零信任安全体系研究
摘 要:随着业界对零信任安全理念的诠释不断更新,对其理论基础和核心技术的不断完善,使其逐步演变为覆盖云环境、大数据中心、微服务等场景的新一代安全架构。基于“以密码为基石、以身份为中心、以权限为边界、持续信任评估、动态访问控制”的理念,对业务平台访问主体进行身份化管理,联动统一的授权管理和审计服务,为网络接入控制、应用访问控制、数据获取服务等场景提供了身份认证与权限控制,行为分析及责任认定,实现终端安全、传输安全、数据安全下全生命周期保障的闭环安全管控能力。
内容目录:
1 研究背景
2 发展现状
3 零信任理念
3.1 以密码为基石
3.2 以身份为中心
3.3 以权限为边界
3.4 持续信任评估
3.5 动态访问控制
4 零信任应用解决方案
4.1 密码服务基础设施
4.2 电子认证基础设施
4.3 可信身份管控平台
4.4 零信任网关管理平台
4.5 环境感知中心
4.6 策略控制中心
5 结 语
随着云计算、大数据、物联网等新兴技术应用场景的不断扩展,企业网络架构正在从“有边界”向“无边界”转变,传统的安全边界正在逐渐瓦解。以 5G、工业互联网为代表的新基建不断推进建设,将进一步加速“动态边界”的进化过程。传统的基于边界的网络安全架构在某种程度上假设或默认了企业内网是安全的,通过防火墙、Web 应用防火墙、入侵防御系统等安全产品,高度保护网络出口,而忽略了企业内网的安全。
为了应对传统边界安全理念的落伍,以及新技术带来的安全挑战,一种新的网络安全技术架构“零信任技术”逐渐走入公众视野。零信任架构是一种端到端的网络安全体系,零信任是一种侧重于数据保护的体系结构方法,常基于业务场景的人、流程、访问、环境等多维因素进行相应的信任评估,通过信任级别动态地调整权限,构建动态自适应的安全闭环系统,其创新的安全思想符合新技术的特点,不断提高信息系统和网络的整体安全性。
2019 年 9 月,工信部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》,支持云计算、大数据、人工智能、量子计算等技术在网络安全领域的应用,努力提升威胁情报分析、智能监测预警、加密通信等网络安全防御能力。积极探索拟态防御、可信计算、零信任安全等网络安全概念和框架,推动网络安全理论和技术创新。零信任作为关键技术,将成为未来新型网络架构应用的基础。
一、研究背景
自无纸化办公开始,我国的信息化水平经历了跨越式的飞速发展。其安全防护级别从最初简单的防火墙、杀毒软件,发展到态势感知、威胁情报、高级持续性威胁(Advanced Persistent Threat,APT)攻击防护,有了显著的提升。伴随着云计算、大数据、移动互联等新技术的应用,信息化建设加速促进着我国企业在业务横向和纵向的扩展,大大提高了企业单位的业务效率,也促进了电子信息技术的推广和应用。传统被动式的安全防御体系不断叠加建设,但其安全防护能力无法满足现有的安全防护需求。随着企业面临的安全风险逐年增加,数据及应用的安全防护已成为企业安全防护建设的重中之重。
随着《中华人民共和国网络安全法》 的颁布与执行,等级保护 2.0 版本更新,国家已然意识到,在当前我国信息化发展、业务开展和新技术普遍应用的情况下,传统的安全防护手段与方式已经无法有效地应对当前的安全风险。在国家大力发展新型基础设施建设的战略布局下,需要对国家的关键信息基础设施进行重点保护,建立主动的防御机制来应对当前信息化发展所面临的安全问题。
采用零信任理念实现安全系统的合规性探索,针对等级保护 2.0 合规要求 [4],从边界防护、身份认证、访问控制和个人信息安全 4 个方面进行分析。零信任技术默认任何时间、任何位置、任何设备和用户都是不可信的,通过软件定义边界的方式,将网络边界收敛在需要保护资源的前端,且所有的访问请求都需要经过细粒度的认证。但对于这些理念的实现程度和指标并未给出较为详细的定义,而我国的等级保护 2.0标准要求中的控制项,是对零信任系统设计和实现的指导和落实。
二、发展现状
零信任的概念最早源自 2004 年举办的耶利哥论坛,目的是在无边界趋势下寻求网络安全问题需求方案,并提出不依赖于网络位置的隐式信任需求。2010 年,著名研究机构 Forrester 的首席分析师 John Kindervag 正式提出“零信任(Zero Trust)”概念,并由 Google 在 BeyondCorp 项目中率先得到验证。随着业界对零信任理论和实践的不断完善,零信任从原型概念向主流的网络安全技术架构逐步演进,从最初网络层微分段的范畴,逐步演变成为覆盖云环境、大数据中心、微服务等众多场景的新一代安全架构。
2019 年以来,美国军方、联邦政府和标准化组织纷纷发表各自的白皮书、评估报告和标准草案,阐述各自对零信任的认识和规划。2019年 7 月,美国国防部在发布的《数字现代化战略(2019—2023 财年)》[5] 中提到了零信任技术,并将该技术作为未来美国数字化战略的重要发展及应用方向。同年,美国国防信息系统局发布《2019—2022 财年战略规划》,该规划采用零信任技术构建新型网络架构模式。
研究机构 Forrester 在发布的《2019 年度预测:转型走向务实》中明确指出,零信任将在美国特定的领域成为标准的、阶段性的网络安全架构。美国军队、政府将其作为优先选用的网络架构战略和指导原则,并对其他行业产生深刻的影响。
作为联邦政府顾问的美国技术委员会——工业咨询委员会,于 2019 年 4 月发布了《零信任网络安全当前趋势》白皮书,通过开展市场研究,评估了零信任技术成熟度和准备度、适合性、可扩展性和基于实际实现的可承受性,最终对美国政府机构采用零信任提出评估建议。美 国 国 防 工 业 基 地(Defense Industrial Base,DIB)作为美国国防部下属专注于技术与创新的机构于 2019 年 7 月发布了 DIB 零信任架构白皮书《零信任安全之路》,指导国防部网络设施零信任架构。2019 年 10 月发布报告《零信任架构建议》,建议国防部将零信任列为最高优先事项实施。这两个重量级文件的发布,反映出美国国防部对零信任的重要定位:零信任架构是美国国防部网络安全架构的必然演进方向。
2020 年 8 月,美国国家标准与技术研究院正式发布《零信任架构》标准对零信任架构进行抽象定义,并给出了零信任可改善企业整体信息技术安全态势的普通部署模型及应用案例。美国零信任技术发展趋势如图 1 所示。
图 1 美国零信任技术发展趋势
2019 年 7 月 25 日,在中国通信标准化协会CCSA TC8 WG3 第 60 次工作会议上,由腾讯牵头提案的“零信任安全技术 - 参考框架”行业标准正式通过权威专家组评审并成功立项。这是自 2010 年国际上提出零信任模型“ZeroTrust Model”后业界迎来的首个零信任安全技术行业标准。2019 年 9 月,工信部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》,支持云计算、大数据、人工智能、量子计算等技术在网络安全领域的应用,着力提升威胁情报分析、智能监测预警、加密通信等网络安全防御能力。积极探索拟态防御、可信计算、零信任安全等网络安全新理念、新架构,推动网络安全理论和技术创新。零信任作为关键技术,已成为未来新型网络架构应用的基础。
2019 年 9 月,中国信息通信研究院发布《中国网络安全产业白皮书(2019 年)》,强调了 软 件 定 义 边 界(Software Defined Perimeter,SDP)为零信任的关键技术,零信任安全首次被列入网络安全需要突破的关键技术。
2019 年以来,我国相关部委、部分央企、大型集团企业开始将零信任架构作为新建 IT 基础设施安全架构,银行、能源、通信等众多领域和行业针对新型业务场景,开展采用零信任架构的关键技术和试点示范。国内安全厂商也积极关注零信任的发展和落地实践,各安全和互联网厂商都利用各自在安全领域的技术优势,推出零信任整体解决方案,同时身份管理、SDP、微隔离等技术也被积极应用于零信任技术方案的应用实践中。
三、零信任理念
以身份为中心、以权限为边界、持续信任评估、动态访问控制”的理念,对业务平台访问主体进行身份化、规范化管理,采用基于密码技术的数字证书作为可信标识,联动统一的授权管理服务和安全审计服务,对业务系统的网络接入控制、应用访问控制、应用服务调用、数据获取服务等不同场景提供动态、持续的强身份认证与权限控制,行为分析及责任认定,实现全网全域对象可信、可控、可管、可追溯,为移动办公和业务系统的安全保障构建基于零信任的安全管理平台,零信任总体架构如图 2 所示。
图 2 零信任总体架构
3.1 以密码为基石
以密码为基石,密码具有天然的安全基因,以密码为基石来构建可信的身份体系,基于密码来实现身份认证和安全通信,兼顾合规性和安全性。基于国产密码构建公钥基础设施(Public Key Infrastructure,PKI) 体 系, 为 各参与实体颁发数字证书,访问之前先进行强认证,所有通信流量走加密通道,防止流量被劫持和侦听。
3.2 以身份为中心
以身份为中心,身份可信是业务可信的前提,必须兼顾身份的真实性和环境的可靠性。身份的真实性由多因子认证来保障,其中,数字证书是不可或缺的认证因子,其他认证因子起辅助作用。为完成动态持续的身份认证,系统需要支持多因子的身份认证,认证方式需具备人脸识别、声纹识别等最新的认证技术,结合环境感知系统,系统需要具备持续认证的能力,在发现风险时,能够具有实时阻断会话的能力。
3.3 以权限为边界
以权限为边界,将应用安全网关部署在云平台的入口,保护云平台内部的所有资源,对于未经身份认证、没有权限的用户,一切资源都是不可见的,只有授权后用户才能看到资源。由于权限和环境属性紧密相关,同一个人在不同环境下的权限不同,边界也就不同,比如正常办公时间权限边界比较大,节假日时间权限边界就很小。授权体系应满足云计算、大数据等多种复杂场景的授权,同时支持访问控制列表(Access Control List,ACL)、基于角色的访问 控 制(Role-Based Access Control,RBAC)、基 于 属 性 的 访 问 控 制(Attribute-Based Access Control,ABAC)等权限模型,支持访问级、功能级、服务级和数据级访问控制,支持具备事件授权的能力,支持权限红名单和白名单。在数据访问控制方面能够实现基于数据分级分类的访问控制,防止数据越权访问。
3.4 持续信任评估
信任评估技术对网络代理提供的多维度实时属性信息进行了实时信任评估和分析,通过对网络活动风险水平的持续定量评估,为访问授权提供判定依据。在办公终端上安装终端可信环境感知,通过检测基础安全感知、系统安全感知、应用合规感知、健康状况感知,对终端环境进行全访问、多维度的安全监测。检测感知访问主体接入环境的安全性,一旦检测到安全风险,立即上报,并基于访问控制决策点对当前访问予以预警或者阻断,保持办公终端环境的安全可控。
3.5 动态访问控制
静态访问控制基于网络实体规定和预设置的二值判断策略,只能通过静态的授权规则,或简单的黑白列表等方式对访问业务进行一次性的评估。但零信任架构采用安全和动态变化的度量因素,执行动态访问控制,并且基于可变信任评估,将访问主体的授权访问随着过去和当前行为、身份信息及网络环境等不同因素影响进行不断变化,对每次访问业务采用最小权限原则,解决了传统静态访问控制机制下,安全策略动态适应不足的问题,提升了应变防御威胁的能力。
通过一系列组件的构建和联动,在数据层面形成访问控制策略执行点,在控制层面形成访问控制策略决策点,提供环境感知能力的组件、提供信任评估的分析组件共同工作实现。
主要流程如下:通过构建可信应用代理作为数据层面业务访问的统一入口,以及动态访问控制策略的执行点;构建可信身份管控平台作为控制层面的访问控制策略决策点;通过可信环境感知对用户的终端进行全方位多维度感知,确保用户的终端环境安全及安全风险感知上报;对构建智能身份分析系统的用户行为进行多维度分析,进行信任评估并上报至可信访问控制台进行决策,实现动态访问控制的整体逻辑,具备动态访问控制能力 。
四、零信任应用解决方案
秉承零信任理念,坚持以密码为基础,以可信身份为中心,软件定义边界的思想,对身份认证和访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”向“身份中心化”的转变,零信任架构设计如图 3所示。以身份为中心进行访问控制,对访问办公业务的设备、用户、应用、服务的访问控制进行认证和授权,访问控制策略结合信任持续评估结果进行动态调整。所有未认证的资源都是不可访问的,坚持最小权限原则,极大限度地减小攻击面 。
4.1 密码服务基础设施
密码服务基础设施为网络应用和终端用户提供密码服务,整合基础密码设备的管理,通过虚拟化技术虚拟密码服务设备对外提供密码服务,提供数据加解密、签名验证、摘要运算等通用密码服务,还对外提供认证、时间戳、电子签章等基于密码的安全服务。
图 3 零信任架构设计
4.2 电子认证基础设施
电子认证基础设施利用一对密码实施加密和解密,其中密钥分为私钥和公钥,私钥用于签名和解密,由用户自定义且安全存储;公钥用于签名验证和加密,被多个用户共享。
4.3 可信身份管控平台
可信身份管控平台是构建统一的身份认证和授权访问的基础设施平台,实现网络实体身份和特权账号的统一资源管理,为云环境、移动网络、物联网等异构网络和异构应用提供持续的身份认证和动态的授权访问机制,采用资源化、服务化的弹性服务模式持续提升全网身份治理能力,搭建基于可信身份的零信任安全体系。主要包括身份管理、身份认证、权限管理和安全审计 4 个部分。其中,身份管理是指实现对各类实体身份的生命周期管理,建立标准化的可信身份库,为应用系统提供身份供应服务,保障各应用系统中的身份一致性、准确性和有效性,避免身份分散管理带来的一系列问题。
身份认证是指按照统一的安全策略基线,为应用系统提供多场景、多方式、多因子身份认证和单点登录服务,以及统一的身份认证服务和认证门户,改善用户体验。权限管理是指基于 ACL、RBAC、ABAC 授权模型为应用开放访问级、功能级、数据级和应用程序编程接口(Application Programming Interface,API) 授 权能力,基于人员、应用和数据进行访问控制,严格控制信息的知悉范围。安全审计是指为应用系统提供审计服务,收集各应用系统的相关日志,对日志进行关联分析和安全存储,对异常行为进行风险管控,实现业务的全流程监管,为应用系统建立全面的风险管理和内控体系提供必要的支撑。
4.4 零信任网关管理平台
零信任网关作为可信身份管控平台与不同网关间的枢纽,以管控分离为原则,联动可信身份管理平台下发不同应用策略。网关作为执行点,执行相关策略实现网络接入控制、应用访问控制、服务调用控制及数据获取服务等,提升整体安全防护能力。为实现不同接入通道下细粒度的访问控制,支持应用代理网关、API网关和运维代理网关多台分布式部署网关的集中管理和统一调度。根据合法的授权信息实现内部网络和数据的安全隐藏,支持前端流量加密、后端流量加密,构建不同维度的安全防护边界。
4.5 环境感知中心
环境感知中心首先对可信的终端身份进行标识,不断进行终端环境的感知和度量,并将相关数据发送给策略控制中心,协助策略控制中心完成终端可信环境的验证,以达到动态访问控制的目的。通过环境感知中心建立匹配的信任评估模型和相应算法,实现基于身份的信任评估能力,针对访问请求数据的上下文进行风险判断,对异常行为的访问请求进行识别,对信任评估结果进行不断调整。
4.6 策略控制中心
策略控制中心负责风险汇聚、信任评估和指令传递下发,根据环境感知中心的风险来源进行综合信任评估和指令下发;指令接收及执行的中心可以是认证中心、安全防护平台和安全访问平台。策略控制中心支持多租户模式,提供基于角色、基于属性和基于策略的安全访问控制模型及细粒度授权模式,支持多种网关策略分发和统一管理 。
五、结 语
面向不同的应用环境和业务场景,零信任架构具备多种灵活的实现方式和部署模式。其中,在远程办公、云计算平台、大数据中心、物联网、5G 应用等典型应用场景中,实施一个“从不信任,永远验证”的方法,根据访问主体和资源之间的授权关系,数据平台通过访问代理搭建安全的访问通道,对访问请求进行分流。控制平台的访问引擎负责指挥,按照“先认证后连接”原则,建立、维持有效连接,实施对资源的安全访问控制。在此过程中,对应用场景中出现的安全威胁进行监控,并及时响应,削减风险。为现代 IT 信息系统快速向移动端和云环境进行迁移创建更安全的网络,使数据更安全,减少违规带来的负面影响,提高合规性和可视性,实现更低的网络安全成本,并提高组织的整体风险应对防护能力。