零信任安全架構在金融業應用的困難及對策建議
近年來,隨著大數據、云計算、物聯網以及移動互聯網技術的快速發展,“零接觸”金融服務需求迅速爆發,更進一步加速了金融業邁向數字金融時代的步伐。在進行數字化轉型過程中,大多機構均使用大數據平臺和私有云平臺作為金融業務的底層支撐,這就導致數據與服務的安全風險高度集中:如缺乏細致有效的內部控制;難以滿足數字金融時代快速迭代要求;缺乏有效措施應對日益頻繁的網絡攻擊等。
鑒于此,我們有必要改變原有思維方式,在所有資源訪問過程中都進行持續的身份認證和授權,而不是一次性強認證。這就是零信任架構的核心思想。通過零信任架構,實現對內部各類資源“最小夠用”的細粒度訪問控制,提高金融機構對網絡攻擊和未知威脅的防范能力,降低由網絡安全風險帶來行業風險和國家安全風險。
零信任基本原理
1.零信任的起源與發展。2010年,Forrester分析師John Kindervag提出了“零信任模型”(Zero Trust Model)。主要包括三個基本理念:一是驗證并保護所有來源;二是限制并嚴格執行訪問控制;三是檢查并記錄所有網絡流量日志。
零信任安全架構也得到了我國相關部門和業界的高度重視。由中國科學院大學、中國信息通信研究院和網神信息技術(北京)股份有限公司聯合申請的《信息安全技術零信任參考體系架構》已于2020年通過全國信息安全標準化技術委員會網絡安全國家標準項目立項。同時,中國信通院發布的《中國網絡安全產業白皮書(2020年)》也將零信任納入監測對象。
2.零信任架構的原理。其本質是在資源訪問主體與受保護的資源之間構建以身份為基石的可動態授權的、精細化的訪問控制體系。以“最小夠用”的方式授權用戶訪問受保護資源。
(1)風險感知平臺根據用戶的不同類型,使用相對應的風險感知系統對其進行可信認證和風險評估,并將風險感知的結果傳輸給身份分析平臺。
(2)身份分析平臺在收到針對用戶的風險感知結果后,結合訪問控制平臺反饋的授權日志和可信應用代理反饋的訪問日志,對用戶身份進行綜合分析,并將分析出的結果傳輸給訪問控制平臺。
(3)訪問控制平臺在收到身份分析平臺的信息后,根據已有或者事先制定好的訪問控制策略給對應的身份進行授權。如果部署有身份和訪問管理系統(IAM)或者統一安全管理平臺(4A),還可獲取IAM/4A系統配置的身份訪問權限數據,作為對當前用戶的授權依據。如果用戶沒有訪問權限,則直接拒絕訪問。
(4)在收到訪問控制平臺的授權信息后,可信應用代理平臺進行動態代理配置,以允許用戶通過應用代理訪問到具體的受保護資源。
在金融業應用零信任架構 存在的難點
據統計,目前我國零信任架構主要應用于政企和互聯網企業,在金融行業的應用規模僅占所有行業的15.38%。金融行業作為對數據安全要求較高的行業,是什么原因使其在面對嚴峻的網絡安全形勢下,而不采用理念更加符合當前形勢的零信任安全架構?
1.安全防護觀念未能與時俱進。近年來隨著云計算、物聯網以及5G等技術的廣泛應用,金融機構的安全防護邊界正在快速擴張或者說正在逐步消失。在此背景下,機構的決策者或者技術決策者未能準確分析和把握當前面臨的網絡安全形勢,對新的安全架構理解不透徹,導致使用新的安全架構動力不足,未能及時調整機構的安全防護策略。
2.實施零信任的工作量巨大。通過前文對零信任的原理描述可知,零信任架構是以身份為中心對用戶進行細粒度的訪問控制。要實現這一目標,首先要實現用戶的身份識別與認證,需要構建一個統一的身份分析認證平臺,采集各類人員、終端、外部應用以及API等多方面的信息。
3.技術實施方面沒有現成經驗可供借鑒。NIST在《零信任架構標準》白皮書中列舉了3個技術方案:一是軟件定義邊界(SDP);二是身份權限管理(IAM);三是微隔離(MSG)。這3個技術也是零信任廠商實施零信任的主要技術手段。但在零信任架構的實際落地過程中,根據不同的應用場景,還需要其他許多輔助技術的加持。金融機構在實施零信任架構時,需要從架構、策略、模式等方面進行多個環節的技術選型,而且不同金融機構的應用場景可能存在較大差異,通過零信任實現的安全防護需求也不盡相同,機構需要根據自身業務的實際要求,從眾多技術中選擇適合本機構的技術實現零信任架構,這對沒有相關經驗的機構來說無疑是個非常具有挑戰的事情。
4.缺乏針對零信任的安全評估體系。據云安全聯盟大中華區(以下簡稱“CSA大中華區”)于2021年6月發布的《零信任落地案例集》顯示,零信任已在互聯網、政企、醫療、能源、金融以及教育等諸多行業得到實際應用。從這些案例本身來看,通過實施零信任架構,達到了提升安全管控水平的預期,實現了提高資源訪問控制能力的目標。但作為對數據安全要求較高的金融行業,在實施零信任后,如何評估零信任架構的整體安全性,如何評估零信任架構下的網絡安全防護能力?截至目前并沒有相關的評估辦法或者評估策略來回答這一疑問。
推動零信任在金融業應用的建議
1.加快推進零信任相關標準制定和落地實施。2021年6月,CSA大中華區在“第二屆國際零信任峰會”上發布了《軟件定義邊界SDP標準規范2.0》《零信任網絡:軟件定義邊界SDP技術架構指南》以及《IAM白皮書》等多項技術研究成果,為安全從業者研究零信任相關技術,為各行業用戶實施零信任框架提供指引和有力參考。而于2020年通過全國信息安全標準化技術委員會正式立項的國家標準《信息安全技術零信任參考體系架構》,截至目前未能發布該標準的草案或者征求意見稿。可結合產業聯盟的研究成果,加快相關標準的制定進程并盡快發布。同時聯合產業聯盟加大相關標準和研究成果的宣傳力度,推動標準切實落地。
2.轉變網絡安全防護的思維。目前,零信任的發展已經從理論和技術探索的1.0階段發展到了全面實施和發展的2.0階段,零信任架構越來越多受到網絡安全專家和國家安全主管部門的高度重視。金融機構的IT專家需要及時轉變傳統思維模式,不能再想當然地認為防火墻等安全設備能將壞人擋在外面,萬一壞人早已在自家環境中了呢?所以,在當前復雜嚴峻的網絡安全形勢下,亟需打破傳統的邊界式安全防護思維,構建基于動態身份認證和授權的新型安全理念。將網絡安全防護架構從以邊界防護為中心轉變為以身份認證為主,以邊界防護為輔的安全防護架構體系。
3.制定企業級的零信任架構實施規劃。一是制定戰略實施規劃。零信任安全架構,不是一個獨立的應用系統,而是一個系統性的龐大工程,金融機構需要制定一個切合自身實際的戰略實施規劃,分階段部署實施,明確各階段建設任務和目標。可以考慮在不影響業務可用性的前提下,先從個別非關鍵場景或資源進行試點,成功后再逐步擴展零信任的保護范圍,直到覆蓋所有的內部資源。二是取得高層決策者的支持。零信任架構的實施,是一個循序漸進的過程,短時間內可能難以看到成效,這就需要企業決策者的大力支持。從行業發展的角度,從維護國家安全的高度來推動零信任架構的落地。如果可以,建議成立專門的部門或者零信任實施小組等組織,并指派具有足夠權限的人作為組織的負責人進行零信任架構實施工作的整體推進,并取得所有參與人的理解和支持。
4.加快培養零信任專業技術人才。據Gartner預測,到2022年,面向生態系統合作伙伴開放的80%新數字業務應用程序將通過零信任網絡訪問,這意味著企業必須為這樣的新形勢提前儲備人才。騰訊安全總經理程文杰表示,安全人才基本處于“零失業”狀態,零信任人才缺口非常大。零信任人才需要對企業全流程都有所了解和認知,而這樣的人才一定是稀缺的。同時對運維能力也有一定的要求,需要運維人員理解零信任的基本概念,掌握相關安全技術或者產品組件的使用方法,更加提高了零信任安全人員的能力要求。因此,企業要盡快培養自己的零信任安全人才,提高在未來安全防護領域的自主能力和水平。
5.研究并實施針對零信任架構的安全評估體系。零信任架構為解決安全問題而生,而其自身的安全性如何,目前為止,我們不得而知,也沒有相關方法來評估其安全性。因此,在零信任大規模應用前,亟需研究一套針對零信任架構本身的安全評估體系,以明確其在保護網絡安全的同時,其自身的安全防護水平,以此打消對零信任架構本身安全性的質疑,為推動零信任在更加廣泛的領域應用奠定理論基礎。
