RSAC熱點主題之二:“軟體定義邊界”在企業資料安全領域引發的思考
內容提要:“軟體定義邊界SDP”這一概念和技術在近幾年業界及RSAC大會上都頗受關注,市面也有不少文章介紹,包括其基本架構和產生的各種安全效果,例如資料和控制分離、網路隱身、服務隔離、預認證預授權、VPN替代、以及身份邊界等。但缺少從本質出發揭示其緣由;同時也缺乏進一步的問題挖掘,如SDP存在的挑戰和侷限性、以及更深入的創新性解決思路。本文試圖從這些方面入手,結合數篷科技在零信任環境下的SDP實踐,給出自己的分析梳理和思考。
SDP的本質
精簡表述就是“訪問控制策略模型” 。上述提及的所有相關表徵和安全效果都衍生於此。需著重指明的是,SDP策略模型大致應具備如下特點:“有豐富的控制邏輯、以身份為核心屬性、可上下文感知、能隨時間-地點-狀態-環境的改變而動態調整、基於屬性的訪問控制實施” 。接下來,我們用演繹的方式闡述:如何從SDP的這些本質特點推衍出相應的安全結果?
複雜訪問控制策略 的實現必然會產生控制層與資料層的分離 ,即SDP典型架構所在。原因是,對比傳統網路訪問策略,因其多基於網段隔離故邏輯十分簡單,控制流與資料流可在的同一物理裝置上操作落地,例如路由器和防火牆的埠協議配置;而現今基於以身份屬性為核心的訪問控制策略卻複雜得多,一方面導致難以繼續在同一裝置層面實現;另外,更重要的是為了構建和施加豐富靈活的控制,以適應新IT架構和快速響應使用場景的變化。
所以SDP採用兩者分離機制:即控制流階段,客戶及其裝置先進行預認證 ,以獲取豐富的屬性憑據作為身份主體,再以此結合基於屬性的預授權 配置策略,對映得到僅供目標訪問的特定裝置和服務,從而可直接建立相應安全連線以取代VPN 。這樣做的結果遮蔽了系統中其它無關元件,自然就產生了網路隱身和服務隔離 的安全效應,對於敏感資源大大減少了暴露面和被攻擊面 。
接下來,客戶端與服務端互動訪問進入到資料流階段。期間,還可通過不斷收集系統執行狀態資料以及使用者持續認證的資訊,分析得到主客體各類相關屬性及變化,如時間、地點、當前的安全環境等。從而SDP結合了上下文情境和風險感知、基於身份屬性訂製了動態柔性的自適應訪問控制策略 。最終形成以業務執行為導向、以身份為邊界的邏輯安全域 ,而非傳統的物理網段隔離。
以上是SDP的簡要描述,不難看出基本都是圍繞“訪問控制策略模型” 這一根本概念出發。而定義和實現好相關策略是解決任何安全問題的開端、佔據了統籌全域性的戰略地位。
基於SDP展現的優良特性,它的出現突破了以往傳統解決方案遇到的一系列困境,主要體現在:首先,從整個網路空間的全域性視角去看待和解決問題。形象地講,典型如雲管端一體化安全策略的佈局,而非傳統的區域性解決模式,如單純的終端安全或資料中心安全等。
其次,SDP推薦的理想策略模型本質是下一代基於屬性的訪問控制:ABAC model(Attribute Based Access Control),即開篇給出的特性描述,能夠滿足大多數複雜業務場景下的許可權定義、管理和授權等方面的需求,使得安全策略在全生命週期內真正適配客觀情況的衍變和相應安全要求的預期。
最後,SDP採用的實施架構對於安全風險的把控、以及安全機制與業務邏輯的融合也產生了良好效應。例如前述的VPN替代、資源隱身與隔離、以及形成的業務邏輯安全域等。綜上所述,不難理解為什麼SDP及其實現可廣泛適用於雲外包代理計算、企業級複雜計算、以及邊緣計算和IoT等諸多場景。
問題挑戰和解決思路
儘管SDP給出了零信任條件下、滿足現代企業資料保護需求的訪問控制模型,但從框架到落地實現還涉及到許多技術問題及資源整合;同時,即使在此完成基礎上,SDP自身仍有一些能力缺陷。
接下來,我們先後就這兩類問題逐一介紹,重點是提出疑問引發探討。至於具體實踐,將與可信計算、程式靜態分析等主題一起,安排在後續的解決方案專欄中進一步闡述。
- SDP隱式推薦功能強大的ABAC模型,但並沒有給出相關架構協議。而ABAC核心技術包括各類屬性認證憑據的管理和統一鑑權框架,所以一定需要與企業原有IAM體系整合,一方面實現平滑整合對接;更重要的是發揮ABAC優勢特點。對此,可能涉及到的關鍵技術有:人員-裝置-狀態-應用-服務等屬性元資料的打通關聯;所對應產生認證憑據的分散式儲存-更新-分發-查詢-吊銷等一系列安全管理;不同認證協議的整合和相容、以及認證結果的封裝轉義;還包括鑑權框架中PEP、PDP、PAP等抽象機制在相應業務邏輯和架構條件下的合理實現。總之,ABAC融入企業原有訪問控制體系將產生不小的技術挑戰和一定的運營成本,驅動的目標自然是其帶來的細粒度管控能力;當然,從另外一類“輕量實現”的視角也會同時考慮:是否可以適度放大管控粒度以降低成本,從而結合業務屬性形成“域”級別的安全邊界來滿足相關隔離 需求?
- 基於數篷科技的經驗認知和業界真實案例,比如谷歌BeyondCorp,表明上述想法在企業整體安全框架下是可行的。 例如,BeyondCorp就是在身份認證後把結果(人和裝置)關聯至基於具體業務構建的vnet網段,於是形成了一個個不同安全等級的隔離域,跨域訪問則必須遵守相關安全策略。因此,SDP的一類重要實現最終反映在安全域的構建形成。這確實極大簡化了實施舉措,同時既能完成業務目標、又可保障域內各項資源的安全使用,包括資料防洩漏等。但我們也注意到,無論是物理的還是邏輯的安全域總是有既定邊界,而對於某些開放業務、包括一些實際需求往往不得不違背資訊流安全策略,即高安全域內的敏感資料需要流向低安全域,這是SDP本身無法解決的。例如,假設存在內、外兩個不同等級的安全域:銀行向監管機構上報資料相當於從內網流向外網;供應鏈上下游廠家給平臺提交資料也是從內部流向外部。其實無論是組織內外都大量存在類似的案例。因此,即使有安全邊界但所謂洩漏通道在現實場景中也是必須考慮的。如何處置其安全將在後文中討論。
-
SDP面臨的另一類挑戰是難以解決橫向攻擊的問題。抽象地看,SDP側重規劃安全策略的實施空間和範圍,但沒有落地安全策略的實施機制。因此,無論是某個終端還是伺服器第一時間被攻破後,攻擊很可能轉移至其它裝置或應用,即橫向攻擊。解決的關鍵是實現可信計算TEE
(Trusted Execution Environment,前文中有敘述),使其真實保障相關安全策略的嚴格執行。所以,SDP+TEE
從頂層安全設計的高度看,實現了安全策略與實施機制的完美統一;從實際落地的展現形式看,建立了高安全級別的可信計算網路。因此SDP和TEE構成了零信任環境下網路空間資料安全解決方案的基石。
SDP技術已逐步被實踐證明為零信任安全的重要推手,希望此文拋磚引玉激發更多思考。公司:數篷科技(深圳)有限公司
官網:www.datacloak.com
介紹:數篷科技是零信任安全技術的領導者,其推出的數篷DataCloak企業資料訪問控制系統(DACS),是為中國企業量身打造的下一代企業安全辦公解決方案,是谷歌引領的BeyondCorp安全架構在中國的最佳實踐。