一、传统边界安全防护系统面临问题
传统的网络防护框架如下图所示,通过边界安全防护系统,将内网和外网进行隔离:
但边界安全防护系统存在如下安全问题:
■ 企业内网不一定可信
在传统的边界安全防护下,企业的私有网络并不可信。私有网络中的客户端有可能成为攻击者操纵的目标。同时,我们默认内网用户(如企业员工)是可信的,但往往某些恶意的员工正是非法窃取公司机密的始作俑者。
■ 访问业务的终端不一定可信
网络上访问企业内网的终端设备可能非企业的设备,这些设备可能存在一些安全风险,比如设备可能被恶意安装了攻击软件,对内网系统产生攻击。同时,企业自己的终端设备也不是天生可信的,可能已经被攻击者攻击变成了傀儡机。
■ 人、设备、业务的安全性并非一成不变
边界安全防护系统主要基于协议、IP和端口来设置访问控制策略,默认认为已授权的IP地址、端口所代表的人、设备、业务都是安全可信的,并为IP、端口所代表的用户设置静态访问权限。但实际上,人、终端设备、业务的安全性不是一成不变的,有可能已经成为恶意攻击的来源,成为安全风险源。
■ 企业业务系统或在云端,安全防护边界不明确
随着云计算的发展,企业的一部分业务已向云端迁移,另一部分仍留在内网,这种情况下,安全边界不明确,难以实施部署。
二、零信任防护架构简介
零信任架构(ZTA: Zero Trust Architecture)是一种基于零信任原则的企业网络安全架构,是网络空间安全的一种实际可落地的安全防护架构。该架构默认网络空间中的人、设备、业务系统都是不安全的,将这些网络空间元素身份化,进行身份管理,并对身份进行持续风险评估。
零信任架构,实现了控制层和数据层的分离。由控制层生成动态控制策略,数据层负责执行策略,对用户的访问实时进行动态权限控制,其基础逻辑架构如下图:
美国国家标准与技术研究院(NIST)于2019年和2020年发布两版《零信任架构》标准草案,并于2020年8月推出正式版。同时,国内安全界也在积极开展零信任关键技术研究和产品研制,并结合国内实际应用场景进行落地实践,推进零信任标准化进程。2019年9月工信部公开发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,将“零信任安全”列入“着力突破的网络安全关键技术”。2020年10月,国内首个立项的零信任国家标准《信息安全技术 零信任参考体系架构》正式启动。2021年7月,国内首个零信任技术团体标准《零信任系统技术规范》正式发布。
目前国内零信任标准的定制,都是以NSIT的《零信任架构》为基础的,以不违背定义的原则为前提制定的。下面我们来了解一下美国NIST零信任架构的标准要求。
三、NIST零信任架构介绍
十多年来,美国一直在积极转向基于零信任原则的网络安全,推进相关能力建设和政策,如《联邦信息安全管理法案》( FISMA)、风险管理框架( RMF)、联邦身份凭证和访问管理( FICAM)、可信互联网连接( TIC)、持续诊断和缓解( CDM)等,这些规范和标准为零信任方案标准的推出奠定了基础。下面我们看看NIST零信任标准逻辑框架:
零信任架构组件描述如下:
■ 策略引擎(PE):该组件负责最终决定是否授予特定访问主体对资源的访问权限。策略引擎使用企业安全策略以及来自外部源(例如持续诊断和缓解系统、威胁情报服务)的输入作为“信任算法”的输入,用于决定授予、拒绝或撤销对该资源的访问权限。策略引擎常与策略管理器组件搭配使用,策略引擎做出决定,策略管理器执行该决定,并将决定的策略下发到策略执行点。
■ 策略管理器(PA):该组件负责建立和/或切断主体与资源之间的通信路径(通过与策略执行点相关的指令)。它将生成针对具体会话的身份验证令牌或凭证,供客户端用于访问企业资源。它与策略引擎密切相关,并依赖策略引擎最终做出允许或拒绝会话的决定。如果业务请求被授权并且请求已通过身份验证,PA将向策略执行点(PEP)下发策略,放行该请求,否则拒绝请求通过执行点。
■ 策略执行点(PEP):该组件负责启用、监控并最终结束访问主体和企业资源之间的连接。PEP与PA通信,转发请求和/或从PA接收控制策略。策略执行点是ZTA中的一个逻辑组件,又可细分为两个不同的组件:客户端组件(例如笔记本电脑上的代理)、资源端组件(例如资源前控制访问的网关)或保护通信路径的单个门户组件。
除了上述组件外,还有用于风险评估的组件,主要如下:
■ 持续诊断和缓解(CDM)系统:持续收集企业系统当前状态信息,并将新动态应用到配置和软件组件中。企业CDM系统为策略引擎提供业务主体信息,如主体运行的操作系统是否打过补丁、系统上的软件组件是否完整或是否存在不可信组件、系统是否存在任何已知漏洞等。
■ 行业合规系统:合规系统确保企业可以满足可能归入的任何监管制度(如FISMA、 医疗或金融行业信息安全要求等)的合规性要求,包括企业为确保合规性而制定的所有策略规则。可以通过行业合规性的满足度来评估终端、业务系统可能存在的风险。
■ 威胁情报源:该系统提供内部或外部威胁情报源信息。威胁情报源可以作为一个风险评估因素,帮助策略引擎对业务请求主体和客体进行深度、全方位的风险评估。威胁情报源系统可以从多个外部源获取情报数据,包括新发现的攻击、漏洞信息的多个服务、新发现的软件缺陷或新识别的恶意软件等。
■ 网络和系统活动日志: 这是一个企业系统,它聚合了资产日志、网络流量、资源访问操作和其他事件,这些事件提供关于企业信息系统安全态势的实时(或接近实时)反馈。
■ 安全信息与事件管理(SIEM):该组件收集以安全为中心的信息供以后分析。这些数据将用于完善策略并警告可能对企业资产发起的攻击。
控制层面主要用来生成动态策略,但动态策略需要以静态策略为基础。静态策略主要涉及如下组件:
■ 数据访问策略:关于数据访问的属性、规则以及有关访问企业资源的策略的集合。策略规则集可以编码(通过管理界面)在策略引擎中或由策略引擎动态生成。这些策略是授予资源访问权限的基础,因为它们为企业中的访问主体、访问客体提供了基本的访问权限。这些策略的制定应该以本组织内已经确定的任务角色和需要为基础。
零信任系统要将网络空间的元素身份化,身份管理是重要的功能模块,包含的主要组件如下:
■ 企业公钥基础设施(PKI):该系统负责生成和记录企业向资源、主体、服务和应用等发布的证书,还包括全局CA生态系统和联邦 PKI。联邦PKI可以与企业PKI集成,也可以是建立在X.509证书上的PKI。
■ 身份管理系统:该系统负责创建、存储和管理企业用户帐户和身份记录(例如,轻量级目录访问协议(LDAP)服务器)。该系统包含必要的主体信息和其他企业特征,比如角色、访问属性、分配的系统。该系统通常利用其他系统(如上述 PKI)来处理与用户帐户相关联的工作。
四、NIST零信任架构的处理流程
基于上述组件介绍,我们来分析一下零信任主要处理流程。基于零信任标准逻辑框架,我们重新整理了框架结构图,如下图所示:
处理流程如下:
-
主体、客体的身份在身份系统中注册,进行统一身份管理;
-
在访问策略模块设置主体与客体之间的访问策略;
-
通过CDM对主体、客体进行持续风险评估;
-
策略引擎根据CDM数据、行业合规系统、威胁情报源和安全审计信息对主体、客体进行风险评估,给出风险等级;
-
主体向客体发起业务请求,到达PEP,如果主体没有进行认证,PEP将请求重定向到PA的认证页面,要求用户认证,用户通过策略引擎的身份系统、PKI系统进行认证,认证通过后,PA向主体下发身份凭证,如用户令牌;
-
主体携带身份凭证向客体发起访问,请求到达PEP,PEP将请求送到PA,PA和策略引擎交互确认主体是否有权限,如有权限则告知PEP允许访问,否则告知拒绝访问;
-
如果由于主体、客体风险变化导致了主体权限变化,PA会将主体的权限变化通知PEP,实现已访问业务的阻断。
1648
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
