蔺旭冉,毛天宇
(中核核信信息技术(北京)有限公司,北京 100048)
随着移动互联、云计算、大数据和人工智能等新兴信息技术的快速发展和应用,各级企业网络基础设施规模和复杂程度大幅提高,灵活动态和更大范围的业务数据访问需求持续增加,网络边界不断模糊。原有通过防火墙、VPN、IDS等设备进行防护、基于边界实现内外网隔离的传统静态安全架构局限性日益凸显,越来越难以满足业务动态发展的安全需求和合规性监管要求,企业网络安全防护和管控能力建设面临新的挑战。
业务需求和新技术应用驱动安全架构发展,零信任(Zero Trust,ZT)技术应运而生。零信任对传统边界安全架构思想进行重新评估和审视,其核心思想是在默认情况下不应信任网络内部或外部的任何人/设备/系统,基于认证和授权重构访问控制的信任基础。2010年,约翰·金德维格(John Kindervag)正式提出零信任的核心概念:
1)资源的安全访问与位置无关。
2)遵循最小权限原则并强制实施访问控制。
3)检核记录所有流量。
在此基础上,Google和微软分别于2017年和2018年进一步研究并建立了零信任体系和模型。其中Google Beyond Corp项目历时六年多时间,摈弃特权网络概念重构了网络安全架构,逐步建立了所有访问授权与位置无关,均依赖用户和设备凭证,并能够针对不同资源进行细粒度访问控制的零信任安全体系。
零信任是一组架构理念和原则,没有明确对应专有技术产品,需要紧密融合企业自身业务安全需求,结合网络现状进行全面规划设计和分步改造迁移。尽管已经过多年的研究实践,也不乏成功案例支撑,但零信任架构实际建设和落地场景仍在少数,尤其是国内大部分企业仍以传统的边界防护架构为主。随着当前内外部网络安全威胁持续加剧,一方面企业对大范围移动互联和大数据中心等新业务场景的安全需求快速增加;另一方面包括身份认证和安全检测等企业自身安全防护体系建设已相对完善,基础能力逐步具备条件;同时,相关安全解决方案和实践经验不断增加,零信任的整体实施推广和应用的技术基础也逐渐具备起来。因此,本文对零信任架构进行了基础技术研究分析和应用实践探讨,为各企业进一步熟悉了解零信任,加快开展实践和落地工作提供帮助。
零信任提供了一组概念和设计思想,旨在减少在信息系统和服务中实施快速、准确访问决策的不确定性,其理念构成的基本原则如下:
1)所有数据源和计算服务都被视为资源。包括企业终端、网络、存储、服务器等在内的所有处理、传输和存储数据的设备及相关功能部件都应纳入资源管理。
2)无论网络位置如何,所有通信都应该是安全的。信任与位置无关,所有访问请求都必须满足相同的安全策略,都应以最安全的方式进行。
3)对单个企业资源的访问是在每个会话的基础上授予的。
4)对资源的访问由动态策略决定,包括客户端标识、应用程序和请求资产的可见状态,以及其他行为属性。
5)企业确保所拥有的资产和相关的设备均处于最安全的状态,并持续监控以确保处于最安全状态。可建立一个持续诊断和监控软硬件资产设备安全状态的技术平台,并根据需要应用补丁/修复程序。
6)所有资源的身份验证和授权都是动态的,并且在允许访问之前必须严格执行。应实现验证授权前置,在整个用户交互过程中不断重新进行身份验证和授权的动态监控。
7)企业尽可能多地收集网络基础设施和通信系统当前的状态信息,以提升其网络安全状况。
零信任架构(ZTA)是利用零信任概念建立的网络安全计划,包含组件关系、工作流程规划和访问策略等内容。技术本质是构建以身份为基石的业务动态可信访问控制机制,其访问主体包括所有人员用户、设备和应用程序(见图1)。
图1 零信任架构Fig.1 Zero trust architecture
零信任架构的核心逻辑组件负责实现安全策略管理、动态信任评估和最终访问授权控制,一般包括策略引擎、策略管理器和策略执行点:
1)策略引擎(PE):通过获取多方数据来最终决定是否允许指定的主体可以对资源进行访问。数据源通过持续诊断和缓解系统、威胁情报系统、数据访问策略、PKI系统、用户身份管理系统和日志收集系统等辅助系统提供,结合策略引擎的信任算法计算信任评分,实现数据资源的最终授权或拒绝访问。其中针对用户行为的信任评估需要应用机器学习算法,实现动态和自动化的准确计算。
2)策略管理器(PA):建立或关闭主体与资源之间的连接,生成终端用来访问资源的任何身份验证,令牌或凭据。策略管理器与策略引擎紧密相关,依赖于策略引擎决定最终允许还是拒绝连接。
3)策略执行点(PEP):启用、监视并最终执行主体与企业资源之间的连接控制。可以分为终端侧和资源侧两个不同的代理组件,通过可信代理网关组件实现接入访问控制。
基于网络默认不可信的基本理念,零信任架构通过对所有访问主体进行强认证来建立信任关系,包括用户应用身份认证授权和设备的接入认证,依托核心逻辑组件针对每一个主体访问的每一个客体,建立一对一封闭的安全隧道,实现端对端的网络访问流量均经过认证、授权和加密,建立动态可信的安全访问平台。
零信任架构真正落地需要通过相关安全组件和平台工具实现核心技术支持,主要包括软件定义边界(SDP)、身份权限管理(IAM)和微隔离(MSG)。
(1)SDP
SDP允许应用程序所有者能够在需要时部署安全边界,以“应用访问安全”为基本原则,实现单次动态的最小访问权限生成。为保障应用侧的访问安全,零信任SDP要求用户通过统一入口来访问应用,通过SPA协议强制执行“连接前授权和验证”,实现设备或用户的身份在网络访问PEP之前前置验证,最大限度减小非授权网络攻击。
(2)IAM
身份管理技术在企业现有安全架构广泛应用,为所有用户,应用程序和数据启用并保护数字身份。通过定义客体对哪些主体具有哪种访问权限来管理访问权限控制,是零信任安全架构的核心基础。
当需要进行资源的访问权限时,零信任架构以身份为中心,按需配置任意粒度的权限和身份载体,不必再共享访问密钥,从而做到对接入客体的全方位统一管控,构筑端到端的逻辑身份边界。
(3)MSG
微隔离技术通过数据中心和云平台部署中创建安全区域,可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,定义安全控制并为每个唯一段提供服务。
传统的边界防护架构假定内部网络在一定程度上可信,通过识别和控制用户身份、IP地址或物理位置等相对单一因素,配置静态安全策略防护目标资源。零信任架构假定整个网络不可信,通过综合评估用户、设备和应用信任等级,结合静态策略动态评估细粒度的控制数据资源访问,提升整体安全防护能力。
以边界防护架构典型的VPN接入方式为例,综合零信任架构和核心技术优势,技术分析情况如表1所示:
表1 VPN接入方式技术分析Table 1 The technological analysis of VPN
边界防护架构对于网络访问行为的认证授权和加密防护能力仅能到达边界设备,缺乏全局性防护和安全策略的强制动态执行。零信任架构把安全防护能力贯彻到整个网络内,满足大范围、复杂和敏感的业务应用安全访问需求,把安全控制提升到了更高的水平。
随着企业数字化转型的推进,数据已经成为企业最为核心的资产。为了支撑日益复杂的大数据业务需求,将多机构、多业务、多平台的数据汇聚融合统一管理和共享的企业大数据中心成为零信任架构的主要应用场景,以打破业务线和地域之间的网络隔离,实现业务数据的安全可信、高质量、低成本的接入和使用。
基于云计算与大数据技术的大数据中心已广泛建设和应用,作为大部分企业数字化转型的基础支撑平台,尤其是大规模集团性企业或提供技术资源服务型平台,访问请求可能由内外部各级人员的各类终端设备随时随地发起,面临更复杂的安全风险和管控需求。
(1)数据的大规模汇聚和集中带来安全风险的集中,外部网络安全攻击力度和频度可能大幅提升,由于业务访问权限复杂多变也可能导致内部非授权数据被泄露甚至窃取的风险增大,需要将用户、设备和应用程序等主体进行多维度和精细化识别认证,确保每一项接入访问行为安全可信。
(2)现有传统的网络接入和边界防御存在单一防护点安全防护强度不足的问题,面对大数据共享和大量灵活的用户接入的需求,例如VPN网关和网闸摆渡等方式,容易被高风险漏洞利用等方式攻破导致系统设备被大范围攻破和数据泄露。需要对访问控制层面进行整合强化,将安全防护能力贯彻到整个网络内,降低网络边界设备或关键节点的安全防护压力。
(3)移动访问大量增加和访问设备方式的灵活多变将带来多种新的威胁和风险,静态访问控制和授权模式将难以满足实时的访问权限最小化原则。需要建立综合安全威胁监测、户行为分析和设备安全状态等信息的动态评估和授权机制,在不影响业务效率的前提下,确保资源访问权限安全可控,应对大数据的动态流动风险。
根据应用场景的安全风险和需求分析,可基于零信任理念设计终端到服务端交互的整体安全框架,以身份为中心建立持续信任评估和动态访问控制核心能力,有效抵御内外部安全威胁(见图2)。
图2 安全架构设计Fig.2 Security architecture and design
在该场景下应首先确保所有访问主体的终端设备安全可信。所有终端设备用户发起的访问请求都由可信代理网关接管,通过可信访问控制平台联动信任分析评估系统对用户身份进行强认证和细粒度授权。信任分析评估系统通过收集环境感知、可信访问代理、身份管理等系统传递的安全日志或流量信息结合静态访问控制列表进行动态评判,实现对所有访问行为的认证、加密和授权。
(1)全面识别所有访问设备,实现安全受控和动态评估
所有设备均需被识别和跟踪,包括移动设备、虚拟机和容器等,可通过建立设备数据库或利用已有的配置管理库(CMDB)对设备详细信息和生命周期内变更进行记录和监控,并对受控设备配发唯一标识。设备的标识和认证可通过X.509证书结合TPM绑定和存储实现。同时可在各类终端设备中部署可信环境感知Agent,持续采集终端环境安全状态,作为可信评估的重要输入实时传递至可信环境感知系统。
(2)实现用户安全身份认证和权限管理
可首先利用已有4A、IAM、AD/LDAP、PKI等身份及权限管理基础平台进行应用程序/用户身份权限的全生命周期管理,联动信任分析评估系统和访问控制平台实现对用户身份评估认证和授权。后续再根据业务需求进行身份管理机制的优化整合,打造集中化的身份管理平台,对人员、设备和应用程序提供多维度综合管控,实现身份归一化管理。
(3)前置可信访问代理,构建动态可信的访问控制机制
开放式前置部署可信访问代理,允许所有来自互联网的设备和用户访问。可信访问代理基于每一项应用进行安全访问配置,实现访问流量数据的加密处理,可以综合单点登录、复杂均衡和行为审计等通用特性。可信访问代理自身无法对安全策略和权限进行管理,与控制平台分离,仅作为策略执行点建立安全通道,并通过SDP技术实现前置验证,进一步降低自身安全风险。
结合业务应用架构和安全防护等级,也可以构建应用及数据接口的安全访问控制点,使用API可信代理对应用前置与接口数据之间的API调用进行安全接入认证和强制访问控制,进一步提升整体安全防护能力。
(4)构建持续的风险感知和信任评估能力
以可信访问控制平台联动信任分析评估系统为核心实现动态、集中和自动化的访问控制管理能力,建立访问控制策略、应用接口服务和用户认证授权的统一和集中管理,关联环境风险和访问行为汇聚分析,具备全面审计功能。
信任分析评估系统可同时使用静态规则,并收集主体、客体和环境分风险感知信息,接收其他组建平台日志,利用数据分析和机器学习算法,构建信任评估模型,进行用户行为进行综合风险关联判定,为动态访问控制提供信任等级评估。环境感知系统可以整合或利用已有终端、网络和应用安全防护产品功能组件,如防病毒、主机防护、网络准入、威胁情报等,对设备运行和网络环境进行验证评估。
大数据中心应用场景的零信任架构实现需要全面评估信息系统现状,充分利用原有技术防护措施,权衡选择安全组件和实施策略,分区域分阶段逐步实现新框架落地和业务迁移。
零信任概念和框架从提出到落地已近10年,实践经验相对丰富已进入快速落地的阶段,但由于其架构庞大且复杂,实施落地仍然非常困难,需要长建设周期和高成本投入。因此,企业应按照规划先行、新建业务优先的基本思路,结合自身业务现状,分阶段分步稳定推进,逐步完成改造迁移。根据企业大数据中心业务场景实现的初步探讨,参考业界最佳实践,思考和提出以下实施路径建议。
(1)选择业务切入点
考虑选择集中化的远程办公作为快速切入点。针对远程办公、远程开发、远程测试、远程业务开展等快速增长的业务需求,目前以VPN为主的安全架构难以满足大规模全方面业务访问的安全需求,可通过零信任体系实现访问主体信任等级的持续评估和动态调整,带动整体安全架构落地。
(2)界定保护范围,梳理核心资产
开展数据分类分级梳理的基础上,首要明确核心业务系统并梳理核信资产,将所有接入网络设备均纳入资产管理,全面梳理主体到客体的访问路径、暴露面和保护面。
(3)深度介入业务流转,梳理相关各访问路径的主体身份和权限
针对各种访问路径,枚举分析网络流量,梳理通过此访问路径对业务和数据发起访问的主体是什么,明确哪些人、设备、应用可能访问此业务和数据,并进一步明确应该赋予的访问权限。
(4)评估环境风险并制定安全策略,逐步搭建零信任环境
先以终端环境风险评估作为基础访问控制依据,针对用户访问大数据中心的应用、外部应用或应用前置访问大数据中心的服务API接口、外部数据平台通过API接口和大数据中心进行数据交换等场景设计访问控制点。通过可信代理结合访问控制中心,分段建立用户动态多因素身份认证和接入设备安全状态评估能力。同时,可针对数据安全泄露风险应部署联动的安全审计和防泄漏工具,建立追踪溯源能力。
(5)建立持续完善和维护机制
基于零信任技术环境相关逻辑组件和平台工具,实时采集包括安全日志、用户行为、资产信息等各种动态数据,进行纵深安全分析,不断调整信任状况,尽可能实现自动化管控,执行持续防御和动态访问控制,保障安全体系有效运行并不断完善安全防护体系。
零信任技术正在快速推动网络安全技术的发展和变革,能够真正实现安全和业务的聚合并形成内生安全。核电行业网络信息系统规模大结构复杂,结合云平台、大数据应用及物联网等新技术的快速推广和应用,可以通过零信任架构的落地实施改进和完善安全防控体系,满足集中化和高度敏感数据资源的安全可控访问需求,全面提升网络安全防护水平。
本文研究分析了零信任体系架构和核心技术,对大数据中心的典型应用场景进行了初步探讨并提出实施路径建议,可为核行业企业后续加快启动和落地零信任工作技术提供参考和支撑。