零信任安全的灰度哲學
零信任安全最早由著名研究機構Forrester的首席分析師約翰.金德維格(John Kindervag)在2010年提出,2017年Google基於零信任安全構建的BeyondCorp專案成功完成,為零信任安全在大型、新型企業網路的實踐提供了參考架構。即便如此,業界對零信任安全的心態仍然是欣喜和困惑交織,欣喜的是零信任安全為企業數字化轉型時代的新安全挑戰提供了顛覆性的解決思路,困惑的是基於複雜的網路安全和IT基礎設施現狀如何從0開始構建零信任安全。本文將分析這種困惑並探討其解決思路。
零信任安全概述
傳統的基於邊界的網路安全架構某種程度上假設、或默認了內網是安全的,認為安全就是構築企業的數字護城河,通過防火牆、WAF、IPS等邊界安全產品/方案對企業網路出口進行重重防護而忽略企業內網的安全。
零信任安全針對傳統邊界安全架構思想進行了重新評估和審視,並對安全架構思路給出了新的建議,其核心思想是:預設情況下不應該信任網路內部和外部的任何人/裝置/系統,需要基於認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了正規化上的顛覆,引導安全體系架構從網路中心化走向身份中心化,其本質訴求是以身份為中心進行訪問控制。
從技術方案層面來看,零信任安全是藉助現代身份管理平臺實現對人/裝置/系統的全面、動態、智慧的訪問控制,其核心實踐包括:
-
以身份為中心:通過身份治理平臺實現裝置、使用者、應用等實體的全面身份化,採用裝置認證和使用者認證兩大關鍵技術手段,從0開始構築基於身份的信任體系,建立企業全新的身份邊界。
-
業務安全訪問:所有的業務都隱藏在零信任可信接入閘道器之後,只有認證通過的裝置和使用者,並且具備足夠的許可權才能訪問業務。
-
動態訪問控制:訪問控制需要符合最小許可權原則進行細粒度授權,基於儘量多的屬性進行信任和風險度量,實現動態自適應訪問控制。
實踐者的困惑
面對全新的零信任安全架構,業界充滿困惑,典型的困惑包括:
-
認證:裝置認證一定需要裝置證書嗎?是否只有具備TPM的裝置才能做到裝置可信?使用者認證一定需要多種強認證手段組合嗎?
-
訪問控制:訪問控制的粒度如何把握?訪問控制模型如何設計,是基於角色還是基於屬性?
-
身份治理:企業的員工、客戶、合作機構各類身份的生命週期管理能完全統一嗎?錯綜複雜的訪問控制權限和角色如何梳理和統一?
要解答如上困惑,需要先分析這些困惑的背後原因,不難發現,大家習慣性的把安全問題看成了二值問題,非黑即白,基於這種思維來理解零信任安全,自然會認為認證手段越強越好、訪問控制粒度越細越好、身份管理越固化越好。這種思維的本質仍然是傳統的邊界防護邏輯,認為安全是一個開關,認為訪問控制是一扇門,要麼開要麼關,要開啟這扇們,需要無所不用其極的安全手段進行控制。
零信任安全在實踐機制上擁抱灰度,兼顧難以窮盡的邊界情況,以安全與易用平衡的持續認證改進固化的一次性強認證手段,以基於風險和信任度量的動態授權邏輯替代簡單的二值判定邏輯,以開放智慧的身份治理優化封閉僵化的身份管理。
灰度是自然界的常態,代表了最多的資訊熵,是各種無序的資料和可能性,只有對無序的資料進行分析、持續度量、閉環治理,才能有效的提高資料的有序性,從而發現規律,進行有效的信任和風險評估,得到相對穩定的安全態勢,從而支撐持續進化的訪問控制。
零信任安全的灰度哲學
下面從認證、訪問控制和身份治理三個維度分析零信任安全的灰度哲學,摒棄二值邏輯,擁抱灰度,零信任安全的困惑將不解自明。
1.認證的灰度
零信任安全架構並不要求在認證手段上必須在各種場景下都一視同仁的採用強認證的手段,而是同時支援可選的多種認證手段,並且將認證手段的強弱作為一個信任度量因子。
裝置和使用者認證是基於身份重建信任體系的關鍵技術手段,從零信任的理念來看,沒有絕對的安全,也就沒有絕對的信任,信任只是一個可度量的灰度值。比如,裝置認證可以採用裝置證書、裝置指紋、或簡單的裝置繫結方式,其中裝置證書可以基於TPM進行安全加固,也可以存放到系統的證書庫;使用者認證可以採用證書認證、安全令牌、生物特徵識別等各種手段。不難看出,任意一種手段都很難用於所有場合,比如,某些終端不具備TPM,比如使用者可能忘記攜帶安全令牌等等。因此,如果對認證手段進行一刀切,會極大的影響易用性和可用性,建議同時提供多種認證方式供選擇。
乍一看,這種方案的邏輯是“這樣也行,那樣也行”,好像不太嚴謹,事實上,零信任安全架構建議將認證手段本身作為信任的度量因子之一,認證手段的強弱直接影響主體的信任度,影響後續的訪問控制判定。比如,終端具備TPM、使用了人臉識別可以得到一個較高的信任評分,反之,使用者如果只使用了使用者名稱口令進行登入,那隻能得到一個較低的信任評分,信任評分太低將禁止訪問某些安全等級高的業務(可以提示使用者進行二次認證,通過後允許訪問)。
另外,零信任安全理念認為一次性的使用者認證機制無法確保使用者身份的持續合法,即便是採用了強度較高的多因子認證手段,也需要通過持續認證手段進行信任評估,這也是一種灰度哲學。建議持續的對使用者訪問業務的網路行為、操作習慣等進行分析、識別和驗證,動態的評估使用者的信任度。
2.訪問控制的灰度
傳統的訪問控制機制是巨集觀的、二值邏輯的,大多基於靜態的訪問控制規則、黑白名單等技術手段進行一次性的評估,要麼允許要麼禁止。這種訪問控制規則缺乏對風險和信任的持續度量,難以滿足現代IT環境和複雜安全態勢下的動態訪問控制需求。
零信任安全架構下的訪問控制基於持續度量的思想,是一種微觀判定邏輯。對主體的信任度、客體的安全等級和環境的風險進行持續評估並動態判定是否允許當前訪問請求,是灰度哲學的關鍵體現。
主體的信任度評估除了前文提到的可以依據使用者所採用的認證手段、使用者所使用終端是否具有TPM等安全硬體進行評估。同時,終端的健康度、使用者所使用的應用是否是企業分發的安全應用等等也是很好的度量因子;客體的安全評估主要來自於企業對客體(應用、系統、資料等)的安全分級,訪問不同安全等級的客體要求主體具備不同的信任度;環境的評估則是動態對環境屬性進行風險度量,環境屬性可能包括訪問時間、來源IP、來源地理位置、訪問頻度、裝置相似性等等各種時空因素。
另外,從授權模型的選擇上也體現了灰度哲學,不要單純的去評估RBAC好還是ABAC好,而是考慮如何兼顧融合,建議基於RBAC模型實現粗粒度授權,建立許可權基線滿足企業的最小許可權原則。並基於主體、客體和環境屬性實現角色的動態對映和過濾機制,充分發揮ABAC的動態性和靈活性。
3.身份治理的灰度
訪問控制需要身份治理和授權策略的管理作為基礎支撐。
現代企業都面臨內部員工、客戶、合作機構、外包人員等不同的身份,不要寄希望於以一套大一統的管理邏輯和流程朗闊萬千,而是應該對不同的身份進行分類分析和梳理,制定不同的身份生命週期管理流程。
比如,對內部員工,可行的辦法是通過和企業的目錄伺服器、HR伺服器等現有身份源系統進行資料同步,統一建立員工數字身份;而對於客戶,因為其具備未知和動態性,不可能一開始就為所有客戶建立身份,而是應該提供身份註冊或身份聯邦的方式方便客戶按需註冊使用。採用這種灰度策略,既能重用身份治理基礎設施,又能兼顧不同身份的治理需求。
在授權策略的管理上,仍然需要採用這種灰度策略。零信任安全要求建設統一的認證與訪問控制平臺,對現代企業來說,很難釐清現網各種使用者、角色、系統的當前訪問許可權,因此,建議的方案是企業層面只梳理常用的、公共的訪問許可權並進行基於角色的策略配置,同時,提供自助服務機制,供各業務部門和使用者自主釋出和申請訪問許可權,這種自服務機制一般和工作流相關聯,可以自動觸發對申請的評估審批流程,實現安全與易用的平衡,兼顧安全的可控性和自組織性。
另外,建議部署身份分析系統,對當前系統的許可權、策略、角色進行智慧分析,發現潛在的策略違規並觸發工作流引擎進行自動、或人工干預的策略調整,實現治理閉環。
結語
灰度哲學是零信任安全的內生邏輯,也是零信任安全實踐的指導原則。360ID TrustAccess身份安全解決方案正是在這種灰度哲學指導下應運而生的零信任安全解決方案,秉承“新身份、新邊界”的理念,遵循“先驗證使用者和裝置、後訪問業務”的產品邏輯,為企業提供開箱即用的零信任身份安全解決方案,其核心價值包括:基於零信任,推動企業安全重構;適應現代IT環境,助力企業數字化轉型;基於敏捷、智慧、安全的現代身份管理平臺。360企業安全集團願與業界同行,擁抱零信任、擁抱灰度、擁抱未來!
關於360身份安全實驗室
360身份安全實驗室 (360 ESG Identity Security Lab),是360企業安全集團下屬專注“零信任身份安全架構”研究的專業實驗室。基於零信任安全理念,該團隊利用現代身份與訪問管理技術,探索“企業物理邊界正在瓦解、傳統邊界防護措施正在失效”這一時代背景下的新型安全體系架構,推出“以身份為中心”的360ID TrustAccess身份安全解決方案。同時,該團隊大力投入對零信任安全和現代身份與訪問管理技術的研究和產品化,並結合行業現狀,積極推動“零信任身份安全架構”在業界的落地實踐。
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。