從零信任技術角度探索數據安全的新思路
01、引言
為應對網絡邊界日益模糊、遠程訪問增多、內部威脅增多等網絡安全問題,全球權威分析機構Forrester Research的分析師John Kindervag在2010年正式提出零信任一詞。隨著云計算、移動互聯等技術發展,零信任越來越為產業界所接受。
零信任安全模型原則是“從不信任,始終驗證”。因此,它具有如下基本假設:(1)安全與網絡位置無關:不論流量是來自于內網還是外網,網絡都不會使用網絡位置來作為判斷安全與否的標準;(2)最小特權訪問:進行嚴格的訪問控制,只讓用戶訪問他們確實需要訪問的資源,防止橫向移動;(3)動態訪問控制:對用戶的訪問控制是動態的,即會實時地根據用戶的行為、設備情況、所安裝的證書等多種情況綜合考慮,動態地決定用戶此時的權限;(4)檢查和記錄所有訪問的網絡流量。
零信任架構不是單一的技術,而是構建安全環境的一系列原則,保證資源訪問控制安全的一系列技術措施。現有的所有身份與授權管理技術,如單點登錄、多因素認證以及網絡流量監測、數據分級分類等,都可以被應用于實際的零信任架構體系中,而這些都為數據安全拓展了新的思路。
02、2OMB發布M-22-09號備忘錄《美國政府向零信任網絡安全原則邁進》
2.1 愿景
基于當前的網絡威脅環境,美國政府管理預算局(OBM)于2022年1月發布M-22-09號備忘錄《美國政府向零信任網絡安全原則邁進》。該備忘錄表明美國正在進行大膽的改革和投資,不再依靠傳統的基于邊界的防御來保護關鍵系統和數據。擬建立基于零信任架構的政府部門信息系統,用以維護基礎設施、網絡和數據的安全。最終達成的政府部門信息系統能達到以下愿景:
▼聯邦工作人員擁有企業管理的帳戶,允許他們訪問他們工作所需的一切,同時還能可靠地保護他們免受一般的和有針對性的、復雜的網絡釣魚攻擊。
▼聯邦工作人員用于工作的設備被持續跟蹤和監控,在授予內部資源訪問權時,這些設備的安全狀態被考慮在內。
▼各政府機構信息系統之間彼此隔離,并且各系統之間和系統內部的網絡流量都是可靠加密的。
▼企業應用程序可以在內部和外部進行測試,并且可以通過互聯網安全地提供給員工使用。
▼國家安全團隊和數據團隊共同開發數據類別和安全規則,以自動檢測并最終阻止對敏感信息的未經授權的訪問。
該備忘錄要求各機構在2024財年結束前實現特定的零信任安全目標。建立新的訪問控制基線:整合身份系統,防范釣魚攻擊實現持續保護及監控;利用數據的智能決策加強訪問控制方法。這些目標使用網絡安全和基礎設施安全局(CISA)開發的零信任成熟度模型進行組織。CISA的零信任模型描述了五個互補的工作領域/支柱:身份、設備、網絡、應用程序和工作負載、數據,以及三個跨越這些領域的主題:可見性和分析、自動化和編目、治理。這與零信任成熟度模型相呼應。
2.2 零信任推進策略與規范圖譜
美國已圍繞零信任架構技術推出多類項目、標準規范、技術指南等。圖1中總結分類了在各個零信任推進領域可參考或應符合的標準規范、技術指南等,在實施零信任過程中可進行參考。
2.3 零信任架構推進路線及具體要求
圍繞這五個領域,該備忘錄中提出了具體的推進路線及具體要求。提出的戰略目標與CISA的五大支柱相一致:
身份:機構員工使用企業管理的身份訪問他們在工作中使用的應用程序。防網絡釣魚MFA保護這些人員免受復雜的在線攻擊。
設備::聯邦政府對其操作和授權政府使用的每一個設備都有一個完整的清單,并且可以預防、檢測和應對這些設備上的事件。
網絡:代理機構加密其環境中的所有DNS請求和HTTP通信,并開始執行一項計劃,將它們的邊界分解為獨立的環境。
應用程序和工作負載:代理機構將所有應用程序視為聯網的,定期對其應用程序進行嚴格的實證測試,并歡迎外部漏洞報告。
數據:各機構在部署保護措施時采用了清晰、共享的方式,這些措施利用了徹底的數據分類。各機構正在利用云安全服務來監控對其敏感數據的訪問,并實現了企業范圍內的日志記錄和信息共享。
2.3.1 身份
身份是指唯一描述一個機構、用戶或實體的屬性或屬性集。零信任主體應確保和執行:正確的用戶和實體在正確的時間有權訪問正確的資源。身份要素主要關注用戶識別、身份驗證和訪問控制策略,這些策略使用動態和上下文數據(環境信息)分析、驗證用戶試圖連接到網絡的嘗試。推進路線和具體要求如下:
(1)建議使用集成進應用和公共平臺的集中式身份管理;支持異常行為分析和及時響應,允許留存用戶元數據,實施限制訪問等統一安全策略,考慮常用應用、機構間、外部云等的兼容性,提供腳本或命令行等非圖形界面,保障一致性和可審計。
(2)多因素鑒別(MFA),鼓勵與商用互聯網采用同樣的技術策略:
▼身份鑒別必須位于應用層,代替網絡層的鑒別;
▼內部工作人員必須強制使用防釣魚的MFA,如PIV卡,FIDO2,CAC,基于安全密鑰的網絡鑒別標準等;
▼面向公眾用戶時,將防釣魚的MFA作為可選項提供;
▼口令策略:不允許要求特殊字符,定期輪換等(盡快刪除),鼓勵非口令多因素,不鼓勵單因素的特權訪問管理作為日常使用。
(3)在授權方面,同時驗證身份和設備信息才能授權:
▼持續對所有訪問請求進行評估,若發現風險,及時響應,如采取重鑒別、限制訪問、拒絕訪問等措施;
▼推薦采用細粒度、動態的基于屬性的訪問控制(ABAC);
▼用于判斷權限的要素包括:用戶身份、資源屬性以及訪問時的環境等。
2.3.2 設備
設備是指能夠連接到網絡的任何硬件資產,包括物聯網設備、手機、筆記本電腦、服務器等。設備可以是零信任主體擁有的或自帶設備(BYOD)。零信任主體應對設備進行盤點,確保所有設備的安全,并防止未經授權的設備訪問資源。對用戶控制和自帶設備錄入系統,并進行驗證,以確定可接受的網絡安全狀態和可信度。具體要求如下:
(1)資產盤點:支持資產的動態發現和編目;云環境需進一步研發,會參考利用商業云。
(2)終端主動檢測,使用CISA列表中的EDR工具,終端信息需上報給CISA。
2.3.3 網絡
網絡是指用于傳輸信息的開放通信媒介,包括機構內部網絡、無線網絡和Internet。機構應該隔離和控制網絡,管理內部和外部的數據流。通過動態定義網絡訪問、部署微隔離技術、控制網絡流量等方法,在對端到端流量進行加密的同時,隔離敏感資源以防被未授權的人或設備訪問。推進路線及具體要求如下所示:
(1)網絡可視化及攻擊面監測
▼監測分析所有網絡流量日志,關注監測設備可能存在的漏洞;
▼不依賴靜態密鑰,采用最新的開放標準TLS1.3;
▼可視化及最小化授權原則(未解密流量也可進行可視分析等)。
(2)DNS加密
▼應支持操作系統級DNS加密/解析,以及應用級(瀏覽器)DNS加密/解析;
▼支持標準DNS加密協議,如DNS-over-HTTPS或DNS-over-TLS。
(3)加密所有HTTP流量
▼在瀏覽器的預裝配置中,將所有政府機構已知的“.gov”設置為“https-only”
(4)正在評估所有的可行的email加密方案
(5)企業級體系結構與隔離策略:防止橫向移動
▼加強身份治理、邏輯微隔離、基于網絡的隔離;
▼加緊制定隔離方案,方案應適合云的技術架構,集合云的優勢。
2.3.4 應用和工作負載
應用程序和工作負載包括系統、計算機程序和在內部以及在云環境中執行的服務。機構應保護和管理應用層和容器,并提供安全的應用程序交付。持續集成和持續部署模型將安全測試和驗證集成到流程的每個步驟中,有助于為已部署應用程序提供安全保證。
(1)應用安全測試:生成安全評估報告,進行充分的測試:脆弱掃描、代碼分析、其他特定應用的方法等(可參考相關NIST指南);
(2)第三方測試;
(3)支持公眾測試;
(4)安全連接互聯網:
▼不依賴VPN;
▼支持基礎設施監控,抗DoS攻擊,采用強制訪問控制策略,并集成身份管理系統。
(5)發現網絡可訪問的應用
▼確認攻擊面:內部記錄與外部掃描共同協作(可使用CISA提供網站掃描工具);
▼零信任主體治下的“.gov”大部分已被CISA監管,“非.gov”需要上報,融入監管;
(6)恒定的工作負載:
▼可參考云架構提供的接口,實現自動化部署與回滾;
▼支持應用部署自動化,便于集中管理;
▼采用現代軟件開發生命周期,促進基于恒定工作負載的可靠、可預測和可伸縮的應用程序的創建;
▼建議參考云安全技術參考體系結構。
2.3.5 數據
數據應該在設備、應用程序和網絡上得到保護。零信任主體應該對數據進行存儲、分類和打標,保護靜止和傳輸中的數據,并部署數據外泄檢測機制。隨著各機構轉向零信任架構,他們的心態必須轉向“以數據為中心”的網絡安全方法。機構應該先開始識別、分類和盤點數據資產。CISA建議各機構優先為其最關鍵的數據資產部署數據保護。
(1)制定零信任數據安全指南:不限于傳統意義的數據,指導數據分類,且需要面向特殊數據類別;
(2)數據編制、自動化與響應:
▼采用基于機器學習的啟發式方法對數據進行分類,在啟用自動化模式前,要對機器學習算法進行配置并通過人工審核;
▼實現早期預警及異常行為檢測,例如出現過多訪問或訪問之前沒訪問過的數據時判定為異常;
▼初級階段:手工初步分類或按模式分類。
(3)審計云中的敏感數據訪問:
▼支持云上數據的加解密;
▼支持云上密鑰管理,對云上訪問日志進行審計;
▼成熟階段:應結合各種數據綜合分析。
(4)及時響應和恢復:
▼應對云托管環境或機構運行環境中的日志進行保留和管理,支持安全運行中心(SOC)的集中訪問、可見以及數據共享,以加快響應和調查;
▼前期先建立完整性措施,包括限制訪問策略及日志的加密驗證(包括DNS日志)等。
03、零信任技術架構與數據安全
圖2 零信任體系結構
圖2(出自NIST《Implementing a Zero Trust Architecture》)展示了零信任體系架構,該架構所示的技術組件包括但不限于核心組件、功能組件、設備和網絡基礎設施組件等。
核心組件主要包括策略引擎、策略管理和策略執行點。策略引擎計算信任評分/置信度級別,并做出最終訪問決策,授予、拒絕或撤銷對特定主體的資源訪問。策略管理負責建立或廢止主體和資源之間的策略,它與策略引擎緊密關聯,并依賴于策略引擎決定最終允許或拒絕訪問請求。策略實施點負責啟用、監視和終止主體與企業資源之間的連接。
功能組件為策略引擎提供安全能力支撐,可以包括但不限于身份和訪問管理組件、終端安全組件、數據安全組件、安全分析組件等。身份和訪問管理(IAM)組件包括創建、存儲和管理用戶帳戶和身份記錄,及其對企業資源的訪問策略、技術和治理手段。終端安全組件保護終端(如服務器、桌面、移動電話、物聯網設備)免受威脅和攻擊,并保護企業免受托管和非托管設備的威脅。數據安全組件包括企業為保護其信息而開發的所有數據訪問策略和規則,以及保護靜止和傳輸中的數據的方法。安全分析組件包含IT企業的所有威脅情報摘要和流量/活動監視,收集有關企業資產當前狀態的安全和行為分析,并持續監控這些資產,以積極響應威脅或惡意活動,這些信息可以提供給策略引擎,以幫助制定動態訪問決策。這四項功能組件對應著零信任推進路線中的身份領域、設備領域、數據領域、網絡領域及應用和工作負載領域的具體實施技術模塊,同時也與零信任成熟度模型保持一致。這些組件共同協作,集成應用至零信任架構中,以實現零信任的原則與愿景。
設備和網絡基礎設施組件主要實現零信任推進路線中網絡領域的技術與能力要求,其中資產包括連接企業的設備/端點,如筆記本電腦、平板電腦、其他移動設備、物聯網設備和自帶設備。企業資源包括數據和計算資源,以及在本地、云、邊緣或這些組合中托管和管理的應用/服務。網絡基礎設施組件包含中型或大型機構通常可能在其環境中部署的網絡資源。零信任架構的核心組件和功能組件應通過設備和網絡基礎設施連接或集成到開放的網絡環境中。
從零信任技術架構出發,從中可以看出,其所關注的動態訪問決策與如今數據在使用、流動中的安全需求契合度較高,數據安全往往是一種動態的安全,其安全策略如果一成不變,那很難讓數據能夠真正發揮其價值。
04、總結
零信任安全針對傳統邊界安全架構思想進行了重新評估和審視,以“持續信任評估,動態訪問控制”為核心原則。當前,多種安全技術正逐步向零信任架構靠攏,例如基于“軟件定義邊界(SDP)”、“身份與訪問管理(IAM)”和“微隔離”等。SDP技術是用于實現用戶訪問服務器過程的訪問安全,保證“南北向”安全;微隔離技術解決服務器之間的權限漂移問題,保證“東西向”安全;IAM技術則將主客體身份進行統一集成管理,以身份深入標識全流量,并基于身份進行訪問行為的鏈條化整合,是實施零信任架構可視化分析、自動化編排和治理的基礎與手段。隨著布局零信任架構的企業、機構增多,將會有更多的技術方案在實踐中不斷協同推進,零信任解決方案將不斷完善,這就為網絡安全和數據安全的創新發展增添了更多的可能性。
