零信任理念提出后,受到了市场广泛关注,也出现了多种技术实践,其中身份识别与访问管理(Identity and Access Management,IAM)、软件定义边界(Software Defined Perimeter,SDP)、微隔离(Micro-Segmentation,MSG)是零信任理念践行中最具有影响力的3种技术,这3种技术被合称为“SIM”。本文主要讨论了融合SIM的零信任安全架构在云平台综合性防护安全系统中的应用。

SIM三大技术融合方式

1. IAM融合SDP

IAM是数字化转型的必要条件,也是企业信息化的顶层设计及信息化管理的重要支撑部分。一方面,数字化转型需要一个更加灵活、易用、高扩展性的信息化平台载体,而IAM可以有效地将人员、组织、流程、数据等信息资产纳入数字共享生态系统中,同时可以高效打通信息孤岛,提高效率,加强安全,降低成本,达到相关法规政策要求。另一方面,以身份为中心是零信任理念的核心思想,无论是要实现基于SDP的南北向流量的访问控制,还是基于MSG实现东西向流量的监控和可视化,身份认证都是所有安全防护的基础。IAM作为MSG和SDP的“基座”技术支撑,在整个零信任基础架构中起着举足轻重的作用。因此如何有效利用IAM实现企业上云后的身份认证、访问控制以及通过融合SDP、MSG等技术规避传统安全问题就显得尤为重要了。

那么如何才能将IAM与SDP融合呢?首先,IAM作为统一身份管理中心,将组织机构中的用户、设备及应用系统等所有数据资产进行统一身份标识,标识身份后的数据资产,无论作为主体还是客体,它的操作行为都将受到零信任控制中心的监管,访问主体会通过IAM进行身份鉴别和认证,只有合法用户、设备及应用才可以通过认证,非法用户无法通过认证,这就避免了一些非法用户的访问请求。其次,IAM会将通过身份认证后的用户、设备及应用发送到零信任控制中心,由零信任控制中心将这些身份认证信息发送给SDP管理平台,SDP管理平台会通过身份信息、权限管理对该访问主体进行初始策略的配置,并将结果返回给访问控制引擎,访问控制引擎会结合信用评估引擎(信用评估引擎会通过终端的环境、设备、身份、访问权限等因素设置评估信用分值)给出的信用值,形成新的访问控制策略,并由策略管理中心下发到零信任安全网关。零信任安全网关作为访问策略的执行节点,会严格控制主体的访问权限。当然,随着环境、身份、网络位置以及时间的变化,信用评估引擎会对用户、设备以及应用给出不同的信用值,这就形成了动态的访问控制。

IAM与SDP融合后,不仅统一了身份认证管理,而且加强了南北向的访问控制管理力度。由于SDP自身的架构特性,可以解决大部分传统安全问题所带来的安全隐患。如可以通过控制面和数据面的分离,保护企业资产和基础设施不被黑客攻击,减少攻击面;通过默认启用“deny-all”策略,对未授权用户隐藏所有资产,在允许访问资源之前必须进行身份验证;通过单包授权策略,提供细粒度的访问控制;可追溯审查攻击过程,通过SDP对连接的集中控制可以改善合规的数据收集、报告和审核等。

2. IAM融合MSG

经过IAM和SDP的融合,已经实现了身份认证的鉴别和基于南北向流量的访问控制,接下来要做的就是针对东西向的流量访问控制及可视化监管。

IAM与MSG的融合与SDP比较相似,同样是将认证过的用户、设备及应用信息通过零信任控制中心传递给微隔离管理平台,微隔离管理平台会根据权限管理进行初始策略的配置,最终结合访问控制引擎与信任评估引擎形成新的访问策略,由策略管理中心下发到微隔离控制平台。但也有其不同之处,其不同之处在于MSG是处理服务器与服务器之间、容器与容器之间、虚拟机与虚拟机之间以及宿主机与虚拟机之间的访问控制问题,这些设备之间的访问多采用API接口或服务的形式调用,其访问流量是相当大的,而且是非常复杂的过程,因此必须通过微隔离组件进行内部流量的监管以及数据流转的可视化,进行各服务之间的安全管控。微隔离组件会将流向信息、测绘信息、访问信息等上报到微隔离控制平台,再由微隔离控制平台将汇总的信息统一上报到微隔离管理平台及零信任控制中心。IAM与MSG的融合可以通过身份的有效性及时阻断非法用户、设备及应用以服务器为跳板进行横向跳转及攻击,也可以监管合法用户、设备及应用的横向流量访问,并做到对攻击威胁的有效预警。

3. SDP与MSG的融合

SDP与MSG融合相对比较简单,主要是对环境、设备、网络位置以及时间等因素的评估信息的汇总。SDP为零信任控制平台提供基于终端的感知信息,而MSG为零信任控制平台提供的是应用系统(服务器)所处环境的感知信息。所有感知信息汇总到零信任控制中心,由信用评估引擎根据各项感知因素的权重来评估信用程度,最终形成信用估值,提供给访问控制引擎,由访问控制引擎来动态决策访问主体是否可以正常访问到资源。

IAM在实施中应注意的问题

IAM主要功能在于身份管理及登录认证2个方面,下面从这2个方面来阐述企业上云后IAM的部署实施应注意的问题。

在身份管理方面,首先需要梳理身份管理的主体对象有哪些,每一类对象都有什么特征,比如内部员工与外包人员他们的身份及权限肯定是不一样的,需要详细梳理出每一类访问主体的身份信息;其次是针对身份管理实体内容的梳理,比如信息化系统中的账号信息及凭证信息,企业内部组织体系、所有与身份关联的应用、设备以及信息化资源访问权限等,梳理这些实体内容的目的是为了有效避免身份、凭证、访问和密钥管理不足,账户劫持,内部威胁等问题的发生。再次,是对客体对象的梳理,比如迁移上云的各个业务应用数据、移动应用以及API接口等,这是为了有效规避不安全的接口和API的问题。

另外,还需要对身份识别服务以及身份全生命周期进行管理,身份识别服务就是要识别出业务系统或数据中的账户信息,如应用级账号、系统级账号,特别是特权账号相关的管理服务,需要格外关注,一旦特权账号管理不当,很有可能造成账号劫持或者数据泄露的安全隐患。身份全生命周期管理则是需要从员工入职的信息采集、录入、账号申请、员工关键信息变更、用户启用、禁用、凭证管理、统一身份注销、合规审计以及所有日志的全方位、全流程的管理。

除此之外,还需要关注各业务系统之间的身份供给问题、组织管理问题。尤其是多维组织管理,许多企业出于经营管理需要存在多维组织模型,进而出现同一个用户可以隶属于不同组织的情况,以及同一用户在不同的组织中拥有不同的身份、角色和权限的情况。目前大部分信息化系统缺乏多维组织的设计,难以支持一个用户多个身份的切换访问的要求,而通过创建多套账号体系的方式存在数据冗余、管理复杂、用户使用体验差、不符合合规要求等缺点。IAM管理架构中支持多维组织设计以及通过一人多账号映射的方式,能够有效将多维组织场景下的身份管理、身份切换、访问控制等过程从各应用系统中剥离出来,由IAM统一提供相关服务。

登录认证方面需要考虑身份认证的类型、方式以及能力。通常有3种身份判定方案,分别是内在因素、知识因素和拥有因素,企业可以根据上云后业务数据的重要程度来选择不同的类型:基于知识因素的身份判定方案,实现简单、成本较低,相对提供的鉴别能力也较弱。基于拥有因素的判定方案与知识因素相比,鉴别能力稍好一些。基于内在因素的判定方案是三种判定方式中最为安全的方案,但也需要注意生物凭证丢失及识别欺骗等风险。除此之外,在认证方式上,也可以根据企业上云后的实际需求,选择不同的认证方式,如社交认证、设备认证、联邦认证、多因子认证、多端融合认证以及基于OAuth、Fido、OpenID等协议或服务的认证方式。

SDP在实施中应注意的问题

访问控制是整个零信任架构中非常重要的一环,涉及的方面也比较广,尤其是企业上云后的访问控制直接关系到企业业务数据的安全。无论是基于哪种技术方式实现访问控制,都需要注意以下方面。

首先,要进行授权类别的梳理。需要考虑业务数据是基于什么方式进行授权,如基于表单、菜单、按钮等功能模块的细粒度的授权,还是基于应用系统级别的授权。授权方式的不同,将决定管理模式、控制范围的不同。

其次,要进行授权模式的选择。需要根据企业上云的部署方式、管理模式以及控制范围来选择授权模式。如企业在管理模式上可以选择策略集中管理、存储或者选择分散管理、存储等方式。在控制范围上,可以是基于UI层控制,或者基于数据层控制,亦或者是基于功能模块控制。需要特别强调的是,在授权中要考虑到一些特殊情况的处理,比如权限互斥的情况,这种情况多容易出现疏漏,如出纳和会计的权限很多时候是互斥的,在权限设定上需要梳理清楚。

MSG在实施中应注意的问题

MSG实现起来相对烦琐,会涉及机器学习、自动编排等技术,需要通过系统化的方式来实施部署,可以参考以下步骤来实现MSG的落地实践。

第一,进行定义资产。在定义资产时,要做好业务应用的分组,比如可以按照业务分组、按照职权分组、按照重要程度分组、按照服务类型分组。分组的目的是为了便于对业务进行统一策略管理。

第二,梳理业务模型。这一步非常重要,企业上云后,各业务系统之间的访问、应用与数据库之间的访问,都需要进行精细的梳理,这是实现业务流量监控的基础,业务模型梳理不清楚,后续就没办法制定访问策略,业务故障也没办法快速定位和追踪。

第三,进行实施保护。这一步主要是为每类虚拟机划分独立的安全域;为每类虚拟机安全域部署相应的安全策略。针对新增同类虚拟机,要能够实现自动放入相应安全域,并为其部署相似的安全策略。当然,虚拟机减少,安全域也会自动调整。

第四,细化安全策略。在经过业务模型的梳理,微隔离提供了网络流量自学习模型,各虚拟机之间通过学习、发现、描绘出业务拓扑图,管理员可以通过已经描绘的业务拓扑制定细粒度的安全策略。

第五,持续监控。在经过以上4步之后,基于东西向流量的监控及可视化审计基本已经完成,接下来就是持续监控和不断优化的过程了。

其他辅助技术

正所谓“单丝不成线,独木不成林”,没有任何一种技术可以实现安全防护全覆盖,基于零信任理念的安全架构也不例外。除了通过IAM、SDP、MSG三大技术融合,实现了身份认证、南北向访问控制和东西向流量检测及可视化以外,其他一些辅助技术的支撑也是非常重要的,如加密技术、用户实体行为分析(User and Entity Behavior Analytics,UEBA)、安全信息和事件管理(Security Information and Event Management,SIEM)等相关技术,也是辅助零信任实现安全防护的重要手段。(苗功勋,蔡力兵等)

声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。