点击上方“蓝字”关注我们
随着勒索病毒肆意爆发、大规模敏感数据泄露、针对性的黑客攻击等各类问题的频发,信息安全已经成为全社会关注的焦点,业界也在重新审视传统的护城河式信息安全建设方法论,特别是在新冠疫情影响下,全球都被迫开启了在线远程办公模式,如何在新的生产方式下保障安全并且平衡好生产效率和用户体验,是一个刚需且有实际价值的课题。
如何破题?我认为本质上还是一个安全信任的治理问题,因为现有的各类安全问题绝大多数可以归结为特定网络边界或区域内及区域间默认信任问题、身份伪造骗取信任问题、会话过程或代码执行过程中劫持信任问题等。我们需要对安全信任的全生命周期进行更加精细化和动态化的治理,包括信任的预授权准备、建立过程、信任的动态评估更新、信任与其他实体(资源、身份、操作行为等)的绑定联动、信任的撤销等。
现有的各类安全问题绝大多数可以归结为信任问题,如特定网络边界间默认信任问题、身份伪造骗取信任问题、会话或代码执行过程中劫持信任问题等。我们需要对安全信任的全生命周期进行更加精细化和动态化的治理,包括信任的预授权、建立过程、动态评估更新、与其他实体的绑定联动、信任的撤销等。而零信任安全架构作为一个能落地的安全信任治理方案,提供了一套对安全信任进行全生命周期治理的思路。
零信任安全架构作为一个能落地的安全信任治理方案,提供了一套对安全信任进行全生命周期治理的思路。聚焦在要保护的资源上,对所有受保护资源的任何一次访问操作在应用层进行动态认证授权和结合上下文实施动态访问控制策略,并且实现对所有流量协议的实时解析和可视分析处理,对代表身份的帐号和操作行为进行绑定,对身份实体做行为分析,对操作日志记录以便审计,建立全新的安全信任体系,做到对异常访问行为的即时监测发现、响应处理以及溯源追责,从而在相当程度上真正解决身份伪造骗取信任、会话过程中劫持信任、特定网络边界或区域内默认信任等顽疾。
零信任安全架构理念,打破了传统上在网络区域内部、网络区域与网络区域之间建立信任的规则,取而代之的是在应用层建立动态信任体系,基于物理传输链路的双向认证加密也是在应用层完成,从而屏蔽了网络层的安全影响,只要能够保障高质量的网络接入就行。零信任安全架构的主要访问控制从网络层挪到应用层,我认为主要原因有三点,第一点是多云、混合云及移动应用及IOT的兴起,模糊了原有的网络边界,在网络层添加ACL越来越无法满足需求;第二点是云原生技术体系的兴起,各类管理控制都以SERVICE为中心,而传统管理控制依赖的网络层五元组信息则被封装在底层,随时被上层编排和更迭;第三点是应用层规则和策略的表达能力和执行能力更加灵活和强大,可以通过建立策略中心实现基于策略的访问控制(PBAC)。
那为什么要引入PBAC呢?从时间维度看,普遍应用的访问控制管理方案依次有访问控制列表(ACL)、基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC),ACL的表达和执行能力都较弱,RBAC的表达能力有所欠缺,只能表达正向的访问控制,反向控制较难,ABAC能较好地表达反向访问控制,但执行能力较差,而PBAC则是当前和未来的最佳访问控制方案,因为PBAC结合了RBAC和ABAC的最佳特性,它能实现更多应用场景复杂且灵活的管理控制需求。当然,对于简单场景的访问控制也不需要应用PBAC,因为杀鸡焉用牛刀。
对零信任安全架构概念的进一步理解,示意图如下,有以下三点,首先是不管是在网络层还是在应用层,对所有的访问请求都是默认不信任的,即你在办公网、咖啡馆及数据机房访问的初始信任都是零,从而解决特定网络边界或区域内及区域间默认信任带来的各类安全问题;其次通过端点安全信任解决方案、全链路双向认证加密传输、多因素认证、结合上下文会话环境信息及设备资料库进行身份识别、活体检测、人机挑战等解决身份伪造骗取信任问题;最后是对每一次访问请求都通过信任引擎进行动态多维度的信任评估,其中包括基于白名单的行为基线分析,得出一个信任评估结果,再结合授权、已有策略集等生成最新策略,在可信执行器依据最新策略执行最终的判定结果,解决会话过程或代码执行过程中劫持信任问题。
基于以上对零信任安全架构的理解,形成了如下图所示的零信任安全架构建设方法论。首先核心点是以资源保护为中心,这里的资源包括数据、设备、业务流等,其次是以各类身份实体的全面身份化治理及行为分析为基础支撑,这里的身份实体包括人员、设备、应用和API等,然后以上下文、实体行为分析、情报、策略等数据为信任引擎及策略中心的驱动,最后以智能算法、大数据为生产力工具,借助这些让整个系统更加智能化、自动化。
根据以上的概念理解和方法论,设计了如下图所示的零信任安全架构的整体框架,主要包括以下几个核心模块,工作台(端点安全)、安全接入点、策略中心、信任引擎、IAM平台和安全管理运营平台等,其中一个核心的设计点就是,不允许直接访问受保护的资源及其上直接操作该资源的微服务,每个请求都需要经过微服务网关这类可信执行器进行中转处理。这个对实施零信任安全架构提高了要求,即必须实现服务化的应用架构,把资源以及操作资源的API定义清楚,否则将无法实现功能强大的基于策略控制的动态多维安全管控。
以下介绍整体设计框架中几个主要核心模块及其简要设计。
工作台模块是端点安全的落地执行点,其定位是作为零信任安全架构中用户接入的可信端。这部分是普通用户高频使用的模块,在用户终端安装的透出服务端中心化能力的生产力工具,需要具备安全、高可用、高用户体验等特性,本质上是一个提供全渠道多端安全协作的工作负载平台,主要包括安全赋能、业务赋能和协作赋能。其中安全赋能主要包括DLP、VPN、网络准入、证书管理及可信插件、免密登录及智能人脸核验、环境感知及终端管控、杀毒等终端防护能力等,设计示意图如下。
IAM平台模块是整个零信任安全架构的基础支撑和关键模块,如下图所示,整体设计方案是尽可能地解耦各个内部组件并作独立部署,将身份相关基础数据抽离出来单独做成身份中心,结合认证中心、权限中心、应用中心、资源中心、证书中心、管理控制台以及开放API、SDK等构成一套微服务架构体系,从而可以灵活地与各类应用在不同的层级进行对接,实现企业应用无论部署到哪,都可以共享一套强大灵活的安全访问控制基础设施,解决了异构系统集成安全管控问题以及人员、设备、应用和API等统一身份安全治理问题。
IAM平台的总体工作流程首先是用户和设备的认证,通过安全接入点将认证请求转发到认证中心的处理模块,认证处理模块根据请求上下文连接到对应的身份提供商,经过一系列的交互完成认证并下发访问TOKEN。接下来用户携带相关访问TOKEN发起相关资源的操作请求,在安全接入点和信任引擎层面去认证中心校验TOKEN的合法性、拉取授权、鉴权以及相关的风控操作,如果通过校验满足访问控制策略,则提交到相关应用的API执行,当然在返回数据包中还需要进行再次校验是否满足安全策略,以及进行相应的审计日志记录。
信任引擎由信任评估组件、大数据计算平台、智能算法等组成,能够进行实时评估、近实时的流式计算、较快的离线计算和定时批处理。信任评估组件根据请求上下文、信任评估模型给出实时的评估结果,近实时的流式计算与大数据计算平台结合计算指定时间窗口内相关特征的基线数据等,离线计算模块利用大数据计算平台及相关智能算法进行各类身份实体的异常行为分析、建立画像标签、输出信任评估结果、安全策略等,同时可以进行更深度的全流量分析,如从流量中提取文件后,结合威胁情报做进一步的安全分析,也可以结合DLP做数据安全防护等。
策略中心由策略管理点、策略生成点、策略决策点、策略信息点、策略执行点等模块组成,它能完成策略的全生命周期管理及服务间的集成应用。策略管理点负责策略及策略集的创建、展示、组合、分配、冲突处理、撤销和删除等,策略生成点主要负责策略的格式化、输入对接、分发等,策略决策点主要负责策略的计算、合并、诊断信息输出、决策结果输出等,策略信息点负责接入信任评估结果、请求上下文、资源中心相关数据、权限中心相关数据等并进行格式化,策略执行点负责集成到多渠道的可信执行器,实现最新策略结果的自动发现并输入到可信执行器。
信任引擎和策略中心的联动机制如下图所示,信任引擎评估结果及请求上下文传递至策略中心经过计算生成新的策略结果分发给多渠道的策略执行点及时执行。
另外不管是基于策略的访问控制还是零信任安全架构,都对清晰的资源定义有明确的需求,因此我们设计规划了资源中心,如下图所示。资源是一切可以抽象为具体数据表征的对象,如身份实体、被操作对象、操作行为等,它们的属性在资源中心可以使用标签来方便地创建和聚合查询。资源中心定位为一个中心式的数据仓库,作为底层基础组件,提供了统一的数据出口、入口以及完备的数据订阅消费和同步机制,为所有安全组件共享数据及保持数据一致性搭建了桥梁,并负责与外部系统的数据对接,其本质上是一个升级版的配置管理数据库(CMDB)。
以上为作者理解的零信任安全架构理念和相关设计规划,通过已有实践,也踩过很多坑,总结出三点经验教训。第一是整体技术难度较高,现有系统及历史遗留系统的改造周期漫长,需要极强的开发能力和较大规模且稳定的核心团队;第二是投入成本较大,需业务部门协助配合改造,并且有可能影响线上业务系统的高可用,因此需要非常强的故障监控响应和恢复能力,另外非常重要的是需决策层的强力支持和极大的包容;第三是尽可能借鉴大厂及业界最佳实践,然后根据自身需求进行裁剪,拆分出松耦合的各个组件,按计划分阶段推进,切不可死搬硬套和操之过急,对中大型企业来说,如果能用三到五年时间从传统安全架构演进到零信任安全架构,我认为也是非常迅速的。
最后作者对于零信任安全架构还有两点展望。第一点是零信任安全架构的云化、体系化和平台化,构建云、边、端安全协作平台,支持多云混合云的部署架构,打造软件定义的安全云平台,从而迎接安全的万物互联和数字孪生时代。第二点是零信任安全架构理念向信任治理延伸,对包括访问控制在内的所有安全域进行安全信任的全生命周期精细化治理,如信任的预授权、建立过程、动态评估更新、与其他实体的绑定联动、信任的撤销等。如你对以上内容有兴趣欢迎添加作者微信(bright_fu)进一步交流。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论