庖丁解牛:淺談零信任架構(gòu)

丁??萍?/div>
零信任架構(gòu)關(guān)注業(yè)務(wù)保護面的構(gòu)建,通過業(yè)務(wù)保護面實現(xiàn)對資源的保護,在零信任架構(gòu)中,應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以視作業(yè)務(wù)資源。通過構(gòu)建保護面實現(xiàn)對暴露面的收縮,要求所有業(yè)務(wù)默認隱藏,根據(jù)授權(quán)結(jié)果進行最小限度的開放,所有的業(yè)務(wù)訪問請求都應(yīng)該進行全流量加密和強制授權(quán),業(yè)務(wù)安全訪問相關(guān)機制需要盡可能工作在應(yīng)用協(xié)議層。

企業(yè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施日益復(fù)雜,安全邊界逐漸模糊。一方面,云計算、移動互聯(lián)等技術(shù)的采用讓企業(yè)的人和業(yè)務(wù)、數(shù)據(jù)“走”出了企業(yè)的邊界;另一方面,大數(shù)據(jù)、物聯(lián)網(wǎng)等新業(yè)務(wù)的開放協(xié)同需求導(dǎo)致了外部人員、平臺和服務(wù)“跨”過了企業(yè)的數(shù)字護城河。企業(yè)的安全邊界正在逐漸瓦解,傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)和解決方案難以適應(yīng)現(xiàn)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,亟需新的網(wǎng)絡(luò)安全架構(gòu)應(yīng)對現(xiàn)代復(fù)雜的企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,應(yīng)對日益嚴峻的網(wǎng)絡(luò)威脅形勢,零信任架構(gòu)在這種背景下應(yīng)運而生,學術(shù)界和產(chǎn)業(yè)界投入了大量精力進行研究。

1.png

圖1基于邊界的傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)

一、零信任的誕生

零信任的最早雛形源于2004年成立的耶利哥論壇(Jericho Forum),其成立的使命正是為了定義無邊界趨勢下的網(wǎng)絡(luò)安全問題并尋求解決方案。

2010年,零信任這個術(shù)語正式出現(xiàn),并指出所有的網(wǎng)絡(luò)流量都是不可信的,這個時期專注于通過微隔離對網(wǎng)絡(luò)進行細粒度的訪問控制以便限制攻擊者的橫向移動。

以身份為基石的架構(gòu)體系逐漸得到業(yè)界主流的認可。

2014年,Google基于內(nèi)部項目BeyondCorp的研究成果,構(gòu)建零信任架構(gòu)。

2017年,Gartner將其自適應(yīng)安全架構(gòu)優(yōu)化為持續(xù)自適應(yīng)風險與信任評估構(gòu)架。

二、零信任的定義

零信任本質(zhì)是以身份為基石的動態(tài)可信訪問控制。它需要滿足五個準則:

•網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中;

•網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅;

•網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度;

•所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當經(jīng)過認證和授權(quán);

•安全策略必須是動態(tài)的,并基于盡可能多的數(shù)據(jù)源計算而來。

根據(jù)零信任的定義和準則,可以提取、凝練出四個要素:分別是(1)身份為基石,(2)業(yè)務(wù)安全訪問,(3)持續(xù)信任評估,(4)動態(tài)訪問控制。

三、零信任架構(gòu)模型

(一)以身份為基石

基于身份而非網(wǎng)絡(luò)位置來構(gòu)建訪問控制體系,首先需要為網(wǎng)絡(luò)中的人和設(shè)備賦予數(shù)字身份,將身份化的人和設(shè)備進行運行時組合構(gòu)建訪問主體,并為訪問主體設(shè)定其所需的最小權(quán)限。

2.png

圖2以身份為基石

(二)業(yè)務(wù)安全訪問

零信任架構(gòu)關(guān)注業(yè)務(wù)保護面的構(gòu)建,通過業(yè)務(wù)保護面實現(xiàn)對資源的保護,在零信任架構(gòu)中,應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以視作業(yè)務(wù)資源。通過構(gòu)建保護面實現(xiàn)對暴露面的收縮,要求所有業(yè)務(wù)默認隱藏,根據(jù)授權(quán)結(jié)果進行最小限度的開放,所有的業(yè)務(wù)訪問請求都應(yīng)該進行全流量加密和強制授權(quán),業(yè)務(wù)安全訪問相關(guān)機制需要盡可能工作在應(yīng)用協(xié)議層。

3.png

圖3業(yè)務(wù)安全訪問

(三)持續(xù)信任評估

持續(xù)信任評估是零信任架構(gòu)從零開始構(gòu)建信任的關(guān)鍵手段,通過信任評估模型和算法,實現(xiàn)基于身份的信任評估能力,同時需要對訪問的上下文環(huán)境進行風險判定,對訪問請求進行異常行為識別并對信任評估結(jié)果進行調(diào)整。

4.png

圖4持續(xù)信任評估

(四)動態(tài)訪問控制

動態(tài)訪問控制是零信任架構(gòu)的安全閉環(huán)能力的重要體現(xiàn)。建議通過RBAC和ABAC的組合授權(quán)實現(xiàn)靈活的訪問控制基線,基于信任等級實現(xiàn)分級的業(yè)務(wù)訪問,同時,當訪問上下文和環(huán)境存在風險時,需要對訪問權(quán)限進行實時干預(yù)并評估是否對訪問主體的信任進行降級。

5.png

圖5動態(tài)訪問控制

四、零信任架構(gòu)組件

基于零信任模型架構(gòu),以搭建面向?qū)嶋H應(yīng)用的零信任系統(tǒng)為目標,需要依賴于四個核心組件—(1)可信代理,(2)動態(tài)訪問控制引擎,(3)信任評估引擎,(4)身份安全基礎(chǔ)設(shè)施。

(一)可信代理

可信代理是零信任架構(gòu)的數(shù)據(jù)平面組件,是確保業(yè)務(wù)安全訪問的第一道關(guān)口,是動態(tài)訪問控制能力的策略執(zhí)行點。

可信代理攔截訪問請求后,通過動態(tài)訪問控制引擎對訪問主體進行認證,對訪問主體的權(quán)限進行動態(tài)判定。只有認證通過、并且具有訪問權(quán)限的訪問請求才予以放行。

(二)動態(tài)訪問控制引擎

動態(tài)訪問控制引擎和可信代理聯(lián)動,對所有訪問請求進行認證和動態(tài)授權(quán),是零信任架構(gòu)控制平面的策略判定點。

動態(tài)訪問控制引擎對所有的訪問請求進行權(quán)限判定,權(quán)限判定不再基于簡單的靜態(tài)規(guī)則,而是基于上下文屬性、信任等級和安全策略進行動態(tài)判定。

(三)信任評估引擎

信任評估引擎是是零信任架構(gòu)中實現(xiàn)持續(xù)信任評估能力的核心組件,和動態(tài)訪問控制引擎聯(lián)動,為其提供信任等級評估作為授權(quán)判定依據(jù)。

信任評估引擎持續(xù)接收可信代理、動態(tài)訪問控制引擎的日志信息,結(jié)合身份庫、權(quán)限庫數(shù)據(jù),對身份進行持續(xù)畫像,對訪問行為進行持續(xù)分析,對信任進行持續(xù)評估,為動態(tài)訪問控制引擎提供決策依據(jù)。

另外,信任評估引擎也可以接收外部安全分析平臺的分析結(jié)果,這些外部風險源可以很好的補充身份分析所需的場景數(shù)據(jù),豐富上下文,從而進行更精準的風險識別和信任評估。

(四)身份安全基礎(chǔ)設(shè)施

身份基礎(chǔ)設(shè)施是是實現(xiàn)零信任架構(gòu)以身份為基石能力的關(guān)鍵支撐組件。

身份基礎(chǔ)設(shè)施至少包含身份管理和權(quán)限管理功能組件,通過身份管理實現(xiàn)各種實體的身份化及身份生命周期管理,通過權(quán)限管理,對授權(quán)策略進行細粒度的管理和跟蹤分析。

五、思考與總結(jié)

通過從零信任的發(fā)展、定義、模型架構(gòu)、模型組件等角度縱深剖析零信任架構(gòu),我們最終進行了如下總結(jié)與思考。

零信任架構(gòu)目前只是應(yīng)用于企業(yè)網(wǎng)絡(luò)系統(tǒng)的防御,實際應(yīng)用到公共服務(wù)中目前還存在著一些的困難。具體原因包括:

(1)零信任的原則是以身份為基石,為每個參與到網(wǎng)絡(luò)之中的角色分配一個具體的數(shù)字身份,而真正的公共服務(wù)中角色數(shù)量過于龐大,為每個角色分配數(shù)字身份進行權(quán)限控制會導(dǎo)致網(wǎng)絡(luò)負載過大的問題。

(2)零信任架構(gòu)存在著一個權(quán)限控制中心,這個控制中心必須位于絕對安全的位置,如企業(yè)內(nèi)網(wǎng)的防護中心,而公共服務(wù)較難做到這一點。

參考鏈接:

https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/Qi-An-Xin/Qianxin-1-1XXWAXWM.pdf

https://media.defense.gov/2021/Feb/25/2002588479/-1/-1/0/CSI_EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF

http://www.caict.ac.cn/kxyj/qwfb/ztbg/202008/P020200812382865122881.pdf

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論