零信任落地路径研究

  • A+
所属分类:云安全

摘 要

零信任网络安全已被企事业单位所认可,然而如何进行零信任转型却没有标准的流程可以遵循,基于应用分类和用户角色的零信任落地路径,将零信任转型工作划分为应用隔离、身份认证、统一门户、访问策略、逐步迁移等独立的任务,同时制定连贯的计划来确保各项任务的推进、衡量和评估,确保每个阶段的用户影响最低。这个过程以VPN替换、应用微隔离和构筑统一的安全管理平台为目标,逐渐使远程访问变得更容易、网络管理变得更简单、应用数据变得更安全。基于这个过程,企事业单位可以探索出一条属于自己的零信任成功转型之路。


内容目录:

1 零信任落地路径概述
1.1 零信任理念已被广泛接受
1.2 企事业零信任转型的普遍目标
1.3 零信任落地的方式和步骤
2 基于应用分类和用户角色的零信任落地路径
2.1 应用分类,界定保护范围
2.2 应用微隔离
2.3 统一身份认证
2.4 可信设备识别
2.5 构建零信任架构
2.6 应用统一门户
2.7 制定零信任策略
2.8 基于应用类别和用户角色逐步迁移
3 结 语

零信任的概念已经深入人心,一夜之间,仿佛每个安全厂家都有了自己的零信任产品,每个企业都在准备零信任转型,然而,面对企业网错综繁琐的应用系统和纷杂散乱的安全产品,如何再去部署一套零信任的产品、如何才能在不影响现有业务的前提下完成改造、如何才能最大化的遵循零信任的理念、如何才能构筑统一的安全管理平台,一系列的问题摆在了企业领导和安全负责人的面前。

01

零信任落地路径概述


1.1 零信任理念已被广泛接受

随着信息技术的快速发展,云计算、大数据、物联网、移动互联、人工智能等新兴技术为政府部门、各类企业的信息化发展及现代化建设带来了新的生产力,但同时也给信息安全带来了新挑战。一方面,云计算、移动互联导致的企业边界瓦解,难以继续基于边界构筑企业的安全防线;另一方面,外部攻击和内部攻击愈演愈烈,各种高级持续攻击仍然能找到各种漏洞突破企业的边界,同时,内部业务的非授权访问、雇员犯错、有意的数据窃取等内部威胁层出不穷。

传统的网络安全模型基于边界防护的思想,已经无法适应当前的需求,零信任网络安全技术应运而生,零信任的不做任何假设、不相信任何人事物、任何事物都要验证等理念逐步被认可和接受。并迅速成为当前网络空间安全技术研究热点。

1.2 企事业零信任转型的普遍目标

零信任打造了一种全新安全访问模式,但对于目前绝大多数企事业单位来说,主要还是用零信任解决远程办公、身份管理和应用微隔离三方面的问题:

(1)近年来由于VPN漏洞造成的数据泄露事件频频发生,因而众多企事业单位将目光转向了零信任网络安全,通过零信任安全改造,解决员工、分支机构和三方人员的远程安全接入问题;
(2)随着企事业的数字化发展,用户账号的分布更加复杂和多样化,身份认证方式从传统的“账号+ 密码”逐渐向“社交账号 + 多因素认证”方式转变,因此有效的身份管理成为保障组织各项数字业务安全、高效开展的前提条件;
(3)同时为了防止东西向的风险,众多企事业单位考虑在传统的物理隔离基础上进行基于零信任的应用隔离,这种应用微隔离方式不需要考虑应用的网络和物理位置,只需要考虑应用的类别和逻辑关系,可以对每个类别的应用制定对应的安全策略。

1.3 零信任落地的方式和步骤

各企事业单位的网络基础设施已经变得越来越复杂,零信任的落地方式也没有标准的流程可依,目前有两种主流的方式:一是按照物理或网络位置按片区逐步部署的方式;二是基于应用逻辑分类的落地方式。前者的优点是部署便捷、对网络和应用几乎无任何影响,缺点是仅对端侧和访问通道进行防护;后者的优点是可以对企业的应用和数据进行彻底的零信任改造,缺点是部署和实施周期长,可能涉及应用的改造。

零信任的宗旨是保护数据和应用,零信任架构构建了从用户到应用的安全访问空间,因此零信任的落地实施路径应该以数据和应用的分类、改造为起点,以用户和设备的识别为基础,以 SDP 架构为核心,以用户角色为依据,以过渡白名单为保障,在业务使用影响最小的前提下实现对数据、应用和用户的零信任改造,逐步实现企事业单位的零信任转型。

02

基于应用分类和用户角色的零信任落地路径


零信任落地路径,包括应用、用户、策略几个方面。

2.1 应用分类,界定保护范围

零信任改造是一个过程,面对企事业单位少则上百多则上千的应用,不建议也不可能一次改造完成,毕其功于一役的想法是不能存在的。正确的做法首先是要把所有的应用按照逻辑和场景进行梳理,基于业务类别分类,同时要保证业务连续性并考虑实施难度,选取部分应用进行零信任改造。对于首次改造,主要考虑两类应用,核心应用和需要远程访问的应用(如图 1 所示)。

零信任落地路径研究
图 1 应用逻辑分类

2.2 应用微隔离

通过在所有待保护的应用上安装应用访问网关插件,实现对被保护应用的代理和隐藏,所有对应用的访问,都需要通过应用网关,以保障每一次应用访问的安全和细粒度的权限控制。同时基于业务分类进行应用级的逻辑隔离,对每类应用制定特有的安全策略,不同类别之间的调用需要通过部署 API 网关实现统一的 API验证和调用,规范各应用类别之间、各微服务间的 API 接口,快速完成组织内部系统的前后端分离,实现可视化的安全互访,解决业务开展、数据共享、数据安全的问题,同时 API 网关减小了恶意软件或病毒在内网的传播和扩散,对接口的统一管理也便于新增业务的部署和内外网业务的调用(如图 2 所示)。对于同一类别下各个应用之间,考虑彼此之间的互相调用和访问频繁程度,采用 ACL 方式控制,后续可以根据企事业对零信任的要求和业务改造的实际情况逐步迁移到通过 API 网关统一管理。

零信任落地路径研究
 图 2 应用逻辑隔离

为了保障企事业单位的数据安全,在部署API 网关的同时,还需要对企业的数据库进行安全审计,尤其是针对运维场景中运维人员的访问及操作。通过数据库审计系统对各类操作进行审计,包括嵌套、函数、绑定变量、长语句、返回结果、脚本等复杂和隐秘统方等,构建立体防御系统,深度识别和立体分析,准确防范各种危险统方等行为。

审计不仅仅是数据库审计,还要包括对应的应用,精准定位到“人”,同时与零信任安全策略中心联动,进行策略管控及行为审计日志上报,当异常情况发生时,可以通过告警、调整权限、阻断等方式规避风险并精准溯源,保障组织的数据安全。

2.3 统一身份认证

零信任的基本要求就是对用户持续的验证,对用户和设备的识别是零信任改造的基础和前提,需要用户管理系统(Identity and Access Management,IAM),对企业复杂的账号和权限体系进行统一治理,统一管理用户在各个应用系统中的账号,提供用户的全生命周期管理,当员工入职、转岗或离职时,数据库都要相应更新,以保障用户身份的可信。

零信任针对内外网络数据的核实,从而高强度把控多种数据身份,针对多种不可信的访问信息寻求多重信息关卡设置,增加加密权限以及综合认证,强化总体信息权限,集合整理多种关联性的信息内容,并对其采取零信任的管理方式,在多次登录中进行多重的安全检验,此种信任程度会根据动态的权限变化从而做出调整,促使在最终的访问限制结构中可以遵循相对应的权限客体,从而创建一层动态化的综合信任联系。

用户管理系统不仅要管理所有用户的岗位分类、用户名和群组成员关系,为用户提供统一的认证接口,根据用户的权限级别来确保对应业务安全级别的准确性,同时还需要支持多因素认证能力,包括但不限于:密码、邮箱、手机、令牌、X.509 证书、智能卡、定制表单和生物识别,及多种认证方法组合。

多因素认证应该满足的基本原则:同一安全域之间鉴权方式简单易用满足一定的多因子交叉,跨安全域(尤其是低级向高级访问时)需要增加二次验证,保证安全性提升。简言之,同级安全域之间保证单点能力的便捷性,而跨域时保证安全性前提下,满足便捷性。

2.4 可信设备识别

除了身份可信,还需要设备可信,所有访问应用的设备都必须是可管可控的设备,只有受控设备才能访问企业应用。设备管理确保用户每次接入网络的设备是可信的,系统要为每个设备生成唯一的硬件识别码,并关联用户账号,确保用户每次登陆都使用的是合规、可信的设备,对非可信的设备要进行强身份认证,用户通过后则允许新设备入网。对可信设备的管理还包括设备状态的识别,比如识别设备当前的状态是否通过安全基线,杀毒软件、系统补丁等,确保设备自身状态足够安全。

系统在确保用户在正确的设备上使用正确的账号登录的同时,对账户的登录时间、登录地点及 IP 地址进行严格控制,以防止非法人员非法接入业务系统,而且一次授权不会伴随终生,信任度和风险度会随着时间和空间发生变化,系统会根据安全等级要求,环境因素,不断评估,达到信任和风险的平衡,对疑似违规的用户,系统会降低其访问权限或者直接强制下线。

2.5 构建零信任架构

完成了应用分类、身份认证、设备可信这些基础准备工作之后,就可以开始部署零信任架构了。基于云安全联盟提出的零信任 SDP 架构,考虑企事业单位对系统可靠性的要求,常见的部署方式有主备模式和集群模式。集群模式也被称作高可用方案,是指将 SDP 方案中的控制中心和应用网关分别集群化部署、同时提供接入网关实现访问接入和负载均衡。

高可用方案将安全接入网关部署在被保护的应用系统之前,作为负载分担将业务有序的发送至对应的控制器,由控制器下发策略到应用网关上,控制中心建立集群方式承担所有请求,当其中某一台设备出现故障后不影响业务的快速转发,应用网关同样采用集群方式,可以根据需要弹性扩展,同时有效规避了单点故障对应用访问的影响(如图 3 所示)。

零信任落地路径研究
图 3 零信任架构

相比较主备模式,首先高可用方案将控制中心和应用网关分离,实现了控制流和数据流的分离,为应用提供了更好的安全防护,其次高可用方案具备更好的稳定性,实现单点故障无感知,保障系统持续稳定运行和应用访问无间断,最后高可用方案具备弹性扩展的能力,后续扩容仅需要增加应用网关虚拟机即可,不需要改造网络或变更设备。

2.6 应用统一门户

提供企事业单位应用访问统一门户,实现企事业单位互联网统一入口,实现跨设备的统一管理,一方面提升用户的使用体验;另一方面隐藏原有的需要对外开放的应用和端口,保障数据与应用安全。用户通过统一入口登录后,用户首页仅显示用户角色有权限访问的应用快捷链接,并且基于动态权限控制允许用户访问其角色范围内的全部或部分应用,同时支持单点登陆(SSO)功能,实现应用程序、业务门户、统一安全访问域的各业务系统一次登录,多业务共享登录标识,无需再次登录鉴权。通过单点登录和统一鉴权,解决系统多应用,多账户的问题,实现细粒度的用户权限集中控制。

2.7 制定零信任策略

部署零信任产品,遵循零信任访问模式,这仅仅是零信任改造的开始,零信任理念是要持续监测用户的行为和环境的状态,不断地验证和动态调整访问策略,因此一个好的访问策略,是零信任成功落地的关键。在企事业单位零信任改造过程中,需要制定基于信任得分的动态访问策略(如图 4 所示)。

零信任落地路径研究
图 4 动态访问策略

在这种访问策略下,用户每一次访问应用都会对用户身份、使用设备和接入环境进行验证并给出信任级别分数,同时对每个应用设置安全等级分数,只有信任级别分数大于安全等级分数,才允许用户访问应用,否则将限制或者拒绝本次访问。这种基于得分的访问策略可以灵活的细化为针对具体应用的访问策略,比如限制只有最高信任等级的受控设备可以访问;限制只有最高信任等级的全职和兼职工程师可以访问;限制只有全职工程师且使用工程设备才可以登录研发类系统;限制只有财务部门的全职和兼职员工使用受控的非工程设备才可以访问财务系统(如表 1 所示)。

零信任落地路径研究

每个用户和/或设备的访问级别可能随时改变。通过查询多个数据源,能够动态推断出分配给设备或用户的信任等级。例如,如果一个设备没有安装操作系统的最新补丁,或者没有安装杀毒软件,其信任等级会被降低;某一类特定设备,比如特定型号的手机或者平板电脑,会被分配特定的信任等级;一个设备长期未使用,会被降低信任等级;一个从新位置访问应用的用户会被分配与以往不同的信任等级。信任等级可以通过静态规则和启发式方法来综合确定。

动态访问策略的有效执行,离不开日志审查和异常行为关联分析。在传统网络安全架构中,一般都是在网络边界处布置防火墙,检查进/出流量。但是现在,边界安全已不再满足需要。现代网络安全控制必须深入所有网段,审查横向流量、云端网络通信,以及根本不触及公司网络的 SaaS 远程网络通信。换句话说,所有网络流量都应纳入审查覆盖范围。网络安全检测和保护的触角越来越往用户和应用服务处延伸。

基于零信任架构,网络和应用的操作和访问信息都可以在控制中心统一管理。用户侧,客户端将用户的每一次网络登陆访问操作的信息(比如时间、IP 地址)、用户的环境信息(比如操作系统版本和补丁号,病毒库信息)、用户的验证信息、用户访问请求信息等实时同步到控制中心日志中心。

服务器侧,零信任网关记录用户的每一次应用访问信息,这个访问信息一般都是对于一个 URL 资源的访问信息,同时网关侧接收到的异常信息,也可以以告警的形式,同步到控制中心。控制中心,是统一的用户日志和策略中心,日志记录以用户为中心,记录操作和访问的行为,从用户请求网络连接开始,到访问服务返回结果结束,真正能够做到端到端的行为记录。

通过日志审查,可以发现各种异常情况,并作为动态访问策略的输入条件。这些异常情况包括用户访问行为异常,网络入侵异常和内部威胁异常等。例如,频繁更换账号登录、登录地点变更、频繁更换登录设备、频繁登录失败、瞬时访问流量过大、非正常时间段访问、密码暴力破解、端口扫描、Web 入侵等。

2.8 基于应用类别和用户角色逐步迁移

零信任转型不是一步到位,而是一个过程,首次进行零信任改造的企事业单位应该只选择部分应用和部分用户,即便如此,这部分应用和部分用户也要逐步迁移,以不影响业务为前提完成零信任的切换。

(1)使用应用网关代理远程办公类应用和选中的核心应用。被代理的应用提供通过应用网关代理访问的方式,同时保留原来的通过内网直接访问的方式;对于原来需要在外网通过VPN访问的应用,保留原有的VPN方式,同时增加通过应用网关代理访问的方式。

(2)确定需要使用零信任访问的用户,包括原有的使用VPN的用户和内部需要访问核心数据的用户,考虑用户的使用习惯,我们首先将原有的使用VPN的用户按照部门确定用户群组迁移的优先级并逐步迁移到零信任体系下,然后再将内部需要访问核心数据的用户逐步迁移到零信任体系下。

(3)随着原来使用 VPN 的用户逐步通过访问代理访问,我们开始阻止用户使用 VPN,包括:删除 VPN 用户的访问权限;只有经证实确有需要的用户才能使用 VPN 访问。对于内部访问核心数据的用户,公司前期强制要求使用零信任客户端访问,后期通过应用和端口隐藏或访问控制列表的方式禁止用户直接访问。

(4)过渡白名单策略,为了不影响企业业务的正常访问,在零信任转型的过程中,需要考虑过渡白名单策略,即通过白名单允许用户通过原有的方式访问应用,待用户已经迁移到零信任访问模式下并运行一段时间经过验证没有问题之后,再逐步修正白名单的内容直至最后完全迁移成功。

03

结 语


零信任落地没有统一的标准路径,各个企事业单位可以按照自身的特点选择最合适的方式和步骤,基于应用分类和用户角色的零信任落地路径能够帮助企事业单位快速完成零信任转型的第一步,实现对远程接入用户、内网访问敏感数据用户,和内网核心应用的零信任改造,给远程用户提供统一安全接入门户,同时对核心应用数据进行了微隔离处理,在保障外网访问安全的同时,也减少内网东西向扩展的可能,全方位提升企业的安全。

零信任改造的终极目标是完全摒弃内外网的差别,所有的用户都采用统一的访问方式,所有的应用都需要隐藏保护和微隔离处理,同时还需要和已有的传统安全产品对接以形成完整统一的安全管理平台。因此彻底的零信任之路是很漫长的,这取决于领导者的决心、零信任本身的技术以及企业的成熟度等多种因素。

引用本文:秦益飞,张英涛,张晓东.零信任落地路径研究[J].信息安全与通信保密,2021(1):84-91.


作者简介 >>>

秦益飞1980—),男,硕士,研发总监,主要研究方向为云计算、零信任网络安全;

张英涛1976—),男,学士,解决方案经理,主要研究方向为零信任网络安全;

张晓东1993—),男,学士,解决方案总监,主要研究方向为零信任网络安全。

选自《信息安全与通信保密》2021年第1期(为便于排版,已省去原文参考文献)


零信任落地路径研究


文章来源:信息安全与通信保密杂志社


零信任落地路径研究

本文始发于微信公众号(互联网安全内参):零信任落地路径研究

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: