网络信息安全之零信任

一、零信任产生的背景

对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。在边界安全理念中网络位置决定了信任程度,在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制;安全区域内的用户默认都是可信的(安全的),对边界内用户的操作不再做过多的行为监测,但是这就在每个安全区域内部存在过度信任(认为是安全的,给予的权限过大)的问题。同时由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的,因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网(互联网),这种风险就更为明显。

另外,随着云计算、物联网以及移动办公等新技术新应用的兴起,企业的业务架构和网络环境也随之发生了重大的变化,这给传统边界安全理念带来了新的挑战。比如云计算技术的普及带来了物理安全边界模糊的挑战,远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险,各种设备(BYOD、合作伙伴设备)、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险,高级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来了边界安全防护机制被突破的风险,这些都对传统的边界安全理念和防护手段,如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战,亟需有更好的安全防护理念和解决思路。

传统边界安全理念先天能力存在不足,新技术新应用又带来了全新的安全挑战,在这样的背景下,零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任;美国国防信息系统局(DISA)为了解决GIG(全球信息栅格,是美军信息化作战规划中极其重要且宏大的基础设施)中,如何实时、动态地对网络进行规划和重构的问题,发起了BlackCore项目,将基于边界的安全模型转换为基于单个事物安全性的模型,并提出了SDP(Software Defined Perimeter)的概念,该概念后来被云安全联盟(Cloud Security Alliance)采纳。2010年,由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任(Zero Trust)的概念,并由Google在BeyondCorp项目中率先得到了应用,很好的解决了边界安全理念难以应对的安全问题。

二、零信任的定义

根据NIST《零信任架构标准》中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。

零信任代表了新一代的网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。

在零信任理念下,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证,并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。

零信任理念的基本假设、基本原则如下:
1、零信任理念的基本假设
a) 内部威胁不可避免;
b) 从空间上,资源访问的过程中涉及到的所有对象(用户、终端设备、应用、网络、资源等)默认都不信任,其安全不再由网络位置决定;
c) 从时间上,每个对象的安全性是动态变化的(非全时段不变的)。
2、零信任的基本原则
a)任何访问主体(人/设备/应用等),在访问被允许之前,都必须要经过身份认证和授权,避免过度的信任;
b)访问主体对资源的访问权限是动态的(非静止不变的);
c)分配访问权限时应遵循最小权限原则;
d)尽可能减少资源非必要的网络暴露,以减少攻击面;
e)尽可能确保所有的访问主体、资源、通信链路处于最安全状态;
f)尽可能多的和及时的获取可能影响授权的所有信息,并根据这些信息进行持续的信任评估和安全响应。

零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定。

三、零信任技术体系

目前零信任主要有三大技术体系,分别是SDP(软件定义安全)IAM(增强身份管理)MSG(微隔离)
零信任三大技术体系

1、软件定义安全(SDP)

SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP仅允许在设备验证和身份验证后访问企业应用程序基础架构。SDP的体系结构由两部分组成:SDP主机和SDP控制器。SDP主机可以发起连接或接受连接。这些操作通过安全控制通道与SDP 控制器交互来管理。
SDP软件定义边界

SDP安全优势:
1.SDP最大限度地减少攻击面,降低安全风险;
2.SDP通过分离访问控制和数据通道来保护关键资产和基础设施,从而防止潜在的基于网络的攻击;
3.SDP提供了现有安全设备难以实现的整体集成安全架构。
4.SDP提供了一种基于连接的安全体系结构,而不是基于IP的替代方案。由于整个IT环境的爆炸式增长,云环境中缺乏边界使得基于IP的安全性变得脆弱。
5.SDP允许对所有连接进行预检查和控制,从这些连接可以连接设备、服务和设施,因此其整体安全性比传统架构更有利。

2、增强身份管理(IAM)

增强身份管理IAM是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。身份管理为所有用户,应用程序和数据启用并保护数字身份。
零信任身份与访问管理

身份管理可以帮助组织有效解决复杂业务带来的挑战,并平衡四个关键目标:
1.加强安全,降低风险。
2.提高合规性和审计绩效。
3.提供快速有效的业务访问。
4.降低运营成本。

3、微隔离(MSG)

微隔离是一种网络安全技术,它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。
威隔离MSG

微隔离是在数据中心和云部署中创建安全区域的一种方法。这种方法使企业组织能够分离工作负载并分别保护它们,从而使网络安全更加完善,从而更加有效。
以下是微隔离的一些优点:
1.减少攻击面
2.提高横向运动的安全性
3.安全关键应用
4.提高合规性

四、如何实现零信任体系

零信任的覆盖范围很广,根据企业的实际情况,可参考如下过程执行逐步建立零信任安全体系。

1、建立统一的认证平台,提升基础安全及执行能力
建立统一的认证能力平台,为所有业务系统提供认证能力。所有业务平台对接认证能力平台以获得中级及以上认证能力,大幅降低因认证方式带来的风险。
可结合已经建立的 4A 系统,升级 4A 系统认证体系。使用多因素认证提高安全等级。收集并绑定设备指纹,将每台设备(PC 端或移动 端)与账户关联绑定。通过账号与设备的绑定,实现用 户、账号、设备三位一体的认证体系。建立以零信任网关为核心的控制体系,该方式将大大提高对用户访问行为的控制,弥补现有业务系统在访 控制方面的安全短板。建立采集系统,在用户使用业务系统时,采集行为和环境信息。零信任网关体系可以与 4A 系统和其它业务系统结合,通过代理技术隐藏所有被代理系统的 IP 和端口,并对用户的访问行为进行鉴权检测。

2、升级或部署EDR,加强终端管控和行为风险发现能力
加强客户端监管,可通过升级资产与基线管理平台或部署EDR终端控制接入软件,对终端环境进行基线扫描和检查预警。对于不符合要求的终端,通过统一身份认证平台禁止其接入,同时,给出修复建议。
建立大数据处理系统,并通过该系统将上一阶段收集的用户行为信息进行统计和分析,结合电信内部管理规章制度,制定一套有针对性的基础专家规则。同时,建立规则引擎,规则引擎根据专家规则判断用户当前环境和行为风险。如果在规则中缺少必要信息指标,通过调整采集指标达到目标。
在基础规则基础上,根据不同的业务系统特点,深入挖掘与业务系统紧密相关的规则。结合认证方式在各个接入了认证能力平台的业务系统中实现自适应处置,使用户体会到初级智能化安全。规则引擎与身份认证系统对接,对接完成后,可以通过对用户访问各个业务系统的检测评估发现潜在风险,主要包括冒名访问和违规操作。

3、引入智能工具,从传统安全向智慧安全转变
建立机器学习平台,引入齐全的人工智能模型和可视化工具,利用前期收集的用户数据,训练适配的模型,建立智能规则引擎,对用户请求的行为信息和环境信息进行自动化评估,关联前期部署的规则引擎,验证并改良智能规则和引擎。通过机器学习平台建立无感知认证模型,作为辅助认证方式进一步提高用户体验,从“有认证”升华至“无认证”。通过大数据和机器学习模型,结合深度挖掘技术建立用户画像库,识别用户行为习惯,践行“行为即指纹”理念,实现“零信任”的终极目标。

参考资料来源:
零信任产业标准工作组《零信任实战白皮书》
《零信任架构的3大核心技术》
《零信任网络安全》
《零信任技术系统规范》


博客地址:http://xiejava.ishareread.com/

0%