信息安全包含了网络安全、数据安全、应用安全、行为安全等,未来还有更多安全形式出现。过去我们在规避信息安全的风险问题上更多是从网络安全这个层面来考虑的,基本上保护的都是网络和网络设备本身。在业务系统迁移到云上的趋势下,用户更加关注的是云化应用自身的安全和应用产生的数据的安全。基于传统网络安全模型或者网络攻防的安全策略属于被动的防御,是一种被动的安全,组织往往要提前识别可能遭受到的网络攻击风险,然后考虑应对策略。现在和未来,需要一系列的主动安全,比如零信任的安全方案,对于应用安全来说,就是主动安全,通过账号安全将安全边界前移用户侧,可视化技术实现从用户访问上下文行为分析,从而实现零信任的控制接入,控制访问细颗粒度的权限来实现对应用系统的主动防御。
0 引言
在网络安全攻防对抗中,由于巨大的利益驱动,往往造成攻守力量不匹配的局面,攻击者攻击方法越来越多样,传统的通过漏洞进行提权攻击是一种常见方式。实例中发现,很多访问通过正常的账号密码登陆后发现系统权限管理不严,从而从内部入侵了系统,获取了大量内部核心数据,形成泄露。斯诺登事件是目前最严重的由于访问权限问题而导致的数据泄露事件,斯诺登利用外包人员身份通过正常权限登陆业务系统后,利用系统管理权限不严从而发现了“棱镜”计划。
斯诺登事件发生以后,云安全的从业者开始提出新的解决方案。咨询公司 Forrester Research(简称 Forrester)在 2013 年提出“零信任”安全框架(Zero Trust)。这是一种全新的安全框架,是一种主动的安全模型,它的核心原则是默认不再区分内外网,认为内网也是不安全的,所有的访问都需要经过认证和授权,这对防止组织东西向流量安全起到保护作用。
1 传统网络安全模型的缺陷
组织在应对云计算模式下的网络安全风险时,习惯按照传统管理理念及安全防护思维进行安全管理和安全加固,许多组织即使投入了大量精力和资源,面对网络攻击时还是防不胜防。
1.1 传统安全管理理念存在漏洞
在传统网络分区架构下(如图1所示), 组织网络安全管理部门通常认为内网属于“安全信任”网络,将网络基于“安全信任”网络和非安全网络划分为不同区域,这种固有思维导致组织在安全建设上投入很多精力和资源在边界防护上,忽视流量在内部的横向移动,在组织内部(横向)安全上仅通过 VLAN 划分、端口隔离等方式来控制流量。一旦边界被突破, 攻击者在内网“如入无人之境”,不会受到过多安全限制。
图 1 传统网络分区架构
在云时代,组织往往重点关注业务系统自身功能实现及与云环境的兼容性,但不够重视云安全防护体系的同步规划,缺乏持续性合规和风险评估,缺乏有效的安全管理制度来约束用户,存在个别用户滥用访问权限,不严格遵守管理制度,比如账号信息,凭证借用等增加安全风险,存在审计不严格的管理现状。
1.2 应对云化业务安全能力不足
组织在将业务系统迁移到云环境的过程中面临许多考验,云安全成为影响组织发展、业务安全的关键因素。云计算环境下关键信息基础设施范围不断扩大,业务系统运行所需要的计算、存储、网络资源的空间位置在发生变化,传统的硬件防火墙在大多数情况下已经无法应对现今的网络威胁。此外,云化业务与移动互联网、IOT 等技术的结合使得各类端点设备与业务系统的数据交互不再受地理位置或时间的限制,组织需要满足业务流程移动性、可访问性和敏捷性,组织无法基于传统的物理安全产品,无法满足云计算环境的灵活性和可扩展性。
1.2.1 无法保护“模糊”的网络边界
云计算通过引入虚拟化技术,将物理资源池化,按需分配给用户,这里涉及计算虚拟化、网络虚拟化、存储虚拟化。随着业务流程移动性、可访问性和敏捷性的提高,导致传统内外网边界模糊,组织无法基于传统的物理边界构筑安全基础设施,组织风险只会不断增加。
在云计算中,传统的安全问题仍然存在,诸如网络嗅探、端口扫描、拒绝服务攻击、中间人攻击、SQL 注入和跨站脚本攻击等。在传统信息系统中,通过在网络边界部署可实现安全的防护。但在云环境中,用户的资源通常是跨主机甚至是跨数据中心的部署,网络边界不可见,由物理主机之间的虚拟网络设备构成,传统的物理防御边界被打破,用户的安全边界模糊,因此需要针对云环境的复杂结构,进一步发展传统意义上的边界防御手段来适应云计算的安全性。
1.2.2 业务流量不可见
安全事件发生后 , 管理员疲于面对海量系统日志、用户日志、告警信息等数据,往往无从下手,不能快速提取有价值的信息 , 无法有效地结合多种数据源 , 来进行综合全局的评判 , 这就使得组织在应对网络态势的感知上缺少了整体防护, 也就无法完成对网络事态进行检测、防御、预测、响应的闭环处理。
1.2.3 无法应对海量攻击
云计算下服务器资源变得集中,用户多样性且规模巨大,所遭受的攻击频率也是急剧增大。黑客利用云环境中的大量主机资源制造“肉鸡”进行提权攻击或 DDoS 攻击等,以阿里云为例,平均每天遭受数百起 DDoS 攻击,其中 50% 攻击流量超过 5GBit/s。针对 WEB 应用的攻击以及口令爆破攻击更是以亿计算。这种高频率的攻击,给安全运维带来巨大的挑战。
1.3 运维管理工作繁杂
组织通过在网络中部署防火墙、IPS、IDS、 WAF 等一系列安全产品来建立安全防护体系, 这些产品可能来自不同的厂家,不同产品功能模块、配置管理、策略管理等需要运维人员掌握, 以便快速响应业务需求或部门、人员变动的情况,学习成本高且存在人为配置错误造成的业务中断或其他安全事件。
运维人员创建安全策略后没有定期梳理和及时回收,将会导致内网策略宽松,使安全产品失去本该发挥的防护作用。
1.4 过于宽松的访问权限
用户在内网权限过大,即使管理人员根据人员角色设置访问权限,但用户依然能够与非授权的业务系统建立网络连接,利用业务系统自身的漏洞来进行口令爆破、SQL注入等攻击,可能存在不合规的情况下访问一些与本职工作无关的业务系统造成数据泄漏。
1.5 传统网络安全模型的革新之路
我们认为网络安全的核心是保障数据安全, 也就是保护业务系统的安全。网络安全变革之路从早期的“有边界”时代,演进到“去边界” 时代(如图2所示),在演进的过程中有风险和技术的因素在推动传统网络安全模型不断的去革新和创造新理念、新技术,以适应技术的变化以及更好地防御危险。
组织必须意识到依靠传统安全防护手段已经不足以应对当前网络威胁,必须要由被动安全向主动安全演进。各种新的安全理念层出不穷,但思路仍旧按照传统边界模型进行防护, 在这个背景下,零信任模型应运而生。
图2 去边界时代需要零信任
2 零信任安全框架模型
行 业 研 究 机 构 Forrester Research(简称Forrester)在 2013 年提出了一个零信任安全架构(Zero Trust)。零信任不是某个具体的技术,从零信任的理论基础出发,提出数据中心零信任网络的信任重构依赖于全新身份标识的构建,依赖于全面的身份化。
零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议,零信任架构建议组织围绕业务系统创建一种以身份为中心的全新边界,旨在解决“基于网络边界建立信任”这种理念本身固有的安全问题。零信任模型不再基于网络位置建立信任,而是在不依赖网络传输层安全机制的前提下,有效地保护网络通信和业务访问。零信任架构核心思想主要表现为以下四点:
(1)以身份为中心
不再基于网络位置作为网络安全访问授权的依据,而是默认在任何网络环境中以身份信息作为鉴权依据,经过“预验证”“预授权” 才能获得访问系统的单次通道。
(2)最小权限原则
最小权限原则是构建零信任架构所不可或缺的安全策略之一,每次仅赋予用户所能完成工作的最小访问权限。
(3)持续信任评估
在零信任模型中,无论用户处在组织内部或外部,都需要持续的信任等级评估,如根据用户所处的网络环境、工具等属性,结合上下文, 动态扩展对网络功能的最小访问权限。
(4)业务安全访问
在零信任模型中,所有业务系统都隐藏在安全网关后面,安全网关支持SPA(单包授权)功能,默认丢弃所有未验证及未授权的用户发来的访问请求,并且所有建立的访问通道都是单次建立的,数据受到加密保护及强制访问控制。
3 软件定义边界(SDP)实现零信任安全模型
3.1 SDP 概述
SDP(软件定义边界)是零信任模型的一种解决方案(如图 3 所示),以基于身份的细粒度访问代替广泛的网络接入,为用户提供业务资源访问。SDP 安全架构一般由三大组件构成:客户端、安全网关和控制器。SDP客户端具备SPA(单包授权)能力,为用户提供统一的办公入口,SDP控制器负责人员、设备的身份认证、访问策略生成与下发,提供人员信任等级动态权限评估,访问行为全流程记录等功能。SDP安全网关作为应用安全发布容器。
SDP方案中的一个关键技术理念:SDP控制器对 SDP 安全网关的指令,通过 SPA 实现默认不响应任何 TCP或 UDP请求,只有响应通过授权的请求,同时利用DOH技术,消除了业务系统真实DNS 信息和端口对“外部”的可见性需求,实现了有效“隐身”或对外部人员创建了一个不可见的“黑暗”网络。
图 3 基于零信任的 SDP 安全解决方案
3.2 基于零信任的 SDP 架构优势
3.2.1 预认证、预授权
在传统的连接中,首先,客户端需要建立与服务器端的连接,这一步就使服务端暴露在公网中,若客户端或服务端有漏洞,则有可能被利用;其次,用户通过登录页面输入用户名和密码,这一步骤有可能使得用户名和密码被窃取;最后,传统用户与业务系统通过 TCP 连接建立的直接接触式访问会有 SQL 注入、XSS 攻击等安全风险。
而在 SDP 中,首先,控制器对用户进行多因子认证并验证设备的可信度和可靠性,这一步对用户而言是透明的。认证通过之后,会评估出用户的初始信任等级并根据等级进行授权, 之后才进入用户登录阶段。这两步均是 SDP 客户端与 SDP 控制器进行交互,不涉及对于具体业务系统的访问。当认证通过后,客户端才能够与安全网关建立连接,由安全网关代理可访问的服务。并且得益于 SPA 及 DOH 技术,有效保护业务系统真实域名、端口等信息,产生了网络隐身和服务隔离的安全效应,从而将业务系统可能遭受到的攻击风险转移到控制器层面。
3.2.2 动态信任等级评估
零信任模型通过强大的身份服务来确保每个用户的访问,一旦身份验证通过,并能证明自己设备的完整性,则赋予适当权限访问资源。持续自适应风险与信任评估的信任和风险并非一成不变,信任度和风险级别会随着时间和空间发生变化,需要系统根据安全等级的要求、网络环境等因素,不断学习和评估,达到信任和风险的平衡。
在零信任架构中,所有用户的请求都必须通过组织信任的设备发起,用户的身份需要鉴定确认是否合法,并且通过遵循管理中枢下发的安全策略才能访问隐藏在安全网关后面的特定的内部资源,整个访问流程参考下图4所示:
图 4 基于属性的权限控制
3.2.3 动态权限控制
在基于零信任的SDP模型中访问控制是动态的,能够应对风险和权限提升。用户与系统和应用间的互动是实时的。在会话中,用户可以执行任意数量不同风险级别的事务。当用户行为或环境发生变化时,SDP会持续监视上下文,基于位置、时间、安全状态和一些自定义属性实施访问控制管理。通过属性来感知用户的访问上下文行为,并动态调整用户信任级别。在实际实现中,这些属性可以包括用户身份、终端类型、设备属性、接入方式、接入位置、接入时间等。对于同一用户需要设定其最小业务集及最大业务集,对于每次访问,需要基于判定因素(如用户属性、职务、业务组、操作系统安全级别等)进行安全等级评估,按照其安全等级,进行对应的业务系统访问。
3.2.4 安全可视化
SDP 解决方案实现对用户访问业务全程的流量可视化,可以将组织的安全策略的执行效果直观表达出来,通过可视化技术将在线设备数量、设备状态、业务状态及安全策略链进行展示,统一直观地展示SDP架构中所有的流量细节,同时记录用户的异常访问行为,可以帮助安全团队看清、看全全网的各个端点的情况及访问路径等信息,提升管理员工作效率,提高系统检测效率,减少反应时间。
3.2.5 有效降低组织成本
一方面,零信任可以借助用户现有的业务系统功能来推动落地,是一个循序渐进的过程。SDP 解决方案可以与组织现有安全产品如漏洞扫描、身份认证系统等集成,可以极大地降低组织构建零信任所需的投资,并且产生1+1>2的安全防护效果。同时SDP解决方案具有极强的可扩展性,可以将更多安全特性加入到方案中,降低对传统方案的投资,为用户带来统一的安全防护体系。
另一方面,SDP 提供统一的身份管理及设备管理等模块,并且依靠静态安全策略与“信任评级”技术相结合的手段输出用户信任等级,自动化生成与下发安全策略,较少人工维护的工作量,安全策略随单次访问业务请求而建立, 提升安全运维的效率。
3.3 SDP 在云安全的应用
越来越多的企业开始尝试将自身各类业务系统迁移至云端,使得东西向的安全防护手段不足以满足多租户的个性化安全策略,并且数据在云上变得集中,容易成为黑客攻击的第一选择。随着 BYOD 的广泛使用,员工可以从各个地点通过各种设备访问云上资源,这对管理员来讲需要保护的内容太多,反而无法聚焦安全的核心——数据安全。
SDP 帮助组织弱化对关注 IT 基础设施的安全性,而将精力放在云上数据的安全。通过SDP客户端和安全网关,构建从客户端到安全网关的端到端访问通道,业务系统授权可见,访问通道随需而成。
管理员可以向SDP安全平台添加网络、业务等资源,然后统一管理云中的所有访问策略。使用基于云的SDP解决方案的另一个好处是,在授予数据中心或公/私有云内的访问权限时,几乎不需要额外的配置和维护。所有与安全相关的活动都在云中执行。
4 现有架构到零信任的演进
零信任架构的目的是保护数据。对一个组织的数据资产的清晰理解,是成功实现零信任架构的关键。通过SDP的方式,组织在实现零信任的道路上需要提前考虑以下一些关键步骤:
(1)统计组织所有的网络资产
这个步骤主要为了梳理所有的网络边界,组织要明确知道内部与外部的业务流量是通过哪些设备发送,哪些安全策略进行控制的。实现零信任的关键步骤在于将所有现有网络边界弱化甚至取消,构建以身份为核心的新边界。这就要求组织要管理所有硬件设备(例如笔记本电脑、手机、物联网设备等)和数字化组件(例如用户账户、业务系统、数字证书等)以定义新的边界。
(2)实现可见性
在零信任之路上,可见性是创建整个策略的基石。组织在零信任迁移时所做的第一步工作,就是为其所有应用和设备建立其全面的、自动化管理的库存清单。
第二步要实现现网安全策略的可见性。零信任的重点之一在于信任管理,如何建立信任并维护信任是成功与否的关键。在这之前组织须清楚地知道现有安全机制、管理规范如何授权与鉴权,内部有哪些安全策略?
第三步要梳理想要保护敏感数据。首先得知道这些数据都在哪儿,知道数据在组织网络中的流动方式,知晓都有哪些用户在用哪些设备访问这些数据。组织要实现可靠的实时数据来告诉你有哪些人和系统正在访问公司资产。
(3)需要有效的措施实现对用户和设备的验证
零信任模型中需要使用多因素认证技术(MFA)来增强用户认证的可靠性,并使用其他验证步骤来确定授权的访问级别。无论是公司设备、BYOD 还是公共主机、笔记本电脑或移动设备,基于设备身份和安全情况实施访问控制策略。只允许受信终端访问公司的资源。无论用户类型(终端用户、特权用户、外包 IT、合作伙伴或客户)或访问的资源如何,都需要应用零信任原则。除此之外,用户访问决策还需要具有适应性和动态性(即随变化而变)。
(4)建立信任
零信任模型中,是强调授予信任的可控性, 在默认拒绝所有请求的同时,提供一种强调持续监测和评估的自适应信任模型。零信任环境集成了数据、用户、设备、应用程序的控制, 以管理所有事务的可信性,通过赋予信任分数来动态评估网络中的用户、设备或应用程序的总体信任的技术。
(5)定义最小权限策略
网络安全管理者需要制定符合业务流程及用户需求的最小权限授权策略,在不影响办公效率的同时提升用户完成办公的最小权限,从而增强业务的安全性。
(6)安全理念的转变
组织要加强内部管理,建立审计和跟踪体系,提高整体信息安全意识和防范技术。制定强健完善的内部安全制度,规定内部员工什么可以做什么不可以做,需要强调的是,这些安全制度适用于每一个企业内部人员,无论是那些对于敏感数据和信息资产有直接接触的IT业务人员或者IT技术人员,还是组织管理人员, 或者是那些普通员工,要让每一个人都了解、明确并且严格遵守。
5 结语
零信任与其他成功的 IT 或安全原则一样, 需要长期坚守,不断维护。零信任是一个演进式的框架,而不是革命性的方法。它建立在现有的安全概念之上,并没有引入一种全新的网络安全方法。
许多组织都在向云端迁移,这是个全新的环境,应用零信任模型更适合预防安全威胁, 可以从云端开始零信任旅程。零信任访问安全解决方案只允许授权用户访问其完成任务所需的网络和云资源,并严格执行数据安全和威胁防御策略。各种零信任机制能在复杂环境中提供灵活的访问控制机制,避免因粗粒度的策略造成系统被入侵,同时将传统面向网络的访问控制转变为面向用户资产的访问控制机制,更加准确有效。因此,安全人员应该采用零信任的态度,并主动提高安全检测能力,严格执行安全管理制度,增强人员安全防范意识,才是根本之策。
作者简介
张晓东(1993—),男,本科,主要研究方向为零信任安全、SDP;
杨正权(1975—),男,硕士研究生,中级工程师,主要研究方向为网络安全;
靳明星(1985—),男,硕士研究生, 主要研究方向为 SDP、工控安全。
选自《信息安全与通信保密》2020年第三期 (为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。