零信任简介
零信任架构是一种移除内网信任的一种系统设计方法,它假定访问网络的用户都是有敌意的,因此,每个访问请求都需要基于访问防护策略去验证。零信任架构对用户请求的可信度是通过持续构建用户行为上下文来实现,而上下文又依赖于强大的身份验证,授权,设备运行状况和所访问的数据资产的价值。如果你不确定零信任是否是你需要的网络架构,或者你是零信任的初学者,那么我们的网络架构指南会是一个很好的阅读切入点。
关键概念
在阅读和遵循我们的零信任原则时,需要牢记一些关键概念。
网络充满敌意
网络应该被视为受到威胁攻击,我们应始终对其保持敌意,这意味着需要从你提供的网络服务中删除任何默认可以相信的东西。在零信任架构中,固有信任已经从网络架构中移除。虽然你已连接到网络中,但这并不意味着你能够访问该网络服务的所有内容。其次,每个访问数据或服务的请求都应该根据访问策略进行身份验证和授权,如果某一时刻连接不满足访问策略,那么该连接就应该被终止掉。
存在某种攻击手段,就是当攻击者通过了授权来到了服务内网,然后在内网中横向移动去获得更高的权限或更高价值的数据,这完全是有可能的,因为传统的网络服务架构认为只要你认证通过进入了内网,那么你就拥有访问内网其他资源的权限,比如说可以做端口扫描。在零信任架构中,网络被视为充满敌意,因此访问每个数据或服务的请求都要根据动态+静态策略不断去验证,这与传统网络边界(内网资产+防火墙)相比,这将提高对网络攻击者横向移动尝试的监控和检查,但零信任并不能完全消除攻击者横向移动带来的威胁。
动态获取信任
访问网络服务的用户,设备和服务连接,我们不能刻板认为哪些是可信任的,我们需要持续评估这些连接的可信度。对于访问服务的用户,你必须首先建立对用户身份,行为以及设备健康状况的评估策略,然后才能让他们访问服务。简言之,我们对连接授权的苛刻程度完全取决于所访问数据的价值,或所请求操作被允许后所带来的影响。例如,访问敏感的个人数据可能需要访问策略,该策略包含是否是采用加密协议(https),是否内网应用安装了某个安全漏洞补丁或采用了安全启动等等。另一方面,低价值数据(千古难题,我们中午吃什么)可由组织中的任何人查看,无论他们的身份验证强度或设备健康状况如何。
术语
在讨论零信任架构时,拥有共同的词汇表是很有帮助的,以下是整个零信任原则中使用的一些术语。
术语 | 翻译 | 解释 |
---|---|---|
Access Policy | 访问策略 | 信任和授权访问请求时的策略 |
Configuration Policy | 配置策略 | 描述设备和服务配置选项的策略 |
Signal | 信号量 | 一条描述设备状况和用户行为的信息,例如设备运行状况或位置,它可以帮助我们评估访问的可信度,我们通常都是会使用多个Signal组合决定是否授予对资源的访问权限 |
Policy Engine | 策略引擎 | 决定授予指定访问主体对资源的访问权限,核心作用时信任评估 |
Policy Enforcement Point | 策略执行点 | 负责主体与访问客体之间的连接,包含建立连接,持续监控,并最终终止连接。由两个组件客户端(如PC上的agent端)和资源端组件(如资源前控制访问的网关) |
Device Health | 设备健康状况 | 是否符合配置策略并处于设备可信状态,例如,已安装最新安全补丁,启用安全启动功能等 |
Signal
PE and PEP
为什么需要零信任
不断变化的边界
传统范式下,网络边界固定,受信任的内网受负载均衡和防火墙之类的网络设备保护,但这个范式已被虚拟网络取代并且过去的网络协议也被认为不是原生安全的。实际上,许多当前的网络协议(例如 IPSec 和 SSL VPN)都存在已知的漏洞。 此外,大量的移动和物联网设备对传统固定网络中边界网络的本质带来了挑战。一个常见的用例是现场承包商必须访问内部和云中的网络资源。混合架构也正在发展,在这种架构中,企业工作站通过云赋能异地客户和合作伙伴处的员工可以共用站点设施。此外,在这些情况下,通过站点到站点的连接(包括与第三方的互连)重新定义了域边界。
IP 地址挑战
今天一切都依赖于对 OSI 网络堆栈 1-4 层上 IP 地址的信任,但这带来了一个问题:IP 地址缺乏任何类型的用户信息来验证设备请求的完整性。IP 地址根本无法拥有用户上下文信息。IP 地址仅提供连接性信息,但不对终端或用户的可信度提供指示。最后,IP 地址会动态分配,或者当用户从一个位置移至另一个位置时会发生变化,因此不应用作网络位置的基准。
实施集成控制的挑战
网络连接的单点信任很难实现。在允许通过防火墙访问之前集成身份管理是一项非常消耗资源的任务。其次,为单个应用程序提供控制安全态势的能力目前是一个巨大的挑战。改造应用程序和容器平台的安全性需要集成访问控制、身份管理、令牌管理、防火墙管理、代码、脚本、管道和图像扫描,以及对集成的整体编排。这对大多数团队非常困难。
零信任解决哪些问题
先连接再验证
大多数网络装置都允许在验证身份之前进行访问。由于没有万无一失的守护者可以检验身份声明,因此访问控制机制可以被绕过。身份验证、授权和基于令牌的访问控制系统,不论是否经过加密,都可能存在多个缺陷。
本质上讲,组织为设备提供连接到 Internet 的 IP 地址时做了三件事:
• 拒绝尝试连接的恶意行为者,这个群体主要依靠威胁情报来标识。
• 通过漏洞、补丁和配置管理功能加固机器,使其无懈可击。但事实证明这种做法不可行。
• 部署没有用户上下文的网络层防火墙设备。这些防火墙容易受到内部攻 击,或使用过时的静态配置。
(注意:下一代防火墙(Next Generation Firewalls, NGFs)确实考虑了用户上下文,应用上下文和会话上下文,但仍是基于 IP 的,会由于应用层漏洞而导致不确定的结果。)
监视端点需要消耗大量计算、网络和人力资源
使用 AI 进行端点监视尚无法正确检测出或防止未经授权的访问。虽然受保护资源有各种虚拟的隔离,但是随着时间的推移,(攻击者)可以通过捕获身份的详细信息了解授权机制以及伪造人员、角色和应用的身份验证凭证,从而进行破坏。
AI 目前在快速发展,需要熟练的安全专业人员提供分析以检测和预防新的、不断发展的威胁。大量数据与训练有素的模型结合,可以检测到众所周知的攻击向量。但是要检测前所未见过的带有欺骗意图的全新入侵途径,则需要结合性能监视、交易数据模式分析和安全专家提供的分析。仅依靠端点监视仍然会使企业容易受到不可检测的攻击。
缺乏用户上下文的数据包检查
网络数据包检查有其局限性,即数据包“分析”发生在应用层,因此入侵可能在检测前已经发生。
传统上,数据包检查是在防火墙上或防火墙附近使用入侵检测系统(IDS)和/或在重要的战略监视区域进行的。传统的防火墙通常基于源 IP 地址控制络资源的访问。检查数据包的根本挑战是从源 IP 识别用户。工具是基于 IP 地址检查的。尽管可以使用现有技术检测某些攻击(例如 DDoS 和恶意软件),但是绝大多数攻击(例如代码注入和凭证盗用)这些攻击在应用层执行,因此需要上下文才能检测。
零信任的价值
安全价值
- 减少攻击面
控制平面和数据平面分离,从而隐藏应用,避免潜在的网络攻击,保护关键资产和基础设施
2. 保护关键资产和基础设施
通过隐藏来增强对云应用的保护,给管理员更集中的管控(对所有的应用访问可视化管理+支持即时监控 )
3. 应用隐藏
在用户/设备经过身份验证和授权访问资产之前默认关闭 ,端口拒绝访问
4. 降低管理成本
降低端点威胁预防/检测的成本 ,降低事故响应成本 ,降低集成管理的复杂性
5. 基于连接的安全架构
提供基于连接的安全架构。零信任把以下分散的安全元素集成到了一起: 用户感知应用,客户端感知设备,防火墙/网关等网络感知元素
6. 单包授权 SPA
使用单包授权机制确定连接,并启用身份验证和授权的控制
7. 连接预审查
用基于用户、设备、应用、环境等因素制定预审查机制, 去控制所有的连接在允许访问资源之前进行身份验证
控制层面和数据层面分开,在TLS/TCP握手之前进行身份验证并提供细粒度的访问控制,进行双向加密的通信
8. 开放规范
针对审查机制建立社区,让更多参与者反馈规则问题、不断优化规则
商业价值
- 节省成本和人力
SDP可取代部分传统的网络安全组件,减少了其许可和支 持成本,可以最小化或取代MPLS、提高线路利用率,减 少或取代专网,降低企业成本。同时SDP安全策略可以降 低操作的复杂性和对传统安全工具的依赖,简化网络安全 管理,提升工作效率,最终有助于减少人力需求。
2. 敏捷IT运营
IT流程如果响应不及时会影响业务流程并进一步影响企业效率,而SDP的机制实现了IT或IAM事件的自动驱动, 保证IT流程的即时响应,从而满足业务和安全需求。利于 GRC(治理、 风险与合规) 传统的网络安全方法相比,SDP降低了风险并减少攻击面,防止基于网络的攻击和应用程序漏洞的利用。
4. 更好的数据审核分析
SDP对用户、设备、访问的应用集中管理,可以更方便的进行数据收集、生成报表,和数据审核分析,同时可以为 在线业务提供额外的连接性溯源跟踪。SDP的网络微隔离技术经常被用来缩小管理的单元范围,这对于报表的生成 和分析十分有利。
5. 更适合云安全迁移
SDP降低了应用上云所需的安全成本和复杂度,支持公共云、私有云、数据中心和混合部署,可以帮助企业快速、 清晰、安全的完成业务上云迁移。与其他方式相比,SDP可以让业务云迁移更快、更好、更安全。
6. 加速业务转型
通过微隔离和权限控制实现物联网安全,可以连接到迁移工程师而不影响现有业务,结合物联网和私有区块链打造 下一代安全系统。
翻译:zhihu于顾而言
Reference
zero-trust-architecture/Introduction-to-Zero-trust.md at main · ukncsc/zero-trust-architecture · GitHub
CSA GCR发布| 《软件定义边界(SDP)和零信任》(中文版) (c-csa.cn)