4月10日,Gartner与奇安信集团正式对外发布《零信任架构及解决方案》白皮书,对零信任架构进行了全面解读,并对架构迁移方案提出了系统建议。为帮助国内市场更好的了解零信任架构,并且做好架构迁移的相关工作,奇安信身份安全实验室着手开展了大量的汉化工作,并于近日正式推出了中文版本。Gartner认为,到2022年,在面向生态合作伙伴开放的新型数字业务应用程序中,80%将通过零信任网络访问(ZTNA)进行访问。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。

关于作者

奇安信身份安全实验室 奇安信集团下属专注“零信任身份安全架构”研究的专业实验室,是业界首部零信任安全技术图书《零信任网络:在不可信网络中构建安全系统》译者。该团队以“零信任安全,新身份边界”为技术思想,推出“以身份为基石、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。该团队结合行业现状,大力投入对零信任安全架构的研究和产品标准化,积极推动“零信任身份安全架构”在业界的落地实践,其方案已经在部委、央企、金融等行业进行广泛落地实施,得到市场、业界的高度认可。

云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全架构难以应对,零信任安全架构应运而生。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。本文首先对零信任安全的背景、定义及发展历史进行介绍,然后提出一种通用的零信任参考架构,并以奇安信零信任安全解决方案为例,对零信任参考架构的应用方案进行解读,最后,探讨了零信任迁移方法论,提出确定愿景、规划先行和分步建设的迁移思路。

1、介绍

企业的网络基础设施日益复杂,安全边界逐渐模糊。数字化转型的时代浪潮推动着信息技术的快速演进,云计算、大数据、物联网、移动互联等新兴IT技术为各行各业带来了新的生产力,但同时也给企业网络基础设施带来了极大的复杂性。一方面,云计算、移动互联等技术的采用让企业的人和业务、数据“走”出了企业的边界;另一方面,大数据、物联网等新业务的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河。复杂的现代企业网络基础设施已经不存在单一的、易识别的、明确的安全边界,或者说,企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。

另外,网络安全形势不容乐观。外部攻击和内部威胁愈演愈烈,有组织的、攻击武器化、以数据及业务为攻击目标的高级持续攻击仍然能轻易找到各种漏洞突破企业的边界,同时,内部业务的非授权访问、雇员犯错、有意的数据窃取等内部威胁层出不穷。面对如此严峻的安全挑战,业界的安全意识不可谓不到位,安全投入不可谓不高,然而,安全效果却不尽如人意,安全事件层出不穷,传统安全架构失效背后的根源是什么呢?安全的根本在应对风险,而风险与“漏洞”息息相关,是什么“漏洞”导致传统安全架构失效呢?答案是信任。传统的基于边界的网络安全架构某种程度上假设、或默认了内网的人和设备是值得信任的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护就足够了。事实证明,正确的思维应该是假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠,这“四个假设”就彻底推翻了传统网络安全通过隔离、修边界的技术方法,彻底推翻了边界安全架构下对“信任”的假设和滥用,基于边界的网络安全架构和解决方案已经难以应对如今的网络威胁。

需要全新的网络安全架构应对现代复杂的企业网络基础设施,应对日益严峻的网络威胁形势,零信任架构正是在这种背景下应运而生,是安全思维和安全架构进化的必然。

1.1. 零信任定义

零信任架构一直在快速发展和成熟,不同版本的定义基于不同的维度进行描述。在《零信任网络》一书中,埃文.吉尔曼(Evan Gilman)和道格.巴斯(Doug Barth)将零信任的定义建立在如下五个基本假定之上:

  • 网络无时无刻不处于危险的环境中。

  • 网络中自始至终存在外部或内部威胁。

  • 网络的位置不足以决定网络的可信程度。

  • 所有的设备、用户和网络流量都应当经过认证和授权。

  • 安全策略必须是动态的,并基于尽可能多的数据源计算而来。

简而言之:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,其本质是以身份为基石的动态可信访问 控制。

NIST在最近发表的《零信任架构》(草案)中指出,零信任架构是一种网络/数据安全的端到端方法,关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施,认为零信任是一种关注数据保护的架构方法,认为传统安全方案只关注边界防护,对授权用户开放了过多的访问权限。零信任的首要目标就是基于身份进行细粒度的访问控制,以便应对越来越严峻的越权横向移动风险。

此定义指出了零信任需要解决的关键问题:消除对数据和服务的未授权访问,强调了需要进行细粒度访问控制的重要性。

1.2. 零信任历史

从零信任的发展历史进行分析,也不难发现零信任的各种不同维度的观点也在持续发展、融合,并最终表现出较强的一致性。

零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年,零信任这个术语正式出现,并指出所有的网络流量都是不可信的,需要对访问任何资源的任何请求进行安全控制,零信任提出之初,其解决方案专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。

随着零信任的持续演进,以身份为基石的架构体系逐渐得到业界主流的认可,这种架构体系的转变与移动计算、云计算的大幅采用密不可分。2014年开始,Google基于其内部项目BeyondCorp的研究成果,陆续发表了多篇论文,阐述了在Google内部如何为其员工构建零信任架构。BeyondCorp的出发点在于仅仅针对企业边界构建安全控制已经不够了,需要把访问控制从边界迁移到每个用户和设备。通过构建零信任,Google成功地摒弃了对传统VPN的采用,通过全新架构体系确保所有来自不安全网络的用户能安全地访问企业业务。

通过业界对零信任理论和实践的不断完善,零信任已经超越了最初的网络层微分段的范畴,演变为以身份为基石的,能覆盖云环境、大数据中心、微服务等众多场景的新一代安全解决方案。各研究咨询机构也快速对其安全架构和体系进行优化,2017年,Gartner将其自适应安全架构(ASA,Adaptive Security Architecture )优化为持续自适应风险与信任评估(CARTA,Continuous Adaptive Risk and Trust Assessment ),为新IT环境提供了一种管理风险和评估信任的框架。

综合分析各种零信任的定义和框架,不难看出零信任架构的本质是以身份为基石的动态可信访问控制,聚焦身份、信任、业务访问和动态访问控制等维度的安全能力,基于业务场景的人、流程、环境、访问上下文等多维的因素,对信任进行持续评估,并通过信任等级对权限进行动态调整,形成具备较强风险应对能力的动态自适应的安全闭环体系。

2、零信任参考架构

零信任安全的关键能力可以概括为:以身份为基石、业务安全访问、持续信任评估和动态访问控制,这些关键能力映射到一组相互交互的核心架构组件,对各业务场景具备较高的适应性。

2.1. 关键能力模型

零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系,通过以身份为基石、业务安全访问、持续信任评估和动态访问控制的关键能力,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系。(如图1所示)

图1 零信任架构的关键能力模型

(来源:奇安信集团, 2019)

零信任架构下,访问客体是核心保护的资源,针对被保护资源构建保护面,资源包括但不限于企业的业务应用、服务接口、操作功能和资产数据。访问主体包括人员、设备、应用和系统等身份化之后的数字实体,在一定的访问上下文中,这些实体还可以进行组合绑定,进一步对主体进行明确和限定。

零信任架构的关键能力包括:以身份为基石、业务安全访问、持续信任评估和动态访问控制。

1) 以身份为基石

基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。

数字身份是零信任架构的基石,需要实现“全面身份化”。仅仅为人员创建身份是远远不够的,需要对人、设备等参与网络交互的所有实体建立数字身份。事实上,在万物互联的时代,物已经成为了重要的参与实体,其基数已经远远超出了人,正如Gartner所建议的,需要建立全面的“实体”身份空间。

在零信任安全架构中,根据一定的访问上下文,访问主体可以是人、设备和应用等实体数字身份的动态组合,在《零信任网络》一书中,将这种组合称为网络代理。网络代理指在网络请求中用于描述请求发起者的信息集合,一般包括用户、应用程序和设备共三类实体信息,用户、应用程序和设备信息是访问请求密不可分的上下文。网络代理具有短时性特征,在进行授权决策时按需临时生成。访问代理的构成要素(用户或设备)信息一般存放在数据库中,在授权时实时查询并进行组合,因此,网络代理代表的是用户和设备各个维度的属性在授权时刻的实时状态。

最小权限原则是任何安全架构必须遵循的关键实践之一,然而零信任架构将最小权限原则又推进了一大步,遵循了动态的最小权限原则。如果用户确实需要更高的访问权限,那么用户可以并且只能在需要的时候获得这些特权。一方面,强调授权的主体不是单个实体身份,而是网络代理这一复合主体,不仅仅是对用户遵循最小权限原则,对设备也同样遵循;另一方面,权限可以根据主体属性、环境属性、信任等级和客体的安全等级进行进一步的限定。而反观传统的身份与访问控制相关实现方案,一般对人、设备进行单独授权,零信任这种以网络代理作为授权主体的范式,在授权决策时刻按需临时生成主体,具有较强的动态性和风险感知能力,可以极大地缓解凭证窃取、越权访问等安全威胁。

2) 业务安全访问

零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权,业务安全访问相关机制需要尽可能工作在应用协议层。

构建零信任安全架构,需要关注待保护的核心资产,梳理核心资产的各种暴露面,并通过技术手段将暴露面进行隐藏。这样,核心资产的各种访问路径就隐藏在零信任架构组件之后,默认情况对访问主体不可见,只有经过认证、具有权限、信任等级符合安全策略要求的访问请求才予以放行。通过业务隐藏,除了满足最小权限原则,还能很好的缓解针对核心资产的扫描探测、拒绝服务、漏洞利用、非法爬取等安全威胁。

数据窃取的最常用手段就是网络窃听和中间人攻击。在零信任实践中,需要对所有应用、API接口调用的流量进行高强度的TLS加密,并且需要考虑对国密算法的支持。零信任强调全流量加密代理,而不仅仅是针对认证请求的局部流量进行接管,这也是零信任架构中的可信代理和传统身份认证网关的核心差异之一。

为了防止访问控制机制被旁路,需要有策略强制执行点,在零信任架构中,需要确保所有的访问请求,其主体都经过了认证、进行了授权、具备相当的信任等级。零信任架构需要针对不同的业务场景进行适配,从不同的访问协议和方法中对主体进行识别,对多级多层访问的主体进行关联,只有这样,才能有效确保访问控制严丝合缝不留漏洞。

3) 持续信任评估

持续信任评估是零信任架构从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。

人和设备等物理世界的实体,经过身份化后成为数字世界的数字身份,因此,对实体的信任评估首先需要对数字身份进行信任评估,信任评估至少需要涵盖人和设备两类数字身份。需要建立基于身份的信任评估体系并且涵盖数字身份全生命周期的各个环节,包括:数字身份本身的配置、状态和属性的信任评估;物理实体到数字身份的映射过程(身份创建和验证)的信任评估等。前文提到,在零信任架构中,访问主体是人、设备和应用程序三位一体构成的网络代理,因此在基础的身份信任的基础上,还需要评估主体信任,主体信任是对身份信任在当前访问上下文中的动态调整,和认证强度、风险状态和环境因素等相关,身份信任相对稳定,而主体信任和网络代理一样,具有短时性特征,是一种动态信任,基于主体的信任等级进行动态访问控制也是零信任的本质所在。

信任和风险如影随形,在某些特定场景下,甚至是一体两面。在零信任架构中,除了信任评估,还需要考虑环境风险的影响因素,需要对各类环境风险进行判定和响应。但需要特别注意,并非所有的风险都会影响身份或主体的信任度。比如,在访问业务的过程中,通过摄像头感知到多人围观这一行为,这种行为对敏感资源来说是一种风险,需要撤销当前访问会话以缓解风险,但大多数情况下并不需要对当前终端和人员的信任等级进行下调,当然,如果这种行为构成了一种固有模式,就有足够的理由对操作者的意图进行怀疑了,或者说,这种情况,操作者的信任应该降级。

基于行为的异常发现和信任评估能力必不可少,包括主体(所对应的数字身份)个体行为的基线偏差、主体与群体的基线偏差、主体环境的攻击行为、主体环境的风险行为等都需要建立模型进行量化评估,是影响信任的关键要素。当然,行为分析需要结合身份态势进行综合度量,以减少误判,降低对使用者操作体验的负面影响。

4) 动态访问控制

动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。

任何访问控制体系的建立离不开访问控制模型,需要基于一定的访问控制模型制定权限基线。访问模型繁多,包括RBAC、ABAC、MAC、DAC等各种经典模型及其变种。零信任强调灰度哲学,从实践经验来看,也大可不必去纠结RBAC好还是ABAC好,而是考虑如何兼顾融合,建议基于RBAC模型实现粗粒度授权,建立权限基线满足企业基本的最小权限原则,并基于主体、客体和环境属性实现角色的动态映射和过滤机制,充分发挥ABAC的动态性和灵活性。权限基线决定了一个访问主体允许访问的权限的全集,而在不同的访问时刻,主体被赋予的访问权限和访问上下文、信任等级、风险状态息息相关。

另外,在访问控制基线之上,需要根据主体的信任等级和客体的安全等级实现分级访问控制策略。当主体的信任等级高于客体的安全等级时,访问权限被真正授予,否则访问请求被拒绝,从而缓解风险。根据持续信任评估,主体的信任等级会实时进行调整,因此,访问权限是在访问控制基线范围内动态调整的。

需要注意,并非所有的风险都对信任有影响,特别是环境风险,但风险一旦发生,就需要对应的处置策略,常见手段是撤销访问会话。因此,零信任架构的控制平面需要能接收外部风险平台的风险通报,并对当前访问会话进行按需处理,从而实现风险处置的联动,真正将零信任架构体系和企业现存的其他安全体系融合贯穿。

2.2. 基本架构原则

在“关键能力模型”一节中,对“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四项零信任关键能力进行了详细描述,这些安全能力需要在零信任架构中通过架构组件、交互逻辑等进行支撑,在将安全能力进行架构映射的过程中,需要遵循一些基本架构原则,才能确保最终实现的零信任架构能切实满足新型IT环境下的安全需求。这些基本架构原则包括:

  • 全面身份化原则

对所有的访问主体需要进行身份化,包括人员、设备等,仅仅对人员进行身份管理是远远不够的;另外,访问控制的主体是网络代理,而不是孤立的人员或设备。

  • 应用级控制原则

业务访问需要尽可能工作在应用层而不是网络层,通常采用应用代理实现;应用代理需要做到全流量代理和加密,切忌不可只对应用的认证请求进行代理。

  • 安全可闭环原则

信任等级基于访问主体的属性、行为和访问上下文进行评估,并且基于信任等级对访问权限进行动态的、近实时的、自动的调整,形成自动安全闭环。

  • 业务强聚合原则

零信任架构具有内生安全属性,需要结合实际的业务场景和安全现状进行零信任架构的设计,建议将零信任安全和业务同步进行规划。零信任架构需要具备较强的适应性,能根据实际场景需求进行裁剪或扩展。

  • 多场景覆盖原则

现代IT环境具有多样的业务访问场景,包括用户访问业务、服务API调用、数据中心服务互访等场景,接入终端包括移动终端、PC终端、物联终端等,业务部署位置也多种多样。零信任架构需要考虑对各类场景的覆盖并确保具备较强的可扩展性,以便为各业务场景实现统一的安全能力。

  • 组件高联动原则

零信任各架构组件应该具备较高的联动性,各组件相互调用形成一个整体,缓解各类威胁并形成安全闭环。在零信任架构实践中,切忌不可堆砌拼凑产品组件,各产品的可联动性是零信任能力实现效果的重要基础。

2.3. 核心架构组件

基于前述关键能力模型和基本架构原则,零信任架构的核心逻辑架构组件如图2所示:

图2 零信任架构的核心逻辑架构组件

(来源:奇安信集团, 2019)

1) 可信代理

可信代理是零信任架构的数据平面组件,是确保业务安全访问的第一道关口,是动态访问控制能力的策略执行点。

可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行认证,对访问主体的权限进行动态判定。只有认证通过、并且具有访问权限的访问请求才予以放行。同时,可信代理需要对所有的访问流量进行加密。全流量加密对可信代理也提出了高性能和高伸缩性的需求,支持水平扩展是零信任可信代理必须具备的核心能力。

根据不同的场景,可信代理的具体产品形态具有较大差异,比如,针对用户访问业务的场景,可信代理的形态可能是基于反向代理技术的应用网关形态;针对服务接口调用的场景,可信代理的形态可以是API网关形态;针对服务网格场景,可信代理可以简化为运行在服务环境的代理Agent模块。同样,不同的场景和能力要求也有差异,同样是用户访问业务的场景,根据业务应用的不同,要求可信代理除了支持应用级反向代理技术以外,还需要支持TCP代理技术对一些遗留应用进行代理。在实际方案实现上,各种形态的可信代理必须在控制平面组件的统一管理和控制下工作,确保安全策略在各种场景下的无差异实现。

2) 动态访问控制引擎

动态访问控制引擎和可信代理联动,对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略判定点。

动态访问控制引擎对所有的访问请求进行权限判定,权限判定不再基于简单的静态规则,而是基于上下文属性、信任等级和安全策略进行动态判定。动态访问控制进行权限判定的依据是身份库、权限库和信任库。其中身份库提供访问主体的身份属性,权限库提供基础的权限基线,信任库则由身份分析引擎通过实时的风险多维关联和信任评估进行持续维护。

为了实现基于身份的访问控制策略及动态权限调整,动态访问控制引擎组件需要同时实现对访问主体的身份认证和会话管理,确保所有的访问请求都是身份感知的、可见可控的。

3) 信任评估引擎

信任评估引擎是是零信任架构中实现持续信任评估能力的核心组件,和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。

信任评估引擎持续接收可信代理、动态访问控制引擎的日志信息,结合身份库、权限库数据,基于大数据和人工智能技术,对身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,最终生成和维护信任库,为动态访问控制引擎提供决策依据。另外,信任评估引擎也可以接收外部安全分析平台的分析结果,包括:终端可信环境感知、持续威胁检测、态势感知等安全分析平台,这些外部风险源可以很好的补充身份分析所需的场景数据,丰富上下文,从而进行更精准的风险识别和信任评估。

4) 身份安全基础设施

身份基础设施是是实现零信任架构以身份为基石能力的关键支撑组件。

身份基础设施至少包含身份管理和权限管理功能组件,通过身份管理实现各种实体的身份化及身份生命周期管理,通过权限管理,对授权策略进行细粒度的管理和跟踪分析。

零信任架构的身份安全基础设施需要能满足现代IT环境下复杂、高效的管理要求,传统的静态、封闭的身份与权限管理机制已经不能满足新技术环境的要求,无法支撑企业构建零信任安全架构的战略愿景,需要足够敏捷和灵活,需要为更多新的场景和应用进行身份和权限管理。另外,为了提高管理效率,自助服务和工作流引擎等现代身份管理的关键能力也必不可少。

针对企业现有基础设施的现状,在具体方案实现上对身份安全基础设施可以灵活处理。如果企业已有较成熟的满足要求的身份基础设施,零信任架构可和现有系统进行对接,如果企业尚无身份基础设施,或其成熟度难以满足零信任架构的需求,则需要全新构建或改造优化。

2.4. 多场景适应性

在现代IT环境下,业务场景是多样化的,根据典型的业务架构,从访问的主客体和流量模型,可以将这些场景概括为:业务访问场景、数据交换场景和服务网格场景,零信任参考架构需要适用于每种场景,并能根据需要对多个场景进行组合,形成统一的零信任安全架构。(如图3所示)

图3 零信任架构适应多场景

(来源:奇安信集团, 2019)

下文分别描述各业务场景的零信任参考架构示意图,示意图做了简化,省略了身份安全基础设施和其他安全分析平台等组件,这些组件在个场景下的差异性本文不做描述。

1) 业务访问场景

业务访问场景指用户访问业务应用的场景,也是零信任架构的主要场景,本场景存在较多子场景,比如PC办公场景、移动办公场景、哑终端访问场景等。不同子场景的用户、设备、应用类型均有不同,对零信任逻辑组件的实现提出了更多的能力要求。(如图4所示)

图4 业务访问场景

(来源:奇安信集团, 2019)

作为访问主体的人员/用户可能是企业和组织的内部人员或员工,也可能是外部合作伙伴的人员,甚至可能是企业的客户。其次,访问主体的设备可能是PC,也可能是移动终端,可能是企业签发的终端设备,也可能是BYOD设备。另外,应用类型特别是应用的访问方式也可能有差异,包括基于HTTP协议的WEB应用,也包括熟知的一些非HTTP协议,如RDP、SSH等,甚至包括一些非熟知的私有协议。

成熟的零信任解决方案需要能满足不同人员、各种设备对各种应用协议的业务访问需求,在保持相同架构的情况下,具有较高的适应性。

上述业务访问场景架构示意图并未涵盖应用内部的功能级、甚至数据级细粒度访问控制,在具体实现方案上,建议零信任架构和业务架构紧密耦合,零信任架构组件可以传递身份、信任、权限信息给业务应用,业务应用内部基于这些信息进行更细粒度的访问控制,这样,既能将零信任作为业务安全的内生能力,也能一定程度保证安全和业务各自相对独立的进行开发部署和持续演进。

2) 数据交换场景

数据交换场景是指外部应用/平台通过服务接口和企业服务进行数据交换的业务场景,大数据时代,开放协同成为信息技术发展的趋势,数据交换场景变得越来越主流。(如图5所示)

图5 数据交换场景

(来源:奇安信集团, 2019)

数据交换场景的零信任解决方案面临接口多样化、访问主体所运行的计算环境多样化的挑战。对可信代理而言,需要兼容各种数据交换协议或API接口的代理,信任评估引擎则要通过对访问主体所运行的计算环境进行数据采集和评估,同时,需要对数据交换协议进行解析以便更好的识别出异常访问行为,动态访问控制引擎也需要能做到内容级的细粒度访问控制。

另外,在数据交换场景下,和可信代理直接进行数据交换的访问主体是外部应用,而不是用户及用户终端,这种情况下,需要通过一定的技术手段实现对访问外部应用的用户及用户终端进行识别和信任评估,确保端到端的信任建立和身份感知的细粒度访问控制。

3) 服务网格场景

服务网格场景是指数据中心内部服务器和服务器之间的多方交互场景,随着容器编排和微服务技术的大量采用,服务网格的场景越来越演化为数据中心工作负载之间的网状访问控制。(如图6所示)

图6 服务网格场景

(来源:奇安信集团, 2019)

服务网格场景的零信任方案一般不采用独立形式的可信代理作为数据平面组件,而是将其分散,通过在各个服务器、工作负载运行载体上部署可信代理Agent,对相互之间的访问请求进行接管并和控制平面进行联动。服务网格场景零信任解决方案因为面临节点数量多,访问控制规则复杂等现实困难,对动态访问控制引擎和信任评估引擎都提出了较高要求。

服务网格场景也是对业务架构嵌入最深的场景,需要结合服务网格或容器编排技术进行构建,最好是在业务平台构建的同时将零信任架构进行统一规划,实现真正的内生安全。

3、零信任安全解决方案

本节以奇安信零信任安全解决方案为例,对零信任参考架构的具体实践要点进行解读,奇安信一直保持对零信任的高度关注,奇安信零信任安全解决方案基于零信任参考模型进行设计,充分利用国内外先进技术成果,结合国内典型的业务及安全现状进行完善优化,目前已经过国内大型部委和央企进行大量实践验证并得到广泛认可,具有极强的先进性和可行性。

3.1. 核心产品体系

奇安信零信任安全解决方案主要包括:奇安信TrustAccess动态可信访问控制平台、奇安信TrustID智能可信身份平台、奇安信ID智能手机令牌及各种终端Agent组成,如图7所示。奇安信零信任安全解决方案中,动态可信访问控制平台和智能可信身份平台逻辑上进行解耦,当客户现有身份安全基础设施满足零信任架构要求的情况下,可以不用部署智能可信身份平台,通过利旧降低建设成本。

图7 奇安信零信任安全解决方案

(来源:奇安信集团, 2019)

1) 奇安信TrustAccess动态可信访问控制平台

奇安信TrustAccess提供零信任架构中动态可信访问控制的核心能力,可以为企业快速构建零信任安全架构,实现企业数据的零信任架构迁移。

TrustAccess的核心组件包括:可信应用代理TAP、可信API代理TIP、可信访问控制台TAC、智能身份分析系统IDA、可信终端环境感知系统TESS和可信网络感知系统TNSS。

  • 可信应用代理系统TAP

可信应用代理系统TAP是零信任参考架构中的可信代理在业务访问场景的产品实现。

针对企业应用级访问控制需求,实现了应用的分层安全接入、一站式应用访问、应用单点登录、应用审计等能力。

  • 可信API代理系统TIP

可信API代理系统TIP是零信任参考架构中的可信代理在数据交换场景的产品实现。

针对API服务的安全保护需求,实现了API接口的统一代理、访问认证、数据加密、安全防护、应用审计等能力。

  • 可信访问控制台TAC

可信访问控制台TAC是零信任参考架构中动态访问控制引擎的产品实现。

TAC为TAP/TIP提供自适应认证服务、动态访问控制和集中管理能力,针对企业的各个业务访问场景,实现了自适应认证服务、访问控制策略统一配置管理、WEB应用和API服务集中管理、动态授权、风险汇聚关联、应用审计等功能。

  • 智能身份分析系统IDA

智能身份分析系统IDA是零信任参考架构中信任评估引擎的产品实现。

IDA基于身份及权限信息、TAP/TIP/TAC访问日志、可信环境感知上报的属性和风险评估、其他外部分析平台上报的日志及事件进行综合风险关联判定,利用大数据分析和人工智能技术,构建信任评估模型进行持续信任评估,为TAC提供信任等级作为决策依据。

  • 可信终端环境感知系统TESS

可信终端环境感知系统TESS提供各种场景的终端环境的安全状态和环境感知,为IDA提供实时的终端可信度的判断依据,是IDA的重要数据源。

  • 可信网络环境感知系统TNSS

可信网络环境感知系统TNSS提供网络环境的安全状态和环境感知,为IDA提供实时的网络可信度的判断依据,是IDA的重要数据源。

2) 奇安信TrustID智能可信身份平台

奇安信TrustID智能可信身份平台是零信任参考架构身份安全基础设施的产品实现,是一种现代身份与权限管理系统。

TrustID可为企业提供更高级、更灵活的现代身份与权限管理能力,当TrustAccess自带的基础身份和权限管理能力,或企业现有的身份基础设施无法满足企业的管理需求时,可借助TrustID对身份与权限管理方面的能力进行提升,达到零信任架构对身份安全基础设施的能力要求。除了为TrustAccess服务,TrustID也可为企业的业务系统和其他需要身份、认证、授权的场景提供身份及权限基础服务。

奇安信TrustID也支持对接企业现有的外部身份源系统,包括PKI、4A、AD等,通过将企业现有的身份源进行汇聚和同步,形成完善的身份生命周期管理能力,为TrustAccess提供身份基础设施服务。

3) 奇安信零信任安全解决方案与参考架构的关系

奇安信零信任安全解决方案在零信任参考架构的基础上对产品组件进行了拆分和扩展,但在总体架构上保持了高度一致,将其产品组件映射到零信任参考架构如图8所示:

图8 奇安信零信任安全解决方案与参考架构的关系

(来源:奇安信集团, 2019)

另外,奇安信零信任安全解决方案和奇安信丰富的安全产品和平台之间可以实现联动,比如,和奇安信的移动安全解决方案联动,可以实现强大的移动零信任解决方案;和奇安信的数据安全解决方案联动,可以实现数据访问场景的零信任解决方案;和奇安信云安全管理平台联动,可以实现云及虚拟化场景的零信任解决方案。

3.2. 典型场景方案

下面以一个典型应用场景为例,描述奇安信零信任安全解决方案的逻辑原理。此应用场景数据子网需要保护的资源包括业务应用和API服务,用户/外部平台子网的用户终端需要访问业务应用,外部应用需要通过接口调用API服务,方案逻辑图如图9所示,本图只是逻辑原理图,实际物理部署需要根据具体的网络拓扑、安全分区情况确定。

图9 典型场景方案

(来源:奇安信集团, 2019)

在此方案中,通过在用户子网和数据子网之间部署逻辑的零信任访问控制区构建端到端的零信任解决方案。通过可信应用代理接管所有的用户终端业务访问请求,通过可信API代理接管所有的外部应用API调用请求,所有的访问请求通过可信访问控制台进行身份验证及动态授权。可信终端感知系统持续对终端进行感知和评估,可信网络感知系统持续对网络流量进行感知和评估,并生成安全事件上报至智能身份分析平台,智能身份分析平台综合访问日志信息、安全事件信息、身份与权限信息进行信息关键和信任评估,为可信访问控制台输出信任等级作为权限判定或撤销的依据。

4、零信任迁移方法论

零信任架构作为一种全新的安全架构,和企业现有的业务情况、安全能力、组织架构都有一定的关系,零信任迁移不可能一蹴而就,需要遵循一定的方法论,结合企业现状,统一目标和愿景后进行妥善规划并分步建设。

零信任迁移方法如图10所示:

图10 零信任迁移方法

(来源:奇安信集团, 2019)

4.1. 确定愿景

零信任的建设和运营需要企业各干系方积极参与,可能涉及到安全部门、业务开发部门、IT技术服务部门和IT运营部门等。企业数字化转型的关键决策者应该将基于零信任的新一代安全架构上升到战略层面,确定统一的愿景,建议成立专门的组织(或虚拟组织)并指派具有足够权限的人作为负责人进行零信任迁移工作的整体推进,建议至少由CIO/CSO或CISO级别的人员在公司高层决策者的支持下推动零信任项目。

需要特别注意的是,在很多企业安全部门话语权并不高,安全项目往往受到业务部门的阻碍甚至反对,零信任项目的发起者一定需要从零信任的业务价值出发,说服业务部门和公司的高层决策者。

另外,在零信任的迁移过程中,需要更多部门和人员的配合和支持,特别是大量的普通员工,他们作为零信任项目的最终使用者,他们的支持至关重要,建议通过公司级的持续的安全文化活动加强全体人员对零信任安全的认可,这一点也至关重要。

4.2. 规划先行

零信任架构是安全思维和安全架构进化的必然,聚焦身份、业务、信任和动态访问控制等维度的安全能力,而这些能力业务密不可分,所以零信任天生就应该是一种内生安全。零信任的建设路径需要结合现状和需求,将零信任的核心能力和组件内嵌入业务体系,构建自适应内生安全机制,建议在业务建设之初进行同步规划,进行安全和业务的深入聚合。

规划的目的在于厘清形状,确定路径。对于零信任架构而言,需要从两个维度进行梳理和评估,一是能力成熟度维度,一是业务范围维度。

零信任架构的关键能力包括:以身份为基石、业务安全访问、持续信任评估和动态访问控制,每一项关键能力又可以划分为若干子能力,企业需要评估当前具备的安全能力,并基于风险、安全预算、合规要求等信息,确定安全能力建设的优先级。

零信任架构最终需要覆盖企业的所有资源,为其构建保护面。企业资源包括但不限于:应用、接口、功能和数据等。在规划阶段,需要确定迁移至零信任的业务优先级。一般来说新建业务和核心业务作为第一优先级考虑。

对安全能力现状、需求,业务现状、优先级进行梳理后,需要进一步对核心业务的暴露面进行梳理,对各暴露面的访问主体、访问主体的权限进行梳理,确定初步的总体建设路径及第一阶段建设方案。

4.3. 分步建设

规划完成后进入建设阶段,根据规划的思路导向,建设阶段的划分依各企业而各有不同。如果是能力优先型建设思路,需要针对少量的业务构建从低到高的能力,通过局部业务场景验证零信任的完整能力,然后逐步迁移更多的业务。范围优先型则先在一个适中的能力维度上,迁移尽量多的业务,然后再逐步对能力进行提升。两种建设思路各有侧重,依据企业的具体情况,在规划阶段选定思路和建设阶段的划分。

一种建议的分步思路主要包含三个阶段:概念验证、业务接入和能力演进。首先在一个较小业务范围内,构建中等的零信任安全能力,对整体方案进行验证;方案验证完成后,对验证过程的一些局部优化点进行能力优化,并同时迁入更多的业务进一步验证方案并发现新的安全需求;最后,基于验证结果规划后续能力演进阶段,逐步有序的提升各方面的零信任能力。

零信任架构作为一种全新的安全思路,是持续演进的过程,需要基于业务需求、安全运营现状、技术发展趋势等对零信任能力进行持续完善和演进。

5、结束语

零信任架构对传统的边界安全架构思想重新进行了评估和审视,并对安全架构思路给出了新的建议:默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用,而是应该基于认证、授权和加密技术重构访问控制的信任基础,并且这种授权和信任不是静态的,它需要基于对访问主体的信任评估进行动态调整。零信任架构是一种全新的安全理念和架构,认为不应该仅仅在企业网络边界上进行粗粒度的访问控制,而是应该对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制。

下载完整版Gartner与奇安信联合发布的《零信任架构及解决方案》白皮书(中文版):

https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/Qi-An-Xin/Qianxin-1-1XXWAXWM.pdf

声明:本文来自零信任安全社区,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。