零信任安全最早由著名研究机构Forrester的首席分析师约翰.金德维格(John Kindervag)在2010年提出,2017年Google基于零信任安全构建的BeyondCorp项目成功完成,为零信任安全在大型、新型企业网络的实践提供了参考架构。即便如此,业界对零信任安全的心态仍然是欣喜和困惑交织,欣喜的是零信任安全为企业数字化转型时代的新安全挑战提供了颠覆性的解决思路,困惑的是基于复杂的网络安全和IT基础设施现状如何从0开始构建零信任安全。本文将分析这种困惑并探讨其解决思路。

零信任安全概述

传统的基于边界的网络安全架构某种程度上假设、或默认了内网是安全的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品/方案对企业网络出口进行重重防护而忽略企业内网的安全。

零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议,其核心思想是:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制。

从技术方案层面来看,零信任安全是借助现代身份管理平台实现对人/设备/系统的全面、动态、智能的访问控制,其核心实践包括:

  • 以身份为中心:通过身份治理平台实现设备、用户、应用等实体的全面身份化,采用设备认证和用户认证两大关键技术手段,从0开始构筑基于身份的信任体系,建立企业全新的身份边界。

  • 业务安全访问:所有的业务都隐藏在零信任可信接入网关之后,只有认证通过的设备和用户,并且具备足够的权限才能访问业务。

  • 动态访问控制:访问控制需要符合最小权限原则进行细粒度授权,基于尽量多的属性进行信任和风险度量,实现动态自适应访问控制。

实践者的困惑

面对全新的零信任安全架构,业界充满困惑,典型的困惑包括:

  • 认证:设备认证一定需要设备证书吗?是否只有具备TPM的设备才能做到设备可信?用户认证一定需要多种强认证手段组合吗? 

  • 访问控制:访问控制的粒度如何把握?访问控制模型如何设计,是基于角色还是基于属性?

  • 身份治理:企业的员工、客户、合作机构各类身份的生命周期管理能完全统一吗?错综复杂的访问控制权限和角色如何梳理和统一?

要解答如上困惑,需要先分析这些困惑的背后原因,不难发现,大家习惯性的把安全问题看成了二值问题,非黑即白,基于这种思维来理解零信任安全,自然会认为认证手段越强越好、访问控制粒度越细越好、身份管理越固化越好。这种思维的本质仍然是传统的边界防护逻辑,认为安全是一个开关,认为访问控制是一扇门,要么开要么关,要开启这扇们,需要无所不用其极的安全手段进行控制。

零信任安全在实践机制上拥抱灰度,兼顾难以穷尽的边界情况,以安全与易用平衡的持续认证改进固化的一次性强认证手段,以基于风险和信任度量的动态授权逻辑替代简单的二值判定逻辑,以开放智能的身份治理优化封闭僵化的身份管理。

灰度是自然界的常态,代表了最多的信息熵,是各种无序的数据和可能性,只有对无序的数据进行分析、持续度量、闭环治理,才能有效的提高数据的有序性,从而发现规律,进行有效的信任和风险评估,得到相对稳定的安全态势,从而支撑持续进化的访问控制。

零信任安全的灰度哲学

下面从认证、访问控制和身份治理三个维度分析零信任安全的灰度哲学,摒弃二值逻辑,拥抱灰度,零信任安全的困惑将不解自明。

1.认证的灰度

零信任安全架构并不要求在认证手段上必须在各种场景下都一视同仁的采用强认证的手段,而是同时支持可选的多种认证手段,并且将认证手段的强弱作为一个信任度量因子。

设备和用户认证是基于身份重建信任体系的关键技术手段,从零信任的理念来看,没有绝对的安全,也就没有绝对的信任,信任只是一个可度量的灰度值。比如,设备认证可以采用设备证书、设备指纹、或简单的设备绑定方式,其中设备证书可以基于TPM进行安全加固,也可以存放到系统的证书库;用户认证可以采用证书认证、安全令牌、生物特征识别等各种手段。不难看出,任意一种手段都很难用于所有场合,比如,某些终端不具备TPM,比如用户可能忘记携带安全令牌等等。因此,如果对认证手段进行一刀切,会极大的影响易用性和可用性,建议同时提供多种认证方式供选择。

乍一看,这种方案的逻辑是“这样也行,那样也行”,好像不太严谨,事实上,零信任安全架构建议将认证手段本身作为信任的度量因子之一,认证手段的强弱直接影响主体的信任度,影响后续的访问控制判定。比如,终端具备TPM、使用了人脸识别可以得到一个较高的信任评分,反之,用户如果只使用了用户名口令进行登录,那只能得到一个较低的信任评分,信任评分太低将禁止访问某些安全等级高的业务(可以提示用户进行二次认证,通过后允许访问)。

另外,零信任安全理念认为一次性的用户认证机制无法确保用户身份的持续合法,即便是采用了强度较高的多因子认证手段,也需要通过持续认证手段进行信任评估,这也是一种灰度哲学。建议持续的对用户访问业务的网络行为、操作习惯等进行分析、识别和验证,动态的评估用户的信任度。

2.访问控制的灰度

传统的访问控制机制是宏观的、二值逻辑的,大多基于静态的访问控制规则、黑白名单等技术手段进行一次性的评估,要么允许要么禁止。这种访问控制规则缺乏对风险和信任的持续度量,难以满足现代IT环境和复杂安全态势下的动态访问控制需求。

零信任安全架构下的访问控制基于持续度量的思想,是一种微观判定逻辑。对主体的信任度、客体的安全等级和环境的风险进行持续评估并动态判定是否允许当前访问请求,是灰度哲学的关键体现。

主体的信任度评估除了前文提到的可以依据用户所采用的认证手段、用户所使用终端是否具有TPM等安全硬件进行评估。同时,终端的健康度、用户所使用的应用是否是企业分发的安全应用等等也是很好的度量因子;客体的安全评估主要来自于企业对客体(应用、系统、数据等)的安全分级,访问不同安全等级的客体要求主体具备不同的信任度;环境的评估则是动态对环境属性进行风险度量,环境属性可能包括访问时间、来源IP、来源地理位置、访问频度、设备相似性等等各种时空因素。

另外,从授权模型的选择上也体现了灰度哲学,不要单纯的去评估RBAC好还是ABAC好,而是考虑如何兼顾融合,建议基于RBAC模型实现粗粒度授权,建立权限基线满足企业的最小权限原则。并基于主体、客体和环境属性实现角色的动态映射和过滤机制,充分发挥ABAC的动态性和灵活性。

3.身份治理的灰度

访问控制需要身份治理和授权策略的管理作为基础支撑。

现代企业都面临内部员工、客户、合作机构、外包人员等不同的身份,不要寄希望于以一套大一统的管理逻辑和流程朗阔万千,而是应该对不同的身份进行分类分析和梳理,制定不同的身份生命周期管理流程。

比如,对内部员工,可行的办法是通过和企业的目录服务器、HR服务器等现有身份源系统进行数据同步,统一建立员工数字身份;而对于客户,因为其具备未知和动态性,不可能一开始就为所有客户建立身份,而是应该提供身份注册或身份联邦的方式方便客户按需注册使用。采用这种灰度策略,既能重用身份治理基础设施,又能兼顾不同身份的治理需求。

在授权策略的管理上,仍然需要采用这种灰度策略。零信任安全要求建设统一的认证与访问控制平台,对现代企业来说,很难厘清现网各种用户、角色、系统的当前访问权限,因此,建议的方案是企业层面只梳理常用的、公共的访问权限并进行基于角色的策略配置,同时,提供自助服务机制,供各业务部门和用户自主发布和申请访问权限,这种自服务机制一般和工作流相关联,可以自动触发对申请的评估审批流程,实现安全与易用的平衡,兼顾安全的可控性和自组织性。

另外,建议部署身份分析系统,对当前系统的权限、策略、角色进行智能分析,发现潜在的策略违规并触发工作流引擎进行自动、或人工干预的策略调整,实现治理闭环。

结语

灰度哲学是零信任安全的内生逻辑,也是零信任安全实践的指导原则。360ID TrustAccess身份安全解决方案正是在这种灰度哲学指导下应运而生的零信任安全解决方案,秉承“新身份、新边界”的理念,遵循“先验证用户和设备、后访问业务”的产品逻辑,为企业提供开箱即用的零信任身份安全解决方案,其核心价值包括:基于零信任,推动企业安全重构;适应现代IT环境,助力企业数字化转型;基于敏捷、智能、安全的现代身份管理平台。奇安信集团愿与业界同行,拥抱零信任、拥抱灰度、拥抱未来!

关于奇安信身份安全实验室

奇安信身份安全实验室 (QiAnXin Identity Security Lab),是奇安信集团下属专注“零信任身份安全架构”研究的专业实验室。基于零信任安全理念,该团队利用现代身份与访问管理技术,探索“企业物理边界正在瓦解、传统边界防护措施正在失效”这一时代背景下的新型安全体系架构,推出“以身份为中心”的360ID TrustAccess身份安全解决方案。同时,该团队大力投入对零信任安全和现代身份与访问管理技术的研究和产品化,并结合行业现状,积极推动“零信任身份安全架构”在业界的落地实践。

声明:本文来自奇安信身份安全实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。