基于零信任的數據動態授權體系
今年是我國“十四五”規劃實施的第二年,是迎接數字時代、激活數據要素潛能、推進網絡強國建設的重要一年。隨著數字化的深入,數據已然成為重要生產要素。
數字化業務的開展,改變了信息化環境,數據由靜止轉向流動,數據使用場景發生了改變,因此數據安全的應用場景也發生了變化,其保護難度加大;數字化場景下保護對象從云網端和運行環境擴展到數據核心資產,保護對象發生變化,防御措施和手段也需要更新;數據安全管理和技術需要融合,才能有效支撐技術的落地執行。
同時,隨著數據應用場景和參與角色愈加多樣化,在復雜的應用環境下,保證重要數據、核心數據以及用戶個人隱私數據等敏感數據不發生外泄,成為數據安全防護的首要需求。
一、數字時代的數據安全挑戰
隨著數據資產價值的擴大、業務復雜度的增加、業務的開放性、IT 架構復雜性等其他因素,數據所面臨的安全風險越來越多元化,來自外部的安全攻擊、內部的安全威脅、人為錯誤都在逐步遞增,數據安全主要面臨以下四個方面的挑戰。
(一)邊界弱化,企業資源暴露面增加
隨著新一代信息技術的快速演進,應用架構隨技術發展不斷演進,打破了傳統單體架構部署在數據中心的模式,由數據中心向云端、終端等各個環節不斷延伸。業務系統面臨著多種類型的終端設備接入,組織的網絡環境愈發多樣,應用架構隨基礎架構升級不斷演進,面臨威脅顯著增多,企業資源暴露面不斷增加。
(二)攻擊的目標從網絡轉向身份、應用和數據
數據價值的凸顯引來更多的攻擊者,網絡攻擊從原來的針對平臺、網絡、系統轉變為針對身份、應用和數據。例如,攻擊者利用泄露的身份憑證繞過邊界防護或者應用和數據的訪問權限,可能對組織機構或最終用戶造成災難性損害。據美國威脅情報公司 Cyble 披露,2021 年 8 月,美國電信巨頭T-Mobile 遭遇重大安全事件,攻擊者聲稱竊取了總計 106GB 的數據,這些數據涉及近 1 億名用戶,其中包括 T-Mobile 的客戶關系管理(CRM)數據庫,并且攻擊者將數據在地下黑產渠道售賣,非法牟取高額利潤。
(三)遠程辦公增加數據泄漏和權限濫用風險
遠程辦公已經逐步成為一種常態化的工作模式,這也是移動辦公延展后的必然結果。但是,各種接入人員的身份和權限管理混亂,弱密碼屢禁不止;接入設備的安全性參差不齊,接入程序漏洞無法避免等。這些都帶來極大的風險,可能導致數據更容易“意外”泄露。如何確保數據在流經、留存的各種計算環境、終端設備上的安全,變得充滿挑戰。
(四)內部威脅成為數據泄漏主要原因
據美國網絡安全公司 Fortinet 發布的《2019 年內部威脅報告》顯示,90%的網絡安全組織感到容易受到內部攻擊,53%的網絡安全專業人員確認在過去一年中其組織遭受過內部攻擊。內部威脅,一方面指內部人員因為安全意識的疏忽或操作的失誤暴露了某些安全脆弱環節,導致被攻擊者利用而造成的數據泄漏等安全事件,另一方面指組織中內部員工通過濫用訪問權限、違規獲取訪問權限等行為竊取組織數據資源。例如水滴泄密,企業內部員工利用自身合法權限每天下載少量敏感數據,積累到一定程度后加密壓縮外發到個人網盤。
國家歷年的“凈網行動”,曾發現多起內部員工對數據的惡意竊取事件。雖然部分內部人員權限較低,但他們仍可以通過盜用高權限人員的賬號密碼、數字證書登錄內網獲取敏感數據。
二、基于零信任構建數據動態授權體系
針對數字時代下數據安全風險的變化,數據安全理念和方法需要演進,其核心思路就是從靜態到動態的轉變。數字時代的信息化環境是動態的,業務需求是動態的,風險也是動態的,數據管控需求必然也是動態的,需要用動態的安全思路來應對這些新需求、新挑戰,零信任就是這樣一種基于動態策略的安全理念和方法。
零信任理念強調以數據資源為中心,針對要保護的數據制定細粒度的權限策略。策略通過主體、客體和環境的多維屬性來構建,持續評估,影響策略的屬性變了,用戶的權限就自動變了,這是一種彈性的、敏捷的思路,可以對數據實施有效保護。
(一)在數字化背景下理解和實踐零信任
零信任是一種以資源保護為核心的網絡安全理念,基于動態信任策略實施訪問控制。零信任的實質是在“網絡可能或已經被攻陷、存在內部威脅”的環境下,把安全能力從邊界,擴展到主體、行為、客體資源,構建“主體身份可信、業務訪問動態合規、客體資源安全防護、信任持續評估”的動態綜合縱深安全防御能力。
零信任架構圍繞身份、設備、應用與工作負載、網絡與基礎設施、數據幾個維度,構建動態訪問控制能力,通過統一管理平臺,對用戶訪問應用、應用之間的相互訪問、數據訪問、特權訪問等典型的企業訪問場景進行動態策略管控。零信任也是一種持續演進的企業安全策略,在統一的企業安全訪問框架下持續規劃、構建和運營,持續的提升企業數據安全訪問治理、訪問可見性與分析、動態策略聯動與編排的能力。
實施零信任的關鍵之一,在于把控制的執行層面從基礎設施擴展到應用和數據層面,如果僅僅把訪問控制的執行放在網絡通道層面解決,就失去了實施零信任的初衷,沒有從數據和應用角度進行細粒度的訪問控制,這也是目前零信任實踐中存在的普遍誤區和問題。
事實上,美國政府對零信任的應用初衷,也是基于保護數據這一目標開展的,或者說零信任是美國政府在數字現代化道路上的一種策略選擇。自 2019 年以來,美國軍方、聯邦政府不斷加強組織對零信任的研究和推廣,陸續發布了 12 項零信任相關報告、規劃等政策及引導性文件,同時安排相關科研機構進行研究、實驗,推動零信任進入快速發展期。
我國一些大型政企客戶對零信任的應用,大多是始于各類數字化場景的需求,圍繞業務和數據的動態細粒度防護展開,其技術成熟度已充分驗證,在保護數據和應用方面,取得了很好的效果。例如,某部委基于零信任實施數據和業務訪問的細粒度控制,大幅度降低對敏感數據的違規查詢;某央企隨著數字化轉型深入,業務系統集中上云,基于零信任進行互聯網出口收縮,增強整體防護水平;某大型銀行大規模開展移動業務,基于零信任支撐移動辦公常態化,實現業務支撐、降本增效和安全閉環。
在政策層面,零信任在數據安全領域的應用也得到廣泛重視。2021 年 2 月,《北京市“十四五”時期智慧城市發展行動綱要》在第五項主要任務“把握態勢、及時響應,保障安全穩定”中提出,“建立健全與智慧城市發展相匹配的數據安全治理體系,探索構建零信任框架下的數據訪問安全機制。”將零信任作為北京“十四五”發展規劃中的關鍵技術之一。
2021 年 7 月 12 日,工業和信息化部官網發布《網絡安全產業高質量發展三年行動計劃(2021-2023 年)(征求意見稿)》,在第二章“重點任務”的第 5 點“發展創新安全技術”中提出,“推動網絡安全架構向內生、自適應發展,加快開展基于開發安全運營、主動免疫、零信任等框架的網絡安全體系研發。”明確了零信任作為網絡安全關鍵技術的定位、方向和作用,再次強調要加快開展基于零信任等的網絡安全體系研發。
2021 年工信部大數據產業發展試點示范項目中,也有“面向垂直行業的零信任大數據安全訪問平臺建設及應用”“基于零信任的大數據安全保護體系”兩個零信任項目入選。
綜上,零信任是數據安全背景下的策略選擇,在數字化背景下理解和應用零信任,可以充分發揮零信任在數字時代的安全價值。
(二)零信任動態授權體系能力
數據安全系統必須是內生安全系統,需要用“網絡安全建設三部曲”:內生安全的理念、內生安全框架的方法以及經營安全做到動態掌控。而經營安全需建立“一中心兩體系”,即網絡安全態勢感知與管控中心、網絡安全防護體系以及零信任動態授權體系,從而打造認知、安全、授權三個重要能力,“一中心兩體系”的關系如圖 1 所示。
圖1 “一中心兩體系”是內生安全框架落地的方法
網絡安全態勢感知與管控中心是大腦、四肢、武功的三合一,將認知能力落地。“大腦”是監管態勢,“四肢”是運營態勢,“武功”是攻防態勢。態勢感知與管控中心將監管態勢、運營態勢、攻防態勢合為一體,能確保及時看到威脅、揪出威脅、阻斷威脅。
網絡安全防護體系是安全能力的落地,是對實體進行安全防護的關鍵能力。建立網絡安全防護體系要實現能力、數據和人才的“三聚合”,即將安全能力和 IT 能力聚合、將安全數據和 IT 數據聚合、將安全人才和 IT 人才聚合。而“三聚合”的前提,是把安全產品“三化”:能力化、資源化、服務化。
零信任體系,即動態授權能力的落地。數據安全訪問的痛點是信任問題,而動態授權體系是數字化時代解決信任問題的手段,通過在數據層面進行分類分級、在訪問層面進行精細化訪問控制的方式,“明確是什么部門的什么人、在什么地方、因為什么任務、訪問什么數據里的什么字段。”
數據保護需要零信任架構與數據安全防護體系結合,做到“主體身份可信、行為操作合規、計算環境與數據實體有效防護”,確保合適的人、在合適的時間、以合理的方式,訪問合適的數據,如圖 2 所示。
圖2 將“零信任架構”和“數據安全防護體系”相結合
構建零信任動態授權能力,需要對請求方的主體、響應方的客體資源、授權方的訪問需求和策略進行抽象,建立一套全鏈路的縱深防御體系,關鍵舉措包括以下四個部分。
基于數據安全治理成果,梳理響應方數據資源清單與屬性,構建數據視圖。進行客體資源治理,打上標簽,作為數據資源屬性;建立客體數據資源目錄。通過大數據中臺,對原始數據進行處理封裝,數據封裝成服務,供主體訪問。
構建身份視圖,梳理請求方人員、設備清單與屬性,明晰數據訪問上下文。從設備和用戶身份認證開始,進行主體身份治理,采用實人認證、設備認證加強認證的強度,保證主體身份可信。
基于授權方需求,構建以資源為中心的統一策略管控體系。對應用、功能、數據的權限進行統一的管理,通過基于屬性的訪問控制機制進行精細化的業務合規控制,保證數據僅供其工作職責訪問之內使用。業務規則使用自然語言方式進行描述,再轉化為可以進行屬性精細化描述的表述性語言。通過各種代理、服務、微隔離等進行策略的執行。
持續的信任評估與策略治理。采集主體環境感知數據(包括系統環境、網絡環境、軟件環境、物理環境、時間、地點等),建立環境信任風險等級,同時還采集用戶和應用行為數據,持續對訪問會話進行評估,動態調整安全策略。
三、以工程化思維推進零信任安全架構建設
數字化轉型和信息化演進都是長期過程,不可能一蹴而就,其伴生的零信任體系建設也非一日之功,需要結合信息化演進規劃、安全現狀進行妥善規劃,逐步建設。理想情況下,可以通過將零信任能力內生到數據中臺或數據倉庫,但在現實條件下,從應用功能、應用程序編程接口(API)的細粒度管控出發,逐步推進,是一種較為合適的漸進式建設方法。
零信任動態授權能力建設,需要從實體安全、身份可信、業務合規三個目標出發,抽象出主體、客體、資源環境,通過動態評估主體的數字身份、安全狀態和信任,結合數據安全治理的成果,進行動態細粒度授權及訪問控制,逐步實現對應用和數據的精準管控,結合數據安全防護體系,做到“主體身份可信、業務行為操作合規、計算環境與數據實體有效防護”。
在實踐零信任的過程中,需要切記安全從業者不再是一個旁觀者,而是一個積極的業務共同建設者,通過同步規劃、同步建設和同步運營全程參與到數字化建設中。要處理好零信任與現有信任基礎、安全手段的關系,就要解決好建設信息化系統的各方在采用零信任體系架構時規劃、協同的問題,并正確引導零信任安全規劃和建設實施。
零信任在數據訪問場景的實踐,不能脫離目標和業務場景來看所謂的零信任產品和技術。事實上,零信任技術是由需要什么樣的零信任能力來確定的,而能力需求取決于零信任應用的場景和企業安全策略,策略比技術更為關鍵,技術的發展驅動來自企業的安全策略。
數據安全體系建設之路只有起點沒有終點,而基于零信任的動態授權體系會是一個不錯的起點。零信任架構的出現是安全思維和業務發展融合的必然,其建設路徑結合業務發展現狀和需求,將零信任架構與數據實體防護相結合,從而構建更易落地、更為有效的數據安全防護體系。
