【摘 要】关键信息基础设施作为经济社会运行的神经中枢,是网络安全保护的重中之重。数字化转型浪潮下,关键信息基础设施面临前所未有的安全挑战,安全架构急需革新,零信任架构应运而生。本文论述了基于零信任架构的安全解决方案,指出零信任架构的“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,为关键信息基础设施保驾护航。
【关键词】 网络安全 动态访问控制 信任评估 关键信息基础设施安全
1. 引言
随着《中华人民共和国网络安全法》《国家网络空间安全战略》、网络安全等级保护制度2.0国家标准、《中华人民共和国密码法》等一系列政策法规出台,国家网络安全的战略及法律法规标准框架不断细化、完善和延伸[1]。
《网络安全法》第三章“网络运行安全”,对关键信息基础设施安全保护的基本要求、部门分工以及主体责任等问题作了基本法层面的总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法应由国务院制定。以此为规范依据,国家互联网办公室公布了《关键信息基础设施安全保护条例》征求意见稿,明确关键信息基础设施安全保护的核心地位。
关键信息基础设施作为经济社会运行的神经中枢,会对国计民生、社会运行,甚至国家安全产生重大的影响。随着信息技术的发展,关键信息基础设施加速与云计算、大数据、物联网、移动计算等新技术进行结合,正全方位进入信息化、数字化,为各行业带来创新发展和新的活力;同时,各行业产业模式的数字化转型与升级,孕育了关键信息基础设施互联互通的发展趋势,通过互联互通实现数据共享协同,提高生产力,提升创新能力。
新技术的采用让关键信息基础设施变得越来越复杂,关键信息基础设施的互联互通也导致了更多的网络攻击面,在当前的网络安全态势下,针对关键信息基础设施的新型攻击技术手段层出不穷,网络安全事件时有发生,同时,非授权访问、人员犯错、有意的数据窃取等内部威胁也层出不穷,关键信息基础设施面临前所未有的安全挑战。
2. 零信任架构出现的背景
面对如此严峻的安全挑战,业界的安全意识不可谓不到位,安全投入不可谓不高,然而,安全效果却不尽如人意,安全事件层出不穷,传统安全架构失效背后的根源是什么呢?安全的根本在应对风险,而风险与“漏洞”息息相关,是什么“漏洞”导致传统安全架构失效呢?答案是信任。传统的基于边界的网络安全架构某种程度上假设或默认了内网的人和设备是值得信任的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品及方案对企业网络边界进行重重防护就足够了。但是,安全是相对的,假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠,这就需要全新的网络安全架构来应对现代复杂的关键信息基础设施所面临的问题。零信任架构正是在这种背景下应运而生,是安全思维和安全架构进化的必然。
在《零信任网络》一书中,埃文·吉尔曼(Evan Gilman)和道格·巴斯(Doug Barth)将零信任架构建立在如下5个基本假定之上[2]:
(1)网络无时无刻不处于危险的环境中;
(2)网络中自始至终存在外部或内部威胁;
(3)网络的位置不足以决定网络的可信程度;
(4)所有的设备、用户和网络流量都应当经过认证和授权;
(5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。
美国国家标准技术研究院(NIST)在近期发布的《零信任架构》中指出,零信任架构是一种网络/数据安全的端到端方法,关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施,认为零信任是一种关注数据保护的架构方法[3]。NIST认为传统安全方案只关注边界防护,对授权用户开放了过多的访问权限。零信任架构的首要目标就是基于身份进行细粒度的访问控制,以便应对越来越严峻的越权横向移动风险。
基于如上观点,NIST对零信任架构定义如下:零信任架构提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。
3. 基于零信任架构的安全解决方案
零信任架构的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系,通过以身份为基石、业务安全访问、持续信任评估和动态访问控制的关键能力,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系,如图1所示。
图1 零信任架构的核心能力
零信任架构下,访问客体是核心保护的资源,针对被保护资源构建保护面,资源包括但不限于业务应用、服务接口、操作功能和数据等关键信息基础设施。访问主体包括人员、设备、应用和系统等身份化之后的数字实体,在一定的访问上下文中,这些实体还可以进行组合绑定,进一步对主体进行明确和限定。
3.1 零信任架构的关键能力
(1)以身份为基石
基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人、设备和应用进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。在零信任架构中,根据一定的访问上下文,访问主体可以是人、设备和应用等实体数字身份的动态组合,在《零信任网络》一书中,将这种组合称为网络代理。网络代理指在网络请求中用于描述请求发起者的信息集合,一般包括用户、应用程序和设备共三类实体信息,用户、应用程序和设备信息是访问请求密不可分的上下文[4]。
(2)业务安全访问
零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩,要求所有业务默认隐藏,根据授权结果进行最小程度的开放,所有的业务访问请求都应该进行全流量加密和强制授权,业务安全访问相关机制需要尽可能工作在应用协议层。
(3)持续信任评估
持续信任评估是零信任体系从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别,并对信任评估结果进行调整。前文提到,在零信任架构中,访问主体是人、设备和应用程序三者结合构成的网络代理,因此在基础的身份信任的基础上,还需要评估主体信任,主体信任是对身份信任在当前访问上下文中的动态调整,和认证强度、风险状态和环境因素等相关,身份信任相对稳定,而主体信任和网络代理一样,具有短时性特征,是一种动态信任,基于主体的信任等级进行动态访问控制也是零信任的本质所在。
(4)动态访问控制
动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。
3.2 零信任架构的基本原则
在零信任架构中,上述四大关键能力需要通过架构组件、交互逻辑等进行支撑。在将安全能力进行架构映射的过程中,需要遵循一些基本架构原则,才能确保最终实现的零信任架构能切实满足新型关键信息基础设施的安全保护需求,这些基本架构原则包括:
(1)全面身份化原则
对所有的访问主体需要进行身份化,包括人员、设备等,仅仅对人员进行身份管理是远远不够的;另外,访问控制的主体是网络代理,而不是孤立的人员或设备。
(2)应用级控制原则
业务访问需要尽可能工作在应用层而不是网络层,通常采用应用代理实现;应用代理需要做到全流量代理和加密,切忌不可只对应用的认证请求进行代理。
(3)安全可闭环原则
信任等级基于访问主体的属性、行为和访问上下文进行评估,并且基于信任等级对访问权限进行动态的、近实时的、自动的调整,形成自动安全闭环。
(4)业务强聚合原则
零信任架构具有内生安全属性,需要结合实际的业务场景和安全现状进行零信任架构的设计,建议将零信任安全和业务同步进行规划。零信任架构需要具备较强的适应性,能根据实际场景需求进行裁剪或扩展。
(5)多场景覆盖原则
现代关键信息基础设施具有多样的业务访问场景,如用户访问业务、服务API调用、数据中心服务互访等场景,接入终端包括移动终端、PC终端、物联终端等,业务部署位置也多种多样。零信任架构需要考虑对各类场景的覆盖并确保具备较强的可扩展性,以便为各业务场景实现统一的安全能力。
(6)组件高联动原则
零信任各架构组件应该具备较高的联动性,各组件相互调用形成一个整体,缓解各类威胁并形成安全闭环。在零信任架构实践中,切忌不可堆砌拼凑产品组件,各产品的可联动性是零信任能力实现效果的重要基础。
3.3 零信任架构的参考架构
零信任架构的关键能力需要通过具体的逻辑架构组件来实现,其逻辑组件参考架构如图2所示。
图2 零信任通用参考架构
(1)可信代理
可信代理是零信任架构的数据平面组件,是确保业务安全访问的第一道关口,是动态访问控制能力的策略执行点。
可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行认证,对访问主体的权限进行动态判定。只有认证通过、并且具有访问权限的访问请求才予以放行。同时,可信代理需要对所有的访问流量进行加密。全流量加密对可信代理也提出了高性能和高伸缩性的需求,支持水平扩展是零信任可信代理必须具备的核心能力。
(2)动态访问控制引擎
动态访问控制引擎和可信代理联动,对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略判定点。
动态访问控制引擎对所有的访问请求进行权限判定,权限判定不再基于简单的静态规则,而是基于上下文属性、信任等级和安全策略进行动态判定。动态访问控制进行权限判定的依据是身份库、权限库和信任库。其中身份库提供访问主体的身份属性,权限库提供基础的权限基线,信任库则由身份分析引擎通过实时的风险多维关联和信任评估进行持续维护。
(3)信任评估引擎
信任评估引擎是零信任架构中实现持续信任评估能力的核心组件,和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。
信任评估引擎持续接收可信代理、动态访问控制引擎的日志信息,结合身份库、权限库数据,基于大数据和人工智能技术,对身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,最终生成和维护信任库,为动态访问控制引擎提供决策依据。另外,信任评估引擎也可以接收外部安全分析平台的分析结果,包括:终端可信环境感知、持续威胁检测、态势感知等安全分析平台,这些外部风险源可以很好地补充身份分析所需的场景数据,丰富上下文,从而进行更精准的风险识别和信任评估。
(4)身份安全基础设施
身份基础设施是实现零信任架构以身份为基石能力的关键支撑组件,至少包含身份管理和权限管理功能组件,通过身份管理实现各种实体的身份化及身份生命周期管理,通过权限管理,对授权策略进行细粒度的管理和跟踪分析。
现代关键信息基础设施已经呈现出多样化、复杂化的趋势,而传统的静态、封闭的身份与权限管理机制已经不能满足新技术环境的要求,零信任架构的身份安全基础设施需要足够灵活和敏捷,能够为更多新的场景和应用进行身份和权限管理。另外,为了提高管理效率,自助服务和工作流引擎等现代身份管理的关键能力也必不可少。
4. 零信任架构的内生安全机制
“内生安全”指的是不断从信息化系统内生长出的一种安全能力,能伴随业务的增长而持续提升,持续保证业务安全,具有自适应、自主、自生长3个特点。聚合是实现“内生安全”的必要手段,信息化系统和安全系统的聚合,产生自适应安全能力;业务数据和安全数据的聚合,产生自主安全能力;IT人才和安全人才的聚合,产生自生长的安全能力[5]。
在关键信息基础设施保护能力建设过程中,要基于叠加演进原则,通过体系化的能力建设,保证信息化系统的内生安全能力有效落地。关键信息基础设施要应对多样化、未知性威胁,要将只是防御外部威胁的安全思路,扩展到基于零信任架构构建动态、可信的访问控制体系,将新的防线构建在身份、数据、业务应用上,从而不仅抵御外部威胁,更能解决由于凭证窃取及异常行为等所产生的内部威胁问题。
零信任架构聚焦身份、信任、访问控制、权限等维度的安全能力,而这些安全能力也是信息化业务系统不可或缺的组成部分,所以零信任天生就是一种“内生安全”。
作为一种“内生安全”,零信任具备自适应的能力。零信任基于业务场景的人、设备、流程、访问、环境等多维的因素,对访问主体的风险和信任度进行持续度量和评估,并通过信任等级对权限进行动态调整,这是一种动态自适应的安全闭环体系, 对未知威胁的缓解具有很强的自适应性。零信任的落地实现需要结合企业信息化业务系统的现状和需求,把零信任的核心能力和产品技术组件内嵌入业务系统,构建自适应“内生安全”机制。因此,建议在业务系统规划建设之初同步进行零信任架构的规划设计,实现安全系统和业务系统的深入聚合。
同时,零信任架构方案的部署实施要求企业的业务团队、IT团队以及安全团队的人员紧密配合、协同合作,形成合力,而不能像过去一样分开自治,这些人才的聚合是零信任架构解决方案成功落地的有效保障。零信任提供的自适应的访问控制能力是开放的、平台化的,企业可以将业务逐步迁移到零信任,迁入的业务都将具备这种自适应的安全能力,这样零信任就变成了企业业务流程的内生能力,持续为企业的网络安全赋能。
5. 结语
零信任安全架构对传统的边界安全架构思想重新进行了评估和审视,并对安全架构思路给出了新的建议:默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用,而是应该基于认证、授权和加密技术重构访问控制的信任基础,并且这种授权和信任不是静态的,它需要基于对访问主体的风险度量进行动态调整。安全与关键信息基础设施建设应如同DNA的双链,相辅相成,而它们的关键结合点,就是在同步规划、同步建设、同步运行3个关键点上,从而做到两者的深度融合,全面覆盖,实战化运行,协同响应。要从应对局部威胁和合规点的建设模式,走向面向能力导向建设模式,关口前移,构建“内生安全”能力,为关键信息基础设施的核心数据与业务运营提供保障。零信任架构认为不应该仅仅在企业网络边界上进行粗粒度的访问控制,而是应该对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制,具有更好的弹性和自适应性。
参考文献:
[1]奇安信韩永刚:内生安全助力关键信息基础设施保护:中国青年网[EB/OL].( 2019-10-30)[2019-11-05].
http://d.youth.cn/shrgch/201910/t20191030_12106997.htm.
[2]埃文·吉尔曼, 道格·巴斯. 零信任网络在不可信网络中构建安全系统[M].北京:人民邮电出版社,2019:1~2.
[3]网络安全架构:零信任架构正在标准化:安全内参 [EB/OL].(2019-09-28)[2019-11-05]. https://www.secrss.com/articles/14045.
[4]埃文·吉尔曼, 道格·巴斯. 零信任网 络在不可信网络中构建安全系统[M].北京:人民邮电出版社,2019:40.
[5]内生安全[EB/OL].( 2019-08-28)[2019-11-05].
https://baike.baidu.com/item/%E5%86%85%E7%94%9F%E5%AE%89%E5%85%A8.
本文转载自《保密科学技术》杂志2019年11月刊
声明:本文来自零信任安全社区,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。