management,IAM)具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。
和传统的IAM相比,除了对用户身份的统一管理、认证和授权之外,现代化的零信任IAM还需要实现基于大数据和AI技术的风险动态感知与智能分析,对于用户访问的行为数据、用户的特征和权限数据,以及环境上下文数据进行分析,通过风险模型自动生成认证和授权策略。
相比传统IAM,现代化的零信任IAM具备以下优点:
1、支持多种认证方式以及MFA多因子认证,杜绝身份盗用和伪造问题。实时分析终端状况和用户行为,对可疑行为进行二次认证或阻断,确保访问合法可靠。
2、基于身份细颗粒度的访问授权,进行最小访问权限控制。基于RBAC/ABAC权限模型,高效管理超大规模权限数据,三权分立、用户和资源权责分离。
3、基于AI自适应策略引擎,对终端环境异常进行检测以及持续验证,对业务访问异常进行检测及态势感知,进行动态授权与持续审计。
3 微隔离
微隔离(Micro-Segmentation,MSG)是细粒度网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境的流量隔离,进行可视化分析和访问控制,其核心的能力是聚焦在东西向流量的隔离上,同时对南北向隔离也能发挥作用,可以有效阻止攻击者进入企业数据中心网络内部后的横向平移。
微隔离可以认为是对防火墙技术的发展与颠覆,用来对数据中心网络进行点到点的精细化访问控制。微隔离是基于白名单的一种技术,不再感兴趣坏人长什么样子,相反它更关心好人长什么样子。
相比传统的防火墙、交换机,微隔离具备以下优点:
1、微隔离实现了基于业务角色的快速分组能力,为隔离分区提供基于业务细粒度的视角,解决传统基于IP视角存在的众多管理上的问题。
2、微隔离可以在业务分组的基础上自动化识别内部业务的访问关系,通过可视化方式进行展示。
3、微隔离实现了基于业务组之间的隔离能力、端到端的工作负载隔离能力、异常外联的隔离能力,支持物理服务器之间、虚拟机之间、容器之间的访问隔离;通过隔离全面降低东西向的横向穿透风险,支持隔离到应用访问端口,实现各业务单元的安全运行。
4、微隔离具备可视化的策略编辑能力和批量设置能力,支持大规模场景下的策略设置和管理。
5、微隔离具备策略自动化部署能力,能够适应私有云弹性可拓展的特性,在虚拟机迁移、克隆、拓展等场景下,安全策略能够自动迁移。
6、微隔离支持在混合云环境下跨平台的流量识别及策略统一管理。
四、零信任建设探讨
在企业快速发展的过程中,对企业信息安全控制能力的统一规划和建设往往滞后,导致内部资源缺乏有效管控。继而企业建设信息安全保护措施时面临多方面挑战:
1、对企业内部应用/服务逐一改造,成本高,周期长;
2、即便改造完成,权限仍分散在各个站点与服务内,难以全局统一管控;
3、企业资源的访问审计依赖从各个站点、服务收集日志,标准化难度高,统一对接成本高。
目前,没有实现零信任安全框架的单一方法或者技术,换而言之就是对于不同的企业来说,并没有唯一的标准答案。
下面本文依托作者的任职公司的安全需求对零信任的建设进行探讨:
① IT现状
随着信息技术的快速发展,云计算、大数据、物联网、移动互联、人工智能等新技术的应用为企业带来了新的生产力,同时也给信息安全带来了挑战。
企业IT环境复杂:网络环境多样化、终端环境多样化、业务多样化、平台多样化,数据在平台、设备、用户、系统之间频繁流转,使得物理边界被打破,信息安全管理系统需要进一步的提升。
② 建设目标
基于零信任安全架构理念和业内最佳安全实践,建立增强的安全架构体系,对资源访问主体做动态多维度分析和访问控制,适应复杂IT环境下的信息安全管理。
需要包含四大能力:可信识别能力、访问控制能力、持续信任评估能力、安全可视化能力。
可信识别能力是零信任的基础能力,包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信的用户在可信的受控设备上使用可信的应用,对受保护资源进行可信的访问。在此能力基础上,依托持续信任评估能力,对访问主体的整个访问过程进行监控分析,对用户、受控设备和应用的可信度进行持续的信任评估,根据评估结果通过访问控制能力进行动态的权限控制,并通过安全可视化能力将访问流量、路径和效果等直观呈现,为企业安全运营提供有力的决策支撑。
③ 建设方案
打破传统基于网络区域的特权访问方式,基于可信用户、可信设备和可信应用的可信身份三要素验证,对访问主体授予最小访问权限,并对全链路访问加密和监控。
针对建设目标的四大能力(可信识别能力、访问控制能力、持续信任评估能力、安全可视化能力),系统建设方案主要规划为可信环境感知子系统、自适应认证策略子系统、动态信任评估子系统、访问网关子系统四个子系统。
1 可信环境感知子系统
可信环境感知子系统,基于数字身份,实现用户的可信识别,完成身份认证和单点登录。
实现受控设备可信识别,完成受控设备的合规和安全管理;实现应用的可信识别;实现应用和进程的黑白名单管理。
最终形成一整套零信任可信识别能力,保证合法的用户基于合法的受控制终端通过合法的应用和进程,发起对客体合法的访问。
※ 可信身份 Trusted Identity
提供身份认证服务功能。支持静态密码、短信验证码、邮箱验证码、指纹、刷脸、令牌等多种认证方式;支持多因子认证(MFA);支持与外部基础认证设施对接,实现CA证书认证和AD域认证。支持认证方式和多因子认证组合使用。
适配多种身份认证登录方式 ,针对用户/用户组制定网络访问策略,非授权的应用完全不可见,做到最小特权的授权。
※ 可信链路 Trusted Link
采用独有的访问链路加密/解密网关,针对设备指定WEB或应用程序流量加密,对不稳定网络做网络传输协议优化。
※ 可信终端 Trusted Device
集成全方位的终端管控功能模块,持续检查设备安全状态,限制任何不符合安全要求的设备对企业应用的访问。
※ 可信应用 Trusted Application
支持细粒度识别应用和进程,远程下发进程黑名单,发现恶意程序即拦截访问,无法建立针对业务的连接请求。
2 自适应认证策略子系统
自适应认证策略子系统基于身份而非网络位置来构建访问控制体系,通过接收来自动态信任评估的用户信任评估和设备风险评估结果,设置访问控制策略并下发到策略执行点执行访问控制策略。
将业务资产暴露面隐藏,保证资产对未经认证的访问主体不可见。只有访问权限和访问信任等级符合要求的访问主体才被允许对业务资产进行访问。通过对访问主体的逐层访问控制,不仅满足动态授权最小化原则,同时可以抵御攻击链各阶段攻击威胁。
※ 用户身份管理:
提供基础的身份和权限管理功能。支持手工创建或批量导入用户,用户属性包括姓名、部门、邮箱、手机号、身份证号、描述等信息;支持用户分组管理;支持按照用户建立策略;支持与其他身份管理系统对接联动。
※ 终端设备管理:
提供基础的终端设备信息管理功能。通过终端设备构建设备清单库,确保终端设备安全可信。支持手工创建或批量导入设备信息,并能够对终端进行标签化,可根据标签进行访问控制;支持设备和用户的关联绑定/解绑,加强设备管控。
※ 应用系统管理
提供应用信息管理功能。可对应用系统的名称、访问URL地址等信息进行管理。
※ 访问策略管理
提供细粒度的访问策略管理功能。支持按照时间、IP、设备健康度、用户行为基线等多维度制定策略。
3 动态信任评估子系统
动态信任评估子系统是零信任整体架构的策略指挥中心,是可信识别能力和访问控制能力的重要输入。通过对访问主体的持续信任评估,实现对访问主体的访问权限动态调整和访问身份认证动态调整。
访问主体信任评估包括对用户访问上下文行为分析的信任评估,对受控设备和访问网关基于环境因素的风险评估,通过信任评估模型和算法,实现基于身份的持续信任评估能力,识别异常访问行为和风险访问环境,并对信任评估结果进行调整,为动态访问控制提供有效输入。
※ 持续信任评估
接收实体的资源访问请求,对资源访问请求进行信任评估。从访问请求中提取出涉及的用户、设备、数据资源、应用资源等信息,结合上下文行为信息,检测当前实体行为的异常风险,并最终对实体行为进行信任量化评分,输出当前实体访问资源行为的信任级别。
※ 风险分析与策略推送
以访问实体评分作为访问鉴权基线值,后续依赖信任评估引擎持续对访问主体行为进行信任评估,访问行为是否满足访问合规要求、基于上下文行为的信任评分、是否触发安全事件场景等,并依据实时信任评分动态调整访问授权范围,以满足最小授权原则。
※ 用户身份画像
基于用户和设备维度进行画像。通过可视化技术将访问路径、访问流量、用户异常访问行为直观展示,也可以将在线设备状态、统计情况、策略执行情况、执行路径等可视化呈现,帮助安全运营人员更为直观、更为全面的了解访问主体的安全状态和行为,从而更快速、更精准地找到风险点,触发安全响应,支撑安全决策。
4 访问网关子系统
访问网关是无边界网络访问控制能力的策略执行点,访问网关与自适应认证策略子系统、可信环境感知子系统联动,基于访问控制策略对访问主体提供授权范围内的访问服务,而后建立加密连接。对异常访问行为进行阻断并对访问主体动态调整授权范围。访问网关在确保连接合法性后,将加密流量还原为目标业务系统的原始流量进行转发,保障原始业务系统访问体验不变,业务系统无需做开发改造。
访问网关为业务系统提供统一访问入口,只有通过身份可信识别的访问主体才可以与访问网关建立访问通路,并根据访问控制策略对受保护业务资产发起访问。业务系统避免被暴露在终端所在的网络,将业务系统在网络中“隐身”。
五、总结
零信任的安全实践并不意味着“全部推翻重建”,而是基于身份的细颗粒度访问控制体系的整合叠加。“整合叠加”并非简单的“补丁”模式,有可能触及企业原有安全体系的改造,需要投入大量人力和成本。因此,在此过程中企业领导人的支持就显得不可或缺。对企业现有安全需求进行全盘分析,既是明晰零信任构建之路、制定策略的关键,也是能够成功说服领导人的有效之法。
“条条大路通罗马”,企业要做的就是结合自身安全体系的现状,找到最适合自身业务系统的最优路径。适合自己的才是最好的。
作者:梁志合
声明:本文来自EBCloud,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
