国内外普遍认为网络安全架构应该是一个动态的、不断完善的过程,大量科研人员及学者进行了长期的研究工作,并设计了各类动态安全保障体系模型。其中,最具代表性的模型包括边界防御架构、纵深防御架构、零信任架构、可信计算架构等。
“边界防御”架构于2012年被国内安全企业率先提出并应用,通过在网络边界处严密设防,如代理、网关、路由器、防火墙、加密隧道等,监控进入终端的外界程序,在恶意代码尚未运行时即对其安全性进行鉴定,从而最大限度地保障本地计算机的安全。其中,4类较为常见的边界防御技术分别是防火墙技术、多重安全网关技术、网闸技术,以及虚拟专用网(VPN)技术。
边界防御架构可以控制外部网络对内部网络的访问,强化内部网络安全。边界防御技术还可通过对进入内部网络的文件进行安全鉴定,防止内部信息外泄,隐藏内部网络的敏感信息。由于内外网之间数据的传输必须经过边界防御,一切未被允许的就是禁止的,只有被授权合法的数据,即在边界防御系统安全策略中允许的数据才能穿过网络边界,保障了内部网络的整体安全。此外,边界防御架构通过提供日志记录,对网络存取和访问进行监控审计。在边界防御架构中,部署的边界防护机制是内、外部网络的唯一通信通道,它们可以详细记录所有针对内部网络的访问,形成完整的日志文件,以此达到监控审计的目的。
边界防御架构的优势主要集中在3个方面。首先,可以快速鉴别未知文件是否安全。未知文件一旦到达网络边界,将触发边界防御对其安全性迅速做出判断,从而保证安全防护的效率。其次,无需安装专门的杀毒软件。避免传统杀毒软件对系统资源的不合理占用,解放了系统资源,同时人机界面良好,用户配置方便。最后,低成本实现有效防御。由于传统杀毒软件重客户端轻服务端,客户端对抗病毒的成本高昂,而边界防御架构只需配置防火墙等防御机制,就能控制外部网络对内部网络的访问,保障内部网络的安全。
边界防御架构虽然在网络边界处部署了防护机制,但受限于其产生的时代背景,该架构在当前来看存在一定的局限性。首先,无法防范来自网络内部的安全威胁。由于边界防御架构只在网络边界处设置防护措施,将不安全的外部威胁挡在边界外,而内部恶意用户和缺乏安全意识的用户的存在,都会给系统内部带来安全风险。其次,无法防范绕过边界防御的攻击。边界防御是单一的、静态的安全防护技术,只要携带病毒的文件通过某种手段绕过边界防御的检测,便可以进入网络内部散播病毒,威胁整个系统的安全。最后,无法抵御数据驱动型攻击。在边界防御架构中,它通常无法抵御数据投毒等数据驱动型网络攻击。这意味着,在当前以高隐蔽性复杂攻击为新安全挑战的网络环境中,边界防御正面临着极大危机。
由于攻击方式的多样性,任何单一防御机制都不足以对抗所有类型的攻击,网络存在被攻破的可能性,为此“纵深防御”架构应运而生。“纵深防御”也被称为深度防护策略(Defense in Depth,DiD),是一种采用多样化、多层次的防御措施来保障信息系统安全的策略,其主要目标是在攻击者成功破坏某种防御机制的情况下,仍能够利用其他防御机制继续为信息系统提供保护。
纵深防御架构的基本思路是将各类网络安全防护措施有机结合,针对保护对象,部署合适的安全措施,形成多道保护线,在各安全防护措施相互支持和补救下,尽可能地阻断攻击者的威胁。根据美国国防部提出的PDRR(Pro-tection,Detection,Reaction,Reco-very)模型,即防护、检测、响应、恢复4道防线,纵深防御架构通过在这些技术框架区域中实施保障机制,最大程度地降低风险,应对攻击并保护信息系统的安全。
纵深防御架构不是安全设备或系统的简单堆积,而是在各个层面有针对性且合理地部署各类防护或检测系统,形成系统间的优势互补,从而实现对安全态势的全面感知。纵深防御架构通过多点布防、以点带面、多面成体,形成一个多层次、立体的全方位防御体系来维护网络安全,其特点可概述为以下3点。
- 多点防护
部署位置主要包括网络和基础设施、区域边界、计算环境和支撑性基础设施,通过在这4个重点方位布置全面的防御机制,将信息系统的安全风险降至最低。 - 分层防御
在攻击者和目标之间部署多层防御机制,每个机制都能对攻击者形成一道屏障,且各防御机制在功能上相互协同和补充。根据网络的层次化体系结构,分层部署防护和检测措施形成了层次化的安全配置,增加攻击被检测到的概率,提高了攻击成本。 - 分级防护
根据信息系统各部分的重要性等级,在对应安全强度下配置防护措施,以平衡纵深防御架构建设成本和安全需求之间的关系。
纵深防御架构虽然搭建了多层防护屏障,避免了对单一安全机制的依赖,但其仍然存在3个方面的局限性。
首先,各区域安全措施相对独立,缺乏统一的管理。由于纵深防御架构模型将人作为核心要素,安全人员一旦发现潜在风险,需要对所有安全措施进行逐个配置,增加了管理复杂度。而且纵深防御体系的各层防御之间的协同机制薄弱,其中的检测手段多是基于规则和黑白名单,对于抱有经济政治目的的专业黑客,攻克这种防御体系也只是时间问题。
其次,缺乏主动防御安全威胁的机制。尽管各重点区域都部署了安全检查和防御措施,但并没有主动进行安全威胁检查和防御。随着攻击方式的不断演进、病毒特征的不断变化,如果不及时主动更新防御机制,就会有新的中毒风险。目前,一些专门用来对付纵深防御模式的高级网络攻击工具可被轻易获取,导致网络攻击数量大幅增加,以至于纵深防御架构面临巨大的安全威胁。
最后,没有考虑虚拟网络的防御问题。纵深防御架构模型主要针对传统物理信息系统设计,没有考虑云数据中心虚拟化带来的虚拟网络特点。虚拟网络运行在现有物理网络之上,具有网络边界弹性、生命周期短暂等动态特征,而传统纵深防御模型尚未考虑虚拟网络的安全防护问题。
零信任架构是一种端到端的网络架构,重点关注身份、凭证、访问管理、操作、终端、主机环境和互连基础设施。美国技术委员会-工业咨询委员会(ACT-IAC)于2019年发布了《零信任网络安全当前趋势》(Zero Trust Cybersecurity Current Trends),同年,美国国防部国防创新委员会发布了零信任架构白皮书《零信任安全之路》(The Road to Zero Trust Security),强调了对零信任架构的重视。
传统的安全方案只注重边界保护,对授权用户开放过多的访问权限,而零信任的主要目标是基于身份的细粒度访问控制,以应对日益严重未经授权的水平移动风险。零信任的本质是在新互联网环境中于主体和客体之间构建一个基于身份的动态可信访问控制系统。该架构的主要特点可以概括为:以身份作为访问控制的基础,业务安全访问、持续的信任评估,以及动态访问控制。
在零信任网络架构中,身份是零信任的基石。为了构建基于身份而不是基于网络位置的访问控制系统,首先需要给网络中的人和设备赋予相应的身份,在运行时结合识别的人和设备来构建访问主体,并设置最小访问权限。零信任架构还具有以下3个特点。
(1)业务的安全访问。零信任架构侧重于业务防护面的构建,通过业务防护面来实现对资源的保护。在零信任架构中,应用、服务、接口和数据被认为是业务资源。通过对业务保护的操作,要求对所有服务默认隐藏,根据授权结果最小权限开启。所有服务访问请求都应进行加密和强制授权。
(2)持续的信任评估。持续的信任评估是零信任体系中从无到有建立信任的关键手段。通过信任评估模型和算法,可以实现基于身份的信任评估能力。同时需要判断访问上下文环境的风险,识别访问请求的异常行为,以调整信任评估结果。
(3)动态访问控制。动态访问控制是零信任架构安全闭环能力的重要体现。通常采用基于角色的权限控制(RBAC)和基于属性的权限控制(ABAC)相结合来实现灵活的访问控制基线,基于信任级别来实现分层业务访问。同时,当访问上下文和环境存在风险时,应进行访问权限的实时干预,评估访问主体的信任度。
零信任架构关键能力的实现需要通过特定的逻辑架构组件来实现。零信任的核心理念是没有人的参与。网络内外的设备/系统默认不信任,需要基于认证和授权重构访问控制的信任基础。单个IP地址、主机、地理位置、网络等不能作为可信凭证。零信任颠覆了访问控制范式,引领安全系统架构从“网络中心化”走向“身份中心化”。它的本质要求是基于身份和环境来控制访问,在多个场景方面具有极大的优势。
零信任架构的局限性主要表现在权限集中、实时性与控制精度之间的矛盾、数据处理难度等方面。
在零信任架构中,策略引擎需要解决对所有资源访问的授权工作,一旦策略引擎出现问题,对业务连续性和数据安全性都会产生较大的影响,因此设计开发高可用性的策略引擎,是零信任领域下一步研究的重点方向。其次,零信任架构需要对对象进行实时校验,通过实时监督认证用户的行为,动态调整授权的范围,对应策略执行点与策略引擎,既要做到实时控制,又要做到最小化权限的精准度,无论是算法、性能还是认证逻辑方面都面临比较大的挑战。此外,零信任的成熟度很大程度取决于对相关数据的收集、分析与处理能力。首先需要对设备、用户、应用、历史行为的各类数据进行收集。分散的数据来源会导致数据的准确性、完整度、格式化等方面存在问题。在解决数据收集、过滤、归并、存储等问题后,需要高效地对这些数据进行处理,该过程对策略引擎的算法和性能要求非常高。因此,设计实现高效的数据处理算法,也是零信任架构需要重点关注的问题。