目前,國外已有較多有關零信任網絡的研究與實踐,包括谷歌的 BeyondCorp、BeyondProd,軟件定義邊界(Software Defined Perimeter,SDP) 及蓋特提出的“持續(xù)自適應風險與信任評估”等。國內也有不少安全廠商積極投身零信任市場,包括360、安恒信息等,并推出了相應的零信任產品和解決方案。這些研究與實踐對零信任網絡的落地應用帶來了積極影響。
但同時也應該看到,目前,零信任網絡的推廣難度較大。系統設計人員在實際應用中主要面臨以下幾個方面的難題:
(1)不清楚零信任思想本質,容易走入堆砌技術和產品的歧途;
(2)不清楚零信任的功能架構,容易“照顧不周”“顧此失彼”,導致安全防護功能出現短板,或者出現某一方面能力特別突出的情況,整個系統能力不佳;
(3)沒有掌握零信任網絡實現技術,難以將功能落地。
本文針對上述問題開展了研究,期望找到適合的應對措施,為想要提升網絡安全防護能力的各類組織提供參考。
1
零信任思想的本質
零信任思想的本質是基于動態(tài)的信任度賦予適度的訪問權限,其關鍵點在于擯棄無端或超出合理范圍的信任,對實體、環(huán)境等進行持續(xù)評估,并根據反饋結果及時修正策略,從而將靜態(tài)的防御轉換為動態(tài)的防御。
2
零信任網絡功能架構
零信任網絡功能架構可分解為 5 個基本功能,分別是:
(1)網絡身份管理:提供對網絡實體全生命周期的管理,確保所有實體來源可信、安全可控。
(2)網絡身份認證:確保網絡實體在發(fā)起網絡行為時向相關對象證明其身份可信。
(3)網絡訪問授權:實現基于網絡實體的身份對網絡訪問進行無特權的權限管控和訪問控制,保證所有訪問都必須得到授權。
(4)傳輸安全保障:實現訪問數據在網絡傳輸過程中的安全可信,確保數據訪問不可抵賴、內容不被竊取等。
(5)行為安全監(jiān)控:對網絡實體的運行狀態(tài)和網絡行為的持續(xù)監(jiān)測,并抑制網絡攻擊對系統的影響。
3
零信任網絡實現技術
3.1 網絡身份管理
網絡身份管理的目標是在網絡空間中產生網絡行為的網絡實體的全生命周期內,掌握網絡實體與現實實體之間的映射關系,并記錄其變更過程。由于網絡行為均由應用軟件和設備發(fā)起,還可能來自操作應用的用戶,故網絡身份管理的對象既可以是用戶,也可以是應用和設備。在某些場合,可將一個網絡中的網絡實體視為一個整體,從而實現簡化管理,故網絡身份管理的對象還可以是網絡。
人員管理主要包括身份注冊、安全審查、安全培訓、身份變更處理和身份注銷處理幾個方面。其中,身份注冊的主要目的是為可信度評估提供基礎,用戶信息分為基本信息和高級信息。用戶基本信息包括姓名、生日、年齡等;用戶高級信息包括身份證號、生物特征和住址等。根據系統的安全等級選擇是否需要錄入高級信息,錄入的信息越多,掌握的信息越全面,判斷人員可信度的參數則越多。完成可信度初始評估后,還需對人員進行安全審查,包括對其信用信息、履歷和犯罪記錄等的調閱和審查。在安全審查通過之前,需要限制人員對網絡進行所有或者部分訪問。當人員正式成為員工或者客戶時,至少應該在開放訪問前對其進行安全培訓或提示。在高安全等級系統中,為了防止出現人為安全漏洞,需要在系統使用過程中不斷進行安全提示和必要的強化培訓。當人員身份信息和安全審查相關信息發(fā)生改變時需要及時更新。當人員不再使用信息系統時需要及時關閉其所有權限,進行注銷處理。在發(fā)生身份注銷時,應該根據信息系統的保密程度,考慮是否對人員要求簽署保密條款。
設備的管理方面,應結合資產管理系統對設備的采購來源、用途等基本信息,以及 IP 地址、證書的狀態(tài)進行登記和隨時更新,并記錄相關的變更日志。根據網絡安全等級要求,應選擇記錄良好、資本構成符合要求的供應商進行供貨,并考慮是否對供應商進行背景調查。根據網絡安全等級要求,考慮是否監(jiān)管供應商生產供應過程,包括元器件采購、加工、裝備、檢驗等,以提升產品安全性,一般適用于高安全網絡。接收設備時,應對設備進行系統安全檢測,比如病毒掃描、漏洞掃描,掌握設備的安全風險狀態(tài)。在設備上線前和運行過程中,應及時對設備進行安全加固,包括病毒查殺、修補漏洞、升級病毒庫等。若設備不再接入網絡使用,則應下線處理,對于安全要求高的組織機構,應該強制要求拆除設備硬盤,或者擦除硬盤數據,最后才能將設備轉作他用或者報廢。
應用的身份管理主要關注應用的開發(fā)、測評和部署 3 個階段。在應用開發(fā)階段,至少應先明確安全性需求,并明確是否允許使用高風險數據庫或者第三方插件等。在應用開發(fā)完成后,應組織專業(yè)機構對應用安全性進行測評,包括是否存在已知漏洞、是否符合安全性設計要求等。在應用部署階段,應對應用進行上線審批,建立軟件白名單,通過終端管控軟件控制設備允許運行的軟件。
網絡安全等級越高,評估的因素就越多,要求掌握的信息就越豐富。在建立身份管理系統、資產管理系統、軟件白名單和網絡組織清單時,信息采集應滿足法律的要求,如果是采集個人信息,應該得到個人的授權,并且數據的生成、傳遞和保存必須采用制度和技術保護,保證數據的保密、真實和完整。
3.2 網絡身份認證
網 絡 身 份 認 證 時, 不 同 實 體 選 用 不 同 的 認證方式。人員認證方法有基于口令、生物特征或者私人持有的基于硬件的可信處理模塊(TRusted Processing Module,TPM)等的方法。設備和應用的認證方法有通過軟數字證書或者設備綁定的 TPM來認證的方法。網絡的認證可以通過網絡代理設備或軟件代理網絡整體對外認證,從而不用對網絡中多個實體分別認證,在某些對計算或網絡開銷比較敏感的場合可以考慮使用。
身份認證方法的選擇通常根據風險高低決定。當環(huán)境風險小到一定程度時,身份認證可以通過傳遞身份標識(如 IP、端口等)實現,如同新認識的朋友相互交換名字就知道對方是誰。但當環(huán)境風險不夠高時,身份認證必須采用更安全的方式。一般來說,首先使用非常強的認證手段保證一定是該實體;其次生成一個可驗證的身份斷言用于基本業(yè)務,即“初始強認證”與“使用時弱認證”結合,可兼顧安全性和便利性。“初始強認證”一般在系統開設、業(yè)務開通階段進行,比如用戶到銀行開戶需要本人到柜臺出示身份證,新員工入職時公司對員工進行安全審查,此工作可以與網絡身份管理的身份錄入和信息審查合并進行。經過“初始強認證”后,進入“使用時弱認證”階段,銀行頒發(fā)給用戶一張銀行卡,并讓用戶設置一個口令,允許用戶通過銀行卡和口令辦理存取款業(yè)務;公司也給員工辦理一張員工證,允許員工憑該證出入工作環(huán)境。但用戶銀行卡和口令必須經過 ATM 機在線驗證,員工證也必須經過公司門衛(wèi)手工驗證或者刷卡機在線驗證。
采用可變強度的身份認證。當環(huán)境風險發(fā)生變化時,身份認證強度應該及時調整。比如首次使用新設備風險較高,需要使用強認證、設置口令并綁定設備,后續(xù)允許使用口令進行操作,但再次更換新設備時,需要再次使用強認證、設置口令并綁定設備。在進行高風險操作時,也需要提高認證強度。
必須警惕口令不當使用。某些系統可能必須多人使用同一賬戶操作業(yè)務,造成口令知悉范圍較大,沒有與人綁定;某些系統口令復雜度要求低,抗攻擊能力弱。上述不當的口令使用會帶來很多風險,應該設法降低風險。在無法與人綁定賬戶的系統中,應增強環(huán)境準入控制或用其他方法保證使用者的合法性,在口令復雜度要求低的系統中,應強制提升密碼復雜度要求。
使用的數字證書應當定期更新。相當多的系統使用數字證書方式進行認證,卻忽視了數字證書有效期的限制。為提升安全性,其證書需要強制定期更新。此外,證書更新途徑是否安全、更新周期是否得到控制等因素都會影響可信度。
充分利用信任傳遞技術來構建信任鏈 。如圖 1所示,信任傳遞是指當 B 在一定程度上信任 C 時,A 依賴于對 B 的信任而一定程度地信任 C。比如員工與公司門衛(wèi)并不熟識,但員工因公攜帶物品離開公司大門,若向公司門衛(wèi)出具部門領導簽署的審批單,公司門衛(wèi)可依據審批單對其放行。上述例子中,A 對 B 和 B 對 C 的信任稱為直接信任,而 A 對 C的信任稱為間接信任。A 基于 B 從而對 C 的信任形成信任鏈。在信任鏈上,相鄰實體間不都是絕對信任,所以信任度會隨著信任傳遞次數的增加而減小。此外,A 對 C 的信任程度與 A 對 B 和 B 對 C 的信任程度正相關,但不一定線性。特別的,若 A 不再信任 B 或 B 不再信任 C,則 A 也不再信任 C。信任傳遞用途很廣,只要兩個實體能夠借助其他實體生成一個信任鏈,就可以計算出信任度。
3.3 網絡訪問授權
一般情況下,應采用基于身份的訪問控制技術,或者相應的人機結合的管理方式來進行網絡授權。很多情況下,網絡實體的標識不會固定不變,比如對于移動環(huán)境或者使用動態(tài)主機配置協議(Dynamic Host Configuration Protocol,DHCP)技術的局域網,如果基于固定網絡標識進行訪問控制,則無法快速調整策略以適應動態(tài)的網絡標識變化,給訪問控制策略維護帶來極大負擔。這時候應該配置基于身份的訪問控制策略,通過認證過程跟蹤網絡訪問標識的動態(tài)變化,隨時自動更新策略,提高策略的安全性和適應性。
圖 1 任鏈關系及基于信任鏈的信任度
基于動態(tài)信任度和風險的訪問控制可極大增強訪問控制的安全性。零信任思想之所以更安全,是因為其根據信任度做出是否允許訪問的決策。因為身份證明并不代表對方是安全的,所以大量系統僅通過身份認證就開放安全策略的方式存在諸多安全漏洞。判斷是否開放安全策略的依據應該是對方是否可信,以及是否具有高風險。信任度和風險評估可從第三方獲取,也可基于交互行為與預期的對比不斷積累形成。
統一權限管控解決全網權限的一致性問題,確保不因權限差異導致訪問受阻或產生權限漏洞。統一權限管控的高效架構是樹形分級架構,該架構從主干到分支每一級管轄本級策略,并逐級細化,分支僅在主干約束范圍下定制詳細策略。如圖 2 所示,A 分支到 B 分支的主干路徑上的策略,只管理整個A 分支能否訪問整個 B 分支,但 A 分支入口和 B 分支入口的策略則管理 A 分支的實體 a 能否訪問 B 分支的實體 b 的約束。這樣的管理架構有利于降低主干策略壓力,分支策略雖受限于主干策略的限制,但有一定自主靈活度。
圖 2 樹形分級的權限管控架構
權限同步一般分為管理流驅動和業(yè)務流驅動兩類。管理流驅動是指權限在各個策略管控節(jié)點之間進行同步,需要占用帶寬,且每個策略管控節(jié)點需要存儲大量的權限(無法事先判斷權限是否有用),處理訪問時本地已經有策略,處理延遲小。業(yè)務流驅動無須各個權限管控節(jié)點之間進行同步,訪問者訪問時向策略控制點提供權限信息,策略控制點驗證權限真實性并進行生成策略,需要花費更多時間,處理延遲大。權限同步方案的選擇需要根據具體需求進行。
3.4 傳輸安全保障
因為數據在傳輸時可能受到竊取、偽造、篡改和重放攻擊,所以必須考慮數據傳輸受到上述攻擊時系統是否有安全風險。
常見的數據傳輸安全保護技術包括互聯網安全協 議(Inte.NET Protocol Security,IPSEC)、 安 全 接口層(Secure Socket Layer,SSL)等。IPSEC 由操作系統在網絡層為應用程序統一提供基于 IP 的安全性能,對應用程序是透明的。SSL 為應用層提供標準安全接口,需要應用程序進行適配實現。IPSEC和 SSL 屬于網絡認證和加密,可以部署在路徑網關上,也可以部署在端點上。在帶寬和處理能力允許的情況下,兩種技術可以同時運用,進一步增強數據傳輸的安全性。
數據安全的傳輸通道構建可以因地制宜,比如在兩個局域網之間的數據傳輸中,可以在各自網絡的出口架設實體網關,對經過網關的數據進行保護,也可以在對外提供服務的數據服務器上部署代理軟件,或者在其物理接口處部署實體網關,接管出入服務器的數據流。至于局域網內部流量是否加密不應一概而論,需要綜合考慮網絡安全需求、環(huán)境威脅、安全脆弱性等多方面因素。
3.5 行為安全監(jiān)控
行為安全監(jiān)控通過分析網絡實體的各種攻擊和異常行為的活動,可以及早發(fā)現威脅并進行風險控制,對實體信任度進行動態(tài)評價。主要方法包括網絡攻擊抑制、異常行為監(jiān)測。
網絡攻擊抑制用于檢測并抑制網絡中已知攻擊,從而對網絡進行保護。網絡攻擊檢測方法主要有兩種:一種是通過檢測流量是否滿足某種已知特征來發(fā)現攻擊,即基于流量特征匹配的攻擊檢測方法,這種方法對拒絕服務(Deny of Service,DoS)和 分 布 式 拒 絕 服 務(Distributed Deny of Service,DDoS)等流量攻擊有效 ;另一種是通過檢測網絡包內容是否滿足某種已知特征來發(fā)現攻擊,即基于內容特征匹配的攻擊檢測方法,這種方法對于漏洞利用、惡意代碼等攻擊有效 。當發(fā)現攻擊后,可以對攻擊進行抑制,但很多情況下,攻擊檢測設備難以識別正常訪問和攻擊訪問。攻擊監(jiān)測分析人員不斷地深入分析攻擊特征,對匹配規(guī)則進行完善,但總會出現滯后,這正是零日攻擊的突破口。在數據中心,攻擊檢測通常搭配流量清洗工作,當發(fā)現攻擊后,攻擊檢測設備聯動網絡交換設備進行引流清洗,經過清洗后,正常訪問流量被導回網絡繼續(xù)轉發(fā)。
異常行為監(jiān)測用于進一步檢測超越使用習慣的高風險操作,發(fā)現各種未知攻擊,比如后臺木馬程序借用用戶和終端身份發(fā)起越級訪問。異常行為監(jiān)測與純粹的基于行為的網絡攻擊檢測不同,基于行為的網絡攻擊檢測主要通過事先把攻擊模式和特征進行總結成為模型,再通過抓取流量進行分析,檢查是否存在匹配相似的網絡流量,從而判斷是否存在攻擊行為;而網絡行為安全檢測是評估用戶行為超出正常習慣是否帶來信任度降低的方法。網絡行為安全檢測通過不斷收集正常業(yè)務的習慣,進行用戶、流量、包長、時刻、間隔等多維的分析和總結歸納,形成正常業(yè)務習慣模型。有了正常業(yè)務習慣模型后,再對新流量進行分析,評估是否符合正常業(yè)務習慣特征,最終給出相應的可信度一維評價。網絡行為安全檢測使用人工輔助機器學習或深度學習技術,對此,研究者們提出了很多理論方法,如文獻 [10] 提出了在靜態(tài)的身份認證之上,通過對用戶行為的實時評估,引入獎懲因子和時間因子,實現動態(tài)的信任度評價;文獻 [11] 提出了一種基于灰色關聯度的信任模型,對節(jié)點進行細粒度的信任評估,抑制不誠實的節(jié)點的訪問行為;文獻 [12] 提出了一種基于隱式反饋控制的用戶行為度量模型,構建用戶的狀態(tài)和行為基線,并根據基線評估用戶的可信度,進而實施動態(tài)的信任度評價。
4
零信任網絡推廣應用的突破點
利用零信任提升網絡安全防護能力不能僅依靠優(yōu)化網絡拓撲、提升點位產品的功能,還需要在制度、架構及配套上進行相應的改變與提升。
(1)在管理方面,需要引導相關行業(yè)分步細化和落實《信息安全等級保護管理辦法》等國家標準和配套的頂層制度,逐步提升全行業(yè)中涉及信息網絡領域的整體安全管理水平。
(2)在業(yè)務融合方面,需要引導相關行業(yè)認識到安全能力的提升對業(yè)務能力增強的積極意義,以及兩者相輔相成的關系,促進其做好充分的思想和物質準備去迎接變革。
(3)在成本方面,建立市場促進機制,推動相關行業(yè)通過市場手段共享成果,降低成本,為提升網絡能力構建基礎。
5
結 語
本文針對零信任網絡在現實中推廣存在的諸多難題,從體系架構、技術方法、管理制度等多角度進行了多方面的分析。結果表明,充分認識零信任思想本質,結合實際情況,采用契合業(yè)務和網絡特點的技術方法,各行各業(yè)都能夠利用零信任思想加強網絡防御能力,有效降低網絡安全風險。
免責聲明:本文轉自信息安全與通信保密雜志社,原作者羅栗 , 黎臻 , 陳洋。文章內容系原作者個人觀點,本公眾號編譯/轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯系我們!
轉自丨信息安全與通信保密雜志社
作者丨羅栗 , 黎臻 , 陳洋
