零信任是工業企業數據安全建設的突破口
零信任是工業企業數據安全建設的突破口
高端制造業的數字化轉型正面臨新的數據安全建設的有力挑戰:一方面是強互聯互通的業務數據共享的需要,比如企業的數據需要送到政府監管部門,不同地理位置的分支企業的數據需要送到集團管理層,不同安全區域的生產數據需要送到企業集中管理系統;另一方面,隨著企業數字化轉型的推進,網絡攻擊事件層出不窮,如勒索、挖礦等病毒肆虐,企業工程師站、數據庫服務器的安全防護問題,以及企業重要數據的泄漏、安全事件的追溯問題等給企業業務部門、運營部門、甚至系統供應商帶來不小的挑戰,也耗費了大量的運營及恢復成本。
《中華人民共和國數據安全法》于2021年9月1日起正式施行,其第六條明確指出,各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
數據所有者的業務體系承擔著企業安全生產及企業數據互聯互通的數字化轉型職責,但是承載著企業重要數據流的網絡運維工作,卻是IT運維體系所承擔的。以往提出的IAM(身份識別與訪問管理)、PAM(特權訪問管理)等技術已經不能滿足數字化轉型快速發展的要求,“零信任”正逐漸成為新的安全技術理念。
方案設計和實施
零信任安全體系覆蓋安全技術體系、安全管理體系和安全運營體系三個方面的工作。本方案將從建設步驟角度進行闡述,說明具體要做的工作、應用的技術,以及涉及的成熟產品類型。
1.組建安全組織架構
首先,企業需要組建專門的安全團隊或臨時虛擬團隊。一方面,由于業務部門和IT運維部門通常是平級關系,工作很難推進,經常需要第三方專業團隊以及一把手工程才能有效推動;另一方面,企業的用戶及權限都是動態的,為了節約管理及運營成本,需要對業務流程及運維流程都有一定了解的企業內部綜合性人才專職配合并短期內集中完成,才能最大化確保數據的一致性。
2.用戶身份管理體系的建立
用戶身份管理指的是對用戶進行身份標識、驗證、授權以及審計的過程。用戶的訪問控制措施又可以分為技術性、物理性和行政性的。企業需要綜合考慮業務部門、物理區域、人力資源管理組以及公司行政管理政策等,建立用戶身份生命周期。用戶身份生命周期包括從實習期、正式入職、轉正、調崗、升職、假期,到離職、退休等,可自定義進行配置。
單點登錄技術、本地認證、第三方認證技術、多因子認證技術的應用,一方面提供單一身份識別及認證入口,另一方面,借助先進的認證技術及資源,實現多因子認證,確保對用戶進行強身份認證。
用戶身份管理涉及到的國際標準如802.1X,涉及到的成熟產品有IAM、終端準入等。
3.用戶權限的管理
用戶權限的授予需要遵循“知必所需”原則及“最小特權”原則。對于企業的機密數據,還需要遵循“雙人控制”原則,以確保企業數據的安全。
用戶權限管理涉及的技術如AD、LDAP、SSO和OAuth等,涉及到的成熟產品有PAM、堡壘機等。
4.訪問控制矩陣的建立及訪問控制策略配置
訪問控制矩陣其實是基于用戶身份及權限建立的一個包括用戶(主體)和訪問目標(客體)的表格,規定了可以進行的操作,如讀、寫、執行、刪除以及不能訪問。訪問控制矩陣示意圖如下表所示。
訪問控制矩陣是零信任技術體系建立訪問控制策略的基礎及依據,并不是一成不變的,而是根據企業用戶的管理情況動態調整的,所以要注意訪問控制矩陣與訪問控制策略的一致性。訪問控制策略的配置可以在零信任整體解決方案中,借助聯動其他相關安全設備如終端準入、安全網關、IPS和EDR等完成,也可以在零信任平臺類產品的的管理組件里完成。
5.零信任安全體系架構及整體解決方案
零信任的產品形態已經經歷了身份及權限管理、身份及權限靜態分析、身份及權限基于操作與環境條件動態自適應分析,實現了三代的產品升級。不同安全廠商的產品有不同的技術形態,用戶還是應該從技術本身進行剖析,避免重復建設。
零信任安全體系架構采用的是SDP技術,主要功能是采用可信代理機制,利用零信任動態評估引擎,結合4A技術及現有的成熟產品持續性的驗證訪問企業資源的用戶、設備或應用的身份標識以及權限,從而實現訪問的微隔離,避免不恰當的主體,使用不恰當的權限訪問企業資源。零信任的安全體系不是單一產品可以實現的,需要結合整體解決方案。如下圖所示。
零信任的動態評估引擎的數據來源于企業的業務數據及安全數據,并且數據越全面,零信任安全制度體系越健全,才越能實現真正的零信任安全理念。
首先,用戶對企業資源進行訪問時,零信任可信代理模塊完成用戶身份的識別,并將身份信息送回到零信任動態評估引擎去核對。該引擎可調用本地IAM的身份認證信息,或者利用引擎自身的身份ID庫,進行核實。
其次,確保身份可信后,進行多因子認證,同樣可以調用本地的CA認證庫,或者聯動第三方的認證庫,對身份進行驗證。這是終端準入設備或零信任組件可以完成的內容。
再次,驗證好身份后,對訪問進行權限進行核查。這里說的權限就是前面提到的訪問控制矩陣中設計的訪問控制策略,具有相應權限的主體,即可訪問相應的企業資源。
最后,對訪問行為進行審計。一方面可以調用已有安全設備如態勢感知的關聯分析數據、安全日志(SIEM)系統的訪問日志數據,以及入侵檢測系統(IDS)的入侵行為記錄等,在零信任動態評估引擎進行實時動態分析,并依據評估結果觸發策略執行點。對于不合法的訪問,將聯動相應的安全設備如IPS、EDR、安全網關和下一代防火墻等進行阻斷,并進行記錄。
以上也是零信任安全體系的4A技術,即Authentication(認證)、Authorization(授權)、Access Control(訪問控制)、Auditing(審計)。
6.安全風險評估與應急預案
要在企業關鍵業務系統對重要數據進行任何操作,就要遵守業務側成熟的行業標準及相關操作規范,尤其是數據所有者有對業務數據進行安全監管的職責,IT側在對業務系統做安全防護的同時,需要做好風險評估與應急預案。
風險評估一般由專業的第三方安全機構配合企業項目管理者共同完成,包括系統性的評估業務系統面臨的網絡安全風險、業務數據丟失和泄漏的風險,以及進行安全操作時可能帶來的業務中斷的風險。
應急預案需要同時做業務系統的應急預案以及IT安全系統的應急預案。大部分企業的業務系統已經有完備的應急預案及恢復流程,一般只需要結合業務系統應急預案與業務專家共同完成IT安全系統應急預案,這對安全訪問控制策略是個考驗。
7.業務側與IT側的協同及測試
目前大多數企業的安全設備上線,基本不會與業務系統進行聯調測試。這對企業業務系統來講,風險非常高,可能造成延時甚至業務中斷。這也是業務側不愿意增加安全設備的主要原因。
為此,可以請業務系統負責人選擇非關鍵生產業務系統,進行試點建設。一方面可以節約投資,還可以控制運營成本;另一方面也是將風險降低到最小,在達到預期效果之后,再逐步推廣到整個企業。
價值
1.劃分安全責任
零信任的實施,對用戶及權限細粒度管控的同時,也劃分好了安全職責,并實現了事件追溯。
2.推動企業數字化轉型進程
企業對于業務人員網絡安全意識及安全能力的培養,有利于在充分了解數據安全風險的同時,有效控制風險。同時,IT運維人員需要充分了解到業務系統風險,才能運用先進安全技術的同時,保障業務系統正常運行,從而推動企業的數字化轉型進程。
3.為數據安全分級分類奠定基礎
前面提到零信任首先要梳理用戶身份信息,其次要梳理對業務系統及應用的訪問權限,最后又要梳理出訪問控制矩陣表。數據安全的工作首先就是要治理數據,零信任一方面已經梳理了企業業務數據資產及權限分級,另一方面也完成了企業數據安全相關的部分管理制度及審批流程,在一定程度上奠定了數據安全建設的基礎。
來源:《網絡安全和信息化》雜志
作者: 任杰
