您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
網(wǎng)絡(luò)安全新架構(gòu):零信任安全
2019年7月12日,美國國防部發(fā)布《國防部數(shù)字現(xiàn)代化戰(zhàn)略》?!稇?zhàn)略》主要由美國國防部首席信息官(DoD CIO)牽頭制定,旨在確保國防部以更高效、更有效的方式執(zhí)行任務(wù),為美國國防部IT現(xiàn)代化領(lǐng)域一系列其他戰(zhàn)略文件提供頂層指導(dǎo)。在《戰(zhàn)略》附錄中列出的在國防領(lǐng)域有應(yīng)用前景的技術(shù)中,將零信任安全(Zero Trust Security)作為了美國國防部優(yōu)先發(fā)展的技術(shù)之一。 零信任是一種網(wǎng)絡(luò)安全策略,它在整個架構(gòu)中嵌入安全性,以阻止數(shù)據(jù)泄露。此安全模型消除了信任或不信任的網(wǎng)絡(luò)、設(shè)備、角色或進(jìn)程的概念,并轉(zhuǎn)變?yōu)榛诙鄬傩缘闹眯偶墑e,從而在最低特權(quán)訪問概念下啟用身份驗證和授權(quán)策略。
1 零信任安全模式從何而來?
在網(wǎng)絡(luò)監(jiān)控?zé)o處不在的時代,很難確定誰是值得信任的。我們能相信互聯(lián)網(wǎng)流量沒有被監(jiān)聽嗎?當(dāng)然不能!我們既無法信任提供光纖租用的互聯(lián)網(wǎng)服務(wù)商,也無法信任昨天在數(shù)據(jù)中心布線的合同工。“數(shù)據(jù)中心內(nèi)部的系統(tǒng)和網(wǎng)絡(luò)流量是可信的”這一假設(shè)是不正確的?,F(xiàn)代的網(wǎng)絡(luò)設(shè)計和應(yīng)用模式,已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡(luò)邊界的安全防護(hù)模式逐漸失去原有的價值。因此,網(wǎng)絡(luò)邊界的安全防護(hù)一旦被突破,即使只有一臺計算機(jī)被攻陷,攻擊者也能夠在“安全的”數(shù)據(jù)中心內(nèi)部自由移動。零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網(wǎng)絡(luò)位置建立信任,而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機(jī)制的前提下,有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。
據(jù)有關(guān)機(jī)構(gòu)調(diào)查分析,內(nèi)部人員威脅是造成企業(yè)數(shù)據(jù)泄露的第二大原因。企業(yè)員工、外包人員等內(nèi)部用戶通常擁有特定業(yè)務(wù)和數(shù)據(jù)的合法訪問權(quán)限,一旦出現(xiàn)憑證丟失、權(quán)限濫用或非授權(quán)訪問等問題,往往會導(dǎo)致企業(yè)的數(shù)據(jù)泄漏。外部黑客攻擊是造成企業(yè)數(shù)據(jù)泄露的第一大原因。美國Verizon 公司《2017 年數(shù)據(jù)泄露報告》分析指出,攻擊者滲透進(jìn)企業(yè)的內(nèi)網(wǎng)之后,并沒有采用什么高明的手段竊取數(shù)據(jù),81% 的攻擊者只是利用偷來的憑證或者“爆破”得到的弱口令,就輕而易舉地獲得了系統(tǒng)和數(shù)據(jù)的訪問權(quán)限。造成數(shù)據(jù)泄露的兩大原因值得我們深入思考:企業(yè)的安全意識在不斷提高,網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的投入也在不斷加大,為什么類似數(shù)據(jù)泄露這樣的安全事件并沒有得到很好的遏制,反而有愈演愈烈的趨勢?我們在企業(yè)網(wǎng)絡(luò)安全體系建設(shè)上忽視了什么?提到網(wǎng)絡(luò)安全防護(hù),人們第一時間會考慮如何對抗具體的威脅。例如,通過消費威脅情報構(gòu)建積極防御能力,對抗高級威脅、APT 攻擊等。這些防護(hù)措施當(dāng)然必不可少,而且必須隨著威脅的升級持續(xù)演進(jìn)。但是,在企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系的過程中,人們往往忽視最基礎(chǔ)的架構(gòu)安全能力建設(shè)。網(wǎng)絡(luò)安全架構(gòu)往往伴隨IT 技術(shù)架構(gòu)的變革不斷演進(jìn),而數(shù)字化轉(zhuǎn)型的技術(shù)本質(zhì)恰恰是IT 技術(shù)架構(gòu)的劇烈變革。在新的IT 技術(shù)架構(gòu)下,傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念如果不能隨需應(yīng)變,自然會成為木桶最短的那塊木板。
傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)。企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時,首先尋找安全邊界,把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、隔離區(qū)(DMZ)等不同的區(qū)域,然后在邊界上通過部署防火墻、WAF、IPS 等網(wǎng)絡(luò)安全產(chǎn)品/ 方案進(jìn)行重重防護(hù),構(gòu)筑企業(yè)業(yè)務(wù)的數(shù)字護(hù)城河。這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全,在某種程度上預(yù)設(shè)了對內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任,從而忽視內(nèi)網(wǎng)安全措施的加強(qiáng)。于是,攻擊者一旦突破企業(yè)的網(wǎng)絡(luò)安全邊界進(jìn)入內(nèi)網(wǎng),常常會如入無人之境。此外,云計算等的快速發(fā)展導(dǎo)致傳統(tǒng)的內(nèi)外網(wǎng)邊界模糊,很難找到物理上的安全邊界。企業(yè)自然無法基于傳統(tǒng)的安全架構(gòu)理念構(gòu)筑安全基礎(chǔ)設(shè)施,只能訴諸于更靈活的技術(shù)手段對動態(tài)變化的人、設(shè)備、系統(tǒng)進(jìn)行識別、認(rèn)證、訪問控制和審計,以身份為中心的訪問控制成為數(shù)字時代架構(gòu)安全的第一道關(guān)口。零信任安全架構(gòu)正是擁抱了這種技術(shù)趨勢,從而成為數(shù)字時代網(wǎng)絡(luò)安全架構(gòu)演進(jìn)的必然選擇。
2 什么是零信任安全
零信任網(wǎng)絡(luò)的概念建立在以下5個基本假定之上。
* 網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中。
* 網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅。
* 網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度。
* 所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。
* 所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。
* 安全策略必須是動態(tài)的,并基于盡可能多的數(shù)據(jù)源計算而來。
傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)把不同的網(wǎng)絡(luò)(或者單個網(wǎng)絡(luò)的一部分)劃分為不同的區(qū)域,不同區(qū)域之間使用防火墻進(jìn)行隔離。每個區(qū)域都被授予某種程度的信任,它決定了哪些網(wǎng)絡(luò)資源允許被訪問。這種安全模型提供了非常強(qiáng)大的縱深防御能力。比如,互聯(lián)網(wǎng)可訪問的Web服務(wù)器等高風(fēng)險的網(wǎng)絡(luò)資源,被部署在特定的區(qū)域(一般稱為“隔離區(qū)”,DMZ),該區(qū)域的網(wǎng)絡(luò)流量被嚴(yán)密監(jiān)控和嚴(yán)格控制。這是一種常見的網(wǎng)絡(luò)安全架構(gòu),如圖1所示。
圖1 傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)
零信任模型徹底改變了這種安全架構(gòu)。傳統(tǒng)的網(wǎng)絡(luò)分區(qū)與隔離安全模型在過去發(fā)揮了積極作用,但是現(xiàn)在卻疲于應(yīng)對高級的網(wǎng)絡(luò)攻擊。傳統(tǒng)的安全模型主要有以下缺點。
* 缺乏網(wǎng)絡(luò)內(nèi)部的流量檢查。
* 主機(jī)部署缺乏物理及邏輯上的靈活性。
* 存在單點故障。
需要關(guān)注的是,如果基于網(wǎng)絡(luò)位置劃分區(qū)域的需求消失了,那么對VPN的需求也就消失了。VPN的作用是對用戶進(jìn)行身份認(rèn)證并分配IP地址,然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò),然后進(jìn)行數(shù)據(jù)包的解封裝和路由?;蛟S人們從來沒有想過,在某種程度上,VPN是一種不會遭人懷疑的后門。
如果網(wǎng)絡(luò)的位置對于網(wǎng)絡(luò)安全失去價值,那么諸如VPN等網(wǎng)絡(luò)安全設(shè)備也會失去其原有的價值。當(dāng)然,這也迫使我們把安全控制的實施點盡可能地前推到網(wǎng)絡(luò)邊緣,這同時也減輕了網(wǎng)絡(luò)核心設(shè)備的安全責(zé)任。此外,大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻,交換和路由技術(shù)的進(jìn)展也為在網(wǎng)絡(luò)邊緣部署高級功能創(chuàng)造了機(jī)會。將所有這些改變帶來的收益匯集在一起,得出一個結(jié)論:是時候進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的范式轉(zhuǎn)換了。利用分布式策略實施和應(yīng)用零信任原則,可以構(gòu)建如圖2所示的網(wǎng)絡(luò)安全架構(gòu)。2
圖2 零信任網(wǎng)絡(luò)安全架構(gòu)
3 零信任的技術(shù)方案與實踐特點
零信任架構(gòu)重新評估和審視了傳統(tǒng)的邊界安全架構(gòu),并給出了新思路:應(yīng)該假設(shè)網(wǎng)絡(luò)自始至終充滿外部和內(nèi)部威脅,不能僅憑網(wǎng)絡(luò)位置來評估信任;默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部或外部的任何人、設(shè)備、系統(tǒng),需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ);并且訪問控制策略應(yīng)該是動態(tài)的,基于設(shè)備和用戶的多源環(huán)境數(shù)據(jù)計算得來。零信任對訪問控制進(jìn)行了范式上的顛覆,引導(dǎo)網(wǎng)絡(luò)安全架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”。從技術(shù)方案層面來看,零信任安全架構(gòu)是借助現(xiàn)代身份管理技術(shù)實現(xiàn)對人、設(shè)備和系統(tǒng)的全面、動態(tài)、智能的訪問控制。
零信任架構(gòu)的技術(shù)方案包含:業(yè)務(wù)訪問主體、業(yè)務(wù)訪問代理和智能身份安全平臺,三者之間的關(guān)系如下圖3所示。
圖3 零信任架構(gòu)的技術(shù)方案
業(yè)務(wù)訪問主體:是業(yè)務(wù)請求的發(fā)起者,一般包括用戶、設(shè)備和應(yīng)用程序三類實體。在傳統(tǒng)的安全方案中,這些實體一般單獨進(jìn)行認(rèn)證和授權(quán),但在零信任架構(gòu)中,授權(quán)策略需要將這三類實體作為一個密不可分的整體來對待,這樣可以極大地緩解憑證竊取等安全威脅。零信任架構(gòu)落地實踐中,常常將其簡化為用戶和設(shè)備的綁定關(guān)系。
業(yè)務(wù)訪問代理:是業(yè)務(wù)訪問數(shù)據(jù)平面的實際控制點,是強(qiáng)制訪問控制的策略執(zhí)行器。所有業(yè)務(wù)都隱藏在業(yè)務(wù)訪問代理之后,只有完成設(shè)備和用戶的認(rèn)證,并且業(yè)務(wù)訪問主體具備足夠的權(quán)限,業(yè)務(wù)訪問代理才對其開放業(yè)務(wù)資源,并建立起加密的業(yè)務(wù)訪問數(shù)據(jù)通道。
智能身份平臺:是零信任架構(gòu)的安全控制平面。業(yè)務(wù)訪問主體和業(yè)務(wù)訪問代理分別通過與智能身份安全平臺的交互,完成信任的評估和授權(quán)過程,并協(xié)商數(shù)據(jù)平面的安全配置參數(shù)?,F(xiàn)代身份管理平臺非常適合承擔(dān)這一角色,完成身份認(rèn)證、身份治理、動態(tài)授權(quán)和智能分析等任務(wù)。
4 零信任架構(gòu)的技術(shù)實踐具有以下特點
以身份為中心:零信任的本質(zhì)是以身份為中心進(jìn)行動態(tài)訪問控制,全面身份化是實現(xiàn)零信任的前提和基石?;谌嫔矸莼瑸橛脩?、設(shè)備、應(yīng)用程序、業(yè)務(wù)系統(tǒng)等物理實體建立統(tǒng)一的數(shù)字身份標(biāo)識和治理流程,并進(jìn)一步構(gòu)筑動態(tài)訪問控制體系,將安全邊界延伸至身份實體。
持續(xù)身份認(rèn)證:零信任架構(gòu)認(rèn)為一次性的身份認(rèn)證無法確保身份的持續(xù)合法性,即便是采用了強(qiáng)度較高的多因子認(rèn)證,也需要通過持續(xù)認(rèn)證進(jìn)行信任評估。例如,通過持續(xù)地對用戶訪問業(yè)務(wù)的行為、操作習(xí)慣等進(jìn)行分析、識別和驗證,動態(tài)評估用戶的信任度。動態(tài)訪問控制:傳統(tǒng)的訪問控制機(jī)制是宏觀的二值邏輯,大多基于靜態(tài)的授權(quán)規(guī)則、黑白名單等技術(shù)手段進(jìn)行一次性的評估。零信任架構(gòu)下的訪問控制基于持續(xù)度量的思想,是一種微觀判定邏輯,通過對業(yè)務(wù)訪問主體的信任度、環(huán)境的風(fēng)險進(jìn)行持續(xù)度量并動態(tài)判定是否授權(quán)。主體的信任度評估可以依據(jù)采用的認(rèn)證手段、設(shè)備的健康度、應(yīng)用程序是否企業(yè)分發(fā)等等;環(huán)境的評估則可能包括訪問時間、來源IP 地址、來源地理位置、訪問頻度、設(shè)備相似性等各種時空因素。
智能身份分析:零信任架構(gòu)提倡的持續(xù)認(rèn)證、動態(tài)訪問控制等特性會顯著地增加管理開銷,只有引入智能身份分析,提升管理的自動化水平,才能更好地實現(xiàn)零信任架構(gòu)的落地。智能身份分析可以幫助我們實現(xiàn)自適應(yīng)的訪問控制,還能夠?qū)Ξ?dāng)前系統(tǒng)的權(quán)限、策略、角色進(jìn)行分析,發(fā)現(xiàn)潛在的策略違規(guī)并觸發(fā)工作流引擎進(jìn)行自動或人工干預(yù)的策略調(diào)整,實現(xiàn)治理的閉環(huán)。
5 結(jié) 語
基于零信任推動企業(yè)網(wǎng)絡(luò)安全架構(gòu)的重構(gòu)應(yīng)該上升到企業(yè)數(shù)字化轉(zhuǎn)型的戰(zhàn)略層面,與業(yè)務(wù)規(guī)劃同步進(jìn)行,并明確愿景和路線圖,成立專門的組織,指派具有足夠權(quán)限的負(fù)責(zé)人,才能保障零信任安全的落地和逐步實施。數(shù)字時代,零信任架構(gòu)必將成為企業(yè)網(wǎng)絡(luò)安全的新范式。企業(yè)機(jī)構(gòu)應(yīng)當(dāng)開放心態(tài),積極擁抱這種理念的變化,務(wù)實推動零信任架構(gòu)的落地實踐,為數(shù)字時代的企業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。
來源:信息安全與通信保密雜志社