一、开篇前言
从本篇开始,正式启动《网络安全架构》系列。
这是一个非常宏大的主题,也许它会无所不包,但核心的关注点将是安全的顶层设计。这与笔者的职业方向一致,所以就这么愉快的确定了。
笔者不再使用“第X篇”这样的标题,因为担心后面的篇数会数不过来。但是会保留“网络安全架构| ”这样的前缀,以表示本系列的延续性。
按理说,笔者开篇应该介绍安全架构研究的范畴和定义,至少是主要研究方向。但实话实说,笔者在这个问题上,还没有明确思路。所以还没有办法像《美军网络安全》系列那样,开篇就给出一个大致的研究框架。这个研究框架先记在账上,日后再还。
所以,这将是一个随心所至、边走边写的系列。
由于零信任架构太火,就先从它开始吧。
二、对零信任架构的认知
零信任架构(ZTA,Zero Trust Architecture):是安全思维和安全架构进化的必然,聚焦身份、业务、信任和动态访问控制等维度的安全能力,而这些能力和客户的业务密不可分,所以零信任是一种内生安全。基于业务场景的人、流程、访问、环境等多维的因素,对信任进行评估,并通过信任等级对权限进行动态调整,这是一种动态自适应的安全闭环体系。
零信任的落地:需要结合现状和需求,将零信任的核心能力和组件内嵌入业务体系,构建自适应内生安全机制,建议在业务建设之初进行同步规划,进行安全和业务的深入聚合。
零信任与边界安全关系:安全是叠加演进的,零信任并非要完全替代边界安全,两者将在不同的层面组合使用:边界安全将继续作为第一道防线,零信任则在下一层访问中捕获网络破坏者。
有些人仍然停留在“零信任只是炒概念,无法落地”的阶段——希望您不是这些人:
- 如果说RSA2019大会上,国外的零信任产品和解决方案已经满大街,你也许不信;
- 如果说国内几家大牌安全厂商,已经推出零信任安全产品和解决方案,你可能还是不信;
- 如果说国内几大重要部委,正在落地零信任安全解决方案,你可能更是不信;
那笔者只能拿美国标准和美国防部说事了。
三、美国国家标准技术研究所发布《零信任架构》草案
1、标准草案的推出
2019年9月,美国国家标准技术研究所(NIST)发布了《零信任架构》草案(SP800-207)(以下简称《草案》),以对外征求意见。
征求意见的时间范围是:2019年9月23日-2019年11月22日,整整2个月。
《零信任架构》草案封面
《草案》包含零信任架构的定义、逻辑组件、部署场景和方案、潜在困难。《草案》还为拟将迁移到零信任安全架构的组织提供了总体路线图,并讨论了可能影响或确实影响零信任架构的相关国家政策。
以下是草案目录:
- 第1节:简介
- 第2节:ZTA定义
- 第3节:ZTA的逻辑组件
- 第4节:ZTA部署场景和方案
- 第5节:ZTA策略对企业的挑战
- 第6节:ZTA原则如何与政府机构现有规范和指南相适应
- 第7节:实施ZTA的步骤
2、近十年的探索尝试
事实上,近十年来,美国政府机构在许多方面一直在做基于零信任的网络安全的各类尝试和探索,并推进相关能力建设和政策。从《联邦信息安全管理法》(FISMA)开始,然后是《风险管理框架》(RMF)、联邦身份凭据和访问管理 (FICAM)、受信任的互联网连接 (TIC)、持续诊断和缓解 (CDM) 计划,这些计划都旨在限制授权方的数据和资源访问。
不过这些计划在启动当时,都受到了信息系统技术能力的限制。彼时的安全策略基本上是静态的,并在组织可控制的最大“瓶颈”上执行,以取得最大的效果。
随着技术的成熟,以动态和细粒度的方式持续分析和评估访问请求成为可能。目前,零信任安全战略已开始在美国联邦网络安全政策和方案中试验,本次草案发布的目的是为了开展更多研究及标准化,以帮助各机构制定和实施零信任安全战略。
3、零信任架构的定义
根据NIST《草案》的定义,零信任架构是一种端到端的网络安全体系,包含身份、凭据、访问管理、操作、终端、托管环境与关联基础设施。零信任是一种侧重于数据保护的体系结构方法。零信任架构提供了相关概念、思路和组件关系(体系结构)的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。
过去(传统上),机构(和一般的企业网络)专注于边界防御,经过授权的用户可以广泛地访问资源(权限过大)。因此,网络内未经授权的横向移动一直是政府机构面临的最大挑战之一。可信Internet连接(TIC)和代理外围防火墙提供了强大的Internet网关,这有助于阻止来自Internet的攻击者,但TIC和外围防火墙在检测和阻止来自网络内部的攻击方面用处不大。
基于零信任架构的安全产品和解决方案不应该仅仅在企业网络边界上进行粗粒度的访问控制,而是应该对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制,具有更好的弹性和自适应性。
4、零信任架构的原则
零信任架构的设计和部署遵循以下基本原则:
1)所有数据源和计算服务都被视为资源。如果允许个人拥有的设备访问企业拥有的资源,则企业可以决定将其归类为资源。
2)无论网络位置如何,所有通信都是安全的。网络位置并不意味着信任。换言之,不应对位于企业自有网络基础设施上的设备自动授予任何信任。所有通信应以安全的方式进行(即加密和认证)。
3)对单个企业资源的访问是基于每个连接授予的。在授予访问权限之前,将评估请求者的信任。对一个资源的身份验证并不会自动授予对另一个资源的访问权限。
4)对资源的访问由策略决定,包括用户身份和请求系统的可观察状态,并且可以包括其他行为属性。一个组织通过定义其拥有的资源、其成员是谁以及这些成员需要哪些资源访问权来保护资源。用户标识包括使用的网络帐户和企业分配给该帐户的任何相关属性。请求系统状态包括设备特征,如已安装的软件版本、网络位置、以前观察到的行为、已安装的凭据等。行为属性包括自动用户分析、设备分析和测量到的与观察到的使用模式的偏差。策略是组织分配给用户、数据资产或应用程序的一组属性。这些属性基于业务流程的需要和可接受的风险水平。资源访问策略可以根据资源/数据的敏感性而变化。
5)企业确保所有拥有的和关联的系统处于尽可能最安全的状态,并监视系统以确保它们保持尽可能最安全的状态。实施零信任架构策略的企业应建立持续诊断和缓解(CDM)计划,以监测系统状态,并根据需要应用补丁/修复程序。
6)在允许访问之前,用户身份验证是动态的并且是严格强制的。这是一个不断的访问、扫描和评估威胁、调整和不断验证的循环。实施零信任架构策略的企业具有用户供应系统,并使用该系统授权对资源的访问。这包括使用多因子身份验证(MFA)访问某些(或所有)企业资源。根据策略(如基于时间的、请求的新资源、资源修改等)的定义和实施,在用户交互过程中不断进行监视和重新验证,以实现安全性、可用性、可用性和成本效率之间的平衡。
5、零信任架构的组件
在组织和企业中,构成零信任架构部署的逻辑组件通常有很多,《草案》中描述了一种典型的方案逻辑及核心产品组件:
NIST零信任架构典型逻辑图
策略引擎(Policy Engine, PE):该组件负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源(例如IP黑名单,威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问,策略引擎的核心作用是信任评估。
策略管理器(Policy Administrator, PA):该组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关,并依赖于其决定最终允许或拒绝连接,策略管理器的核心作用是策略判定点,是零信任动态权限的判定组件。
策略执行点(Policy Enforcement Point, PEP):这实际上是一个组件系统,负责开始,持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件:客户端组件(如用户笔记本电脑上的agent)与资源端组件(如资源前控制访问的网关),策略执行点确保业务的安全访问。
除了上述组件以外,《草案》认为零信任架构需要和身份管理、PKI、访问策略等身份、凭证、权限管理系统进行联动,在身份的基础上构建访问控制体系;并且基于大量的数据源,持续对访问的主体进行信任评估并对访问权限进行动态调整。
6、零信任架构的部署
任何企业网络都可以在设计时考虑零信任原则。如今,大多数组织的企业基础架构已经具有了零信任的某些要素,或者正在通过实施信息安全性和弹性策略以及最佳实践来实现。有几种场景可以更轻松地实施零信任体系架构。
1)拥有多分支机构的企业
2)多种云环境的企业
3)使用外包服务和/或非员工访问权限的企业
4)跨企业协同的场景
四、美国防部发布零信任架构白皮书
2019年7月9日,美国国防部国防创新委员会(DIB,Defense Innovation Board)发布了DIB零信任架构白皮书(DIB Zero Trust White Paper)《零信任安全之路》(The Road to Zero Trust (Security)),指导国防部网络实施零信任架构。
1、白皮书概要
以下是白皮书主要内容摘要:
零信任架构(ZTA)能够从根本上改变国防部网络安全和数据共享的有效性。从安全角度来看,ZTA可以更好地跟踪和阻止外部攻击者,同时限制由内部人为错误导致的安全漏洞;从数据共享角度来看,ZTA可以更好地管理国防部用户和设备的访问规则;ZTA的网络设计和灵活性将有助于国防部更快地采用和实施云计算、人工智能、机器学习等关键网络技术和赋能技术。
国防部网络安全正处于关键时刻。它的网络规模和复杂性在不断扩大,需要大量的快速数据传输来保持数字和物理战场上的态势感知。随着越来越多的用户和端点接入,增加了网络的攻击面。这一挑战并不是国防部独有的——商业部门也面临着同样的挑战,他们的网络不断建立新的连接,连接到各种各样的其他网络,这些网络会导致新的漏洞。因此,公共和私营部门正在重新评估当前的边界安全方法,并考虑新的方法。其中一种方法是“零信任”,它可以推动商业和国防部网络安全改进的逐步改变。
零信任架构(ZTA)通过为网络中的特定应用程序和服务创建离散的、细化的访问规则,可以显著抵消国防部网络中的漏洞和威胁。使用基本的零信任原则,可以防止一些最严重的网络违规案例——例如,如果将ZTA访问规则应用于斯诺登(Edward Snowden),他将无法获得他向公众发布的广泛文档。相反,他在国家安全局网络中被授予“系统管理员”特权,这使他可以全面访问资源和文件。这种盲目信任网络用户和设备的方法是不可持续的,并将继续使国家安全信息和操作处于危险之中,直到解决为止。
2、当前网络安全:传统边界安全
数字世界的快速发展和扩张伴随着越来越多的复杂网络威胁。早期用户依靠反病毒扫描来检测和清除单个设备上的病毒,这种做法逐渐演变为终端保护、威胁检测和响应等来保护更广泛的网络。由于早期终端和用户数量有限,因此可以依赖边界安全,通过检查用户身份和进出的数据包来保护网络的入口/出口点。
然而,随着网络扩展到包含大量端点,用户需要从不同位置访问,这种方法迅速变得力不从心。此外,攻击对手也在寻找绕过边界安全的方法。网络扩展和对手的创造力要求越来越多的防火墙具有复杂的规则,这是成本密集型的,收益递减。边界安全必须不断调整防火墙,以适应网络中不断扩大的授权进入者和进出网络的流量。防火墙等基础设施因此负担沉重而且成本高昂,但是往往无法解决问题。
国防部网络也面临着这种压力,而且规模更大,风险也比私营部门高。随着战场的持续快速发展和敌方与国防部的能力差距缩小,国防部将需要提高态势感知来增强决策能力,这需要在一系列广泛、多样的系统和平台上实时共享大量数据。新技术应用也在提升国防部的能力:例如,从4G向5G的转变将极大地影响全球通信网络的未来,并从根本上改变国防部的运作环境。5G将使更多的系统和平台以更快的速度共享更大的数据量,并能够增强国防部的决策和战略能力,从企业网络到战场环境。5G将增强国防部将多个系统连接到更广泛网络的能力,同时实时共享信息,改进跨服务、地域和域的通信,同时开发战场的通用图像,以提高态势感知。
这种快速的数据传输对于国防部未来能力的发展和增强态势感知至关重要。然而,扩展网络中增加的每一个端点和数据传输为敌方在国防部网络上瞄准数据和作战能力创造了新的机会。随着攻击面的扩大,边界安全将越来越不堪重负,允许更多未经授权的用户进入网络。正如这些技术产生更多的数据流量一样,它们也将使威胁的数量和速度增加,使得任何边界安全系统都难以监视和管理这些威胁。如果不改变网络安全战略,国防部就有可能危及其数据、网络和操作。
3、下一代网络安全:零信任架构
比较住房子和住公寓的经历。
- 在你的房子里:只有少数几个入口和少数熟悉的人,他们有通往这些入口的钥匙。出于这些原因,你可能不会锁上你房子里的所有门,因为你对“周边安全”有信心。
- 在一栋公寓楼里:有更多的入口点和更长的进入人员名单,这会降低你对其他进入人员的熟悉度,增加未经授权进入的风险。因此,你可能会锁上你公寓的门,而不是仅仅依靠公寓大楼的周边安全,因为你不太确定大楼里的每个人都有权在那里。
早期的网络可能看起来像你的房子,但它们越来越多地朝着公寓楼的方向变化。网络已经广泛分布在与外部服务和复杂连接,拥有更多的“租户”和越来越多的入口/出口点。如前所述,边界安全变得越来越昂贵,因为它需要更多具有复杂过滤功能的防火墙,来覆盖不断扩大的网络攻击面。
ZTA不再采用边界思维,而是假定对网络本身不再信任。通过假设网络受到威胁,安全性可以采取更细微的方法,保护对网络内资源的访问,并建立强大的身份验证和授权标准,以允许基于用户和设备特定属性的特定访问。ZTA以“最小权限访问”模式运行,只允许用户和设备访问对组织内“角色”是绝对必要的应用程序、服务和数据。通过使用“角色”作为确定访问权限的中心,组织可以更精确地共享其资源和数据,并在用户担任不同角色时快速扩展或限制用户的访问权限。
边界安全与零信任的组合:边界安全将继续作为第一道防线,但盲目依赖它将增加网络泄露和数据拦截的风险。ZTA可以在下一层访问中捕获网络破坏者,将用户和设备的身份与这些用户和设备关联的授权匹配,以确保适当和安全地授予访问权限,从而弥补边界安全的不足。ZTA将重点从网络的外围转移到网络中的离散应用程序和服务,从而建立对这些特定资源的更具体的访问控制。这种将安全性包装在应用程序和服务上的方法被称为“微隔离”,它允许比传统的边界安全性更具针对性的安全性和访问管理。
传输加密的必要性:如果减少了对网络边界安全的依赖,那么进入和退出ZTA系统的数据包的安全性就变得更加关键。因此,对这些数据包的加密,是任何ZTA最基本的要求之一,并且应该是任何良好安全架构和数据传输(包括SSL和TLS等协议)中的标准。身份验证和授权过程对ZTA的成功也至关重要,因为它为每个应用程序和服务提供用户和设备验证。
4、零信任的验证步骤
ZTA的验证需要三个基本步骤,适用于网络中的应用程序和服务级别:
- 验证用户(身份验证)
- 验证设备(验证)
- 验证访问权限(授权)
这三层验证是通过基于每一层的一系列合规性检查来完成的。如果不通过这些检查,则会将用户或设备标记为“不符合”,并拒绝该用户访问或设备访问。
国防部军种/机构特定的应用程序和系统可以构建自己的合规性检查,驱使所有与它们交互的用户和设备遵守这些规则集。这反过来又会影响那些军种/机构以外的用户和设备,促使这些军种/机构必须同样遵守这些要求才能进入。
合规性度量可以(也应该)是迭代的。ZTA可以从一组适度的身份和设备检查开始,然后随着时间的推移,根据特定应用程序和服务的敏感性以及所需的访问限制,开发一个更复杂的规则集。随着用户和设备的更多信息被收集,每一代合规性检查都将有能力为访问控制增加更多的细微差别,从而建立一个更全面的数字图像。这些检查将不仅确保用户和设备的身份,而且确保其完整性:虽然身份检查将映射每个用户和设备的特征,但完整性检查可以在设备上运行健康诊断以发现失陷迹象。如果某个设备具有适当的特征,但表现出失陷迹象(例如,缺乏加密、病毒感染),则该设备将被视为不合规,并被拒绝访问。
一种这样的身份检查包括证书管理,这将有助于通过将公钥与请求访问应用程序或服务的设备配对来验证ZTA中的身份。虽然证书本身可能被盗或被仿造,但ZTA通过将证书和公钥作为用户和设备的一个属性(必须使用多个其他属性进行验证,才能进行身份验证和授予访问请求)来防范这一风险。此外,证书可以通过将用户和设备数据都包含到证书中来加强,这两种数据都需要验证,以便能够对其中任何一种进行访问。
在高级ZTA中,这种健康检查最终可能应用于被访问的应用程序或服务——一旦访问请求者得到验证,零信任模型就可以查询访问目的地,以确保该目的地的安全。通过从“单向握手”模式过渡到“双向握手”模式,组织可以更好地确保用户和设备以及应用程序和服务都不会受到攻击和相互感染。
ZTA的更高级形式还可以通过对每个应用程序和服务内部的离散区域应用微分段来保护应用程序和服务,并为这些区域中的每个区域构建特定的访问规则。这种方法可以抵御渗透到网络周边和应用程序或服务本身的对手,从而限制这些对手的数据访问和可操作性。与应用程序和服务级别的微分段一样,这些实体中的微分段应该要求特定于所述子分段的身份验证和授权,从而实现更精确的“最小权限访问”安全模型。
5、国防部零信任实施
国防部已做好实施准备。
许多国防部网络系统都是陈旧的、孤立的,但如上所述,这并不意味着它们受到实施零信任的限制。零信任解决方案可以在单个组织或跨组织应用程序内启动,并快速驱动与该组织或应用程序交互的所有用户和设备实现法规遵从性,并注册其属性以进行身份验证和授权。
ZTA可以在国防部内部实现,它建立在一组初始的应用程序和服务之上,这些应用程序和服务遵循零信任原则,创建了一个不断扩展的用户和设备网络,这些用户和设备的特征映射为访问管理。特定组织的应用程序和跨组织的应用程序都是零信任的有效起点——只要它们与用户和设备有大量接触点,零信任的基础知识就会在国防部传播。
国防部的运营越来越需要用户和设备之间更好的信息流进出国防部,而ZTA可以提供解决方案满足这一需求。国防部员工、承包商、第三方事务专家和盟军,可以更容易地使用ZTA认证和授权规则访问和共享信息,以授予高度特定的访问权限,而不必冒着暴露网络其余部分的风险。
零信任与现有身份基础设施的关系:国防部可能已经有了身份识别系统的基础,以CAC卡的形式支持认证过程。CAC中的基本特性可以作为合规性的基础,随着时间的推移,可以添加更多的特征。利用已有的身份管理机制(如CAC),并转移到ZTA,国防部将能够改进数据共享,提高态势感知,同时更好地防御威胁。关于美军现有身份基础设施的情况,可参见《美军网络安全 | 第5篇:身份和访问管理(IdAM)》。
由于国防部有大量孤立的网络,因此任何向ZTA的转移都可能是渐进的,从应用程序和服务的一套标准身份检查集开始,可以逐步集成到整个国防部的通用认证和授权机制中。作为这项工作的一部分,国防部需要改进其在整个组织中对用户角色(以及对这些角色的更改)的数字管理和跟踪,以便为特定的应用程序和服务建立访问控制。其中一些工作需要安全架构的重新配置,也需要在国防部的整个安全文化中进行转变,以促进角色和其他身份特征的准确和一致的记录保存。
五、国内最大网络安全厂商奇安信的零信任落地解决方案
随着零信任架构理念的不断完善,相关技术也在逐渐发展成熟,零信任架构逐渐从理念走向落地。
奇安信一直以来都关注着零信任的发展并在国内积极实践,充分研究国际上先进的零信任理念及实践,结合国内大型部委、央企客户的实际场景,利用在安全领域的各类技术优势,围绕“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大核心特性,推出零信任身份安全解决方案。
其核心技术组件包括可信应用代理(TAP)、可信API代理(TIP)、可信访问控制台(TAC)、智能身份分析系统(IDA)、身份及权限管理系统(IDM)、可信环境感知系统(TESS)等,通过这些技术组件,构建动态可信访问控制平台,作为访问主体和访问客体之间的安全桥梁,保障新IT架构下的主体对客体业务、数据访问的安全可信。
奇安信零信任架构典型逻辑图
奇安信零信任架构的四大核心特性“以身份为基石、业务安全访问、持续信任评估和动态访问控制”是借鉴了Google BeyondCorp项目的成果,结合国内大型客户场景的落地经验得出的实践总结,与NIST《草案》提出的关键逻辑组件能力不谋而合,是广受业界认可的零信任参考架构:
以身份为基石:需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。
业务安全访问:零信任架构关注业务保护面的构建,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权。
持续信任评估:通过信任评估引擎,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。
动态访问控制:通过动态访问控制,设置灵活的访问控制基线,基于信任等级实现分级的业务访问,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。
零信任架构四大核心特性
奇安信零信任身份安全解决方案,构筑基于身份的动态虚拟数字边界,助力企业最终实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构,有效缓解外部攻击和内部威胁,为企业数字化转型奠定安全根基。
六、小结和展望
本文中的大量翻译文字内容,源于奇安信集团下属的一些微信公众号:零信任安全社区、互联网安全内参、网络空间安全军民融合创新中心。欢迎大家关注。
要想更加深入地理解零信任的思想理念和实现细节,建议阅读奇安信身份安全团队的译著《零信任网络》。
希望下一篇切入主题:何谓网络安全架构。