您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
基于零信任的安全架構(gòu)
摘 要:隨著高級威脅和內(nèi)部風(fēng)險的日益增強,云計算、大數(shù)據(jù)、移動互聯(lián)的飛速發(fā)展,遠(yuǎn)程辦公、異地分支的大量應(yīng)用,網(wǎng)絡(luò)邊界越來越模糊,傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)已難以滿足安全新需求。零信任網(wǎng)絡(luò)打破了傳統(tǒng)的認(rèn)證即信任、邊界防護、靜態(tài)訪問控制,以網(wǎng)絡(luò)為中心等思維,建立起一套以資源為中心,以識別、認(rèn)證、動態(tài)訪問控制、授權(quán)、審計以及監(jiān)測為鏈條,以最小化實時授權(quán)為核心,以多維信任算法為基礎(chǔ),認(rèn)證達末端的動態(tài)安全架構(gòu)。
內(nèi)容目錄:
0 引 言
1 概 念
2 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)
3 零信任網(wǎng)絡(luò)安全架構(gòu)
3.1 架構(gòu)模型
3.2 信任評估算法
3.3 核心思想
3.3.1 懷疑一切
3.3.2 核心保護對象為資源
3.3.3 精細(xì)化、最小化授權(quán)
3.3.4 持續(xù)驗證每個訪問請求的可信性
3.4 特 點
3.4.1 由網(wǎng)絡(luò)中心化向身份中心化轉(zhuǎn)變
3.4.2 安全防護層面由網(wǎng)絡(luò)防護向應(yīng)用防護轉(zhuǎn)變
3.4.3 無邊界化
3.4.4 認(rèn)證控制向末端延伸
3.4.5 向細(xì)粒化方向發(fā)展
3.4.6 向泛在化方向發(fā)展
3.4.7 授權(quán)時機由門檻式授權(quán)向動態(tài)授權(quán)發(fā)展
4 結(jié) 語
00 引 言
零信任網(wǎng)絡(luò)(亦稱零信任架構(gòu))概念最早是John Kindervag(約翰·金德維格)于2010年提出的,開始幾年并未得到廣泛關(guān)注。隨著高級威脅和內(nèi)部風(fēng)險層出不窮,云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的飛速發(fā)展,遠(yuǎn)程辦公、企業(yè)異地分支等的大量應(yīng)用,網(wǎng)絡(luò)邊界的物理界限越來越模糊。另外,傳統(tǒng)網(wǎng)絡(luò)的安全短板日益明顯。2017年9月,美國發(fā)生了史上最大的用戶數(shù)據(jù)泄露事件——Equifax數(shù)據(jù)泄露事件,造成美國1.43億人的個人信息泄露。美國最大的移動運營商Verizon報告分析指出,81%的黑客成功利用偷來的口令或者弱口令,可輕而易舉地獲得數(shù)據(jù)的訪問權(quán)限,成功竊取數(shù)據(jù)。根據(jù)《2018 Insider Threat Report》顯示,內(nèi)部威脅是造成數(shù)據(jù)泄露的第二大原因。零信任網(wǎng)絡(luò)的內(nèi)生驅(qū)動力持續(xù)加強。
谷歌在2011年啟動BeyondCorp計劃,于2017年成功完成,為零信任在大型、新型網(wǎng)絡(luò)的實踐提供了參考架構(gòu)。在BeyondCorp計劃中,訪問只依賴于設(shè)備和用戶憑證,而與用戶所處的網(wǎng)絡(luò)位置無關(guān)。美國網(wǎng)絡(luò)安全廠商PaloAlto利用其下一代防火墻產(chǎn)品,實現(xiàn)了零信任網(wǎng)絡(luò)架構(gòu)。另一家美國網(wǎng)絡(luò)安全廠商Cyxtera提出了AppGateSDP方案,實現(xiàn)了CSA的SDP架構(gòu)。其他網(wǎng)絡(luò)安全和IT廠商,如Symantec、Cisco、VMWare等,相繼推出了自己的零信任產(chǎn)品或架構(gòu)。隨著各大廠商的進入與推進,零信任在業(yè)界持續(xù)升溫,在RSAC 2019年展會達到高潮。
01 概 念
零信任網(wǎng)絡(luò)是在不依賴網(wǎng)絡(luò)傳輸層物理安全機制的前提下,有效保護網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。
零信任,顧名思義,即對任何事務(wù)均建立在不信任的基礎(chǔ)之上。中心思想是不應(yīng)自動信任內(nèi)部或外部的任何人/事/物,應(yīng)在授權(quán)前對任何試圖接入系統(tǒng)的人/事/物進行驗證。
零信任網(wǎng)絡(luò)不是完全摒棄已有的安全技術(shù)另起爐灶。傳統(tǒng)網(wǎng)絡(luò)中的安全技術(shù),如身份認(rèn)證、訪問控制等依然可用,只是將認(rèn)證與控制的大門從“小區(qū)大門”移到了各戶的“家門”。
零信任模型基本上打破了舊式邊界防護思維。舊有思維專注防御邊界,假定已經(jīng)在邊界內(nèi)的任何事物都不會造成威脅,因而邊界內(nèi)部事物基本暢通無阻,全都擁有訪問權(quán)限。它要企業(yè)根據(jù)用戶、用戶所處位置和其他數(shù)據(jù)等條件,利用微隔離和細(xì)粒度邊界規(guī)則來確定是否信任請求企業(yè)特定范圍訪問權(quán)的用戶/主機/應(yīng)用。傳統(tǒng)模式下是以系統(tǒng)為中心的安全,在零信任網(wǎng)絡(luò)下是以資源為中心的安全。把安全聚焦在資源本身,圍繞著資源的全生命周期建設(shè)部署安全。
02 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)
傳統(tǒng)網(wǎng)絡(luò)一般在網(wǎng)絡(luò)邊界上設(shè)置隔離認(rèn)證區(qū)進行認(rèn)證與控制。而零信任網(wǎng)絡(luò)沒有圍墻和大門的概念,將門從單位圍墻處移到了辦公室,甚至每一個辦公桌小間。
一個存在內(nèi)、外網(wǎng)互聯(lián)需求的傳統(tǒng)網(wǎng)絡(luò),建立基于網(wǎng)絡(luò)位置的可信控制模型,將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。一般認(rèn)為內(nèi)部網(wǎng)絡(luò)是可信的,外部網(wǎng)絡(luò)是不可信的。內(nèi)部網(wǎng)絡(luò)可以根據(jù)業(yè)務(wù)系統(tǒng)的需要劃分為若干個在物理或邏輯上相隔離的子網(wǎng)絡(luò)。子網(wǎng)絡(luò)內(nèi)用戶間的通信是自由的。為維護內(nèi)部網(wǎng)絡(luò)安全,內(nèi)外網(wǎng)之間通過邊界隔離設(shè)備進行連接可控通信。邊界防護如單位大門一樣,訪客在單位大門口的接待區(qū)辦理完手續(xù)后即可進入,在單位內(nèi)部可隨心所欲溜達。傳統(tǒng)網(wǎng)絡(luò)存在信任過度問題,面對從內(nèi)部網(wǎng)絡(luò)發(fā)起的內(nèi)部攻擊毫無招架之力。即使攻擊來自于外部,只要穿過邊界防護這道大門,在內(nèi)部網(wǎng)絡(luò)可以肆意穿梭。傳統(tǒng)網(wǎng)絡(luò)架構(gòu),如圖1所示。
圖1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)
03 零信任網(wǎng)絡(luò)安全架構(gòu)
3.1 架構(gòu)模型
零信任網(wǎng)絡(luò)在任何一個用戶,任何一臺設(shè)備,發(fā)起的任何一次連接,申請的任何一次服務(wù),在通過認(rèn)證策略判決前均認(rèn)為是不可信的。它的認(rèn)證不再是一站式服務(wù),而是細(xì)化到了一事一論。零信任網(wǎng)絡(luò)邏輯如圖2所示。
零信任網(wǎng)絡(luò)邏輯體系由策略判決、策略執(zhí)行、監(jiān)測系統(tǒng)、風(fēng)險分析系統(tǒng)、數(shù)據(jù)訪問策略、身份管理系統(tǒng)、設(shè)備管理系統(tǒng)、安全管理系統(tǒng)以及證書系統(tǒng)等組成。
在零信任網(wǎng)絡(luò)中,主體對客體的訪問服務(wù)請求是否通過,由策略判決模塊完成,并將判決結(jié)果告知策略執(zhí)行模塊,由策略執(zhí)行模塊決定訪問通道是否打開或關(guān)閉。策略判決模塊可分為策略引擎和策略管理兩部分。策略引擎負(fù)責(zé)通過信任算法進行信任評分。
監(jiān)測系統(tǒng)。監(jiān)測系統(tǒng)主要監(jiān)測、收集網(wǎng)絡(luò)自身的狀態(tài)信息,包括操作系統(tǒng)和應(yīng)用程序版本、補丁安裝情況以及系統(tǒng)是否存在已知漏洞等。監(jiān)測系統(tǒng)將收集的上述信息提供給策略引擎,作為信任評分函數(shù)的輸入?yún)?shù)。
風(fēng)險分析系統(tǒng)。風(fēng)險分析系統(tǒng)主要是搜集和分析來自于網(wǎng)絡(luò)外部的風(fēng)險信息,并將分析結(jié)果提供給策略引擎作為信任評分函數(shù)的輸入。它包括新發(fā)現(xiàn)的攻擊或漏洞、DNS黑名單以及發(fā)現(xiàn)的惡意軟件等。
數(shù)據(jù)訪問策略。它是根據(jù)資源屬性而創(chuàng)建的一組關(guān)于數(shù)據(jù)訪問的屬性和規(guī)則組合。該策略根據(jù)組織任務(wù)需求而建立,為網(wǎng)絡(luò)中的用戶、設(shè)備以及應(yīng)用程序提供基本的訪問特權(quán)。這是資源訪問權(quán)限的基點,而不是全部。
證書系統(tǒng)。證書系統(tǒng)負(fù)責(zé)為用戶、設(shè)備、應(yīng)用程序等產(chǎn)生并頒發(fā)證書,形成記錄。
身份管理系統(tǒng)。身份管理系統(tǒng)負(fù)責(zé)創(chuàng)建、存儲和管理用戶賬戶和身份信息。該系統(tǒng)包含姓名、身份證書、Email地址、崗位、角色以及訪問屬性等用戶信息。
安全管理系統(tǒng)。安全管理系統(tǒng)匯總系統(tǒng)日志、網(wǎng)絡(luò)流量、資源授權(quán)等進行系統(tǒng)安全態(tài)勢分析,可依據(jù)分析進行策略優(yōu)化,或警告可能對網(wǎng)絡(luò)進行的主動攻擊。零信任將安全的自動化置于“安全運維”的中心地位。
3.2 信任評估算法
信任評估算法是零信任網(wǎng)絡(luò)的大腦,維護整個零信任網(wǎng)絡(luò)的正常運轉(zhuǎn)。信任算法的輸入包括用戶信息、設(shè)備狀態(tài)、訪問信息、行為屬性、訪問策略以及外部威脅情報等。用戶信息包括用戶ID、用戶憑證、用戶屬性和角色等。設(shè)備信息包括設(shè)備ID號、設(shè)備所處位置等。設(shè)備狀態(tài)包括已安裝的操作系統(tǒng)及應(yīng)用軟件版本、補丁修補情況和網(wǎng)絡(luò)位置等。訪問信息包括待訪問資源的屬性、類別和級別等。行為屬性包括用戶訪問業(yè)務(wù)的行為、操作習(xí)慣、訪問時間、設(shè)備分析、來源IP地址、來源地理位置、訪問頻度以及使用模式偏差等。外部威脅情報包括監(jiān)測到的惡意攻擊、已知漏洞等。信任評估算法模型,如圖3所示。
圖3 信任評估算法模型
進行信任評估時,采集當(dāng)前的用戶信息、設(shè)備狀態(tài)、訪問信息以及行為屬性,與存儲在策略引擎中的相應(yīng)基準(zhǔn)值進行比較,計算其偏差,將上述偏差值匯總風(fēng)險分析系統(tǒng)分析所得的風(fēng)險,結(jié)合所要訪問資源的屬性進行最終的判斷?;鶞?zhǔn)值可以動態(tài)調(diào)整。
3.3 核心思想
3.3.1 懷疑一切
不再以網(wǎng)絡(luò)邊界為限,將內(nèi)部網(wǎng)絡(luò)定義為可信任的。無論是遠(yuǎn)程來自于企業(yè)網(wǎng)絡(luò)之外的用戶還是近端來自于企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶,無論是企業(yè)配置的專用設(shè)備還是個人私有設(shè)備,在建立連接前均需進行認(rèn)證授權(quán)。不再認(rèn)為一個合法用戶、合法設(shè)備的訪問是永遠(yuǎn)合法的。原有的基于系統(tǒng)的物理或網(wǎng)絡(luò)位置而存在的隱式信任盡量縮小或消除。認(rèn)證和授權(quán)是零信任體制下的兩個基本領(lǐng)域。零信任網(wǎng)絡(luò)對資源的訪問授權(quán)一事一議按需受理,不再橫向關(guān)聯(lián)。
3.3.2 核心保護對象為資源
隨著移動辦公需求的日益加強,隨著企業(yè)基礎(chǔ)設(shè)施云端化的發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)的界面越來越模糊,零信任網(wǎng)絡(luò)將對網(wǎng)絡(luò)邊界的保護轉(zhuǎn)變?yōu)閷ζ髽I(yè)所擁有的所有資源的保護,保護重點是資源的訪問限制,確定哪些資源可以被哪些用戶訪問。資源包括數(shù)據(jù)庫中存儲的數(shù)據(jù)、打印機打印以及部署于云端的計算資源、存儲資源等。
3.3.3 精細(xì)化、最小化授權(quán)
最小權(quán)限原則是零信任倚賴的監(jiān)管策略之一,也就是只賦予用戶完成特定工作所需的最小訪問權(quán)限,實施精確訪問決策。在認(rèn)證與授權(quán)過程中,從參與者(包括用戶、設(shè)備、應(yīng)用程序)到數(shù)據(jù)的每個流均進行身份驗證和授權(quán),并以動態(tài)和細(xì)粒度的方式持續(xù)分析和評估訪問請求。
3.3.4 持續(xù)驗證每個訪問請求的可信性
主體對客體的訪問控制不是門檻式靜態(tài)部署配置,而是基于外在風(fēng)險,結(jié)合用戶的歷史行為等進行動態(tài)評估,根據(jù)評估結(jié)果進行訪問策略的動態(tài)調(diào)整。
零信任網(wǎng)絡(luò)下,信任體系的建立包括用戶的可信、設(shè)備的可信和應(yīng)用的可信。用戶、設(shè)備和應(yīng)用在訪問資源前,需要通過身份管理系統(tǒng)進行身份鑒別。用戶的可信建立在對用戶進行認(rèn)證的基礎(chǔ)上。用戶提供動態(tài)口令、人臉識別、指紋識別以及認(rèn)證令牌等方式進行身份鑒別,結(jié)合用戶行為、地理位置、訪問時間等進行風(fēng)險分析與判斷,并實時做出調(diào)整。
3.4 特 點
3.4.1 由網(wǎng)絡(luò)中心化向身份中心化轉(zhuǎn)變
零信任網(wǎng)絡(luò)引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化,本質(zhì)訴求是以身份為中心進行細(xì)粒度的、自適應(yīng)的、對資源的訪問控制。
3.4.2 安全防護層面由網(wǎng)絡(luò)防護向應(yīng)用防護轉(zhuǎn)變
安全防護層面由網(wǎng)絡(luò)防護向應(yīng)用防護轉(zhuǎn)變。零信任網(wǎng)絡(luò)認(rèn)為網(wǎng)絡(luò)是不可信的,因此不再在網(wǎng)絡(luò)層面增強防護措施應(yīng)對風(fēng)險,而是把防護措施建立在應(yīng)用層面,針對服務(wù)應(yīng)用進行認(rèn)證、訪問控制和加密保護。
3.4.3 無邊界化
網(wǎng)絡(luò)防御由關(guān)注廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到每一個或每一組資源,旨在消除網(wǎng)絡(luò)內(nèi)尤其是內(nèi)部網(wǎng)絡(luò)內(nèi)橫向移動的未經(jīng)授權(quán)的訪問操作。
3.4.4 認(rèn)證控制向末端延伸
認(rèn)證的邊界由網(wǎng)絡(luò)邊界向用戶、設(shè)備和應(yīng)用延伸。
3.4.5 向細(xì)?;较虬l(fā)展
細(xì)化到每一個服務(wù),每一個數(shù)據(jù)流。零信任是分布式信任的高度細(xì)?;刂?。
3.4.6 向泛在化方向發(fā)展
所有通信數(shù)據(jù)均加密,所有訪問都審計,做到全程可視。
3.4.7 授權(quán)時機由門檻式授權(quán)向動態(tài)授權(quán)發(fā)展
在動態(tài)授權(quán)中,基于信任算法將設(shè)備和用戶的多元數(shù)據(jù)作為輸入進行計算,獲得動態(tài)的信任度評估值,基于主體的評估值和客體的屬性確定是否授權(quán)。
04 結(jié) 語
零信任網(wǎng)絡(luò)必將成為網(wǎng)絡(luò)安全流行框架之一,尤其是在云環(huán)境、遠(yuǎn)程辦公等應(yīng)用需求下。零信任網(wǎng)絡(luò)打破了傳統(tǒng)網(wǎng)絡(luò)模式下的防護機制、管理模式,而非安全技術(shù)自身。機制的打破不是一蹴而就的,要面臨著企業(yè)已有資產(chǎn)的再利用等問題。在很長一段時間內(nèi),零信任網(wǎng)絡(luò)將與傳統(tǒng)網(wǎng)絡(luò)共同作戰(zhàn),結(jié)合零信任中管理風(fēng)險的方法與身份認(rèn)證、持續(xù)監(jiān)測等技術(shù),共同防護面臨的威脅。在向零信任網(wǎng)絡(luò)遷移時,需要根據(jù)現(xiàn)有設(shè)備的配置情況,對現(xiàn)有業(yè)務(wù)流程進行重新梳理和設(shè)計,最大化有效利用現(xiàn)有設(shè)備,增大已有資產(chǎn)的有效利用,減少資金再投入比例。
作者簡介 >>>
曾玲(1975—),女,碩士,高級工程師,主要研究方向為保密通信;
劉星江(1984—),男,碩士,高級工程師,主要研究方向為保密通信。
選自《通信技術(shù)》2020年第七期(為便于排版,已省去原文參考文獻)