新技术引入新风险
在云计算、大数据技术应用飞速发展的时代,安全事件造成的影响也显著放大。例如,去年 7 月,美国三大保险机构之一的 Equifax 遭遇黑客攻击,影响人数超过 1.4 亿美国人。保险公司为此还开发了一个门户网站,供民众查询自己的信息是否遭到泄露。去年有一个调查报告认为,2005 年至 2018 年,各种各样公开场合整理出来的数据泄漏事件导致超过 10 亿条的个人信息被泄露。但是这只是冰山一角,还有许多未被曝光的数据泄露事件,事实上被泄露的数据可能远远不止 10 亿条。这些案例告诉我们,大数据时代,数据的大规模汇聚融合导致一旦遭受攻击,数据损失也会变得特别大。这些数据损失基本上由两个方面的事件造成:一是外部攻击,将近 60% 的事件是由于外部黑客攻击造成的。二是内部攻击,53% 的组织确认在过去的 1 年内遭遇过内部攻击。对于内部攻击,90% 的组织承认其无法防御来自于内部的威胁。其原因是没办法有效识别出内部攻击的手段、发起者以及攻击过程。内部攻击的复杂程度比外部攻击要复杂得多。
而 60% 的外部攻击,其中有 81% 的黑客组织或者人员利用了“弱口令”或者偷来的合法用户权限。弱口令本身是一个身份安全管理问题,也可以归结为内部安全管理不善造成的。2018 年,美国国家安全局(NSA)提出的十大网络安全缓解措施中,就有一条“建议淘汰基于口令的单因子认证模式”。就是说简单的用户名 / 口令这种身份认证手段已经不再安全,需要增加多因子的身份认证。例如:利用移动手机令牌、指纹或者面部识别身份认证等技术,通过这类多因子身份认证技术来增加对口令层面的保护。新技术的应用带来了新的安全威胁。在当前社会运用最多的新技术是云计算和大数据。2017 年,亚马逊 AWS 公有云平台发生了一些安全事件。这些安全事件的发生,是由于系统配置不当造成的。造成这些配置不当的原因是,企业上“云”之后,原有的网络边界模糊了,逻辑上的边界不清晰导致无法有效地把所有安全措施加载在管辖范围上。一些攻击面就会或大或小、或多或少的暴露在外面,容易受到网络攻击,造成安全事件。针对大数据平台来说,也存在这样的问题。包括去年 MongoDB 事件,黑客可以不通过认证直接访问数据库的实例,将其锁死、加密、拷贝,然后勒索钱财。这其实也是一种社会现象,由于云计算技术、大数据技术的快速发展,大家更多的是想着“多快好省”上应用,在过程中没有同步充分的去思考安全配套,也就出现了安全风险与新技术应用并驾齐驱的现象。这些风险存在的原因可以总结为四点:①安全保护思路跟不上。前文提到的先应用后安全,或者只应用不安全就是典型的表现。②安全合规标准落实不到位。不管是 GDPR,还是其它的合规要求,我们在主观思想上、客观技术上能否落实到位。如果不落实,要么业务无法开展、要么事后打板子。③安全技术手段对不准。这其实是客观问题,当我们在主观上有意愿做好安全时,是否有可利用的有效手段?这些手段是否能陪伴业务一起成长?可怕的是,完全同步的案例几乎没有。④安全管理措施覆盖不全。上文所述的云计算环境下的安全配置管理覆盖分析就是很好的证明。新规范带来新合规
组织不单单会面临安全风险的压力,安全合规也以另一种压力而存在,我国一些专家在2017 年提出了一份《个人信息保护法(草案)》,将其与 GDPR 做对应比较,可以发现在主体权利上,GDPR 是七个,草案是九个。在管辖权上也有区别,GDPR 规定,只要是影响到欧盟的,无论是物理位置在欧盟还是远程为欧盟内组织或个人提供数据服务都受 GDPR 的管辖,草案则区分了国家机关和非国家机关两类,这也是为结合我们的国情而设计,也对后期开展工作提供便利性。在对于个人信息数据处理过程里面,两者的要求是基本相同的。从个人数据的采集到最后的销毁,在数据生命周期里,都要求采取技术措施来进行有效保护。当发生安全事件时,还需要采取修补措施来确保影响范围降低到最小。纵观全文,两者释放的是同样信号,即数据保护的监管会日益加强。组织在进行涉及个人信息相关数据处理时一定要小心又小心,避免在合规层面受创。
新思路实现新安全
传统安全防护思路强调的是内外网隔离。在内外网隔离保护思路之下,似乎只要没有黑客攻击,网络组织安全管理者就会高枕无忧。去年 5 月份发生的“永恒之蓝”事件打破了这个神话,隔离网的一系列安全问题也逐渐暴露出来。原因包括,一是针对传统隔离网安全补丁、各种规则库更新不及时;二是隔离网内部会按照业务划分安全域,安全域间防护措施层层加载,而域内一般不会定义安全措施,一旦到了这个阶段黑客攻击就是一马平川,随心所欲,做横向移动非常容易;三是隔离网的整体安全管理特别困难。安全域的场景下,统分结合式管理手段一旦跟不上,就没法从一体化视角去实现整网安全管理。从很多安全事件可以发现,一些安全设备部署后,最初本意是以安全堡垒的身份存在,但是到了最后由于管理不善或者自身安全缺陷问题,一旦被攻陷,反而成为对方的卧底,成为攻击中转站。所以需要思考是否需要改进甚至颠覆传统安全架构了。
“零信任网络”最初是由安全公司 Forrester在 2009 年提出的安全概念。同一时期著名的“极光行动”针对微软、谷歌、亚马逊这些大型互联网企业开展了 APT 级别的攻击,谷歌系统内大量的用户数据被泄漏。因此,谷歌在2011 年启动了 BeyondCorp 项目,BeyondCorp 的目标是基于零信任架构,重新设计员工与设备如何访问内部应用的安全架构,让员工可以更安全地在任何地点进行工作,而不必借助于传统的 VPN。经过 6 年实践,谷歌于 2017 年宣布项目成功实施。谷歌的成功实践带动了零信任框架的流行。谷歌是不是开发了新的技术取代了 VPN,比 VPN 更加方便安全高效地连接到网络里呢?其实并非如此。在 BeyondCorp 里,把网络分为两部分——公共网络和无特权网络。公共网络比较好理解,所谓无特权网络就是说,用户的访问权限与访问的地理位置无关,即便在谷歌自有的物理建筑内、内部网络中也没有任何超越他人的访问特权。在进行网络连接和数据访问时,所有的设备都需进行“受控设备”识别,包括有访问需求的手机、电脑等等一切终端设备。首先要确保发起访问的终端设备是安全可控的,不是受到或可能受到黑客控制的。在确认完设备受控后,系统还需要通过各种技术手段对访问者进行身份认证。在完成设备认证、访问者身份认证后,系统会从访问控制引擎里获取应该赋予访问者的权限结果。这个权限的计算充分考虑多维因素,包括组织级安全策略和规则、访问者的多维属性、访问目标的多维属性、环境属性,包括:终端安全属性、地址位置、历史行为、多因子认证器安全属性、行为异常性评估等。当访问引擎评估得出的信任等级高于访问目标要求的最低信任等级时,授权通过。例如:张三今天在国外采用手机访问 OA 服务器上的财务数据,而昨天同样是张三,在谷歌大楼内使用电脑终端访问 OA 服务器上的低密级公文,这时候访问控制引擎会综合判断终端类型、终端安全状态、地理位置、访问客体密级以及访问时间、访问链接协议等等要素,通过多维要素的综合判断给出访问规则,这个规则可能只针对一次访问、一条链接有效。当访问规则给出“允许”的判断后,访问主体就可以通过“访问代理”进行内网对应资源的访问。我们可以看到,BeyondCorp 访问方式与以往的网络可信方式相比较,最大的区别是不再一马平川,而是需要结合安全上下文进行动态评估。了解完 BeyondCorp 之后可以发现,身份认证与访问控制是构建系统安全架构的第一道关卡,也是核心,而一体化零信任架构是发展趋势,也将成为云计算和大数据等新技术平台安全的基石。本质上来说,零信任架构的基本理念是什么?首先始终假设网络充满威胁,这个威胁每时每刻都存在,在判断威胁的时候单纯通过网络位置是内部、外部来判断是片面的,在进行访问授权时需要考虑对每个设备、用户、业务访问流进行认证和授权,尽可能避免一次认证全面访问的现象出现。并且,访问控制策略应该是动态的,尽量基于多源数据计算出来。我们基于这个零信任架构做了可落地应用场景细化设计。首先,设备与用户的注册认证时有几个具体的动作:①设备注册,主要是了解设备环境是否安全,做一些病毒查杀、恶意控件删除等动作,必要时候可以通过虚拟沙箱的方式达到所需安全等级。②用户注册,通过让用户定义多因子认证方式来确保高安全访问等级和低安全访问等级之间的认证差异化,以及一旦单因素泄漏或失效后有修补措施保障用户账户安全。同时不能忽视的是需要把设备和用户做绑定,形成认证关联以增强安全保障。③设备和用户认证,在两者认证时需要重点考虑使用体验和安全保障之间的平衡。从安全角度考虑每一个业务流都进行一次认证请求,但落实在认证过程上可能会对使用体验造成影响,因此需要使用单点登录技术。也就是说,只要一次认证完毕后,后面的权限范围内应用访问都不需要再次认证。同时,在访问过程中,持续采集终端安全状态和设备标识 / 凭证进行持续安全评估,达到静默认证的效果。但是对于高安全级别业务系统、终端长时间不使用、终端存在安全风险,被判决为不可信设备,都需要强制用户进行再次多因子认证,并且这个强制认证可以是面部识别、指纹识别等简单操作,让使用者的业务访问尽量不受打扰。举个例子,使用者在收邮件的时候,一旦邮件中包含高密级文件或者需要跳转到高安全等级站点时就需要加一次指纹认证,来证明使用者的身份具备新访问的权限。④对用户来说,到此为止所有的流程已经完毕。但是从安全角度考虑,还需要有一系列安全措施,我们将其定义为基于属性的动态访问控制策略。属性的判断有几个重点要素,组织级的访问控制策略,可以理解为静态访问控制策略;访问的主客体属性,主要是主客体环境、主客体安全状态、物理位置等内容,前面已经做了大量分析。重点在于动态性,动态的影响因素主要有访问行为安全性、访问目标安全等级变更,这些变化一定要能在静默状态下识别出来,必要时候加载认证动作或者作为安全态势分析的源数据。零信任架构的特点可以总结为以下三点:一是无边界设计,信任的建立不能简单的基于网络位置,设备和人,需要先认证才能访问业务。这一点非常符合 BYOD、云计算等当前各类新技术发展趋势。二是情景感知,访问权限取决于系统对用户和设备的了解。架构需要具备对于访问主客体、访问过程的全环境进行情景感知的能力。感知完情景以后,赋予访问控制策略,访问控制策略充分考虑多维环境因素,位置、时间、网络、安全级别等。三是动态访问控制,基于多维属性产生动态 ACL,所有访问都必须被认证、授权和加密。用户只能看到授权访问的资源、基于情景因子自适应访问、基于持续情景变化更新访问控制策略。在规则下发以后,一旦情景感知出风险,动态调整访问规则。比如,在访问的时候会弹出一个认证框进行再次认证。最后,关于零信任架构还有两个开放性问题。一是零信任在云计算场景应用时的思考。身份认证是零信任架构的核心,但是在云计算下环境实际是一个 M2M(Machine to Machine)的访问环境。这个时候,身份认证怎么做?最初访问者身份的信任传递还是其它认证逻辑?另外,在云计算环境下,动态规则会变得非常复杂。这是因为云计算环境里面有大量的系统漂移以及计算资源与物理机器的松耦合,诸如此类的场景会对部署在其之上的访问控制策略带来新要求。二是大数据场景下零信任架构的应用问题。原先非大数据场景下业务应用是独立的,数据实例也是相对独立的。加载访问控制规则后,数据处理者能看到的数据是纵向固定的,很少会和别人交叉,相互之间数据不可见。但是在大数据环境下,由于多了汇聚和存储的交互过程,就可能把以前互相隔离的数据汇总在一起,这时候原先的访问控制规则不一定还适用或者存在数据泄漏的可能性。我们是否可以通过建立一个“访问代理”,而且这个“访问代理”最好能做到数据级的细粒度授权和访问控制,这样对我们的大数据环境来说可能会适当解决相关安全问题。作者:田平, 360 企业安全集团营销技术部总经理。
(本文选自《信息安全与通信保密》2018年第八期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。