零信任架構:網路安全新正規化
作者:360企業安全集團副總裁 左英男
行業現狀:近年來,新興科技與金融業務的深度融合,使金融業態複雜多變,潛在的網路安全風險不容忽視。APT攻擊、內部威脅等新型攻擊手段也花樣翻新,層出不窮,給數字時代的金融科技帶來了嚴峻的挑戰。在這樣的背景下,零信任安全架構(ZeroTrustSecurity)逐漸浮出水面。Google基於零信任的企業安全架構改造專案,BeyondCorp的成功實施,更是引發了業界的高度關注。
為什麼要引入零信任?
數字時代的金融創新業務大多基於雲和大資料平臺構建,這種IT技術架構導致了業務和資料的集中,同時也造成了網路安全風險的集中。 在諸多網路安全風險中,資料安全風險是金融機構最關心的問題。 近年來,大型企業資料洩露事件屢見不鮮,其中也不乏大型的金融機構。對資料安全風險的擔憂往往成為金融機構數字化轉型的最大障礙。
據有關機構調查分析,內部人員威脅是造成企業資料洩露的第二大原因。企業員工、外包人員等內部使用者通常擁有特定業務和資料的合法訪問許可權,一旦出現憑證丟失、許可權濫用或非授權訪問等問題,往往會導致企業的資料洩漏。 外部黑客攻擊是造成企業資料洩露的第一大原因。 美國Verizon公司《2017年資料洩露報告》分析指出,攻擊者滲透進企業的內網之後,並沒有採用什麼高明的手段竊取資料,81%的攻擊者只是利用偷來的憑證或者“爆破”得到的弱口令,就輕而易舉地獲得了系統和資料的訪問許可權。
造成資料洩露的兩大原因值得我們深入思考:企業的安全意識在不斷提高,網路安全防護體系建設的投入也在不斷加大,為什麼類似資料洩露這樣的安全事件並沒有得到很好的遏制,反而有愈演愈烈的趨勢?我們在企業網路安全體系建設上忽視了什麼?
提到網路安全防護,人們第一時間會考慮如何對抗具體的威脅。例如,通過消費威脅情報構建積極防禦能力,對抗高階威脅、APT攻擊等。這些防護措施當然必不可少,而且必須隨著威脅的升級持續演進。但是,在企業構建網路安全體系的過程中,人們往往忽視最基礎的架構安全能力建設。 網路安全架構往往伴隨IT技術架構的變革不斷演進,而數字化轉型的技術本質恰恰是IT技術架構的劇烈變革。 在新的IT技術架構下,傳統的網路安全架構理念如果不能隨需應變,自然會成為木桶最短的那塊木板。
傳統的網路安全架構理念是基於邊界的安全架構。企業構建網路安全體系時,首先尋找安全邊界,把網路劃分為外網、內網、DMZ區等不同的區域,然後在邊界上通過部署防火牆、WAF、IPS等網路安全產品/方案進行重重防護,構築企業業務的數字護城河。這種網路安全架構假設或默認了內網比外網更安全,在某種程度上預設了對內網中的人、裝置和系統的信任,從而忽視內網安全措施的加強。於是,攻擊者一旦突破企業的網路安全邊界進入內網,常常會如入無人之境。
此外,雲端計算等的快速發展導致傳統的內外網邊界模糊,很難找到物理上的安全邊界。企業自然無法基於傳統的安全架構理念構築安全基礎設施,只能訴諸於更靈活的技術手段對動態變化的人、裝置、系統進行識別、認證、訪問控制和審計,以身份為中心的訪問控制成為數字時代架構安全的第一道關口。 零信任安全架構正是擁抱了這種技術趨勢,從而成為數字時代網路安全架構演進的必然選擇。
零信任的技術方案與實踐特點
零信任架構重新評估和審視了傳統的邊界安全架構,並給出了新思路:應該假設網路自始至終充滿外部和內部威脅,不能僅憑網路位置來評估信任;預設情況下不應該信任網路內部或外部的任何人、裝置、系統,需要基於認證和授權重構訪問控制的信任基礎;並且訪問控制策略應該是動態的,基於裝置和使用者的多源環境資料計算得來。
零信任對訪問控制進行了正規化上的顛覆,引導網路安全架構從“網路中心化”走向“身份中心化”。從技術方案層面來看,零信任安全架構是藉助現代身份管理技術實現對人、裝置和系統的全面、動態、智慧的訪問控制。
圖 零信任架構的技術方案
零信任架構的技術方案包含: 業務訪問主體、業務訪問代理和智慧身份安全平臺,三者之間的關係如上圖所示。
業務訪問主體:是業務請求的發起者,一般包括使用者、裝置和應用程式三類實體。在傳統的安全方案中,這些實體一般單獨進行認證和授權,但在零信任架構中,授權策略需要將這三類實體作為一個密不可分的整體來對待,這樣可以極大地緩解憑證竊取等安全威脅。零信任架構落地實踐中,常常將其簡化為使用者和裝置的繫結關係。
業務訪問代理:是業務訪問資料平面的實際控制點,是強制訪問控制的策略執行器。所有業務都隱藏在業務訪問代理之後,只有完成裝置和使用者的認證,並且業務訪問主體具備足夠的許可權,業務訪問代理才對其開放業務資源,並建立起加密的業務訪問資料通道。
智慧身份平臺:是零信任架構的安全控制平面。業務訪問主體和業務訪問代理分別通過與智慧身份安全平臺的互動,完成信任的評估和授權過程,並協商資料平面的安全配置引數。現代身份管理平臺非常適合承擔這一角色,完成身份認證、身份治理、動態授權和智慧分析等任務。
零信任架構的技術實踐具有以下特點。
以身份為中心:零信任的本質是以身份為中心進行動態訪問控制,全面身份化是實現零信任的前提和基石。基於全面身份化,為使用者、裝置、應用程式、業務系統等物理實體建立統一的數字身份標識和治理流程,並進一步構築動態訪問控制體系,將安全邊界延伸至身份實體。
持續身份認證:零信任架構認為一次性的身份認證無法確保身份的持續合法性,即便是採用了強度較高的多因子認證,也需要通過持續認證進行信任評估。例如,通過持續地對使用者訪問業務的行為、操作習慣等進行分析、識別和驗證,動態評估使用者的信任度。
動態訪問控制:傳統的訪問控制機制是巨集觀的二值邏輯,大多基於靜態的授權規則、黑白名單等技術手段進行一次性的評估。零信任架構下的訪問控制基於持續度量的思想,是一種微觀判定邏輯,通過對業務訪問主體的信任度、環境的風險進行持續度量並動態判定是否授權。主體的信任度評估可以依據採用的認證手段、裝置的健康度、應用程式是否企業分發等等;環境的評估則可能包括訪問時間、來源IP地址、來源地理位置、訪問頻度、裝置相似性等各種時空因素。
智慧身份分析:零信任架構提倡的持續認證、動態訪問控制等特性會顯著地增加管理開銷,只有引入智慧身份分析,提升管理的自動化水平,才能更好地實現零信任架構的落地。智慧身份分析可以幫助我們實現自適應的訪問控制,還能夠對當前系統的許可權、策略、角色進行分析,發現潛在的策略違規並觸發工作流引擎進行自動或人工干預的策略調整,實現治理的閉環。
零信任架構在實踐機制上擁抱灰度哲學,以安全與易用平衡的持續認證改進固化的一次性強認證,以基於風險和信任持續度量的動態授權替代簡單的二值判定靜態授權,以開放智慧的身份治理優化封閉僵化的身份管理。
結束語
基於零信任推動企業網路安全架構的重構應該上升到企業數字化轉型的戰略層面,與業務規劃同步進行,並明確願景和路線圖,成立專門的組織,指派具有足夠許可權的負責人,才能保障零信任安全的落地和逐步實施。
金融機構通過實施零信任架構,可以構建“端到端”的、最小授權的業務動態訪問控制機制,極大地收縮攻擊面;採用智慧身份分析技術,提升內外部攻擊和身份欺詐的發現和響應能力。以此為保障,金融機構就能夠安全地採用雲、大資料和移動技術,提升業務的敏捷性;基於業務風險的有效管理框架,對合作夥伴開放敏感的業務和基礎設施。
數字時代,零信任架構必將成為企業網路安全的新正規化。金融機構應當開放心態,積極擁抱這種理念的變化,務實推動零信任架構的落地實踐,為數字時代的金融科技和創新業務保駕護航。
本文節選自《金融電子化》2018年11月刊
宣告:本文來自金融電子化,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。