基本概念篇

如果要挑选安全行业热词,那么“零信任”是当仁不让的首选。数字化转型加速,网络复杂化、业务多样化、数据频繁流动,为应对新IT时代的网络安全挑战,零信任安全应运而生。无论是市场还是行业内,零信任都炙手可热。那么零信任是什么?零信任又有什么特别之处呢?

接下来,奇安信身份安全实验室将为您带来《零信任十问》,一问一答带您了解零信任安全。

Q1: 什么是零信任?

零信任架构提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。零信任的本质是以身份为基石的动态访问控制。NIST《零信任架构》标准中给出的定义是:“零信任(Zero trust,ZT)提供了一系列概念和思想,旨在面对被视为受损的网络时,减少在信息系统和服务中执行准确的、按请求访问决策时的不确定性。零信任架构(ZTA)是利用一个企业网络安全计划,它利用零信任概念,包括组件关系、工作流规划和访问策略”。实现零信任架构可以用到多种技术,其中包括身份认证、身份管理、权限管理(权限管理就设计到从DAC、MAC、RBAC到ABAC等演化),还包括行为分析、信任评估等各种能力,是一套逻辑组件的有效联动。

Q2:为什么要使用零信任架构?

因为传统的基于边界的网络安全架构无法满足今天复杂的网络、业务多样化、数据频繁流动等场景;云计算、移动互联等技术的采用让企业的人、业务、数据“走”出了企业的边界;大数据、物联网等新业务的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河,流动的动态数据资产其安全性难度再度加大;内外部威胁愈演愈烈,数据泄露触目惊心。零信任架构正是在这种背景下诞生的,适用于云大物移时代,可以有效缓解IT环境日益复杂所带来的安全挑战。

Q3:零信任有什么优势吗?

企业IT环境移动化、云化后,发起访问的用户、用户访问的资产可能都不在原本所划好的物理范围内,原本偏静态的映射关系很难支撑新业务场景的需要。零信任是一种以资源保护为核心的网络安全范式,其前提是信任从来不是隐式授予的,而是必须不断地进行评估。零信任不仅考虑物理位置,也消解了原本预置内网中的信任,通过动态评估用户、设备、应用的方式来判断。零信任既能为现有的基础架构增加安全特性,也为未来数据化转型提供架构层优势。

Q4:零信任安全边界和传统的安全边界有什么异同?

传统的安全边界是基于网络的物理边界;零信任构建的是基于身份的动态逻辑虚拟边界,或简称身份边界。

传统的基于边界的网络安全架构某种程度上假设或默认了内网是安全的,认为安全就是构筑企业的数字护城河。通过防火墙、WAF、IPS等边界安全产品或方案对企业网络出口进行重重防护而忽略企业内网的安全。零信任安全针对传统边界安全架构思想进行了重新评估和审视。零信任的技术本质是以身份为基石的动态访问控制,其主要是将安全能力内嵌入业务体系,构建自适应的内生安全机制。

Q5:是否可以将零信任理解为升级版的VPN?又或是升级版的WAF+IPS+防火墙+态势感知一体机?

首先,建议从安全架构层面理解零信任。零信任是一种新型的网络安全架构,可以从零开始建设,也可以在现有的基础设施之上构建新的安全防护机制。零信任与传统的安全设施主要区别之一是确保控制平面与数据平面分离,同时所有的访问都是基于身份的,默认情况下业务隐藏,通过持续信任评估,对用户访问权限进行动态调整。其部属形态也应结合业务的实际情况进行相应调整。

Q6:迁移到零信任以后,是不是防火墙、IPS等产品就不用了?

零信任的技术本质是以身份为基石的动态访问控制,其主要价值为将安全能力内嵌入业务体系,构建自适应的内生安全机制。但并不是说不再需要传统防火墙、WAF、IPS等边界安全产品。实际上,零信任与传统安全架构更多是互补关系而非对立关系,需要和多产品联动实现更统一更易用的安全体系.

Q7:如何实现零信任落地?使用什么技术比较合适?

零信任是一种技术架构和理念,并非一种单一技术手段。在Forrester的相关报告中,也建议从能力、技术、特性等不同粒度的视角来理解零信任。零信任的核心能力包括:以身份为基石、业务安全访问、持续信任评估和动态访问控制。涉及的技术非常非常多,包括身份管理、权限管理、多因子认证、授权、信任评估、高性能代理、端口隐藏、用户行为分析、终端安全管理、移动安全管理、身份联动……等等,不胜枚举。这些技术可以包含在一些标准组件中,例如,可信应用代理、可信API代理、可信访问控制台、身份分析系统、智能身份管理系统、可信终端环境感知、可信网络环境感知等。

Q8:零信任和软件定义边界(SDP)有什么关系吗?

一般而言,SDP是零信任访问场景的一种实现方案。SDP可覆盖用户访问业务场景,但在API安全、数据交换、东西向流量适用性不高。从整个安全性闭环来讲,缺少可持续信任评估和动态访问控制,无法形成真正安全上的闭环。零信任作为一种安全体系架构,可覆盖的场景更多,能力定义更全面,具体内容可参考对比SDP技术规范和NIST的《零信任架构》标准。

Q9:总说零信任是以身份为基石的,那么它和4A、IAM等有什么异同吗?

零信任架构技术本质是访问主体和客体之间构建以身份为基石的动态访问控制机制,是一种安全架构,而4A、IAM是身份安全的具体实现技术或组件,也是零信任需要的技术组件之一,可对应零信任架构的“身份安全基础设施”。

Q10:零信任包含哪些身份安全基础设施呢?

身份基础设施主要包含身份管理、权限管理、认证和治理服务等。目前常见主要有AD、LDAP、IAM、4A、PKI等。在做迁移时,零信任架构可以与企业已有的身份基础设施对接,从而减少投入。

通过上述问答,我们了解到零信任是以身份为基石的动态访问控制,通过持续业务评估来实现业务安全访问。零信任是一种网络安全架构、理念,并不是单一的产品或技术。

这一期的《零信任十问》主要解释了一些概念性和理解性的问题,下一期我们将聚焦技术类问题继续了解零信任,敬请期待。

关键技术

如今,网络复杂化、业务多样化、数据流动越来越频繁且复杂。零信任在这样的背景下诞生,还成为安全行业的热门。我们通过上一期的《零信任从入门到精通(壹)》了解到,零信任是以身份为基石的动态访问控制,通过持续信任评估保证业务安全访问,为实现它可以运用多种技术手段。那么,零信任可以有哪些技术支撑落地呢?它们又是怎么在零信任架构下协调运行的呢?

接下来,奇安信身份安全实验室为您带来《零信任从入门到精通》第二期,一问一答看看零信任技术的那一面。

Q1: 零信任其中一个核心能力是以身份为基石,系统是如何获取或者判断“身份”的呢?

“身份”是指访问资源的主体的身份。身份数据可以来自企业的4A/PKI系统、终端资产库等。零信任安全解决方案可以与企业原有的4A、IAM等进行联动,也可以通过智能身份管理平台提供身份管理、认证、权限管理。

对身份的判断,应通过可信代理拦截后对用户、设备进行认证,从而识别访问主体的身份。

Q2:零信任安全解决方案如何标识设备?需要使用额外的硬件吗?

零信任安全解决方案可通过可信终端环境感知进行设备标识。传统用于标识设备的MID机制是利用主板的唯一标识结合其他的环境唯一标识混合计算而来,很容易被破解和仿冒。然而,可信终端环境感知的唯一标识采用多个关键设备部件标识法,将主板、硬盘、网卡等多个硬件的唯一串号进行混合运算。该标识不容易被破解和仿冒,如果想通过更换硬盘、网卡等方式绕过,环境感知系统会立刻发现异常。所以,设备标识不但可以唯一标识设备,也具备设备仿冒的安全能力。

Q3:很多员工使用私人设备办公,如何管理这些设备?如何获取私人设备安全信息呢?

无论是企业自身拥有的设备还是BYOD设备,都可以通过可信终端环境感知来采集设备本身的信息,包括设备指纹等。这些信息都可以作为设备的标识,在上一问题的回答中也说明了该标识具备安全防护能力。而对于无法通过可信终端环境感知标识的BYOD设备,可以将其标识为“不可控设备”,根据安全策略降低其可以访问的资源权限范围。

Q4:零信任架构下,如何保证身份认证代理的安全性?

零信任架构下,由可信代理实现身份认证代理。可信代理与传统的身份认证代理存在较大差异。可信代理是零信任数据平面的核心组件,实现业务隐藏的核心价值,提供业务隐藏、全流量代理、强制策略执行、业务基础防护等能力。而传统的身份认证代理只是简单接管认证请求。

可信代理要实现暴露面收缩,其自身安全性很重要。在零信任安全解决方案中,通过端口隐藏、自身系统加固、内置安全防护引擎、数据平面和控制平面分离、基于TPM的进程白名单等技术可确保可信代理自身安全。

Q5:如果可信代理被攻破,如何保证零信任架构的安全性?

零信任作为一个体系架构,其安全性不仅仅依靠可信代理。其安全性是从整体架构上考虑的,这也是零信任与VPN在远程访问场景应用中的重大安全差异之一。零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系。对默认不可信的所有访问请求进行加密、认证和强制授权,收缩暴露面,所有的业务都要隐藏在可信代理后面。

就可信代理的安全性而言,包含几个层面的安全防护:

可信代理前有FW、IPS等安全设备进行网络层防护;
可信代理采用端口隐藏技术,隐藏可信代理地址和端口,只有可信的用户和设备才能访问可信代理;
可信代理采用TPM可信进程白名单技术,内置系统加固引擎等手段增强自身安全;
即使可信代理被攻破,由于零信任架构数据平面和控制平面是分离的,也可根据策略让可信代理设备停止工作或发出警告。
Q6:零信任架构如何实现信任评估?

NIST《零信任架构》标准建议将信任评估方法分为两类:基于标准和基于评分。无论是哪一类,其规则/模型的输入可以包括访问请求上下文、用户信息、设备信息、权限信息、威胁情报信息等。

信任评估可以分成规则引擎和推理引擎去实现。规则引擎充分利用这些输入信息形成规则并评估,企业用户可以根据使用场景进行组合和自定义,同时,也存在一些内置规则。另一方面,推理引擎根据各类信任模型,采用机器学习技术进行评估计算。

Q7:零信任架构下,信任规则是预先指定的吗?

零信任架构中,规则分为两大类,访问规则与信任规则。规则本身是需要预先制定或预置,但规则的执行是根据实时信息动态计算的。信任评估除了包含信任规则,还包含信任模型。信任模型是基于机器学习和大数据分析实现的。企业用户在定制规则时,需结合实际的场景及企业管理制度。

Q8:零信任架构如何实现动态访问控制?

零信任架构中,在控制平面通过ABAC+RBAC的授权引擎和信任评估引擎,对当前访问请求的主体进行实时的策略判定。当发现风险或异常时,进行终止访问权限、告警或二次认证等处置。

Q9:零信任架构如何实现终端感知和网络感知?

零信任架构中的信任分析依赖于多源数据的输入,而终端风险和网络风险又是两个非常重要的数据源。零信任通过在终端安装agent的方式进行终端风险感知探针,传给后台做风险分析。网络风险感知是采集网络流量后,后台做网络风险分析,最终汇总到智能身份分析系统对访问主体进行信任评定。

Q10:如何确保终端环境不被劫持?

终端环境劫持是一个攻防问题,永远是此消彼长的,在此简单列举可采用的技术手段供参考:

通过证书和自校验机制来保证终端感知的主程序文件不被篡改,一旦主程序文件被篡改,会自动进行恢复;
通过自保护机制保证终端感知的进程不被恶意关闭或篡改;
通过白盒加密,保证验证密钥不被逆向和修改,保证内存不被恶意DUMP;
通过通讯加密机制保证跟服务端的通讯不被劫持。
上述问答以零信任的四大关键能力“以身份为基石,业务安全访问,持续信任评估,动态访问控制,”的逻辑,解释了零信任架构背后的技术相关问题。需要铭记的是,零信任架构不是一种单一的技术手段,它是一种网络安全架构、理念。

本期《零信任从入门到精通》关注零信任背后的技术问题,下一期我们将聚焦零信任落地实施,敬请期待。

落地实施

零信任是以身份为基石的动态访问控制,通过持续业务评估来实现业务安全访问。因具备这些关键能力,基于零信任架构的解决方案已成为解决网络复杂化、业务多样化、数据流动频繁等问题的优秀落地实践。通过前两期(第一期、第二期),我们已经很清晰地了解到零信任架构不是一种单一的技术手段,它是一种网络安全架构、理念。

接下来,奇安信身份安全实验室为您带来《零信任从入门到精通》第三期,了解零信任在落地实施中会遇到哪些常见问题。

Q1:目前哪些行业或者场景比较关注零信任?

零信任作为新一代安全架构,当前最适用于各行各业的云、大、物、移等新场景新业务的建设时期,将其作为安全架构进行同步规划和建设。针对非新建业务场景,比如远程办公、安全运维等各行业都存在的典型业务场景,也可以采用零信任进行优化升级。目前许多大型部委、央企、金融行业、能源行业、运营商、互联网企业等对零信任的关注度较高,实践案例较多。

Q2:实施零信任需要什么前置条件?

零信任是以身份为基石,因此实施零信任需要具备一定的身份基础设施,如果目前用户还没有身份基础设施,则需要做身份梳理和整体设计。当然,不同场景所需的前置条件不会完全相同,需要结合具体业务场景和安全现状来确认。

Q3:零信任落地需要做什么工作?

首先根据落地场景分析资源访问现状,梳理出暴露面,对暴露面进行保护。其次,整理方案中涉及的相关设施,进行适配。在最终上线后,要持续跟踪运行情况。具体工作包括现状调研、方案设计、设备部署、系统对接、联调运行,同时可能会包含一定的定制开发。

Q4:零信任是否适用于云架构?

零信任适用于云架构。云架构的广泛使用致使外部的用户、设备跨过企业“护城河”到了云上,使得传统的安全边界模糊化,零信任架构正是在“云大物移”新技术推动下才快速发展起来的。零信任通过业务安全访问能力对云上资源暴露面进行保护,通过持续信任评估对来访的用户、设备、应用以及多种属性进行评估,最终通过动态访问控制实现安全闭环。

Q5:零信任适合在多分支机构企业落地吗?

大中型企业一般都有分支机构,分公司、办事处、营业网点等,很多大型企业还会将业务拓展到全球各个国家与地区。随着内部威胁不断加剧、应用上云的趋势激增、移动办公、远程访问的情况越来越多,企业网络的复杂性、安全性、和用户访问业务的便利性要求都给传统网络安全架构带来了巨大的挑战。而零信任架构则能更有效地解决上述问题。使用了零信任架构设计,不再区分内网、专线、VPN等接入方式,通过将访问流量统一接入可信代理、访问控制平台,实现在任意网络环境下的内部资源访问。不同于传统安全产品,零信任便于部署,扩展性更好,能快速应对新分支机构的业务开通。许多分支机构尤其是海外机构的网络状况不稳定,零信任架构可提供更稳定的访问体验。同时,零信任的动态授权能力可以更好地应对复杂接入环境的风险。

Q6

从原网络安全架构向零信任架构转移需要注意什么?

实施零信任迁移是一个旅程,而非对基础设施或流程的大规模替换。建议用户逐步实现零信任原则、流程变更、保护其最高价值数据资产的技术解决方案。如何迁移到零信任架构,取决于其当前的网络安全态势和运行情况。零信任架构作为一种全新的安全思路,是持续演进的过程,需要基于业务需求、安全运营现状、技术发展趋势等对零信任能力进行持续完善和演进。建议用户确定意愿、规划先行、分步建设。

Q7:零信任的方案实施和维护是否很困难?

零信任架构技术本质是访问主体和客体之间构建以身份为基石的动态可信访问控制体系,所以,对业务权限越熟悉越有利于零信任建设。零信任方案实施的难易程度视企业的网络、业务、身份基础设备等情况而定;零信任架构构建完成后,除新增业务需要维护,其他方面不需要大改动,所以维护难度不大。

Q8:实施落地零信任,要充分考虑哪些用户投入?

零信任的建设和运营需要企业各干系方积极参与,直接涉及到安全部门、业务开发部门、IT技术服务部门和IT运营部门等,牵头单位通常是安全部门。需要特别注意的是,很多情况下企业安全部门话语权并不高,安全项目往往受到业务部门的阻碍甚至反对,而零信任实施的最佳时机是与业务实现同步规划、同步建设,因此,零信任项目的发起者需要从零信任的业务价值出发,说服业务部门和公司的高层决策者。

Q9:零信任如何解决常见的最终用户办公效率降低问题?

传统的很多用户登陆方式是分开设计的,用户需要通过不同的产品办公、办业务、测试、运维,多次登陆才可以完成需要的操作。采用零信任整体框架设计后,可以有效减少重复登录的交互过程,很多认证、授权、二次确认的动作在用户侧其实是无感知的,同时通过动态的评估能力来持续评估用户、设备、应用,保证安全性的提升,实现安全与易用的平衡。

Q10:零信任如何防止数据泄露?

全面解决数据泄露是一个非常复杂的系统工程,当前零信任解决方案可以解决访问控制环节的问题。从这个维度出发,首先梳理其数据的暴露面,通过构建保护面进行数据的安全防护,防止威胁接触数据资源。所以,零信任架构会对想要访问资源的用户、设备、应用进行认证、授权,确保其合法访问资源。其次,对用户的终端、网络、行为上下文等多源数据进行持续信任分析,评估其信任等级,决定其访问权限,通过动态调整,保证最小化权限访问。

通过上述回答,我们了解到零信任适用于各行各业的云、大、物、移等新场景新业务,同时传统网络架构也可以迁移至零信任以适应数字化发展。

《零信任从入门到精通》系列问答带大家从概念理解、支撑技术以及落地实施方向深入了解了网络安全热词“零信任”,它是以身份为基石的动态访问控制,通过持续业务评估来实现业务安全访问。零信任安全解决方案,能够帮助用户实现终端的环境感知、业务的访问控制与动态授权与鉴权,确保业务安全访问,最终实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构,构建组织的“内生安全”能力,极大地收缩暴露面,有效缓解外部攻击和内部威胁,为数字化转型奠定安全根基。