从不信任,始终验证(Never Trust, Always Verify)

零信任既不是技术也不是产品,而是一种安全理念和长期战略。零信任的思想是应对未来网络安全威胁的一种新的安全范式,其目的是减少网络安全风险。零信任基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。它是一个全面的模型,致力于构建一个以身份为中心的策略模型以实现动态的访问控制。

  1. 假设网络自始至终充满外部和内部威胁,不能仅凭网络位置来评估信任(假设已经被攻破)
  2. 默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础(持续验证,永不信任)
  3. 访问控制策略应该是动态的,基于设备和用户的多源环境数据计算得来(只授予必需的最小权限)

零信任不是没有信任,而是让信任边界最小化,减少网络攻击的爆炸边界。零信任是把安全风险最小化的一种安全范式。零信任不是安全的银弹。

2024.09 山西大同浑源·悬空寺

概述

定义

在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。

核心关键能力

  1. 基础身份安全能力
  2. 资源隐藏能力
  3. 访问代理能力
  4. 动态访问控制能力
  5. 持续终端安全能力
  6. 审计风控能力

实践技术

  1. 身份管理与访问控制
    1. IAM提供统一的身份管理、身份认证、动态访问控制、行为审计、风险识别等核心能力
  2. 软件定义边界
    1. SDP控制器
    2. SDP连接发起主机
    3. SDP连接接受主机
  3. 微隔离
    1. 逻辑上将数据中心划分为不同安全段,并独立定义访问控制策略
    2. 聚焦再东西向流量

基本原则

  1. 所有数据源和计算服务都被视为资源
  2. 无论网络位置如何,所有通信被保护
  3. 以单个会话为基础,许可对单个企业资源的访问
  4. 对资源的访问由动态策略决定,并可能包括其他行为属性
  5. 企业确保其掌握和关联的所有设备都处于尽可能最安全状态,并监控资产以确保他们保持在尽可能的最安全状态
  6. 在访问被许可前,动态、严格地执行所有的资源身份验证和授权
  7. 企业收集尽可能多关于网络基础设施当前状态的信息,并用于改善其安全态势

身份管理与访问控制(IAM)

零信任的本质是以身份为基石,坚持“最小授权”原则,通过在业务系统或者其他信息系统资源的访问过程中,持续进行信任评估和动态安全访问控制,最终在访问主体和访问客体之间建立一种动态的信任关系。

零信任安全架构下,被访问资源是作为核心来保护的,因此需要针对被保护的资源架构正交的控制平面和数据平面作为保护面。资源包括一切可被操作的实体。访问的身份主体包括人员、设备、应用、系统等,通过策略引擎进行动态访问控制评估,根据信任评估和鉴权结果决定是否对访问请求放行或执行附加校验。因此可见,细粒度的身份认证和授权控制是零信任落地的关键。

身份管理与访问控制的基本概念

IAM是一套全面的建立和维护数字身份,并提供有效、安全的IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。IAM是一套业务处理流程,也是一个用于创建和维护使用数字身份的支持基础结构。IAM是让合适的自然人在恰当的时间通过统一的方式访问授权信息资产,提供集中式的数字身份管理、认证、授权、审计的模式和平台。

核心功能

  1. 统一身份管理
  2. 统一身份认证
  3. 统一访问授权
  4. 统一行为审计
  5. 多因素认证(MFA)
  6. 动态访问控制
  7. 风险识别

产品体系分层

应用层
  1. 统一门户
  2. 移动认证APP
  3. 管理中心
  4. 应用网关
  5. 认证插件
服务层
  1. 统一账号
  2. 统一认证
  3. 应用与授权
  4. 单点登录
  5. 统一审计
功能层
  1. 组织用户管理、用户同步
  2. 认证策略
  3. 账号下发
  4. 设备认证
  5. 应用授权
数据层
  1. LDAP
  2. MySQL
  3. Redis
  4. MongoDB

产品形态

  1. Software-delivered IAM
  2. IDaaS 身份认证即服务
  3. CIAM 客户IAM

部署方式

  1. 现场私有化部署IAM
  2. 云端部署IAM
  3. 混合模式

身份管理

主体对象

  1. 企事业单位内部员工
  2. 商业合作伙伴
  3. 终端消费者
  4. 服务器和网络安全设备
  5. 物联网终端

身份管理实体内容

  1. 自然人用户
  2. 账户与凭证
  3. 组织信息
  4. 应用系统
  5. 终端设备
  6. 访问权限

客体对象

  1. 企事业单位私有化部署的应用系统
  2. 公有云上SaaS的服务资源和应用系统
  3. API
  4. 数据资源
  5. 线上网络设备

身份识别服务

  1. 有效账号
  2. 孤儿账号
  3. 重复账号
  4. 僵尸账号

身份全生命周期管理

  1. 创建账号
  2. 分配权限
  3. 属性变更
  4. 账户注销

特权账号管理

身份信息同步模式

身份认证

认证类型

  1. 基于信息秘密的认证
  2. 基于信任物体的身份认证
  3. 基于生物特征的身份认证

常见认证方式

  1. 账户密码
  2. 扫码
  3. 一键推送
  4. USB KEY
  5. 数字证书
  6. OTP
  7. 短信验证码
  8. 人脸识别
  9. 指纹识别

认证协议

  1. CAS协议
  2. SAML协议
  3. OAuth协议
  4. OpenID协议

访问控制

访问控制的核心是授权策略。

常用访问控制模型

  1. ACL 访问控制列表
  2. RBAC 基于角色的访问控制
  3. ABAC 基于属性的访问控制
  4. TBAC 基于任务的访问控制
  5. T-RBAC 基于任务和角色的访问控制

访问控制过程

  1. 策略管理
  2. 策略授权分发
  3. 请求访问
  4. 请求
  5. 响应
  6. 授权访问资源
  7. 访问资源

审计风控

审计维度

  1. 用户行为审计
  2. 访问环境审计
  3. 访问时间审计
  4. 威胁情报审计
  5. 设备访问审计
  6. 异常行为审计

UEBA

用户和实体行为分析(UEBA),提供画像及基于各种分析方法的异常检测,通常是基本分析方法和高级分析方法,用打包分析来评估用户和其他实体,发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。UEBA不跟踪安全事件或监视设备,它跟踪系统中的所有用户和实体,专注于内部威胁以及服务器、应用程序、系统中运行的设备。

新范式
  1. 行为分析导向
  2. 聚焦用户与实体
  3. 全时空分析
  4. 机器学习驱动
  5. 异常检测

实现方式

  1. 安全信息与事件管理系统SIEM
  2. 端点平台保护EPP
  3. 数据防泄漏DLP
  4. 恶意软件威胁检测工具端点检测与响应EDR

软件定义边界(SDP)

基本概念

SDP是以端点为中心的虚拟、深度细分的网络,覆盖一切现有物理和虚拟网络,其基于“谁可以和谁连接”的精细管理,并且默认立场是“如果未明确批准,那么没有流量传输”。

SDP的基本原则是ABCD

  1. 不假设任何事 Assume nothing
  2. 不相信任何人 Believe nobody
  3. 检查所有内容 Check everything
  4. 阻止威胁 Defeat threats

SDP设计原则

  1. 信息隐身
  2. 预认证
  3. 预授权
  4. 应用级的访问准入
  5. 扩展性

SDP的基本目标

  1. 部署动态的软件定义边界
  2. 隐藏网络和资源
  3. 防止非授权访问企业的服务
  4. 实时以身份为中心的访问策略模型

SDP的构成

  1. SDP连接发起主机 IH
  2. SDP控制器
  3. SDP连接接受主机 AH

SDP的实现方案

  1. 将建立信任的控制平面与传输实际数据的数据平面分离
  2. 使用Deny-ALL防火墙隐藏基础设施,丢弃所有未授权数据包并将它们用于记录和分析流量
  3. 在访问受保护的服务前,通过单包授权协议进行用户与设备的身份验证和授权,在该协议中内置最小授权的特性

SDP技术主要功能

  1. 对设备进行身份验证和授权
  2. 对用户进行身份验证和授权
  3. 确保双向加密连接
  4. 提供动态访问控制
  5. 控制用户与服务之间的连接并将其隐藏

SDP 工作流程

  1. 控制器加载流程
    1. 初始控制器引入服务并连接适当身份验证和授权服务
    2. 控制器时刻在线
  2. AH加载流程
    1. 作为独立网关或者服务器部署
    2. 接收SPA报文
    3. 处理授权IH访问
  3. IH加载流程
    1. 连接企业身份管理服务供应商
    2. 用户身份认证
  4. 访问流程
    1. 加入的IH连接控制器进行身份验证
    2. 控制器确认IH有权限
    3. 控制器指示AH可以接受来自IH的通信,发送用于建立双向加密通信所需信息
    4. 控制器向IH提供授权的AH和服务列表
    5. IH使用SPA协议发起和AH的连接,建立双向加密通道

单包授权SPA

  1. 强制实施先验证后连接
  2. SPA消息格式
  3. 实现原则
    1. 隐藏SDP系统组件
    2. 减轻对TLS的拒绝服务攻击
    3. 攻击检测

SDP技术架构部署模型

部署模式

  1. 客户端-服务器模式
  2. 服务器-服务器模式
  3. 客户端-服务器-客户端模式
  4. 客户端-网关-客户端模式
  5. 网关-网关模式

部署时需要考虑问题

  1. 如何适应现有网络技术
  2. 如何影响监控和日志系统
  3. 影响应用程序开发运维一体化流程和工具集及API集成
  4. 如何影响用户,尤其业务用户

微隔离(MSG)

SDP技术用于实现南北向安全、微隔离技术用于实现东西向安全,IAM技术用于主体对客体的访问关系授权。

微隔离,也称为微分段、软件定义分段、基于身份的分段、零信任分段、逻辑分段等。

微隔离是指通过将单个资源或资源组放置在由网关安全组件保护的自身网段上,基于工作负载身份,通过访问控制策略或加密规则,对位于本地或云端数据中心的工作负载、应用、程序进行细粒度隔离和精细化访问控制,从而实现缩减暴露面、阻止攻击横向侧移的安全目的。

基本概念

微隔离系统的组成

  1. 策略控制平台
    1. 可视化展现内部系统之间和业务应用之间的访问关系
    2. 能够按角色、业务功能等多维度标签对需要隔离的工作负载进行快速分组
    3. 能够灵活配置工作负载、业务应用之间的隔离策略
  2. 策略执行单元
    1. 执行流量数据检测和隔离策略的工作单元
    2. 可以是虚拟化设备,也可以是主机Agent
  3. 行为建议
    1. 欲建微隔离,先从获得网络可见性开始
    2. 谨防过度隔离,从关键应用开始
    3. 鞭策IaaS、防火墙、交换机厂商原生支持微隔离

微隔离的价值

  1. 面向业务而不是面向物理网络建立信任边界
  2. 信任边界随业务弹性伸缩,自动化适应业务变化而不是人工配置
  3. 信任策略的管理必须是集中管理

微隔离技术路线

早期路线
  1. 基于虚拟化宿主机的隔离
  2. 基于虚拟交换机的隔离
  3. 基于虚拟化防火墙的隔离
  4. 在虚拟化网络中使用VLAN进行隔离
  5. 基于跨平台的网络隔离
当前分类
  1. 云自身控制 安全组
  2. 第三方防火墙
  3. 代理overlay模式
  4. 混合Hybrid模式

部署实施过程

  1. 定义资产
    1. 从业务角度对资产进行梳理
    2. 资产信息从业务平台向微隔离平台的同步与更新
    3. 从安全角度对资产进行分组
  2. 梳理业务模型
    1. 在微隔离平台上按需对资产进行流量监控
    2. 定义要梳理业务模型的业务分组
    3. 对梳理出来的业务模型进行确认
  3. 实施保护
    1. 为资产配置明细的访问控制策略
    2. 建立业务安全组
    3. 为业务安全组配置明细的访问控制策略
  4. 细化安全策略
    1. 建立应用属性安全组
    2. 为属性安全组配置应用安全控制策略
  5. 持续监控
    1. 对攻击行为进行持续监控
    2. 对异常流量进行持续监控
    3. 对业务质量的变化进行持续监控

最佳实践

什么是零信任

通俗易懂的零信任