零信任架构

参考文章:基于SDP技术构建零信任安全、怎样实现零信任安全架构?

什么是零信任

物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。
但随着业务迁移到云端,APT攻击的泛滥,以及移动办公的趋势,传统的安全边界变的模糊,既然网络和威胁已经发生了变化,我们的防御模型也要跟着变化。

零信任是一种安全模型。首先我们要抛弃传统的边界观念,不再依据用户所处的网络位置而决定这个人是否可信。取而代之的是我们对每个请求都进行严格验证
信任建立起来之前,网络上的任何资源都是隐身的。未授权用户和设备是隔离的。完全看不到网络上的任何东西。
验证过程包括人的因素和设备的因素
人的因素包括验证用户的身份,看看他的身份是不是真的。和验证用户是不是有授权,看看他是否被允许访问相应的资源。
除此之外,我们还要了解用户是否使用了合法的设备,设备是否未被攻陷。通过对用户使用的设备进行验证,我们可以避免将敏感数据暴露给被攻陷的设备,并避免被该设备横向攻击网络上的其他用户。
一旦通过了验证过程,就建立了信任。用户就可以访问到请求的资源了。当然其它未授权访问的资源还是隐身的。因为零信任是建立在按需授权的理念之上的。
我只能访问我需要的资源。其它的都不行。除非我发起新的请求,并通过同样的验证和授权过程。
在零信任模型中,对用户的验证是动态的,持续发生的。
这意味着合法用户被攻陷后,设备验证会立即报错。他们对资源的访问将立即被切断,不安全设备和其它资源之间的连接也会立即被切断,以避免数据泄露和横向攻击。
零信任仅仅只是一个理论模型。有很多实际的产品可以帮我们实现它。

零信任理念的基本假设

  • 内部威胁不可避免;
  • 从空间上,资源访问的过程中涉及到的所有对象(用户、终端设备、应用、网络、资源等)默认都不信任,其安全不再由网络位置决定;
  • 从时间上,每个对象的安全性是动态变化的(非全时段不变的)。

零信任的基本原则

  • 任何访问主体(人/设备/应用等),在访问被允许之前,都必须要经过身份认证和授权,避免过度的信任;
  • 访问主体对资源的访问权限是动态的(非静止不变的);
  • 分配访问权限时应遵循最小权限原则;
  • 尽可能减少资源非必要的网络暴露,以减少攻击面;
  • 尽可能确保所有的访问主体、资源、通信链路处于最安全状态;
  • 尽可能多的和及时的获取可能影响授权的所有信息,并根据这些信息进行持续的信任评估和安全响应。

零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定。

零信任的三大核心技术

目前零信任主要有三大核心技术,分别是SDP(软件定义边界)、IAM(身份识别与访问管理)和MSG(微隔离)

黑客攻击步骤

SDP

SDP详解可参考:软件定义边界(SDP)

SDP,即软件定义边界,由CSA国际云安全联盟在2013年提出。相较于传统的企业内外网区分的形式,其核心是通过软件的方式,为企业构建起虚拟边界,利用基于身份的访问控制及权限认证机制,为企业应用和服务提供隐身保护,使网络黑客因找寻不到目标而无法对企业资源发动攻击,从而有效的保护企业数据安全。

SDP主要包括SDP访问端、SDP控制器以及SDP网关三大组件,访问端指的是安装在用户终端设备上的软件,主要功能包括用户身份验证、用户行为分析、终端设备检测等,以检测设备有无异常、是否被攻击,同时将用户访问请求发送给网关。控制器是访问端与企业资源之间的信任协调者,主要负责用户身份认证及访问权限的配置,管控企业内部资源权限分配的全过程,通常只为通过了访问请求的用户提供特定资源的访问权限。而网关指的是部署在网络入口的“守门人”,主要负责保护企业内部资源及业务系统,防止各类网络攻击;在默认情况下,网关关闭所有网络端口,拒绝一切连接,只会对来自访问端的合法IP开放指定端口。

SDP也就是在三者的相互作用下,做到了应用程序与企业资源之间的网络“隐身”。同时三者之间的通信与连接都将通过加密的方式,在访问端与被访问端之间进行点对点传输,一旦连接失效则会立即断开连接,并且切断网络上所有应用系统的可见性及访问权限。这不仅可以有效解决企业业务拓展中的安全问题,同时也使SDP技术成为了目前零信任安全架构中的最佳践行技术之一。

IAM

IAM详解可参考:身份识别与访问管理(IAM)

IAM,身份权限管理技术,是将企业内部所有数字实体进行唯一资源标识身份化处理的技术。同时IAM向下兼容现有的各类身份协议,灵活支持多因子身份认证,可以轻松实现以身份为中心的全生命周期动态信任管理,并根据信任评估结果,判断当前身份是否可以访问企业内部资源或数据资产。

IAM主要围绕用户身份、终端设备、访问应用及活动数据四大方面,为企业提供统一且权威的身份鉴别服务,确保用户以正确的身份、在正确的访问环境中、正当的访问资源,不仅可以助力企业将原本分散的用户体系与认证体系整合起来,同时还进一步加强了用户的最小化权限控制,有助于实现企业级的统一访问控制。

随着数字化转型的进一步深化,企业内部的用户访问关系变得越来越复杂,业务和数据资源的云化、员工入职离职、公司兼并等场景,在用户身份生命周期管理与身份认证的这两大需求上对企业提出了更高的要求。基于这样的现状,IAM所包括的身份鉴别、授权、管理、分析审计等功能,逐渐发展成为了零信任安全架构中支撑企业业务和数据安全的重要基础功能。

MSG

MSG详解可参考:微隔离(MSG)

MSG,微隔离技术。要想弄明白什么是微隔离技术,首先我们要知道对于一个数据中心而言,分别有南北向流量与东西向流量。南北向流量通常指的是网关进出数据中心的外部流量,东西向流量指的是数据中心内部服务器彼此相互访问所造成的内部流量,这两者可以简单理解为坐标轴,横轴即东西向内部流量,纵轴即南北向外部流量。传统防护模式通常采用防火墙等安全设备部署在数据中心出口处,作为南北向外部流量的安全防护手段;可一旦有攻击者突破防护的边界,东西向内部流量就会缺少有效的安全防护。

而据统计,当代数据中心 75%以上的流量为东西向内部流量,随着东西向流量的占比越来越大,微隔离技术也因此应运而生。微隔离顾名思义其实就是更细粒度的网络隔离技术,它能应对传统环境、虚拟化环境、混合云等环境下对于东西向内部流量的隔离需求,现重点被企业或组织用来阻止攻击者进入数据中心网络内部后的东西向移动访问。