零信任安全架构1-零信任理念、特点及架构

产生背景
传统边界安全理念及其不足

对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。
边界内:安全区域内的用户默认都是可信的(安全的)对边界内用户的操作不再做过多的行为监测,(存在过度信任的问题)
边界外:在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制.
不足:由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的,因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面。对边界内用户存在过度信任问题。

新技术发展对安全产生了新的要求和挑战
1、云计算、物联网以及移动办公等新技术新应用的兴起,给传统边界安全理念带来了新的挑战,比如云计算技术的普及带来了物理安全边界模糊的挑战,远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险;各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险。这些都对传统的边界安全理念和防护手段,如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战

零信任理念

零信任代表了新一代的网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。
零信任理念要点:
1)所有访问主体都需要经过身份认证和授权。
2)访问主体对资源的访问权限是动态的(不是静止不变的)分配访问权限时应遵循最小权限原则
4)身份认证不仅仅针对用户,还将对终端设备、应用软件、链路等多种身份进行多维度、关联性的识别和认证,
5)在访问过程中可以根据需要多次发起身份认证。
6)授权决策不仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。

零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定

零信任标准的发展

1、2014年,国际云安全联盟CSA的SDP工作组发布了《SDP Specification 1.0》。
2、2019年7月,腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构,发起CCSA《零信任安全技术参考框架》行业标准立项,率先推进国内的零信任标准研制工作。
3、2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上,由腾讯、CNCERT、中国移动设计院主导的“服务访问过程持续保护参考框架”国际标准成功立项。
4、2019年9月,美国国家标准技术研究所(NIST)发布了《零信任架构》草案(《NIST.SP.800-207-draft-Zero Trust Architecture》);2020年2月,NIST对《零信任架构》的草案进行了修订;8月11日,标准正式发布。
5、2020年,奇安信公司牵头在全国信息安全技术标准化委员(TC260)申请的《信息安全技术 零信任参考
体系架构》标准在WG4工作组立项。

传统边界安全理念和零信任理念对比

传统边界理念
边界安全理念在早期网络环境中是有效的,因为当时的网络规模不大,业务也不复杂,通过边界隔离可以很好的阻断蠕虫类攻击传播和一些未授权的访问,总的来说具有以下优点
优点
1、简单可靠:通过明确的边界和策略,保护目标资源。
2、阻断掉过彻底:可以基于网络层彻底阻断请求数据进入区域内
3、业务入侵低:业务不用做过多改造,边界隔离系统和检测系统可以透明部署

缺点
1、同域横向攻击难以防护:安全设备通常无法覆盖到同域环境内的系统,也自然无法进行防护
2、合法权限的复用难以防护:攻击者通常可以复用合法权限(如口令、访问票据等),边界安全理念系统难以区分是正常访问,还是攻击数据
3、安全检测盲点:边界防护通常不介入到业务中,难以还原所有的轨迹,不能有效关联分析,存在监测盲点
4、边界容易绕过:难以抵御高级威胁攻击,防护机制容易被绕过
5、对云计算等新技术新应用的适应性不强

零信任理念
零信任安全架构提供了增强安全机制,在新的架构模型下,可以区分恶意和非恶意的请求,明确人、终端、资源三者关系是否可信,并进行“持续校验”(NeverTrust,Always Verify),优点如下:
优点
1、安全可信度更高:信任链条环环相扣,如果状态发生改变,会更容易被发现
2、动态防护能力更强:持续校验,更加安全。
3、支持全链路加密,分析能力增强、访问集中管控、资产管理方便等

缺点
1、单点风险:零信任是强管控架构,对资源的控制都集中在网关上,因此一旦单点故障会导致整个业务中断
2、权限集中风险:零信任架构将很多风险收敛集中起来,降低了管理成本但集中化管理如果失控也会带更大风险
3、复杂化:零信任架构覆盖面很广,架构涉组件多,更加复杂,增加了故障判断和修复成本
4、投入风险:零信任架构建设周期比一般架构体系要更长,如果不能持续投入容易功亏一篑

总结
比如传统安全模型结构简单,零信任架构复杂,可是安全防护能力更强,对比如下表

零信任与传统安全产品/设备的关系

零信任是一种安全理念,本质上和传统安全产品/设备并不是同一个维度的概念,但是零信任架构落地的时候,会和传统安全产品/设备产生协作,甚至可能会替代某些传统安全产品/设备

和防火墙的关系

协作补充关系:防火墙提供了划分网络边界、隔离阻断边界之间的流量的一种方式,通过防火墙可以提供简单、快速有效的隔离能力。防火墙和零信任在实践中可以互相补充,常见的场景是在实施了零信任的环境中,通过防火墙限制除了零信任网关端口外的一切访问,最小化非信任网络到信任网络的权限,将攻击面降到最低。

与IAM的关系

协作支撑关系:零信任强调基于身份的信任链条,传统IAM系统可以为零信任提供身份(账号)唯一标识,身份属性,身份全生命周期管理等支持。

与SOC/SIEM/Snort等产品的关系

协作支撑关系:零信任重要理念之一是持续安全校验。校验对象包含了用户、环境、资源、行为是否可信。一些深层次的安全分析往往需要大量数据支撑和较多资源的投入,集中在零信任的策略引擎中会带来引擎负载过大、影响引擎稳定性等风险。因此零信任可以依赖 SOC/SIEM/Snort等产品来实现更深入的风险分析等。
1、SOC/SIEM/Snort等产品的分析检测结果可以输出给零信任,协助零信任做风险评估和判断
2、零信任可以将用户行为数据传给SOC/SIEM/Snort等产品,这些产品根据数据进行分析

与OTP(一次一密)的关系

协作支撑关系:一次一密(OTP)结合PIN码或其他鉴权因子可以实现更加可信的身份鉴别,提高零信任系统中用户可信这一层面的安全性。

与虚拟专用网络(VPN)关系

虽然零信任和VPN是不同维度的概念,但在安全接入和数据加密通信等方面有相似性。Gartner预测到2023年将有60%的VPN被零信任取代。下表是零信任和VPN的比较。

零信任参考架构

什么样的架构来落地零信任理念,目前尚没有统一的定义,但业界已有多个组织正在为给出零信任架构设计和定义而努力。目前业界比较熟知的架构有SDP软件定义网络和NIST提出的零信任体系架构。企业可以通过多种架构方式引入零信任理念,不同的应用场景可以使用不同的架构,每种架构的侧重点有所不同。企业可以根据自身需求,使用一种或多种架构作为落地零信任理念的主要驱动元素。

SDP架构

SDP软件定义边界是国际云安全联盟(CSA)于2013年提出的新一代网络安全架构,CSA《SDP标准规范1.0》给出的SDP的定义是:“SDP旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来,SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件并仅在设备验证和身份验证后才允许访问企业应用基础架构。”–“应用程序/应用/服务”在本文语境下均指资源

架构图如下:

SDP架构主要包括三大组件:SDP控制器(SDP Controler)、SDP连接发起主机(IH,Initial host)、SDP连接接受主机(AH,Accept host)。
SDP控制器根据安全、及权限数据动态控制 AH 和 IH 的连接情况。该结构使控制层与数据层保持分离,保证更好的可扩展的性。也可以通过组件冗余,用于扩容或提高稳定运行时间

NIST架构
架构及核心组件图如下:

用户访问企业资源时,需要通过策略决策点(PDP)和相应的策略执行点(PEP)授予访问权限。
NIST给出的架构图更接近ISO国际标准中经典的访问管理(Access management-AM)架构,将访问控制分为PDP和PEP。PEP定义决策(如定义规则 角色A只能访问指定系统A),PEP执行决策,如通过PDP定义的规则判断某一次访问是否合法。

通用参考架构

对比看SDP的架构和NIST提出的架构,可以发现,SDP的控制器功能上类似于NIST的PDP,SDP的AH功能上类似于NIST的PEP。综合SDP、NIST的架构图,以及实践经验,我们认为目前业界对零信任架构的理解正在趋于一致,总结的通用零信任架构如下:

零信任安全控制中心组件作为SDP的Controller和NIST的PDP的抽象,零信任安全代理组件作为SDP的AH和NIST的PEP的抽象。
零信任安全控制中心核心是实现对访问请求的授权决策,以及为决策而开展的身份认证(或中继到已有认证服务)、安全监测、信任评估、策略管理、设备安全管理等功能;
零信任安全代理的核心是实现对访问控制决策的执行,以及对访问主体的安全信息采集,对访问请求的转发、拦截等功能。

微隔离架构

微隔离本质上是一种网络安全隔离技术,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载(根据抽象度的不同,工作负载分为物理机、虚拟机、容器等)级别,然后为每个独立的安全段定义访问控制策略。
微隔离提出以来主要聚焦在东西向流量的隔离上,一是有别于传统物理防火墙的隔离作用,二是更贴近云计算环境中的真实需求。
微隔离将网络边界安全理念发挥到极致,将网络边界分割到尽可能的小,能很好的缓解传统边界安全理念下边界内过度信任带来的安全风险。

从架构上看,微隔离管理中心可以扩展为零信任安全控制中心组件,微隔离组件可以扩展为零信任安全代理组件。
微隔离本身也在发展过程中,目前业界有很多厂商正在基于微隔离的技术思路来实现零信任理念的落地,并开发出了相关的零信任安全解决方案和产品。因此,从架构上看,微隔离具备扩展为零信任架构的条件,并适应一定的应用场景,其自动化、可视化、自适应等特点也能为零信任理念发展带来一些好的思路。

————————————————
版权声明:本文为CSDN博主「catch that elf」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zhangxm_qz/article/details/113503046