李江鑫 刘廷峰 张晓韬
摘 要:身份认证是企业信息化、数字化发展中的重要基础能力,而大、云、物、移、智、链等技术的发展引发企业变革,同时对传统身份认证提出新的挑战。对于企业而言,云端架构使得企业面临更大的风险,一旦储存的数据泄露或遭到攻击,将对企业造成难以估量的损失。该文结合传统身份认证技术的发展与企业面临的形势,尝试提出基于零信任身份认证在企业应用落地的一种思路与方法。
关键词:身份认证 零信任 安全 权限
中图分类号:TP393.08 文献标识码:A文章编号:1672-3791(2021)05(a)-0028-04
Abstract: Identity authentication is an important basic capability in the development of enterprise informatization and digitalization. The development of big data,cloud computing, internet of things,mobile internet,artificial intelligence, blockchain and other technologies has triggered enterprise reforms, and at the same time poses new challenges to traditional identity authentication. Especially for enterprises, more and more business applications begin to rely on the cloud to build, making the data resources stored on the cloud platform become increasingly large. Once the stored data is leaked or attacked, it will cause immeasurable losses to the enterprise. This paper combines the development of traditional identity authentication technology with the forms faced by enterprises, and tries to put forward an idea and method based on the application of zero-trust identity authentication in enterprises.
Key Words: Identity authentication; Zero trust; Security; Authority
随着大、云、物、移、智、链(大数据、云计算、物联网、移动互联网、人工智能、区块链)等技术的飞速发展,企业迎来了变革的新机遇,也面临着新的难题。对于企业而言,云端架构使得企业面临更大的风险,一旦储存的数据泄露或遭到攻击,将对企业造成难以估量的损失。据统计,80%的数据泄露都与账号密码被盗用有关,因此企业员工身份账号的安全已成为企业信息安全的第一道关口,而传统的身份认证体系已经难以满足日新月异的网络发展,更难以确保访问者身份的安全性,因此,构建新型身份安全理念,优化身份安全验证体系势在必行。在此种环境下,零信任概念应运而生,在零信任网络结构下,任何人、事、物想要进入访问网络,都需要经过全面严密的身份认证,构建网络安全的第一道屏障。
1 企业身份认证现状
1.1 传统身份认证技术
传统的身份认证方法可以分为3种:基于信息秘密的身份認证、基于信任物体的身份认证、基于生物特征的身份认证。为了提升身份认证安全性,通常会将上面的方法挑选2种或以上混合使用,即所谓的双因素或多因素认证。从企业全生命周期身份管理及访问控制过程来看,身份认证在国内企业的应用实际上涵盖了以下技术。
1.1.1 多因子认证技术
MFA(Muti-Factor Authentication)多因子认证技术是身份认证领域近年来最为有效、低建设成本的身份认证技术,它是对一系列验证技术的组合,并具备良好的扩展性。多因子身份认证一般综合运用了数字签名、设备指纹、时空码、人脸识别等多项身份认证技术[1],终端用户手持移动设备(如手机)即可完成安全便捷的身份认证,契合移动业务对安全、准确、灵活的用户身份认证的需求。
1.1.2 用户行为分析(UBA)
通过收集用户、设备等行为数据,分析获得用户和设备的行为特征,并判断当前认证是否满足已有特征,如不满足则叠加多种认证方式,因此也被称为自适应或基于风险的认证。UBA技术检查用户行为模式,并自动应用算法和分析以检测可能昭示潜在安全威胁的重要异常。UBA区别于专注跟踪设备或安全事件的其他安全技术,有时候也会与实体行为分析归到一类,被称为UEBA。
1.1.3 基于风险的身份验证(RBA)
在用户尝试身份验证时,根据用户情况动态调整验证要求的身份验证方法。比如:如果用户尝试从之前未关联过的地理位置或IP地址发起身份验证,可能就会面临额外的验证要求。
1.1.4 人工智能应用与身份认证
通过大数据分析和人工智能技术,对多因素进行人工智能行为分析,对用户行为进行建模和画像,以风控为主导的多因素、多维度的认证,生物特征将会被广泛应用,认证强度随着场景和环境而变化。
1.2 身份认证主流方案
1.2.1 IAM技术方案
IAM(Identity and Access Management),即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。IAM是国外主流的身份认证解决方案。
1.2.2 4A统一安全管理技术方案
4A包括认证(Authentication)、授权(Authorization)、账号(Account)、审计(Audit),中文名称为统一安全管理平台。其融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案要求的内控报表。4A技术方案是过去十多年国内企业实施身份认证的主流选择。
1.2.3 身份即服务(IDaaS)
基于云的IDaaS为位于企业内部及云端的系统提供身份及访问管理功能。IDaaS是随着与计算兴起的新兴身份认证方案,其不在局限于企业的内控,也弱化企业内部身份管理的强管控特性,根据业务需要,可能具备以下部分或者全部能力:(1)访问鉴定;(2)访问请求管理和工作流;(3)认证;(4)强制鉴权;(5)云目录服务;(6)移动支撑;(7)内部应用集成;(8)用户资料与密码管理;(9)报表与分析;(10)SaaS 应用集成;(11)社交身份集成。
2 零信任为身份认证指明方向
2.1 身份认证新的挑战
云计算、移动办公等技术的普及,使得企业网络结构变得复杂,5G、北斗、物联网技术的应用,使得业务接入场景异常丰富。企业防护边界日益模糊,要求所有实体访问资源均需要认证、授权,传统的网络安全模型基于边界防护的思想已无法适应当前的需求。
IT设施需要确保用户和设备可以安全连接到网络(无论他们从何处连接),并且无需面对与传统方法相关的复杂性。此外,企业需要主动识别、阻止和缓解目标威胁,例如:恶意软件、勒索软件、网络钓鱼、DNS数据泄露以及针对用户的高级零日攻击等。
传统的访问技术(比如VPN)依赖于过时的信任原则,导致用户凭据被盗,进而导致漏洞。企业需要重新考虑其访问模式和技术以确保业务安全,同时仍然为所有用户(包括第三方用户)提供快速、简单的访问。
传统企业IT基础架构十分复杂,而迅速、友好、安全的业务访问需求使得IT设施面临的安全威胁不断变化,使得企业即使耗费宝贵的资源对安全措施的调整及升级,也难以应对复杂且不断变化发展形势。
2.2 零信任模型的产生
随着云计算、移动办公等技术的普及,企业网络结构变得复杂,传统的网络安全模型,无法适应当前的需求。零信任网络是一种新的网络安全模型,不区分内外网,所有实体访问资源均需要认证、授权,更加适应于防护边界日益模糊的网络。
零信任安全(或零信任网络、零信任架构、零信任)最早是由约翰·金德维格在2010年提出的网络安全架构概念,核心思想是企业不应自动信任内部或外部的任何人、事、物,应在授权前对任何试图接入企业系统的人、事、物进行验证,其本质是以身份为中心的动态访问控制。
2.3 身份认证技术与零信任
我们认为,零信任不是某一项技术或者方案,而是一种安全管理思想。零信任是为解决传统基于边界的安全防护架构失效问题,构筑新的动态虚拟身份边界。通过身份、环境、动态权限等多个层面,缓解身份滥用、高风险终端、非授权访问、越权访问、数据非法流出等安全风险,建立了端到端的动态访问控制机制,极大收缩攻击面,为各行业的新一代网络和信息安全建设提供理论和实践支撑。
零信任与传统身份认证技术:不是取代或者替换传统的身份认证技术,零信任模型中身份成为中心,传统的多种身份认证技术将结合新技术一起被部署在企业网络当中[2]。在零信任模型中,并不限制使用任何单一的身份验证技术。
3 零信任身份认证在企业落地
零信任安全不是一朝一夕之功,不能急于實现而“病急乱投医”,要评估公司现有能力,采用相应方案。据分析,目前公司已经实现了零信任的很多方面,如4A平台的IAM、MFA多因子认证、授权管理、业务审计;信息安全运行监测预警系统、IT运营、CMDB、IP发现、终端安全系统、DLP、统一密码服务平台等,网络环境也实现了各网络区的分离。
建立零信任安全不仅仅是这些单个技术,而是应用这些技术来施行“无法证明可信任,即无法获得权限”的理念。零信任安全顶层设计包括安全管控区、实时检测区、安全防护区、分析平台区、访问控制区,按区聚合现有能力快速落地零信任安全防护架构。后续不断完善架构,提升各区能力和协同能力,针对性地补齐能力缺口,持续地进行运营管理,共筑零信任安全防护。
3.1 企业实施零信任身份认证的四个阶段
3.1.1 识别IT能力
据分析,目前企业经实现了零信任的很多方面,如4A平台的IAM、MFA多因子认证、授权管理、业务审计;信息安全运行监测预警系统、IT运营、CMDB、IP发现、终端安全系统、DLP、统一密码服务平台等,网络环境也实现了各网络区的分离。
3.1.2 识别数字资产
现在,大多数企业都尚未开始实施基于零信任身份认证,通常都会停留在以下阶段:(1)具有静态规则和一些本地身份的SSO;(2)采用有限的技术实现设备合规性、云环境和登录信息的验证;(3)相对薄弱的网络基础设施导致身份安全风险加剧。
3.1.3 快速发展阶段
在这个阶段,组织已经开始了他们的零信任之旅,并在一些关键领域取得了进展,混合身份和经过优化的访问策略限制了对数据、应用程序和网络的访问。设备已注册并符合IT安全策略,网络正在被分割,云威胁保护已经到位。
3.1.4 最佳阶段
处于最佳阶段的组织已经在安全性方面做出了很大的改进,具有实时分析功能的云身份可以动态地限制对应用程序、工作负载、网络和数据的访问。数据访问决策由云安全策略引擎管理,共享通過加密和跟踪得到保护。信任已经从网络中完全移除,微云周边、微分割、加密都到位,实现了自动威胁检测和响应。
3.2 最小权限动态访问控制是零信任的本质
在企业信息化、数字化转型进程中,理解“最小化权限”[3]应用访问模式对企业数字资产安全管理至关重要。从传统的RBAC、ABAC、ACL等模式更进一步,零信任数字身份技术的落地遵循“先认证设备和用户,后访问业务”的安全逻辑,旨在打造适用于云计算、大数据、移动计算等新场景,为用户访问应用、应用和服务之间的API调用等各场景提供纵深动态可信访问控制,方案包括四大关键特性:以身份为中心、业务安全访问、持续信任评估、动态访问控制(见图1)。
3.2.1 以身份为中心
以身份为中心而非以网络为中心构建访问控制体系,需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行组合构建访问主体,并为访问主体设定其所需的最小权限。
3.2.2 业务安全访问
所有业务默认隐藏,根据授权结果进行最小限度的开放;所有的业务访问请求都应该进行全流量加密和强制授权。
3.2.3 持续信任评估
信任评估是零信任架构从零开始构建信任的核心实践,通过信任评估引擎,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整[4]。
3.2.4 动态访问控制
动态访问控制是零信任架构实现安全闭环的核心实践。通过RBAC和ABAC的组合授权实现灵活地访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预[5]。
3.3 零信任身份认证场景化落地
任何企业要实现最优的零信任身份认证的落地都需要经历一个较长的建设周期,但是企业完全可以基于已有的IT软硬件基础设施,针对核心数字资产实现风险度量化场景的零信任身份认证落地[6],这能大大降低实践的难度,加速零信任安全的落地(见图2)。
3.3.1 风险评估基本计算公式
Score=动态风险值+基础评分
动态风险值=w×s
式中w为权值,s为风险分值。
3.3.2 基本算法
(1)权值初始化。
均值初始化:w = 1/N
式中N为风险总数。
(2)权值更新。
①新增风险后,更新权值;
②因风险导致安全事件等,根据策略更新各风险权值;
③无效风险剔除后更新风险权值。
(3)Score分值输出。
根据更新后的权值重新计算并输出当前用户风险评分。
4 结语
零信任架构是一种全新的安全架构理念,在新IT技术应用逐渐深化的情形下,零信任作为一种网络安全架构或者安全理念,通过对非常基础但是非常有效的安全原则的强制性落地实施,将各种安全产品、安全模块整合起来,形成一个紧密耦合的安全体系,协助用户构建安全的基础设施,保障应用和数据的安全,有效缓解组织外部攻击和内部威胁。
参考文献
[1] 丁兴.基于多因子行为的身份鉴别方案与应用研究[D].贵州大学,2020.
[2] 左英男.零信任架构:网络安全新范式[J].金融电子化,2018(11):50-51.
[3] 严彬元.基于RBAC权限模型搭建的高效智能权限管理系统[J].电子世界,2017(5):168-169.
[4] 孙瑞.基于行为建模的智能终端用户身份识别的关键技术研究与实现[D].南京邮电大学,2020.
[5] 蔡冉,张晓兵.零信任身份安全解决方案[J].信息技术与标准化,2019(9):46-49.
[6] 吕虹.信息安全风险评估关键技术研究与实现[J].通讯世界,2019,26(3):226-227.