零信任是網(wǎng)絡(luò)安全中一種不斷發(fā)展的技術(shù),,它將網(wǎng)絡(luò)安全防御從靜態(tài),、基于網(wǎng)絡(luò)邊界的防護轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源保護,。零信任體系采用零信任技術(shù)來建設(shè)企業(yè)基礎(chǔ)設(shè)施和規(guī)劃企業(yè)工作流程,。零信任假定企業(yè)資產(chǎn)或用戶不存在基于物理和網(wǎng)絡(luò)位置的隱式信任。用戶,、設(shè)備的身份驗證和授權(quán)操作是在與企業(yè)資源建立會話之前執(zhí)行的不連續(xù)功能,。零信任是對企業(yè)網(wǎng)絡(luò)安全發(fā)展趨勢的一種積極響應(yīng),它關(guān)注于用戶的資源保護,,而不是用戶的網(wǎng)段保護,,網(wǎng)絡(luò)位置不再被視為資源安全狀態(tài)的主要因素。美國國家標準與技術(shù)研究院給出了零信任和零信任體系的定義,、遵循的原則,,介紹了零信任體系的邏輯組件和處理方法的變化,分析了零信任體系的安全威脅,,可以為我國廣大企事業(yè)單位內(nèi)部網(wǎng)絡(luò)的升級改造提供參考,,為我國網(wǎng)絡(luò)安全事業(yè)發(fā)展提供支撐。
引 言
當前,,各企事業(yè)單位的網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)變得越來越復(fù)雜,。企業(yè)不僅存在多個內(nèi)部網(wǎng)絡(luò),還存在通過遠程連接本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠程辦公室,、移動用戶以及云服務(wù),。這種復(fù)雜性已經(jīng)超越了傳統(tǒng)基于網(wǎng)絡(luò)邊界防護的安全方法,因為企業(yè)已經(jīng)沒有簡單,、容易識別的網(wǎng)絡(luò)邊界,。傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全防護逐漸被證明是不夠的,局限性正日益凸顯,,一旦攻擊者突破企業(yè)網(wǎng)絡(luò)邊界防護,,便可以在內(nèi)部網(wǎng)絡(luò)中進一步橫向移動進行攻擊破壞,不受阻礙和控制,。
上述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜性促進了網(wǎng)絡(luò)安全原則和安全模型的創(chuàng)新與發(fā)展,,“零信任”,。
零信任(Zero Trust,ZT)技術(shù)應(yīng)運而生,。零信任技術(shù)從重點關(guān)注企業(yè)數(shù)據(jù)資源的保護,,逐漸擴展到對企業(yè)的設(shè)備、基礎(chǔ)設(shè)施和用戶等所有網(wǎng)絡(luò)資源的保護,。零信任安全模型假設(shè)攻擊者可能出現(xiàn)在企業(yè)內(nèi)部網(wǎng)絡(luò),,企業(yè)內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施與其它外部網(wǎng)絡(luò)一樣,面臨同樣的安全威脅,,也容易受到攻擊破壞,,并不具有更高的可信度。在這種情況下,,企業(yè)必須不斷地分析和評估其內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù)功能面臨的安全風險,,提升網(wǎng)絡(luò)安全防護能力來降低風險。在零信任中,,通常涉及將數(shù)據(jù),、計算和應(yīng)用程序等網(wǎng)絡(luò)資源的訪問權(quán)限最小化,,只對那些必須用戶和資產(chǎn)開啟訪問權(quán)限進行授權(quán)訪問,,并持續(xù)對每個訪問請求者的身份和安全狀態(tài)進行身份驗證和授權(quán)。
零信任體系(Zero Trust System,ZTS)是一種基于零信任原則建立的企業(yè)網(wǎng)絡(luò)安全策略,,旨在防止企業(yè)內(nèi)部數(shù)據(jù)泄露,,限制內(nèi)部攻擊者橫向移動和攻擊破壞。本文將給出零信任和零信任體系的定義,,遵循的原則,,討論零信任體系的組成,分析處理方法的變化和面臨的安全威脅,。
01
零信任基礎(chǔ)
“零信任”是一種以資源保護為核心的網(wǎng)絡(luò)安全模式,,其前提是信任從不被隱式授予,而是必須持續(xù)評估,?!傲阈湃误w系”是一種企業(yè)資源和數(shù)據(jù)安全端到端的保護方法,包含人和非人實體的身份標識,、認證信息,、訪問管理、操作運維,、端點管控,、運行環(huán)境和互連基礎(chǔ)設(shè)施等內(nèi)容。最初的重點是將企業(yè)資源訪問權(quán)限控制在那些執(zhí)行任務(wù)必須的最小用戶范圍內(nèi),。傳統(tǒng)企業(yè)主要關(guān)注網(wǎng)絡(luò)邊界防護,,用戶只要通過邊界身份驗證,,就有權(quán)訪問企業(yè)整個網(wǎng)內(nèi)資源。因此,,網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的橫向移動和攻擊破壞一直是廣大企事業(yè)單位面臨的最大挑戰(zhàn)之一,。盡管企業(yè)網(wǎng)絡(luò)邊界防設(shè)備提供了強大的網(wǎng)絡(luò)邊界保護功能,有效阻止了來自網(wǎng)絡(luò)外部的攻擊者,,但是在檢測和阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊方面顯得力不從心,,更無法有效保護遠程工作者、基于云的外圍用戶,。
1.1 零信任和零信任體系定義
零信任提供了一組概念和設(shè)計思想,,旨在減少在信息系統(tǒng)和服務(wù)中實施快速、準確訪問決策的不確定性,。零信任體系是利用零信任概念建立的網(wǎng)絡(luò)安全計劃,,包含組件關(guān)系、工作流程規(guī)劃和訪問策略等內(nèi)容,。因此,,零信任企業(yè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和操作策略,是企業(yè)零信任體系計劃的執(zhí)行結(jié)果,。企業(yè)決定采用零信任作為網(wǎng)絡(luò)安全基礎(chǔ),,并按照零信任原則制定計劃,形成零信任體系,。然后執(zhí)行此計劃以部署企業(yè)中使用的零信任環(huán)境,。
這個定義的關(guān)鍵是防止對數(shù)據(jù)和服務(wù)未經(jīng)授權(quán)的訪問,同時使訪問控制執(zhí)行盡可能細粒度,。也就是說,,允許授權(quán)和批準的用戶訪問企業(yè)數(shù)據(jù),而對所有攻擊者,、非授權(quán)用戶拒絕提供服務(wù),。更進一步說,可以用“資源”這個詞代替“數(shù)據(jù)”,,因此零信任和零信任體系是關(guān)于資源訪問的,,而不僅僅是數(shù)據(jù)訪問。為了減少不確定性,,重點關(guān)注于身份認證,、授權(quán)和收縮隱式信任區(qū)域,縮短身份驗證機制中的時間延遲,。訪問規(guī)則被限制為最少的特權(quán),,并且盡可能細化。
在圖1所示的抽象訪問模型中,,用戶或機器需要訪問企業(yè)資源,。通過策略決策點(Policy Decision Point, PDP)和相應(yīng)的策略執(zhí)行點(Policy enforcement Point,PEP)授予訪問權(quán)限,。
圖片
圖1 零信任訪問模型
零信任系統(tǒng)中必須確保用戶身份是真實的,請求是有效的,。PDP/PEP通過適當?shù)呐袛?,才允許企業(yè)主體訪問資源。這意味著零信任適用于兩個基本領(lǐng)域:身份認證和授權(quán),。用戶對這個惟一請求的身份信任程度是多少,?在對用戶身份的信任程度給定的情況下,是否允許該用戶訪問企業(yè)資源,?用于請求的設(shè)備是否具有適當?shù)陌踩珷顟B(tài),?是否有其他因素需要考慮,并改變信任水平,?例如用戶訪問時間,、所處位置、安全狀態(tài)等等,??偟膩碚f,企業(yè)需要為資源的訪問開發(fā)和維護基于風險的動態(tài)安全策略,,并建立一個系統(tǒng)來確保這些安全策略被正確和嚴格地執(zhí)行,。因此,企業(yè)不應(yīng)該依賴于隱式的可信,,無論什么用戶只要符合訪問資源的身份驗證標準,,所有訪問資源的請求都應(yīng)視為同等有效,。
“隱式信任區(qū)域”表示所有實體至少被信任到最后一個PDP/PEP網(wǎng)關(guān)級別的區(qū)域,。例如,火車站的乘客篩選模型,。所有乘客通過火車站進站安全檢查(PDP/PEP),,進入候車室。旅客在候車室里轉(zhuǎn)悠,,所有被放行的旅客都被認為是可信的,。在這個模型中,隱式信任區(qū)域就是候車室,。
PDP/PEP應(yīng)用一組控件,,以便PEP之外的所有通信都具有公共的信任級別。PDP/PEP應(yīng)該有超出其通信控制范圍的其他策略,。為了讓PDP/PEP盡可能的具體,,隱式信任區(qū)域必須盡可能的小。
零信任是圍繞PDP/PEP對資源保護提供的一套原則和概念,,盡可能將PDP/PEP設(shè)置到距離企業(yè)資源更近的位置,。目的是更明確地對構(gòu)成企業(yè)的所有用戶,、設(shè)備、應(yīng)用程序和工作流程進行身份驗證和授權(quán)控制,。
1.2 零信任原則
?。?)所有數(shù)據(jù)源和計算服務(wù)都被視為資源。一個網(wǎng)絡(luò)可以由多種不同的設(shè)備組成,。它們將數(shù)據(jù)發(fā)送到企業(yè)的交換機,、路由器、存儲器和服務(wù)器,,控制執(zhí)行器的系統(tǒng)以及其他功能部件,。此外,如果個人擁有能夠訪問企業(yè)資源的設(shè)備,,也應(yīng)當將這些設(shè)備劃歸企業(yè)資源進行管理,。
(2)無論網(wǎng)絡(luò)位置如何,,所有通信都應(yīng)該是安全的,。網(wǎng)絡(luò)位置并不意味著信任。位于企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的所有資產(chǎn),,包括傳統(tǒng)網(wǎng)絡(luò)邊界范圍內(nèi)的資產(chǎn),,其訪問請求都必須與來自外部網(wǎng)絡(luò)的訪問請求和通信滿足相同的安全策略。換句話說,,不應(yīng)因設(shè)備位于企業(yè)網(wǎng)絡(luò)邊界范圍內(nèi)而自動授予信任,。所有通信都應(yīng)該以最安全的方式進行,保護其機密性和完整性,,并提供源身份驗證,。
(3)對單個企業(yè)資源的訪問是在每個會話的基礎(chǔ)上授予的,。在授予訪問權(quán)限之前,,將評估對請求者的信任。對于一個特定的操作,,只意味著“以前某個時候”可信,,而不會在啟動會話或使用資源執(zhí)行操作之前直接授權(quán)訪問。同樣,,對一個資源的身份驗證和授權(quán)也不會自動授予對另一個資源的訪問權(quán),。
(4)對資源的訪問由動態(tài)策略決定,,包括客戶端標識,、應(yīng)用程序和請求資產(chǎn)的可見狀態(tài),以及其他行為屬性。通過定義它擁有什么資源,、它的成員是誰,,以及這些成員需要什么資源訪問權(quán)來保護資源。對于零信任,,客戶端標識包括用戶帳戶和該帳戶關(guān)聯(lián)的屬性,,以自動進行身份驗證任務(wù)。請求資產(chǎn)狀態(tài)包括設(shè)備特征,,如已安裝的軟件版本,、網(wǎng)絡(luò)位置、請求的時間/日期,、以前觀察到的行為和已安裝的憑據(jù),。行為屬性包括自動用戶分析、設(shè)備分析和從觀察到的使用模式的測量偏差,。策略是一組基于組織分配給用戶,、數(shù)據(jù)資產(chǎn)或應(yīng)用程序的屬性的訪問規(guī)則。這些規(guī)則和屬性是基于業(yè)務(wù)流程的需求和可接受的風險級別,。資源訪問和操作權(quán)限策略可以根據(jù)資源/數(shù)據(jù)的敏感性而變化,。
(5)企業(yè)確保所擁有的資產(chǎn)和相關(guān)的設(shè)備均處于最安全的狀態(tài),,并持續(xù)監(jiān)控以確保資產(chǎn)處于最安全的狀態(tài),。沒有設(shè)備天生就值得信任。這里,,“最安全狀態(tài)”是指設(shè)備處于符合實際的最安全狀態(tài),,設(shè)備仍然可以執(zhí)行任務(wù)所需的操作。實現(xiàn)零信任體系的企業(yè)應(yīng)該建立一個持續(xù)診斷和緩解系統(tǒng)來監(jiān)控設(shè)備和應(yīng)用程序的安全狀態(tài),,并根據(jù)需要應(yīng)用補丁/修復(fù)程序,。
(6)所有資源的身份驗證和授權(quán)都是動態(tài)的,,并且在允許訪問之前必須嚴格執(zhí)行,。這是一個不斷循環(huán)的過程,包括獲取訪問,、掃描和評估威脅、調(diào)整和不斷重新評估正在進行的通信中的信任,。實現(xiàn)零信任體系的企業(yè)應(yīng)該具備身份,、憑證和訪問管理以及資產(chǎn)管理等系統(tǒng)。這包括使用多因子身份驗證訪問部分或全部企業(yè)資源,。根據(jù)策略的定義和執(zhí)行,,在整個用戶交互過程中不斷重新進行身份驗證和授權(quán)的監(jiān)控,以努力實現(xiàn)安全性、可用性,、易用性和成本效率之間的平衡,。
(7)企業(yè)盡可能多地收集網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信系統(tǒng)當前的狀態(tài)信息,,以提升其網(wǎng)絡(luò)安全狀況,。企業(yè)應(yīng)該收集關(guān)于網(wǎng)絡(luò)流量和訪問請求的數(shù)據(jù),用于改進策略的創(chuàng)建和執(zhí)行,。這些數(shù)據(jù)還可用于為來自實體的訪問請求提供上下文信息,。
02
零信任體系的組成
2.1 核心邏輯組件
在企業(yè)中,構(gòu)成零信任體系的邏輯組件很多,,最核心的還是策略決策點和策略執(zhí)行點這個兩個組件,。這些組件可以通過本地服務(wù)或遠程服務(wù)的方式來操作,組件之間的相互關(guān)系如圖2,。從圖中可以看出,,策略決策點被分解為兩個邏輯組件:策略引擎(Policy Engine,PE)和策略管理員(Policy Administrator,,PA),。零信任體系邏輯組件之間通過一個單獨的控制平面進行通信,而應(yīng)用程序數(shù)據(jù)則在一個數(shù)據(jù)平面上進行通信,。
圖片
圖2 零信任核心邏輯組件
?。?)策略引擎:該組件負責最終決策授予給定實體對資源的訪問權(quán)限。PE使用企業(yè)策略和外部來源的輸入作為信任算法的輸入來授予,、拒絕或撤銷對資源的訪問權(quán),。決策引擎與策略管理員組件配對。策略引擎制定并記錄決策,,策略管理員執(zhí)行決策,。
(2)策略管理員:該組件負責建立或關(guān)閉實體與資源之間的通信路徑,。它將生成客戶端用來訪問企業(yè)資源的任何身份驗證和身份驗證令牌或憑據(jù),。它與PE緊密相關(guān),并取決于其最終允許或拒絕會話的決定,。
?。?)策略執(zhí)行點:該系統(tǒng)負責啟動,監(jiān)控和終止實體與企業(yè)資源之間的連接,。這是零信任體系中的單個邏輯組件,,但是可以分為兩個不同的組件:客戶端的代理組件和資源側(cè)的資源訪問控制組件,或者充當網(wǎng)絡(luò)接入控制的單個門戶組件,。PEP之外是承載企業(yè)資源的隱式信任區(qū),。
2.2 輔助系統(tǒng)
除了實現(xiàn)零信任體系的核心邏輯組件之外,還有幾個數(shù)據(jù)源產(chǎn)生的輔助系統(tǒng),他們將數(shù)據(jù)源提供給策略引擎作為訪問決策的輸入和策略規(guī)則,。包括以下本地數(shù)據(jù)源以及外部數(shù)據(jù)源:
?。?)持續(xù)診斷和緩解系統(tǒng):該系統(tǒng)將收集企業(yè)資產(chǎn)當前的狀態(tài)信息,并將其更新應(yīng)用于配置和軟件組件,。企業(yè)持續(xù)診斷和緩解系統(tǒng)向策略引擎提供有關(guān)發(fā)出訪問請求的資產(chǎn)信息,,例如它是否正在運行適當?shù)男扪a過的操作系統(tǒng)和應(yīng)用程序,或者資產(chǎn)是否有任何已知漏洞,。
?。?)威脅情報系統(tǒng):它提供來自內(nèi)部或外部的信息,幫助策略引擎做出訪問決策,。這些服務(wù)可以是多個服務(wù),,他們從內(nèi)部和/或多個外部源獲取數(shù)據(jù),并提供關(guān)于新發(fā)現(xiàn)的攻擊或漏洞的信息,。這還包括黑名單,、新識別的惡意軟件,以及對策略引擎想要拒絕企業(yè)資產(chǎn)訪問的其他資產(chǎn)的攻擊報告,。
?。?)數(shù)據(jù)訪問策略:這是有關(guān)訪問企業(yè)資源的屬性,規(guī)則和策略,。這組規(guī)則可以在策略引擎中編碼或由策略引擎動態(tài)生成,。這些策略是授權(quán)訪問資源的起點,它為企業(yè)資產(chǎn)和應(yīng)用程序提供了基本的訪問權(quán)限,。這些策略應(yīng)該基于任務(wù)角色和組織需求來確定,。
(4)公鑰基礎(chǔ)設(shè)施:該系統(tǒng)負責為企業(yè)資源,、實體和應(yīng)用程序頒發(fā)證書并對其進行日志記錄,。
(5)身份標識管理系統(tǒng):負責創(chuàng)建,、存儲和管理企業(yè)用戶帳戶和標識記錄,,并利用輕量級目錄訪問協(xié)議服務(wù)器來發(fā)布。該系統(tǒng)包含用戶姓名,、電子郵件地址,、證書等必要的用戶信息,以及用戶角色,、訪問屬性和分配的資產(chǎn)等其他企業(yè)特征,。身份標識管理系統(tǒng)經(jīng)常通過公鑰基礎(chǔ)設(shè)施來處理與用戶帳戶相關(guān)的工作。
?。?)網(wǎng)絡(luò)活動日志系統(tǒng):這是一個企業(yè)系統(tǒng),它聚合了資產(chǎn)日志、網(wǎng)絡(luò)流量,、資源訪問操作和其他事件,,這些事件對企業(yè)信息系統(tǒng)的安全狀態(tài)提供實時(或近似實時)反饋。
?。?)安全信息和事件監(jiān)控系統(tǒng):它收集以安全為中心的信息,,供以后分析。將這些數(shù)據(jù)用于優(yōu)化策略,,并警告對企業(yè)資產(chǎn)的可能攻擊,。
2.3 零信任算法
對于部署了零信任系統(tǒng)的企業(yè),可以將策略引擎視為大腦,,將策略引擎的信任算法視為主要的思想過程,。信任算法是策略引擎用來最終授予或拒絕訪問某個資源的過程。策略引擎從多個來源獲取輸入:策略數(shù)據(jù)庫,,其中包含關(guān)于用戶,、用戶屬性和角色、歷史用戶行為模式,、威脅情報來源和其他元數(shù)據(jù)來源的信息,,如圖3所示。
圖片
圖3 零信任算法輸入
在圖2中,,可以根據(jù)為零信任算法提供的內(nèi)容不同,,將輸入分為不同的類別。
?。?)訪問請求:這是來自實體的實際請求,。被請求的資源是被使用的主要信息,但是也使用關(guān)于請求者的信息,。這可能包括操作系統(tǒng)版本,、使用的應(yīng)用程序和補丁級別。根據(jù)這些因素和資產(chǎn)安全狀況,,對資產(chǎn)的訪問可能受到限制或拒絕,。
(2)用戶數(shù)據(jù)庫:包括用戶標識,、屬性和特權(quán)等,,表明這是“誰”在請求訪問資源。這是企業(yè)或協(xié)作者的用戶集和分配的用戶屬性/特權(quán)集,。這些用戶和屬性是構(gòu)成資源訪問策略的基礎(chǔ),。用戶身份可以包括邏輯身份和策略執(zhí)行點執(zhí)行身份驗證檢查的結(jié)果。身份的屬性包括時間和地理位置等,,這些屬性可用于獲得信任水平,。授予多個用戶的一組特權(quán)可以被認為是一個角色,,應(yīng)該在單個的基礎(chǔ)上將特權(quán)分配給一個用戶,而不僅僅是因為它們可能適合某個特定的角色,。此集合應(yīng)該編碼并存儲在ID管理系統(tǒng)和策略數(shù)據(jù)庫中,。這還可能包括一些信任算法變量中關(guān)于過去觀察到的用戶行為的數(shù)據(jù)。
?。?)系統(tǒng)數(shù)據(jù)庫:包含資產(chǎn)數(shù)據(jù)和每個企業(yè)擁有的物理和虛擬資產(chǎn)的已知狀態(tài),。這與發(fā)出請求的資產(chǎn)的可觀察狀態(tài)相比較,可以包括操作系統(tǒng)版本,、使用的應(yīng)用程序,、網(wǎng)絡(luò)地理位置和補丁級別。根據(jù)與此數(shù)據(jù)庫相比較的資產(chǎn)狀態(tài),,對資產(chǎn)的訪問可能受到限制或拒絕,。
(4)資源訪問需求:這組策略補充了用戶身份標識和屬性數(shù)據(jù)庫,,并定義了對資源訪問的最低需求,。需求可能包括認證者保證級別,如多因子認證網(wǎng)絡(luò)位置,、數(shù)據(jù)敏感性和資產(chǎn)配置請求,。這些要求應(yīng)由數(shù)據(jù)保管人和負責利用數(shù)據(jù)的業(yè)務(wù)流程的人員共同制定。
?。?)安全威脅情報:這是一個或多個關(guān)于一般威脅和在互聯(lián)網(wǎng)上活動的惡意軟件的信息源,。這些信息可以是外部服務(wù)或內(nèi)部掃描發(fā)現(xiàn),還可以包括攻擊簽名和緩解措施,。這是最有可能由服務(wù)而不是企業(yè)控制的惟一組件,。
每個數(shù)據(jù)源的重要性權(quán)重可以是專有算法,也可以由企業(yè)配置,。這些權(quán)重值可以用來反映數(shù)據(jù)源對企業(yè)的重要性,。最后的決定被傳遞給策略管理員執(zhí)行。策略管理員的工作是配置必要的策略執(zhí)行點以啟用授權(quán)通信,。根據(jù)零信任體系的部署方式,,這可能涉及將身份驗證結(jié)果和連接配置信息發(fā)送到網(wǎng)關(guān)和代理或資源門戶。策略管理員還可以在通信會話上放置一個保持或暫停,,以便根據(jù)策略需求重新驗證和重新授權(quán)連接,。策略管理員還負責根據(jù)策略發(fā)出終止連接的命令。
03
零信任體系處理方法的變化
3.1 加強身份管理
加強身份管理的ZTS方法將參與者的身份作為策略創(chuàng)建的關(guān)鍵組件,。如果沒有請求訪問企業(yè)資源的實體,,就不需要創(chuàng)建訪問策略。對于這種方法,,企業(yè)資源訪問策略基于標識和分配的屬性,。對資源訪問的主要需求是基于授予給定實體的訪問特權(quán),。其他因素,諸如使用的設(shè)備,、資產(chǎn)狀態(tài)和環(huán)境因素,,都可能會改變最終的信任水平計算或最終訪問授權(quán),,甚至以某種方式調(diào)整結(jié)果,。私有資源或保護資源的PEP組件必須具有將實體請求轉(zhuǎn)發(fā)到策略引擎服務(wù)的方法,或者在授予訪問權(quán)之前對實體進行身份驗證并批準請求,。
3.2 使用微分段保護
企業(yè)可以將單個或群組資源放置在由網(wǎng)關(guān)安全組件保護的自身網(wǎng)段上來實現(xiàn)零信任體系,。這種方法,企業(yè)將網(wǎng)關(guān)設(shè)備作為PEP來保護每個資源或資源組,。這些網(wǎng)關(guān)設(shè)備動態(tài)授權(quán)來自客戶端資產(chǎn)的訪問請求,。根據(jù)模型不同,網(wǎng)關(guān)可以是唯一的PEP組件,,也可以是由網(wǎng)關(guān)和客戶端代理組成的多部分PEP的一部分,。
此方法適用于各種用例和部署模型,因為保護設(shè)備充當PEP,,而管理設(shè)備充當PE/PA組件,。這種方法需要身份管理程序來完全發(fā)揮作用,并依賴于網(wǎng)關(guān)組件充當PEP,,保護資源免受未經(jīng)授權(quán)的訪問或發(fā)現(xiàn),。
這種方法的關(guān)鍵在于,PEP組件是受管理的,,并且應(yīng)能根據(jù)需要及時做出反應(yīng)和重新配置,,以快速響應(yīng)工作流中的威脅或更改。通過使用一般的網(wǎng)關(guān)設(shè)備甚至無狀態(tài)防火墻就可以實現(xiàn)微分段企業(yè)的某些功能,,但是管理成本與快速響應(yīng)之間存在矛盾,,往往難以平衡。
3.3 使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施和軟件定義邊界
第三種方法使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施來實現(xiàn)零信任體系,。零信任的實現(xiàn)可以通過使用覆蓋網(wǎng)絡(luò)來實現(xiàn),。這些方法有時被稱為軟件定義邊界方法,經(jīng)常包括來自軟件定義網(wǎng)絡(luò)和基于意圖的網(wǎng)絡(luò)概念,。在這種方法中,,PA充當網(wǎng)絡(luò)控制器,根據(jù)PE做出的決策設(shè)置和重新配置網(wǎng)絡(luò),??蛻舳死^續(xù)通過由PA組件管理的PEP請求訪問。
當該方法在應(yīng)用網(wǎng)絡(luò)層實現(xiàn)時,,最常見的部署模型是代理/網(wǎng)關(guān),。在此場景中,,代理和資源網(wǎng)關(guān)建立用于客戶端和資源之間通信的安全通道。
04
零信任體系面臨的安全威脅
盡管基于零信任體系的網(wǎng)絡(luò)比傳統(tǒng)網(wǎng)絡(luò)安全得多,,但是任何企業(yè)都無法消除網(wǎng)絡(luò)安全風險,。當零信任體系與現(xiàn)有的網(wǎng)絡(luò)安全政策和指導(dǎo)、身份認證和訪問管理,、持續(xù)監(jiān)控等相輔相成時,,零信任體系就可以降低企業(yè)網(wǎng)絡(luò)的整體安全風險并防范常規(guī)威脅和攻擊。然而,,在實現(xiàn)零信任體系過程中,,一些安全威脅還是客觀存在,并具有獨特性,。
4.1 零信任體系決策過程的顛覆威脅
在零信任體系中,,策略決策點是整個企業(yè)的關(guān)鍵組件。企業(yè)資源之間不發(fā)生通信,,除非得到策略決策點的批準和配置許可,。這意味著必須正確配置和維護這些組件。任何具有策略引擎規(guī)則的配置訪問權(quán)限的企業(yè)管理員都可能執(zhí)行未經(jīng)批準的更改或犯可能破壞企業(yè)操作的錯誤,。同樣,,一個被破壞的策略管理員可以允許訪問那些不被批準的資源。降低相關(guān)風險意味著必須正確配置和監(jiān)管策略決策點組件,,并且必須記錄任何配置更改并進行審計,。
4.2 拒絕服務(wù)或網(wǎng)絡(luò)中斷威脅
在ZTS中,策略管理員是資源訪問的關(guān)鍵組件,。如果沒有策略管理員的許可和配置操作,,企業(yè)資源之間不能相互連接。如果攻擊者中斷或拒絕訪問策略執(zhí)行點或策略管理員,,它可以對企業(yè)的產(chǎn)生經(jīng)營產(chǎn)生不利影響,。企業(yè)可以通過將策略強制駐留在云中或根據(jù)網(wǎng)絡(luò)彈性指南復(fù)制到多個位置來減輕這種威脅。
這雖然降低了風險,,但并沒有消除風險,。僵尸網(wǎng)絡(luò)會對關(guān)鍵的服務(wù)提供商發(fā)起大規(guī)模拒絕服務(wù)(Denial Of Service,DoS)攻擊,,并擾亂網(wǎng)上用戶的服務(wù),。攻擊者也有可能攔截并阻止來自企業(yè)內(nèi)部分用戶帳戶到策略執(zhí)行點或策略管理員的流量。在這種情況下,,只有一部分企業(yè)用戶受到影響,。這在傳統(tǒng)的基于虛擬專用網(wǎng)(Virtual Private Network,VPN )的訪問中也是可能的,,而且也不是ZTS所獨有的,。
主機提供商也可能會不小心將基于云的策略引擎或策略管理員脫機,。云服務(wù)在過去經(jīng)歷過中斷,無論是作為服務(wù)的基礎(chǔ)設(shè)施還是服務(wù)器,。如果策略決策點組件從網(wǎng)絡(luò)上變得不可訪問,,則操作錯誤可能會阻止整個企業(yè)運行。
4.3 證書被盜/內(nèi)部威脅
正確實現(xiàn)的ZT,、信息安全和彈性策略以及最佳實踐降低了攻擊者通過竊取憑證或內(nèi)部攻擊獲得廣泛訪問權(quán)限的風險,。基于網(wǎng)絡(luò)位置的無隱式信任的ZT原則,,意味著攻擊者需要破壞現(xiàn)有的帳戶或設(shè)備才能在企業(yè)中立足,。正確實現(xiàn)的ZTS應(yīng)該能夠防止被破壞的帳戶或資產(chǎn)訪問正常權(quán)限或訪問模式之外的資源。因此,,攻擊者感興趣的帳戶將成為主要的攻擊目標。
攻擊者可能使用網(wǎng)絡(luò)釣魚,、社會工程或聯(lián)合攻擊來獲取有價值的帳戶憑證,。根據(jù)攻擊者的動機,“有價值”可能意味著不同的東西,。企業(yè)管理員帳戶可能很有價值,,但是對財務(wù)收益感興趣的攻擊者可能會考慮具有同等價值的財務(wù)或支付資源訪問權(quán)的帳戶。為網(wǎng)絡(luò)訪問而實現(xiàn)多因子認證可能會降低被破壞帳戶的訪問風險,。然而,,與傳統(tǒng)企業(yè)一樣,具有有效憑證的攻擊者仍然能夠訪問已授權(quán)戶訪問的資源,。攻擊者或受攻擊的員工擁有有效人力資源員工的憑據(jù)和企業(yè)擁有的資產(chǎn),,仍然可以訪問員工數(shù)據(jù)庫。
ZTS增強了對這種攻擊的抵抗力,,并防止任何被破壞帳戶或資產(chǎn)在網(wǎng)絡(luò)中橫向移動進行攻擊破壞,。如果被破壞的憑據(jù)沒有被授權(quán)訪問特定的資源,它們將繼續(xù)被拒絕訪問該資源,。此外,,上下文信任算法比傳統(tǒng)的基于邊界的網(wǎng)絡(luò)更有可能檢測并快速響應(yīng)這種攻擊。上下文信任算法可以檢測不正常行為的訪問模式,,并拒絕對敏感資源的已泄露帳戶或內(nèi)部威脅訪問,。
4.4 網(wǎng)絡(luò)可見性威脅
所有流量都被檢查并記錄到網(wǎng)絡(luò)上,并進行分析,,以識別和應(yīng)對針對企業(yè)的潛在攻擊,。但是,正如前面提到的,,企業(yè)網(wǎng)絡(luò)上的一些流量對于傳統(tǒng)的第3層網(wǎng)絡(luò)分析工具來說可能是不透明的,。這些流量可能來自于非企業(yè)擁有的資產(chǎn)或抵抗被動監(jiān)控的應(yīng)用程序,。企業(yè)不能對數(shù)據(jù)包進行深度檢查或分析加密流量,必須使用其他方法來評估網(wǎng)絡(luò)上可能的攻擊者,。
這并不意味著企業(yè)無法分析它在網(wǎng)絡(luò)上看到的加密流量,。企業(yè)可以收集關(guān)于加密通信的元數(shù)據(jù),并使用這些元數(shù)據(jù)檢測活躍的攻擊者或網(wǎng)絡(luò)上可能的惡意軟件,。機器學習技術(shù)可以用來分析無法解密和檢查的通信數(shù)據(jù),。使用這種類型的機器學習將允許企業(yè)將流量分類為有效的或可能惡意的,并可進行補救,。在ZTS部署中,,只需要以這種方式檢查來自非企業(yè)資產(chǎn)的流量,因為所有企業(yè)流量都要通過PEP由策略管理員進行分析,。
4.5 網(wǎng)絡(luò)信息的存儲威脅
對企業(yè)網(wǎng)絡(luò)流量分析的一個相關(guān)威脅是分析組件本身,。如果存儲網(wǎng)絡(luò)流量和元數(shù)據(jù)是為了構(gòu)建上下文策略、取證或后續(xù)分析,,那么這些數(shù)據(jù)就會成為攻擊者的目標,。就像網(wǎng)絡(luò)圖、配置文件和其他分類的網(wǎng)絡(luò)體系結(jié)構(gòu)文檔一樣,,這些資源也應(yīng)該受到保護,。如果攻擊者能夠成功地訪問存儲的流量信息,他們就能夠深入了解網(wǎng)絡(luò)體系結(jié)構(gòu)并識別資產(chǎn),,以便進行進一步的偵察和攻擊,。零信任企業(yè)中,攻擊者偵察信息的另一個來源是用于編碼訪問策略的管理工具,。與存儲的通信流一樣,,此組件包含對資源的訪問策略,可以向攻擊者提供關(guān)于哪些帳戶最有價值進行攻擊的信息,。
對于所有有價值的企業(yè)數(shù)據(jù),,應(yīng)該有足夠的保護措施來防止未經(jīng)授權(quán)的訪問和訪問嘗試。由于這些資源對安全性至關(guān)重要,,因此它們應(yīng)該具有最嚴格的訪問策略,,并且只能從指定的或?qū)S玫墓芾韱T帳戶訪問。
4.6 對專有數(shù)據(jù)格式的依賴威脅
零信任體系依賴于多種不同的數(shù)據(jù)源來進行訪問決策,,包括請求用戶信息,、使用的資產(chǎn)、企業(yè)和外部情報以及威脅分析的信息,。通常,,用于存儲和處理這些信息的資產(chǎn)在如何交互和交換信息方面沒有一個通用的、開放的標準。這可能導(dǎo)致企業(yè)由于互操作性問題而被鎖定在提供者的子集中,。如果一個提供者有安全問題或中斷,,企業(yè)可能無法遷移到一個新的提供者,除非付出極大的代價或經(jīng)歷一個很長的轉(zhuǎn)換程序,。與DoS攻擊一樣,,這種風險并非零信任體系所獨有,但由于零信任體系嚴重依賴于信息的動態(tài)訪問,,中斷可能會影響企業(yè)的核心業(yè)務(wù)功能,。為了降低相關(guān)風險,企業(yè)應(yīng)該綜合考慮供應(yīng)商安全控制,、企業(yè)轉(zhuǎn)換成本和供應(yīng)鏈風險管理等因素,,對服務(wù)供應(yīng)商進行評估。
4.7 在零信任體系管理中使用非人實體威脅
人工智能和其他基于軟件的代理被部署來管理企業(yè)網(wǎng)絡(luò)上的安全問題,。這些組件需要與零信任體系中的策略引擎,、策略管理組件進行交互,有時需要代替人工管理員,。在實現(xiàn)零信任體系的企業(yè)中,,這些組件如何對自己進行身份驗證是一個有待解決的問題。假設(shè)大多數(shù)自動化系統(tǒng)在使用到資源組件的應(yīng)用編程接口(Application Programming Interface,,API)時都會使用一些方法來進行身份驗證。
當使用自動化技術(shù)進行配置和策略執(zhí)行時,,最大的風險是誤報和誤報的可能性,。這可以通過定期的調(diào)整分析來減少,以糾正錯誤的決策和改進決策過程,。
相關(guān)的風險是,,攻擊者將能夠誘導(dǎo)或強制非個人實體執(zhí)行一些攻擊者無權(quán)執(zhí)行的任務(wù)。與人工用戶相比,,軟件代理執(zhí)行管理或安全相關(guān)任務(wù)的身份驗證的門檻可能更低,。如果攻擊者可以與代理交互,那么從理論上講,,他們可以欺騙代理允許攻擊者進行更大的訪問,,或者代表攻擊者執(zhí)行一些任務(wù)。還有一種風險是,,攻擊者可能獲得對軟件代理憑證的訪問權(quán),,并在執(zhí)行任務(wù)時模擬代理。
05
結(jié) 語
本文介紹了美國國家標準與技術(shù)研究院關(guān)于零信任和零信任體系的定義,,分析了零信任體系與傳統(tǒng)邊界防護之間的差異,,提出了零信任體系應(yīng)遵循的原則,介紹了零信任體系的組成和核心邏輯組件,研究分析了零信任體系下企業(yè)網(wǎng)絡(luò)面臨的安全威脅,。上述研究成果將為我國黨政機關(guān),、企事業(yè)單位、科研院所等用戶內(nèi)部網(wǎng)絡(luò)的安全性設(shè)計和建設(shè)提供有力的參考,。
