导语:
当前,传统边界防护在应对新技术新业务场景时面临安全困局,为了有效应对新业务模式下的网络安全挑战,零信任应势而生。本文立足企业安全运营视角,重点阐述了基于SDP的零信任架构实现机制与关键技术应用,并分享了远程办公、移动作业及云资源访问等零信任场景的应用。
一、传统安全防护的困局
过去,以分区分域、边界防护为原则的护城河式安全建设框架在一定程度上满足了网络安全的要求。但随着云计算、5G、边缘计算等新技术的普及,业务多样化、应用对外开放及商业生态协作等趋势的发展,远程/移动办公成为常态,网络“边界”逐步模糊化带来的新风险,更高级的内外部威胁的出现,也都进一步暴露了传统边界安全、静态访问控制的短板。
图1 传统边界防护面临的困局
传统边界防护思路,对于不同安全等级资源的保护,基本是采用分区分域,在不同域之间形成网络边界,在网络边界部署防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全防护体系,这种传统方式可称为边界安全理念。
在边界安全理念中,网络位置决定了信任程度。在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制。安全区域内的用户默认都是安全可信的,在进行业务操作时不再做过多的行为监测与操作审计,因此存在过度信任(认为是安全的,给予的权限过大)的问题。
同时,由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的安全数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的。因此,内部威胁检测和防护能力不足、安全分析覆盖度不全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网(互联网),这种风险就更为明显。
另外,随着云计算、物联网以及移动办公等新技术新应用的兴起,企业数字化转型使业务架构和网络环境也随之发生了重大的变化,这给传统边界安全理念带来了新的挑战。
比如业务的上云普及使物理安全边界逐步模糊化,疫情使远程办公、多方协同办公等成为常态,这些都使业务访问需求复杂性变高和内部资源暴露面扩大;各种设备(BYOD设备、智能终端等)、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险;高级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来了边界安全防护机制被突破的风险。
这些都对传统的边界安全理念和防护措施(如边界安全设备、简单用户身份认证、静态和粗粒度的ACL访问控制等)提出了挑战,亟需有更好的安全防护理念和解决思路。
二、零信任安全理念的演进
传统边界安全理念先天能力存在不足,新技术新应用又带来了全新的安全挑战,在这样的背景下,2004年成立的耶利哥论坛(Jericho forum)为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不依赖于静态防御,这就是零信任最早提出的雏形。
2010年,国际著名研究机构Forrester的首席分析师约翰·金德维格(JohnKindervag)首次提出了零信任安全的概念,他总结了传统网络架构中隐含式信任(比如根据IP地址等来赋予信任权等)的潜在风险,认为安全会跟随服务模式变化,在去边界化的时代基于“零信任”原则来演进。他提到了三个原则:
不应该区分网络位置所有的访问控制都应该是最小权限且严格限制所有的访问都应当被记录和跟踪在这之后,Google花了6年时间(2011年-2017年)逐步完成BeyondCorp零信任架构的迁移工作,其目标是摒弃对企业特权网络(内网)的依赖并开创一种全新安全访问模式,员工在访问企业内部IT设备、应用数据等资源时只依赖于受控设备和用户身份凭证,而与用户所处的网络位置无关。BeyondCorp零信任架构的成功实践,为国内外各大厂商推进零信任架构的优化与产品研发增加了动力,“去边界化”和“以身份为中心”的零信任架构持续演进。
2020年全球暴发的新冠疫情,更是为随时随地远程安全访问的业务需求打了兴奋剂,Google、Microsoft、腾讯及阿里等业界巨头率先在企业内部实践零信任并推出完整解决方案,促进了零信任标准和实践的进一步完善。
2019年NIST零信任标准的发布,首次提出了零信任的标准定义以及实践技术架构,强调零信任是个安全理念而非技术,并指出目前实现零信任架构的三大技术“SIM”:
图2 零信任三大技术路线
图片源自:《零信任架构的3大核心技术》
https://blog.csdn.net/yutao929/article/details/113625306
当前,基于零信任三大主流技术在互联网大型公司与安全公司均有不同的产品与解决方案,三大技术根据业务应用场景可以互相结合,优势互补。
基于SDP最早应用于云上软件定义边界与服务安全接入,IAM则侧重于身份增强型认证与访问权限行为动态检测;而MSG主要是解决云主机或云服务之间的访问隔离,类似于云防火墙、VPC网络安全策略,目的是对云上东西向攻击流量的隔离防御。近年来,各研究机构结合三种技术路线的特点推出了典型的零信任技术实现架构,主要包括软件定义边界(SDP)架构、NIST零信任架构、零信任通用架构。
软件定义边界(SDP)架构
SDP是一套开放的技术架构,它的理念与零信任理念非常相似。国内外很多安全大厂都在推出基于SDP技术的零信任产品。可以说,SDP是目前最好的实现零信任理念的技术架构之一。
图3 软件定义边界(SDP)架构
图片源自:《SDP标准规范1.0》
如图3所示,软件定义边界(SDP)架构由SDP客户端、SDP控制器、SDP网关三大组件组成:
SDP客户端(SDP Client):每个用户的设备上运行的客户端。SDP控制器(SDP Controller):用户身份认证的组件(可选择地与用户身份管理系统集成),并在授予每个用户个性化的网络权限之前对其进行验证。SDP网关(SDP Gateway):网关代理访问受保护的资源。客户端的流量通过加密的通道发送到每个网关,在那里它被解密并发送到适当的应用程序(受保护的资源)。如图3所示,SDP体系结构支持多个分布式网关,每个网关保护一组应用程序或系统资源。用SDP术语来说,客户端(用户设备)指的是发起主机(Initiating Host),网关指的是接收主机(Accepting Host)。在通过控制器进行身份验证后,客户端为每个网关建立加密的隧道(如上图3显示了两个分布式网关,每个网关保护一组不同的资源,由单个控制器管理)。
SDP架构提供的协议在网络所有层都对连接提供保护,其中关键的组成部分之一是要求并强制实施“先认证后连接”模型,该模型弥补了TCP/IP开放且不安全性质的不足。
SDP通过单包授权(SPA)实现这一点。SPA是一种轻量级安全协议,在允许访问控制器或网关等相关系统组件所在的网络之前先检查设备或用户身份。使用这种技术,客户端基于一个共享密钥(seed)创建一个基于消息认证码算法(HMAC)的一次性口令,并将其提交给SDP控制器和网关,作为连接建立过程发送的第一个网络数据包。(它也用于网关与控制器的连接建立)。
因为SDP控制器和网关拒绝无效的数据包(可能来自未经授权的用户),因此,它们可以防止未经授权的用户或设备建立TCP连接。由于非法客户端的识别可以通过分析单个数据包来区分,所以SDP控制器和网关所产生的计算负载是最小的,这极大降低了DDoS攻击的有效性,并使得SDP服务可以在面向公众的网络中可以更安全、更可靠地部署。在2014年-2016年间举办的四次SDP黑客大赛中,SDP架构均保持了零攻破的成绩。
NIST零信任架构
美国国家标准与技术研究院NIST认识到,向零信任架构转型是漫长的旅程而不是简单的置换企业现有的基础设施,预计大部分企业将以混合模式(即零信任模式与传统模式)运作很长时间。
NIST标准中重点提到,零信任模式并不是一个单一的网络架构或技术产品,它是一套理念、战略、架构,零信任整体架构需要结合企业现有的基础设施与安全防护能力进行集成设计。图4中的概念框架模型显示了组件及其相互作用的基本关系,这是显示逻辑组件及其相互作用的理想模型。
图4 NIST零信任概念逻辑架构
图片源自:NIST机构发布的《NIST零信任架构800-207正式版》
从上述组件可以看出,零信任架构中的众多组件并不是新的技术或产品,而是按照零信任理念形成的一个面向用户、设备和应用的端对端的安全解决方案。
零信任通用架构
图5 零信任通用参考架构
图片源自:《零信任实战白皮书》
基于SDP架构与NIST提出的零信任架构,可以抽向出零信任通用架构。如图5所示,零信任安全控制中心组件作为SDP的控制器(Controller)和NIST的策略决策点(PolicyDecision Point)的抽象,零信任安全代理组件作为SDP的接收主机(Accepting Host)和NIST的策略执行点(PolicyEnforcement Point)的抽象。
零信任安全控制中心核心是实现对访问请求的授权决策,以及为决策而开展的身份认证(或中继到已有认证服务)、安全监测、信任评估、策略管理、设备安全管理等功能;零信任安全代理的核心是实现对访问控制决策的执行,以及对访问主体的安全信息采集,对访问请求的转发、拦截等功能。
基于零信任架构的安全解决方案不仅在企业网络边界上对外部的所有攻击进行了有效的防护,还对企业人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对新型IT环境下已知和未知威胁的“内生安全”机制,具有更好的弹性和自适应性。
01、设计思路
方案设计基于SDP技术框架,以用户身份管理(IAM)为中心,以业务/数据防护为目标,通过持续认证、动态授权、全面审计等手段,实现业务安全访问。
图6 零信任安全技术体系
02、总体架构设计
零信任系统设计以“先认证后连接”、“身份为中心”的基本原则,利用上下文访问智能分析、动态访问权限控制、私有DNS解析、单包授权双向认证等核心技术,实现访问细粒度权限控制、单次访问动态评级授权、业务安全发布、用户行为全流程可视审计,从而构建端到端的安全访问新模式。
图7 零信任安全架构
系统由客户端、控制器、安全网关三个部分构成:
控制器用来实现基于设备指纹的可信接入鉴权,管理设备、用户、服务、安全策略,同时提供可视化管理,包括账号可视化、用户行为可视化、全流程用户访问轨迹可视化、安全策略可视化、网络拓扑可视化。另外,通过与原有安全基础设施(如统一身份认证、PKI/CA、安全态势感知等)的安全数据联动,有效提升控制器的网络安全风险评估能力。安全网关具备可信安全代理和可信API代理能力,旨在可信安全接入,提供访问鉴权与业务授权的能力,支持单点登录、多因素认证(MFA)能力,实现基于角色和属性的动态风险和信任控制。客户端具备SPA能力的企业级统一客户端,为用户提供统一的办公入口,基于隧道和代理两种方式实现,最小化网络攻击面,国密方式实现传输加密和身份认证保护,让用户享受安全、极致的访问体验,同时也提供API方式供第三方集成,灵活部署。五、零信任典型应用场景
在NIST的零信任白皮书中提到了零信任的八大应用场景,但总结起来主要是客户端到服务端、服务端到服务端两大类型的业务访问模式,结合公司在电力、能源、政务等行业的业务访问特点列举了几种典型应用场景。
1、远程办公
传统电力服务通过“网上国网”、能源电商、电动汽车等新型电力服务平台逐步开放资源服务到互联网侧,满足互联网侧终端访问用户包括移动办公员工、供应商、合作伙伴、大众用户等的需求,如需要随时随地访问业务系统的不同业务模块与应用接口。
为了防范互联网侧暴露的业务端口遭受外部的扫描与渗透攻击,可以对访问者的身份及设备进行可信验证及授权,有效规避供应链攻击、“薅羊毛”等威胁。
如图8所示,传统远程防护模式在互联网边界外部定义为不可信区域,在边界内部定义为可信区域,通过边界防火墙映射端口开放互联网服务,内部业务系统容易遭受外网DDods、Nday系统漏洞的扫描渗透,使防护处于失效状态。
图8 传统边界防护架构
如图9如示,通过串联或旁路的方式部署零信任接入平台,可实现业务端口隐藏、终端可信接入、链路加密传输、应用权限细粒度管控及终端访问风险动态评估等安全防护能力。
传输VPN设备主要功能是解决互联网终端接入公司内部网络的问题,当VPN出现0day漏洞时,很容易被黑客控制,外部防护形同虚设,此时,若采用零信任架构模式(可替代传统VPN),采用先认证后连接的机制,黑客无法扫描到暴露出的漏洞,大大的提升了外网防护及应急处置能力。
图9 基于零信任架构的远程访问架构
2、内网访问改造
企业业务内部区域网络是一个封闭的网络,在传统防护模式下,信息化建设者认为内部是相对安全的,因此,接入内部用户终端在访问业务时就默认是信任的。为防止数据外泄,企业部署了防火墙、入侵检测、防病毒、漏洞扫描、网络隔离设备及APT检测平台等一系列网络安全产品,但这些防护系统只是解决了外部的渗透攻击。
某机构调查数据显示,超过85%的网络安全威胁来自于内部,对内部人的信任所造成的危害程度,远远超过黑客攻击和病毒造成的损失。
某省级电网企业的运营部门已经建设超过二十个重要的信息系统,信息系统均部署于管理信息大区(电力信息内网),客户在业务运营过程中存在以下业务痛点:
内网系统仍然存在明文传输访问业务,数据通信不加密,存在数据泄漏的风险;业务端口众多,对外部业务与终端用户直接暴露,且存在已知漏洞与未知漏洞,存在渗透攻击的风险;老旧业务缺乏维护,升级补丁与业务改造成本高,系统漏洞未持续检测与修复,存在利用高危与未知漏洞;第三方人员访问业务难以约束,对访问业务的权限未进行有效控制,存在数据恶意使用与调用的风险。图10 内网访问改造
如图10所示,通过设计构建安全控制中心及可信应用服务接口,针对传统业务HTTP明文传输、不安全加密算法、老旧系统漏洞及新型未知漏洞等安全风险进行加固改造,强化用户端可信认证访问,建立业务全方位可信认证及动态授权机制,实现终端用户可信安全访问,安全策略控制,资源管控等,提升业务人员安全运维及应急处置能力,从而有效防范已知及未知系统漏洞带来的攻击风险。
3、移动作业
目前在电力领域,移动作业APP已覆盖现场补抄、营配采录、台区线损、采集运维、现场停复电及低压现场勘查等多项业务,有效解决了远程抄表工作易出错、采录工作不便、停复电不及时等问题,为移动作业的进一步深化应用提供了较好的基础。
随着移动应用技术不断的发展,移动APP应用从电力无线APN专网逐步开放到互联网,而电力移动作业应用存在业务重要数据、高风险操作指令等敏感数据的传输与使用,有必要进一步加强移动APP应用设备可信认证与授权管控,做到设备可信、链路可信、用户可信以及资源应用可信。
图11 移动作业零信任接入架构
如图11所示,基于互联网链路、3/4/5G、无线基站、WIFI等方式实现外网移动终端的接入,采用集群方式部署零信任安全接入平台相关组件,实现移动作业应用可信身份认证、动态访问控制、数据加密传输、终端风险感知、用户异常行为监测与阻断能力。
移动作业平台在零信任架构接入过程中,APP与零信任安全SDK进行集成适配,封装打包成具有零信任能力的APP。在安全控制中心与电力ISC统一权限平台对接(或Radius、LDAP服务器、AD域等),获取用户目录,实现员工账号统一创建与权限分配。
图12 移动作业零信任安全接入初始化过程
如图12所示,初次使用集成了零信任SDK的移动APP时,首先需进行移动设备初始化接入注册,获取设备硬件特征码(如CPU、存储、网卡等信息生成数字证书,并对证书和用户进行绑定实现用户身份的唯一性控制),其次通过员工实名认证模块完成移动作业账号实名注册,最后再由零信任安全控制中心下发安全策略至手机端,完成零信任接入初始化工作。
正常操作业务时,用户打开APP登陆界面进行登陆操作,向后端业务发起访问请求时,首先由零信任安全控制中心验证用户权限及设备可信状态,验证通过后下发安全策略到可信接入代理;其次可信接入代理接收用户请求后,由代理手机端向APP服务端发起请求,APP服务端返回数据,完成数据交互。整个接入过程满足了零信任架构 “先认证后连接”、“身份为中心”的基本原则,有效防范了移动作业仿冒终端恶意操作的风险。
4、云资源访问
零信任服务端与服务端之间的技术实现方式主要是采用微隔离技术,实现云上东西向安全防护,解决云环境下服务端与服务端之间的安全访问。
图13 云资源安全访问
如图13所示,通过在公有云、私有云、数据中心搭建零信任安全控制平台,安全控制中心配置安全访问控制策略,安全网关配置服务端API调用接口,然后将访问控制策略下发到应用网关,云上服务端与服务端之间通过应用网关授权的API接口进行调用,服务端之间的访问流量根据业务行为策略进行动态检测,当发现有异常流量时,立即触发控制中心告警,或超出告警阀值时触发应用网关直接关停服务端API调用接口,防范服务器之间的恶意攻击。
另外,当进行多云管控时,可以设置一级控制中心与二级控制中心,一级控制中心便于云平台管理员对多云安全策略统一配置与下发管控,依托控制中心安全态势感知平台,可全方位监测东西向业务访问流量安全状态。
在传统边界安全防护体系下,各大企业正疲于应对各种未知攻击,而零信任顺应而生、顺势而为,通过特殊的业务隐藏访问方式与持续动态的设备、用户、环境、服务资源的可信验证机制,大大提升现有业务系统的安全防护能力,为企业数字化转型提供强有力的安全保障。
稿件来源:朗新研究院