文 / 上海浦东发展银行信息科技部 崔兆栋 田益 王京峰
云计算、大数据、移动互联网等新技术的发展,催生出移动办公、业务上云、外部生态对接等新场景,也带来商业银行IT技术架构的变革。传统安全架构以边界为中心进行安全防护,为解决新场景提出的数据开放和共享问题,需开启更多的边界策略,导致管理复杂度增加,同时带来新的安全问题。在这种背景下,不再仅依赖网络位置,而是通过持续度量身份来动态构筑安全边界的零信任安全架构理念脱颖而出。
为了更好地构建企业IT安全防护体系,有效支撑数字化生态银行战略目标,上海浦东发展银行(以下简称“浦发银行”)参考国际及国内零信任架构理论和实践,开展了零信任安全新架构课题研究,从理论模型、规划设计、实践验证的角度全面研究了零信任架构的可行性。
一、研究背景
近年来,随着科技的不断创新与发展,企业业务、数据与外部的深入交互使网络边界逐渐模糊,仅依赖网络层策略难以解决数据泄露等安全风险。外部攻击和内部威胁是造成企业数据泄露的两大主因。
外部攻击的一般途径是通过社会工程学对目标人员实施攻击并获得初始控制权,然后通过在目标网络横向平移或PowerShell后门的方式完成攻击;
内部威胁往往是因为企业员工或运维人员拥有特定业务和数据的合法访问权限,一旦出现凭证丢失、权限滥用或非授权访问等问题,会导致企业数据的泄漏。仅通过开启防火墙、入侵防御系统等方式无法解决内部威胁问题。
传统的网络安全架构围绕网络边界布防,假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备和系统的信任。攻击者一旦突破网络安全边界进入内网,默认信任极有可能成为攻击者手中的有力武器。
零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系,围绕着以身份为基石、业务安全访问、持续信任评估和动态访问控制四大关键能力,对默认不可信的访问主体的所有访问请求进行加密、认证和强制授权,基于各种数据源进行持续信任评估,最终在访问主体和访问客体之间建立一种动态信任关系,并根据信任的程度授予访问权限。
二、研究目标
零信任安全新架构课题研究目标包括以下三个。
目标一:零信任架构通用理论模型研究
高度提炼总结业务场景中的关键因素,形成具备普适性的零信任架构通用理论模型,用于指导企业在面临多种业务场景(日常办公、移动办公、开放银行等)、多方人员(正式员工、外包人员、外部生态等)、多类设备(PC设备、移动设备等)情况下,能够结合现状及需求完成规划方案设计。
目标二:商业银行典型场景零信任安全规划设计
针对办公场景、移动办公、开放银行三个典型场景,规划设计商业银行零信任安全规划设计方案。
办公及移动场景:依据构建的零信任理论模型,结合商业银行已具备的安全能力,通过构建用户行为分析、终端安全感知度量、多源数据联合分析、访问策略动态调整等能力,形成零信任规划方案。
开放银行场景:开放银行场景在用户身份验证、接口权限的有效控制、防止未授权访问、动态调整权限、缩小暴露面、第三方安全状态等方面都面临新的安全挑战。零信任架构理念契合开放银行对于安全的需求,需要规划设计开放银行零信任方案。
目标三:办公场景零信任POC(Proof of Concept)测试验证
基于办公场景进行POC测试验证,设计POC测试方案,搭建测试环境,通过丰富的测试用例验证零信任架构在办公场景下的效果,验证零信任架构的可行性。
三、研究内容
1.零信任架构通用理论模型
零信任架构通用理论模型抽象出主体、客体、数据流三要素(如图1所示),建立主客体间的访问规则,确保数据流的安全可控。其中,主客体间的数据流规则基于主体信任等级与客体安全等级的匹配规则实现,采用资产安全等级、用户信任等级、设备信任等级、动态授权模型、业务安全访问模型描述。
图1 零信任架构通用理论模型
(1)资产安全等级模型
用于定义资产安全等级的划分方式——分阶段、由粗到细。第一阶段,粗粒度划分,按照应用系统包含数据敏感程度、数据重要性等维度划分为“公开、内部、秘密”三级。第二阶段,细粒度划分,与企业资产特性及安全需求密切相关。逐级安全等级划分方式可更好地适应企业差异性。
(2)用户信任等级模型
用于评估用户可信度,通过对用户行为的推理分析实现。推理分析通过一系列模型实现,不同分析模型权重不同,利用模型对用户行为评分并映射到对应的用户信任等级。企业根据能够采集到的数据类型、业务安全需求选择合适的模型、调整权重,评估用户信任等级。
(3)设备信任等级模型
用于评估设备可信度,通过合规基线规则实现。合规基线规则从设备、系统、软件、网络、环境等多维度来评估设备信任等级,可按照企业安全需求进行设计。不同信任等级合规基线规则不同。
(4)动态授权模型
用于规范主体到客体可访问的内容及操作,只允许授权通过的主体访问客体。动态授权模型结合基于角色的访问控制、基于属性的访问控制和分级访问控制设计实现,支持细粒度授权及基于风险的动态权限调整。当主体信任等级等于或高于访问资产所需的最低信任等级时才授予访问权限,并根据主体的持续评估结果动态调整权限分配。
(5)业务安全访问模型
用于保证主体对客体业务访问过程的安全可控,通过认证机制、访问控制策略、业务安全策略、通道加密四大安全措施实现。认证机制提供用户、设备的身份认证;访问控制策略由动态授权和信任评估的结果共同决定,基于动态访问控制策略执行主体对客体的访问控制;业务安全策略包括业务隐藏、流量控制等;通道加密是确保主客体之间数据的安全传输,通常基于标准TLS安全隧道实现。
2.安全认证规划设计
安全认证规划设计方案涵盖办公场景、移动场景、开放银行场景三个方面,零信任规划全景如图2所示。
图2 零信任规划全景展示
(1)办公场景零信任规划设计
办公场景零信任规划方案的设计可充分结合商业银行现已具备的安全能力,如身份及权限服务、终端管控、态势感知等第三方监测平台,结合零信任组件构建以身份为基石、业务安全访问、持续信任评估、动态访问控制核心的安全能力。
零信任组件包括终端环境感知代理、终端环境感知系统、身份分析平台、动态访问控制平台、应用代理。
终端环境感知代理感知设备环境风险,将终端风险状态及设备信息等上报至终端环境感知系统。
身份分析平台是动态访问控制的分析引擎,基于终端环境感知系统上报的终端环境感知、用户访问日志及第三方监测平台上报的日志及事件信息,对终端环境和用户行为进行风险分析,实现持续的信任评估,并将评估结果推送至动态访问控制平台。
动态访问控制平台是访问控制的策略判定点,能够接入或提供身份及权限服务,提供自适应多因子认证能力;同时接收身份分析平台持续推送的信任评估结果,为应用代理提供动态授权判定,及时阻断存在风险的会话或进行二次认证。
应用代理是策略执行点,通过代理技术实现业务安全访问,根据动态访问控制平台下发的策略提供应用级细粒度访问控制。
(2)移动场景规划设计
移动场景零信任规划方案的设计可充分结合商业银行现已具备的安全能力、移动安全防护手段等,通过零信任组件构建移动场景零信任安全架构核心安全能力。
零信任组件包括移动终端环境感知代理(Agent或SDK)、安全接入SDK、移动终端环境感知系统、身份分析平台、动态访问控制平台、应用代理。其中移动可信环境感知代理感知BYOD设备环境风险,包括风险评估、应用合规信息等设备安全状态,并将信息上报至移动终端环境感知系统;安全接入SDK与应用代理建立安全通道;身份分析平台可基于移动终端环境感知系统上报的环境感知信息进行风险分析,实现持续信任评估,并将评估结果推送至动态访问控制平台;动态访问控制平台是访问控制的策略判定点,能够接入或提供身份及权限服务,提供自适应多因子认证能力;同时接收身份分析平台持续推送的信任评估结果,为应用代理提供动态授权判定,及时阻断会话或进行二次认证;应用代理是策略执行点,根据动态访问控制平台下发的策略提供应用级细粒度访问控制。
(3)开放银行场景规划设计
商业银行通过API直接连接或SDK间接连接的方式向应用方和用户提供API服务。相较传统银行,开放银行带来了一系列安全风险。《OWASP TOP 10》报告中指出,身份认证不足、数据过度暴露、缺乏资源和速率控制、授权粒度太粗、错误的安全配置、注入攻击、不足的日志和监控等问题是导致API安全问题的重要因素,在进行API安全防护体系设计时,应考虑端点的安全性(如SDK),API接入的访问控制(包括终端用户/应用的身份认证、API接口及资源对象的细粒度授权管理、通道加密、流量控制等)以及安全分析与防护能力,提供对于API接口调用的动态访问控制能力,在分析检测到API调用风险时能够及时阻断或调整权限。
开放银行场景零信任规划方案可充分结合商业银行现已具备的安全能力,融合身份与权限服务、API代理、身份分析平台、动态访问控制平台、终端环境感知SDK能力构建。
由身份与权限服务提供身份管理、身份认证与权限的管理等能力,包括用户令牌、访问令牌发放与验证;
由API代理提供业务安全访问能力,包括通道加密、流量限制、协议内容解析、令牌转换等功能;
由身份分析平台提供基于身份的监测和分析的能力,由动态访问控制平台提供动态访问控制能力,在监测到API调用风险时下发策略进行阻断或调整权限;
由终端环境感知SDK提供终端环境数据采集。
3.办公场景零信任POC测试验证
办公场景零信任POC测试选择在开发测试环境进行验证,用户通过云桌面方式访问测试应用。方案遵循对现有网络及应用影响最小的原则设计,前期准备工作包括:机房部署应用代理、动态访问控制平台、身份分析平台、终端环境感知系统四台设备;办公PC测试机安装终端环境感知Agent;动态访问控制平台、身份分析平台、终端环境感知系统、身份及权限系统对接;配置测试应用;用户访问和动态访问控制流程调试。办公场景零信任POC流程如图3所示。
图3 办公场景零信任POC流程
其中,动态访问控制的逻辑流程为:
(1)终端环境感知Agent实时感知终端环境安全风险并上报至终端环境感知系统;
(2)终端环境感知系统将感知结果上报给身份分析平台;
(3)身份分析平台结合感知结果及应用代理、动态访问控制平台的访问日志,完成终端设备安全状态及用户行为分析,将最终的分析结果上报给动态访问控制平台;
(4)动态访问控制平台根据身份分析平台的分析结果,判断当前方式是授权访问还是阻断,最终达到动态访问控制效果。
基于测试环境具备条件,POC从终端可信环境感知、基于属性的动态访问控制、用户行为分析三大能力点,初步通过共计12个测试用例的验证,输出零信任办公场景测试报告(见表1)。验证表明,办公场景零信任方案具备在实际应用环境中的可落地性与有效性,可实现商业银行办公场景的零信任动态访问控制,满足行内对内部应用系统安全访问控制的功能规划。
表1 零信任办公场景测试报告
四、总结及展望
本文通过对零信任安全架构进行深入研究,在理论研究、规划设计、落地实践三个方面都取得了相应成果。在理论研究方面,形成了具有指导意义的通用理论模型;在规划设计方面,完成了办公场景、移动场景、开放银行场景三种商业银行典型场景的零信任安全规划方案;在落地实践方面,在真实的开发测试环境通过POC测试验证了方案的可行性。课题成果为后续浦发银行开展零信任架构建设奠定了基础,同时也为商业银行开展网络和应用安全建设提供了一定参考。零信任架构的实践还需考虑逐步迁移问题,未来浦发银行会结合实际场景下问题逐步完备方案,解决业务迁移、C/S业务零信任等实际问题。
文章刊于《中国金融电脑》2021年第03期
声明:本文来自FCC30+,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
