在 上篇文章 中,我们介绍了零信任概念与身份管理之间的关系——身份管理是零信任安全体系构建不变的核心需求。本文继续聊聊在国内市场环境下,打造一个成熟的零信任身份管理模型面临着什么样的挑战,及其架构要点。
一、身份管理的落地挑战
由于国内企业的技术基础、业务形态、市场政策环境的特殊性,在零信任架构下,身份管理系统的落地面临着诸多挑战:
1. 身份数据连接
动态的身份控制需要有丰富的身份数据做支撑。中国企业在管理身份数据方面存在不少痛点,比如无法对分散在各系统中的身份数据进行统一管理和分析,应用系统间身份数据的打通难度高,等等。其中最为复杂的就是系统之间的数据异构性问题。
举个简单的例子,在企业微信和其他身份源系统的对接中,企业微信系统里的人员信息有个业务字段叫“启用/停用”,而身份源系统中可能有更多个状态:“待入职”、“离职”等,那怎么把这些信息一一对应起来,就是企业经常遇到的一个身份数据连接方面的挑战。
2. 权限管理
普华永道曾在《全球信息安全状况调查》中提到了人员安全的重要性,离职和在职员工,已经成为信息安全的重要威胁。应用访问权限是控制应用和数据安全的第一道门槛,错误的权限分配、或是离职员工账号未关停、以及日志审计缺乏必要的分级分权管理,都会给企业的安全带来隐患。
企业只有建立合理的权限分配和管理制度,才能有效预防各种因“人祸”引起的信息泄露、黑客攻击。
3. 合规审计
合规通常分为三种类型:
1)法律要求的合规,国内例如企业内部控制规范;
2)商业领域的合规,国内例如金融行业的内控指引;
3)政府领域的合规,比如国内的网络安全法和等级保护。
因此,如何通过可视化和系统化的数据分析和危机控制来满足多维度的合规审计要求,比如离职员工权限管控、僵尸账号审计等,也是国内企业面临的挑战之一。
二、零信任身份管理系统的架构设计与实现
一个现代化的零信任模型的表层依旧是用户(及设备)、权限策略引擎和企业的应用服务、机器资源(IDC/IaaS),这一层是用户容易感知、也是最常被讨论到的,尤其是其中的“权限策略引擎“,新的零信任环境下我们往往需要重新搭建一个高性能可横向扩展的权限引擎,处理更复杂更细粒度的访问策略。
在表层之下还有很多不可或缺的重要模块,比如企业统一身份管理目录、密钥管理系统KMS(或公钥基础设施)、风险评估、日志审计与SIEM(Security Information and Event Management) 等,这些恰恰是使得无边界的零信任访问成为可能的关键。以玉符IDaaS身份管理系统为例,各个模块之间的关系如下图所示,接下来我们介绍其中的关键模块。
图1 身份管理系统架构
1. 企业统一身份管理目录
一般有一定规模的企业内原本就存在着复杂的资源类型以及相应的权限模型,例如机器、各类应用服务、角色,还有大量的应用策略,现在我们还需要关心很多其他维度(“什么地点”,“什么网络环境”,“什么访问设备”等),可以毫不夸张地说,整个企业管理目录的复杂度将提高 2~3 个数量级。
我们在实践中遇到过一个大型企业,在改造完的目录中,单单应用的访问控制列表(ACL)有 4 百万条左右的规则,原有的目录体系已经无法支撑和处理这样的数据量级,利用分布式数据库来重新设计和搭建统一目录成为了唯一途径。
2. 密钥管理系统 KMS
企业内几乎所有应用都需要管理各种各样的私密信息,从个人的登陆密码、到生产环境的 Key 以及数据库登录信息、API 认证信息等。但传统做法会将这些秘密信息保存在某个文件中,这种方式弊端很多,比如跨团队分享存在安全隐患、文件格式难以维护、私密信息难以回收等。
密钥管理系统作为企业统一的一套系统或工具来处理私密信息的方方面面,大大提高了在零信任模式下企业这些秘密信息的安全性,需包含但不限于以下设计:
1. 提供稳定成熟的密钥管理 API,让企业内开发者轻松添加创建密钥信息、应用程序能获取和使用私密信息;
2. 支持不同策略更新私密信息、适时回收私密信息;
3. 提供基本 PKI 设施,为企业内所有的应用服务访问提供 256 位 SSL 加密证书支持,最好全部服务都是强制 HTTPS 连接;
4. 服务内的敏感信息也只缓存在受保护的内存空间内(Security Barrier),而不存在于任何持久化存储内(禁 SWAP),即使黑客攻破服务器的文件系统也无法获得有用信息。
3. 风险评估
风险评估往往可能是多个服务,例如人工智能评估引擎、威胁评估引擎等,这类服务基于历史和当前的访问信息,甚至还有来自企业的外部数据,主动发现企业内潜在的攻击行为或漏洞,从而标志出高危险人群、DNS 黑名单等,实时检测到有高危风险的用户行为,自动或根据设置调整用户的权限等级,进而减少企业损失。
4. 日志审计/ SIEM系统
企业需部署一套日志审计/ SIEM 系统,永久保留所有内部系统的操作日志,以保证对每位员工、设备的操作进行全时全方位的审计:
1. 防止任何运行时的敏感数据被记录,严格日志规范,加入代码审查;
2. 统一的日志系统,可审计用户在各个系统的行为,跨系统检测异常操作;
3. 严格限制内部员工访问权限,需在足够授权下才进行访问或修改。
无处不网络,无处不身份。在网络边界加速消融、身份管理变得复杂且棘手之时,企业不妨借助“身份即服务(Identity as a Service,IDaaS)” 的力量构建零信任安全架构下的身份管理“中枢系统”,点击了解更多