《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 网络安全新架构:零信任安全

网络安全新架构:零信任安全

2021-10-28
来源: 信息安全与通信保密杂志社
关键词: 零信任

  2019年7月12日,美国国防部发布《国防部数字现代化战略》。《战略》主要由美国国防部首席信息官(DoD CIO)牵头制定,旨在确保国防部以更高效、更有效的方式执行任务,为美国国防部IT现代化领域一系列其他战略文件提供顶层指导。在《战略》附录中列出的在国防领域有应用前景的技术中,将零信任安全(Zero Trust Security)作为了美国国防部优先发展的技术之一。 零信任是一种网络安全策略,它在整个架构中嵌入安全性,以阻止数据泄露。此安全模型消除了信任或不信任的网络、设备、角色或进程的概念,并转变为基于多属性的置信级别,从而在最低特权访问概念下启用身份验证和授权策略。

  1

  零信任安全模式从何而来?

  在网络监控无处不在的时代,很难确定谁是值得信任的。我们能相信互联网流量没有被监听吗?当然不能!我们既无法信任提供光纤租用的互联网服务商,也无法信任昨天在数据中心布线的合同工。“数据中心内部的系统和网络流量是可信的”这一假设是不正确的。现代的网络设计和应用模式,已经使得传统的、基于网络边界的安全防护模式逐渐失去原有的价值。因此,网络边界的安全防护一旦被突破,即使只有一台计算机被攻陷,攻击者也能够在“安全的”数据中心内部自由移动。零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型没有基于网络位置建立信任,而是在不依赖网络传输层物理安全机制的前提下,有效地保护网络通信和业务访问。

  据有关机构调查分析,内部人员威胁是造成企业数据泄露的第二大原因。企业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权限,一旦出现凭证丢失、权限滥用或非授权访问等问题,往往会导致企业的数据泄漏。外部黑客攻击是造成企业数据泄露的第一大原因。美国Verizon 公司《2017 年数据泄露报告》分析指出,攻击者渗透进企业的内网之后,并没有采用什么高明的手段窃取数据,81% 的攻击者只是利用偷来的凭证或者“爆破”得到的弱口令,就轻而易举地获得了系统和数据的访问权限。造成数据泄露的两大原因值得我们深入思考:企业的安全意识在不断提高,网络安全防护体系建设的投入也在不断加大,为什么类似数据泄露这样的安全事件并没有得到很好的遏制,反而有愈演愈烈的趋势?我们在企业网络安全体系建设上忽视了什么?提到网络安全防护,人们第一时间会考虑如何对抗具体的威胁。例如,通过消费威胁情报构建积极防御能力,对抗高级威胁、APT 攻击等。这些防护措施当然必不可少,而且必须随着威胁的升级持续演进。但是,在企业构建网络安全体系的过程中,人们往往忽视最基础的架构安全能力建设。网络安全架构往往伴随IT 技术架构的变革不断演进,而数字化转型的技术本质恰恰是IT 技术架构的剧烈变革。在新的IT 技术架构下,传统的网络安全架构理念如果不能随需应变,自然会成为木桶最短的那块木板。

  传统的网络安全架构理念是基于边界的安全架构。企业构建网络安全体系时,首先寻找安全边界,把网络划分为外网、内网、隔离区(DMZ)等不同的区域,然后在边界上通过部署防火墙、WAF、IPS 等网络安全产品/ 方案进行重重防护,构筑企业业务的数字护城河。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备和系统的信任,从而忽视内网安全措施的加强。于是,攻击者一旦突破企业的网络安全边界进入内网,常常会如入无人之境。此外,云计算等的快速发展导致传统的内外网边界模糊,很难找到物理上的安全边界。企业自然无法基于传统的安全架构理念构筑安全基础设施,只能诉诸于更灵活的技术手段对动态变化的人、设备、系统进行识别、认证、访问控制和审计,以身份为中心的访问控制成为数字时代架构安全的第一道关口。零信任安全架构正是拥抱了这种技术趋势,从而成为数字时代网络安全架构演进的必然选择。

  2

  什么是零信任安全

  零信任网络的概念建立在以下5个基本假定之上。

  * 网络无时无刻不处于危险的环境中。

  * 网络中自始至终存在外部或内部威胁。

  *  网络的位置不足以决定网络的可信程度。

  *  所有的设备、用户和网络流量都应当经过认证和授权。

  *  所有的设备、用户和网络流量都应当经过认证和授权。

  *  安全策略必须是动态的,并基于尽可能多的数据源计算而来。

  传统的网络安全结构把不同的网络(或者单个网络的一部分)划分为不同的区域,不同区域之间使用防火墙进行隔离。每个区域都被授予某种程度的信任,它决定了哪些网络资源允许被访问。这种安全模型提供了非常强大的纵深防御能力。比如,互联网可访问的Web服务器等高风险的网络资源,被部署在特定的区域(一般称为“隔离区”,DMZ),该区域的网络流量被严密监控和严格控制。这是一种常见的网络安全架构,如图1所示。

  微信图片_20211028092947.jpg

  图1 传统的网络安全架构

  零信任模型彻底改变了这种安全架构。传统的网络分区与隔离安全模型在过去发挥了积极作用,但是现在却疲于应对高级的网络攻击。传统的安全模型主要有以下缺点。

  *   缺乏网络内部的流量检查。

  *   主机部署缺乏物理及逻辑上的灵活性。

  *  存在单点故障。

  需要关注的是,如果基于网络位置划分区域的需求消失了,那么对VPN的需求也就消失了。VPN的作用是对用户进行身份认证并分配IP地址,然后建立加密的传输隧道。用户的访问流量通过隧道传输到远程网络,然后进行数据包的解封装和路由。或许人们从来没有想过,在某种程度上,VPN是一种不会遭人怀疑的后门。

  如果网络的位置对于网络安全失去价值,那么诸如VPN等网络安全设备也会失去其原有的价值。当然,这也迫使我们把安全控制的实施点尽可能地前推到网络边缘,这同时也减轻了网络核心设备的安全责任。此外,大多数主流的操作系统都支持状态防火墙,交换和路由技术的进展也为在网络边缘部署高级功能创造了机会。将所有这些改变带来的收益汇集在一起,得出一个结论:是时候进行网络安全架构的范式转换了。利用分布式策略实施和应用零信任原则,可以构建如图2所示的网络安全架构。

  微信图片_20211028092950.jpg

  图2 零信任网络安全架构

  3

  零信任的技术方案与实践特点

  零信任架构重新评估和审视了传统的边界安全架构,并给出了新思路:应该假设网络自始至终充满外部和内部威胁,不能仅凭网络位置来评估信任;默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础;并且访问控制策略应该是动态的,基于设备和用户的多源环境数据计算得来。零信任对访问控制进行了范式上的颠覆,引导网络安全架构从“网络中心化”走向“身份中心化”。从技术方案层面来看,零信任安全架构是借助现代身份管理技术实现对人、设备和系统的全面、动态、智能的访问控制。

  零信任架构的技术方案包含:业务访问主体、业务访问代理和智能身份安全平台,三者之间的关系如下图3所示。

  微信图片_20211028092953.jpg

  图3  零信任架构的技术方案

  业务访问主体:是业务请求的发起者,一般包括用户、设备和应用程序三类实体。在传统的安全方案中,这些实体一般单独进行认证和授权,但在零信任架构中,授权策略需要将这三类实体作为一个密不可分的整体来对待,这样可以极大地缓解凭证窃取等安全威胁。零信任架构落地实践中,常常将其简化为用户和设备的绑定关系。

  业务访问代理:是业务访问数据平面的实际控制点,是强制访问控制的策略执行器。所有业务都隐藏在业务访问代理之后,只有完成设备和用户的认证,并且业务访问主体具备足够的权限,业务访问代理才对其开放业务资源,并建立起加密的业务访问数据通道。

  智能身份平台:是零信任架构的安全控制平面。业务访问主体和业务访问代理分别通过与智能身份安全平台的交互,完成信任的评估和授权过程,并协商数据平面的安全配置参数。现代身份管理平台非常适合承担这一角色,完成身份认证、身份治理、动态授权和智能分析等任务。

  4

  零信任架构的技术实践具有以下特点

  以身份为中心:零信任的本质是以身份为中心进行动态访问控制,全面身份化是实现零信任的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程,并进一步构筑动态访问控制体系,将安全边界延伸至身份实体。

  持续身份认证:零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过持续认证进行信任评估。例如,通过持续地对用户访问业务的行为、操作习惯等进行分析、识别和验证,动态评估用户的信任度。动态访问控制:传统的访问控制机制是宏观的二值逻辑,大多基于静态的授权规则、黑白名单等技术手段进行一次性的评估。零信任架构下的访问控制基于持续度量的思想,是一种微观判定逻辑,通过对业务访问主体的信任度、环境的风险进行持续度量并动态判定是否授权。主体的信任度评估可以依据采用的认证手段、设备的健康度、应用程序是否企业分发等等;环境的评估则可能包括访问时间、来源IP 地址、来源地理位置、访问频度、设备相似性等各种时空因素。

  智能身份分析:零信任架构提倡的持续认证、动态访问控制等特性会显著地增加管理开销,只有引入智能身份分析,提升管理的自动化水平,才能更好地实现零信任架构的落地。智能身份分析可以帮助我们实现自适应的访问控制,还能够对当前系统的权限、策略、角色进行分析,发现潜在的策略违规并触发工作流引擎进行自动或人工干预的策略调整,实现治理的闭环。

  5

  结    语

  基于零信任推动企业网络安全架构的重构应该上升到企业数字化转型的战略层面,与业务规划同步进行,并明确愿景和路线图,成立专门的组织,指派具有足够权限的负责人,才能保障零信任安全的落地和逐步实施。数字时代,零信任架构必将成为企业网络安全的新范式。企业机构应当开放心态,积极拥抱这种理念的变化,务实推动零信任架构的落地实践,为数字时代的企业网络安全保驾护航。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。