精华内容
下载资源
问答
  • 本出版物旨在为企业安全架构师介绍零信任理念。它旨在帮助理解用于民用非保密系统的零信任,并为将零信任安全概念移植和部署到企业环境提供路线图。 网络安全经理、网络管理员和管理者也可以从本文档中了解零信任和 ...
  • 深度解读零信任基本概念、驱动因素、发展历程、市场调研分析报告、技术成熟度、标准化现状,零信任核心能力和技术实现(零信任架构、技术实现、能力模型等),零信任典型应用场景(云计算应用、远程办公应用、远程...
  • 腾讯零信任安全解决方案源于自身多年的最佳实践,结合多因素身份认证,终端防护,动态访问控制,全面实现身份、终端、应用可信
  • 零信任是一种安全模型,一套系统设计原则,以及基于承认传统网络边界内外都存在威胁的协调网络安全和系统管理策略。零信任安全模型消除了对任何一个元素、节点或服务的隐式信任,而是需要通过从多个来源反馈的实时...
  • 本标准旨在为企业安全架构师介绍零信任理念。它旨在帮助理解用于民用非保密系统的零信任,并为将零信任安全概念移植和部署到企业环境提供路线图。 网络安全经理、网络管理员和管理者也可以从本文档中了解零信任和 ...
  • 介绍零信任概念、carta与零信任、Forrester零信任扩展、谷歌beyondCorp详解、绿盟科技零信任实践
  • 介绍微软的零信任网络和支持Azure技术的方法,值得学习
  • 英文文档和翻译后的文档,零信任最佳实践介绍,基于身份认证的资源管理和人员管理实践,受益匪浅。
  • 软件定义边界(SDP)和零信任.pdf
  • 本报告聚焦零信任发展,从技术、产业和应用三个维度进行剖析,同时涵盖国内安全大厂的负责人员对零信任未来见解以及深度剖析企业实践案例。
  • NIST-SP800-207零信任架构 中英文版
  • **边界内:**安全区域内的用户默认都是可信的(安全的)对边界内用户的操作不再做过多的行为监测,(存在过度信任的问题) **边界外:**在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边

    产生背景

    传统边界安全理念及其不足

    对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。
    **边界内:**安全区域内的用户默认都是可信的(安全的)对边界内用户的操作不再做过多的行为监测,(存在过度信任的问题)
    **边界外:**在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制.
    **不足:**由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的,因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面。对边界内用户存在过度信任问题。

    新技术发展对安全产生了新的要求和挑战

    1、云计算、物联网以及移动办公等新技术新应用的兴起,给传统边界安全理念带来了新的挑战,比如云计算技术的普及带来了物理安全边界模糊的挑战,远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险;各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险。这些都对传统的边界安全理念和防护手段,如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战

    零信任理念

    零信任代表了新一代的网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。
    零信任理念要点:
    1)所有访问主体都需要经过身份认证和授权。
    2)访问主体对资源的访问权限是动态的(不是静止不变的)分配访问权限时应遵循最小权限原则
    4)身份认证不仅仅针对用户,还将对终端设备、应用软件、链路等多种身份进行多维度、关联性的识别和认证,
    5)在访问过程中可以根据需要多次发起身份认证。
    6)授权决策不仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。

    零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定

    零信任标准的发展

    1、2014年,国际云安全联盟CSA的SDP工作组发布了《SDP Specification 1.0》。
    2、2019年7月,腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构,发起CCSA《零信任安全技术参考框架》行业标准立项,率先推进国内的零信任标准研制工作。
    3、2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上,由腾讯、CNCERT、中国移动设计院主导的“服务访问过程持续保护参考框架”国际标准成功立项。
    4、2019年9月,美国国家标准技术研究所(NIST)发布了《零信任架构》草案(《NIST.SP.800-207-draft-Zero Trust Architecture》);2020年2月,NIST对《零信任架构》的草案进行了修订;8月11日,标准正式发布。
    5、2020年,奇安信公司牵头在全国信息安全技术标准化委员(TC260)申请的《信息安全技术 零信任参考
    体系架构》标准在WG4工作组立项。

    传统边界安全理念和零信任理念对比

    传统边界理念

    边界安全理念在早期网络环境中是有效的,因为当时的网络规模不大,业务也不复杂,通过边界隔离可以很好的阻断蠕虫类攻击传播和一些未授权的访问,总的来说具有以下优点
    优点
    1、简单可靠:通过明确的边界和策略,保护目标资源。
    2、阻断掉过彻底:可以基于网络层彻底阻断请求数据进入区域内
    3、业务入侵低:业务不用做过多改造,边界隔离系统和检测系统可以透明部署

    缺点
    1、同域横向攻击难以防护:安全设备通常无法覆盖到同域环境内的系统,也自然无法进行防护
    2、合法权限的复用难以防护:攻击者通常可以复用合法权限(如口令、访问票据等),边界安全理念系统难以区分是正常访问,还是攻击数据
    3、安全检测盲点:边界防护通常不介入到业务中,难以还原所有的轨迹,不能有效关联分析,存在监测盲点
    4、边界容易绕过:难以抵御高级威胁攻击,防护机制容易被绕过
    5、对云计算等新技术新应用的适应性不强

    零信任理念

    零信任安全架构提供了增强安全机制,在新的架构模型下,可以区分恶意和非恶意的请求,明确人、终端、资源三者关系是否可信,并进行“持续校验”(NeverTrust,Always Verify),优点如下:
    优点
    1、安全可信度更高:信任链条环环相扣,如果状态发生改变,会更容易被发现
    2、动态防护能力更强:持续校验,更加安全。
    3、支持全链路加密,分析能力增强、访问集中管控、资产管理方便等

    缺点
    1、单点风险:零信任是强管控架构,对资源的控制都集中在网关上,因此一旦单点故障会导致整个业务中断
    2、权限集中风险:零信任架构将很多风险收敛集中起来,降低了管理成本但集中化管理如果失控也会带更大风险
    3、复杂化:零信任架构覆盖面很广,架构涉组件多,更加复杂,增加了故障判断和修复成本
    4、投入风险:零信任架构建设周期比一般架构体系要更长,如果不能持续投入容易功亏一篑

    总结

    比如传统安全模型结构简单,零信任架构复杂,可是安全防护能力更强,对比如下表
    在这里插入图片描述

    零信任与传统安全产品/设备的关系

    零信任是一种安全理念,本质上和传统安全产品/设备并不是同一个维度的概念,但是零信任架构落地的时候,会和传统安全产品/设备产生协作,甚至可能会替代某些传统安全产品/设备

    和防火墙的关系

    协作补充关系:防火墙提供了划分网络边界、隔离阻断边界之间的流量的一种方式,通过防火墙可以提供简单、快速有效的隔离能力。防火墙和零信任在实践中可以互相补充,常见的场景是在实施了零信任的环境中,通过防火墙限制除了零信任网关端口外的一切访问,最小化非信任网络到信任网络的权限,将攻击面降到最低。

    与IAM的关系

    协作支撑关系:零信任强调基于身份的信任链条,传统IAM系统可以为零信任提供身份(账号)唯一标识,身份属性,身份全生命周期管理等支持。

    与SOC/SIEM/Snort等产品的关系

    协作支撑关系:零信任重要理念之一是持续安全校验。校验对象包含了用户、环境、资源、行为是否可信。一些深层次的安全分析往往需要大量数据支撑和较多资源的投入,集中在零信任的策略引擎中会带来引擎负载过大、影响引擎稳定性等风险。因此零信任可以依赖 SOC/SIEM/Snort等产品来实现更深入的风险分析等。
    1、SOC/SIEM/Snort等产品的分析检测结果可以输出给零信任,协助零信任做风险评估和判断
    2、零信任可以将用户行为数据传给SOC/SIEM/Snort等产品,这些产品根据数据进行分析

    与OTP(一次一密)的关系

    协作支撑关系:一次一密(OTP)结合PIN码或其他鉴权因子可以实现更加可信的身份鉴别,提高零信任系统中用户可信这一层面的安全性。

    与虚拟专用网络(VPN)关系

    虽然零信任和VPN是不同维度的概念,但在安全接入和数据加密通信等方面有相似性。Gartner预测到2023年将有60%的VPN被零信任取代。下表是零信任和VPN的比较。
    在这里插入图片描述

    零信任参考架构

    什么样的架构来落地零信任理念,目前尚没有统一的定义,但业界已有多个组织正在为给出零信任架构设计和定义而努力。目前业界比较熟知的架构有SDP软件定义网络和NIST提出的零信任体系架构。企业可以通过多种架构方式引入零信任理念,不同的应用场景可以使用不同的架构,每种架构的侧重点有所不同。企业可以根据自身需求,使用一种或多种架构作为落地零信任理念的主要驱动元素。

    SDP架构

    SDP软件定义边界是国际云安全联盟(CSA)于2013年提出的新一代网络安全架构,CSA《SDP标准规范1.0》给出的SDP的定义是:“SDP旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来,SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件并仅在设备验证和身份验证后才允许访问企业应用基础架构。”–“应用程序/应用/服务”在本文语境下均指资源

    架构图如下:
    在这里插入图片描述
    SDP架构主要包括三大组件:SDP控制器(SDP Controler)、SDP连接发起主机(IH,Initial host)、SDP连接接受主机(AH,Accept host)。
    SDP控制器根据安全、及权限数据动态控制 AH 和 IH 的连接情况。该结构使控制层与数据层保持分离,保证更好的可扩展的性。也可以通过组件冗余,用于扩容或提高稳定运行时间

    NIST架构

    架构及核心组件图如下:
    在这里插入图片描述

    用户访问企业资源时,需要通过策略决策点(PDP)和相应的策略执行点(PEP)授予访问权限。
    NIST给出的架构图更接近ISO国际标准中经典的访问管理(Access management-AM)架构,将访问控制分为PDP和PEP。PEP定义决策(如定义规则 角色A只能访问指定系统A),PEP执行决策,如通过PDP定义的规则判断某一次访问是否合法。

    通用参考架构

    对比看SDP的架构和NIST提出的架构,可以发现,SDP的控制器功能上类似于NIST的PDP,SDP的AH功能上类似于NIST的PEP。综合SDP、NIST的架构图,以及实践经验,我们认为目前业界对零信任架构的理解正在趋于一致,总结的通用零信任架构如下:
    在这里插入图片描述
    零信任安全控制中心组件作为SDP的Controller和NIST的PDP的抽象,零信任安全代理组件作为SDP的AH和NIST的PEP的抽象。
    零信任安全控制中心核心是实现对访问请求的授权决策,以及为决策而开展的身份认证(或中继到已有认证服务)、安全监测、信任评估、策略管理、设备安全管理等功能;
    零信任安全代理的核心是实现对访问控制决策的执行,以及对访问主体的安全信息采集,对访问请求的转发、拦截等功能。

    微隔离架构

    微隔离本质上是一种网络安全隔离技术,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载(根据抽象度的不同,工作负载分为物理机、虚拟机、容器等)级别,然后为每个独立的安全段定义访问控制策略。
    微隔离提出以来主要聚焦在东西向流量的隔离上,一是有别于传统物理防火墙的隔离作用,二是更贴近云计算环境中的真实需求。
    微隔离将网络边界安全理念发挥到极致,将网络边界分割到尽可能的小,能很好的缓解传统边界安全理念下边界内过度信任带来的安全风险。
    在这里插入图片描述
    从架构上看,微隔离管理中心可以扩展为零信任安全控制中心组件,微隔离组件可以扩展为零信任安全代理组件。
    微隔离本身也在发展过程中,目前业界有很多厂商正在基于微隔离的技术思路来实现零信任理念的落地,并开发出了相关的零信任安全解决方案和产品。因此,从架构上看,微隔离具备扩展为零信任架构的条件,并适应一定的应用场景,其自动化、可视化、自适应等特点也能为零信任理念发展带来一些好的思路。

    展开全文
  • 文章目录第一类零信任方案要素和目标抽象技术框架技术实现方式反向代理网关方式(有终端Agent)反向代理网关方式(无终端Agent)应用层代理网关方式流量代理网关方式混合网关方式部署方式企业内部部署集团多分支部署...

    零信任安全理念主要分为两类,
    一类是站在发起方,用户对资源的访问模式,指的是用户访问内部资源时,如何验证用户是可信的,如何确保访问来源终端可信,如何确认拥有访问资源权限。
    另外一类是站在服务方,即服务资源之间如何安全的互相访问。
    实现方案中,主要解决的是站在用户视角的零信任方案

    第一类零信任方案

    要素和目标

    要素
    在用户对资源访问模式下的零信任实现方案中,涉及的核心元素有以下:
    1)用户:访问的主体,即真实自然人在网络中的身份映射;
    2)终端:发起访问用的设备,系统环境软硬件、发起访问的可执行程序代码;
    3)资源:最终要访问的和获取的客体,通常为内部应用系统。
    4)链路:终端访问服务器的网络通道、网络链路。
    目标
    按照零信任发展过程中的理念,以及上述要素风险,在实现零信任方案的过程中,要实现的核心目标主要有:
    1)用户可信:即如何确保用户的登陆、操作是本人操作,而非被盗取的攻击者行为。
    2)终端可信:确保终端设备自身的安全可信,包括以下目标:
    a)可信设备:终端应为可信设备,并授权可信用户使用;
    b)安全基线:终端应具备基础安全防护能力,满足安全基线要求;
    c)可信程序:终端发起资源请求的程序,应是可信程序,防止恶意程序的伪装。
    3)资源权限可信:如何保障资源被拥有权限的用户正确获取,而非被越权或是被攻击的方式获取到。通过访问控制策略做限制,只有指定的人、应用才能够访问指定的服务资源,减小业务系统安全风险暴露面。
    4)链路传输可信:保障终端访问服务器的流量必须是加密,避免被中间人劫持。
    5)动态检测:安全不是持续不变的,现在是安全的不代表之后的都是正常的,因此需要对上述可信状态实施动态检测;不管是通过自身的检测能力,还是联动第三方获取更加全面的安全状态信息。
    6)动态防护:一旦所关注对象的安全状态发生变化,由可信变为不可信状态,应能动态进行隔离、阻断、降级等操作,防止进一步的攻击和渗透。
    核心理念示意图如下:
    在这里插入图片描述

    抽象技术框架

    抽象技术架构示意图如下
    在这里插入图片描述
    架构中的主要功能组件和功能如下:
    1)零信任终端代理(Agent):用户侧的核心组件,主要功能如下:
    a)生成终端唯一表示码:用来区分不同终端和设备,防止终端伪造;
    b)建议用户建立授权关系:即允许该终端被什么用户使用,建立绑定关系;
    c)收集终端信息:用于决策中心判断终端安全状态,是否符合对资源访问的邀请;
    2)零信任网关:暴露在外部可被用户直接访问的系统,主要功能如下:
    a)转发:对来访未经授权的请求进行认证授权转发,对已正确授权的请求进行资源访问转发;
    b)拦截:对禁止访问的请求进行拦截阻断,阻止向后访问。
    3)零信任安全控制中心,主要功能如下:
    a)认证:对用户、终端身份进行认证和授权;
    b)持续访问控制:
    - 访问控制策略:访问控制策略包含访问过程的关键对象、访问权限、环境安全状态因素,可以进行灵活的配置,方便在访问建立、访问中可以根据访问策略做风险判断,进行授权访问或者实时阻断;
    - 动态安全检测:决策中心对鉴权和安全状态的检验应该是持续动态的过程,即每次对资源对访问应该都重新进行鉴权和检验;同时需要获取访问过程中关键对象、关键环境的安全状态,判定访问过程是否有风险;
    - 动态防护响应:如果判定有风险的相关访问,应该可以及时采取降权、阻断等防护策略。
    4)零信任管理后台:提供集中化管理能力,主要功能如下:
    a)用户管理:对用户进行集中化授权管理,包括用户账号的安全管控和策略;
    b)终端管理:对终端设备进行集中化管理,包括终端安全管控和策略;
    c)资源管理:对接入对资源进行集中化管理,包括资源接入和授权;
    d)策略管理:安全控制中心的策略控制,策略判断条件配置和管理

    技术实现方式

    技术实现分类上,根据零信任网关的类型进行区分,该划分模式可以覆盖绝大部分零信任实现

    反向代理网关方式(有终端Agent)

    反向代理网关指的是在零信任网关实现上,通过七层Web协议反向代理方式,通过将后端业务域名解析到网关上,实现对资源访问的拦截和转发,如下图:
    在这里插入图片描述
    该方式简化访问过程如下:
    a)用户通过零信任终端Agent进行设备注册和授权,获取客户端证书;
    b)终端Agent进行安全基线加固,以及上传终端设备安全状态;
    c)应用系统域名通过DNS解析到反向代理网关中;
    d)用户通过浏览器(或集成上述Agent功能的安全浏览器),发起资源访问请求到反向代理网关;
    e)反向代理网关通过决策中心,验证用户身份、设备是否授权、设备安全状态以及资源权限关系;
    f)反向代理网关鉴权通过后,带上凭证将请求转发给应用系统,获取资源;
    g)反向代理网关将资源转发给终端,完成一次请求。

    优势
    该模式下零信任实现上,除了零信任自身的一些优点还,具有以下优势:
    a)由于是七层Web代理,因此可以基于应用进行细颗粒的授权控制,可以深入到对特定应用,特定资源的控制;
    b)由于所有的请求对网关是透明的,因此可以对内容进行分析、审计,提高安全检测能力;
    c)由于都是Web协议,请求效率较高,可靠性强。
    劣势
    除了以上优势外,该模式也有一些劣势,如下:
    a)对于非Web的业务,如C/S应用难以支持,对于全场景的办公需求支持难度较大

    反向代理网关方式(无终端Agent)

    整体上和上一种实现方式相同,只不过没有了终端Agent,示意图如下:
    在这里插入图片描述

    该方式下的简化访问过程如下:
    a)用户通过浏览器,发起资源访问请求到反向代理网关;
    b)反向代理网关通过安全控制中心,验证用户身份、设备是否授权、设备安全状态以及资源权限关系;
    c)应用系统域名通过DNS解析到反向代理网关中;
    d)反向代理网关鉴权通过后,带上凭证将请求转发给应用系统,获取资源;
    e)反向代理网关将资源转发给终端,完成一次请求

    和前一种方案相比,缺少了Agent所以无法通过终端Agent进行设备注册和授权也无法进行终端安全加固,无法上传终端安全状态等。安全控制等只能放在网关实现,且鉴权方式也只能对用户身份进行认证和授权,无法验证设备安全性。
    优势
    a)由于无用户端Agent,实现相对简单;
    b)由于是七层HTTP代理,因此可以基于应用进行细颗粒的授权控制,可以深入到对特定应用,特定资源的控制;
    c)由于所有的请求对网关是透明的,因此可以对内容进行分析、审计,提高安全检测能力;
    d)由于都是HTTP协议,请求效率较高,可靠性强
    劣势
    a)由于没用零信任Agent,因此无法得知终端设备安全情况,也无法建立用户到设备的可信授权,不能完整的实现零信任核心目标;
    b)此外对于非HTTP的业务,如C/S应用难以支持,对于全场景的办公需求支持难度较大;

    应用层代理网关方式

    应用层代理模式指的是在零信任网关实现上,通过七层应用代理方式,将对后端应用的访问通过本地应用层代理配置,将应用层请求发至应用层代理网关中,由应用层代理网关进行拦截、转发,如下图:
    在这里插入图片描述和前两种的区别是:将反向代理替换成了客户端应用代理网关,可以通过终端控制配置网关。该模式下的简化访问过程如下:
    a)用户通过零信任终端Agent进行设备注册和授权;
    b)终端Agent进行安全基线加固,以及上传终端设备安全状态;
    c)用户通过零信任终端Agent(或可信集成的浏览器),来设置本地应用层代理配置,指定特定资源的访问由应用层代理发至应用层代理网关中;
    d)应用层代理网关通过安全控制中心,进行认证和鉴权;
    e)应用层代理网关鉴权通过后,将请求转发给应用系统,获取请求资源;
    f)应用层代理网关将资源转发给零信任终端,完成资源请求。

    和第一种架构的区别:通过Agent设置本地应用代理参数,实现资源访问

    优势
    该模式下零信任实现上,除了零信任自身的一些优点还具有以下优势:
    a)由于是应用层代理,因此可以基于应用进行细颗粒的授权控制,可以深入到对特定应用,特定资源的控制;
    b)由于所有的请求对网关是透明的,因此可以对内容进行分析、审计,提高安全检测能力
    劣势
    除了以上优势外,该模式也有一些劣势,如下:
    a)对于非HTTP的业务,部分开放设置能力的CS应用客户端可以支持配置,大部分CS架构的客户端都是不支持的,对于全场景的办公需求支持难度较大;

    流量代理网关方式

    流量代理方式在实现上,主要是通过零信任Agent通过hook、虚拟网卡、网络过滤驱动等方式,将本地流量转发给零信任网关,零信任网关负责流量的拦截和转发,如下图:
    在这里插入图片描述
    和上述架构的区别是将代理网关替换为流量网关,该模式下的简化访问过程如下:
    a)用户通过零信任终端Agent进行设备注册和授权;
    b)终端Agent进行安全基线加固,以及上传终端设备安全状态;
    c)用户通过零信任终端Agent的hook方式、虚拟网卡、网络过滤驱动方式,将对资源发起访问请求转发到流量代理网关上;
    d)流量代理网关通过安全控制中心,进行认证和鉴权;
    e)流量代理网关鉴权通过后,将请求转发给应用系统,获取请求资源;
    f)流量代理网关将资源转发给零信任终端,完成资源请求。
    优势
    该模式下零信任实现上,除了零信任自身的一些优点还,具有以下优势:
    a)由于是四层流量代理,因此可以实现全局代理,无论是B/S应用,还是C/S应用都可以通过流量代理网关进行控制和授权;
    b)此外该模式下,C/S应用不需要改造,可以直接接入进零信任体系中,对业务干扰较小;
    c)由于是全局流量代理,因此可以实现更多数据分析,提高安全检测能力
    劣势
    除了以上优势外,该模式也有一些劣势,如下:
    a)由于是四层流量代理,因此对于加密的请求,解密成本较大,因此不易实现精细化的权限控制,例如针对垂直的WEB流量,需要额外用垂直的WEB流量网关,基于HTTP协议层做对应更加细化的访问控制。
    b)另外对于加密数据,如果安全上需要做数据分析,对应消耗更多分析性能。
    c)另外全流量代理模式下,容易出现和其他安全类流量劫持软件冲突,需要对应修复支持工具。

    混合网关方式

    通过1-4的实现方式可以看出,单一的实现方式都有其弊端和优势,例如用了全流量代理可能导致无法识别内容,无法对特定应用进行解析和精细的权限控制,因此也可以将技术实现方式进行融合,融合点主要是在网关对上述多个能力进行整合,用全流量代理网关作为统一入口,对特定应用的控制由应用代理模块进行控制,在实现上同时拥有全流量代理、Web应用反向代理、应用层代理(其他RDP、SSH、IOT等)能力,如下图:
    在这里插入图片描述
    该模式下的简化访问过程如下:
    a)用户在访问资源时,根据所访问的资源类型,将请求转发到流量代理网关上;
    b)流量代理网关通过安全控制中心对用户进行认证和鉴权;
    c)流量网关根据请求的资源类型,鉴权通过后将请求转发,向后转发中分为以下情景:

    • 直接转发:如果没有特定应用代理模块,请求将直接转发到应用中,例如C/S应用;
    • 转发到应用代理模块:有特定应用控制的模块时,将请求转发到应用代理模块中,由应用代理模块进一步进行更细粒度的鉴权,例如对SSH服务进行零信任控制和授权,对Web应用进行零信任控制和授权,或是更特定业务协议的场景,IOT的零信任控制授权。
      d)流量代理网关将资源转发给终端,完成资源请求响应。
      优势
      该方式下零信任实现上,除了零信任自身的一些优点还,具有以下优势:
      a)由于混合代理方式,如果业务要求全部场景,可以使用全流量代理模式,处理C/S和B/S系统的终端应用;
      b)如业务方需要对特定业务实现更精细对权限控制,例如对SSH、RDP登录或是WEB应用进行零信任控制和授权,需要应用代理的应用解析能力,因此可以基于应用进行细颗粒的授权控制,可以深入到特定应用中,对特定资源进行零信任的授权控制;
      c)由于兼顾了全流量代理和特定应用的应用层代理,因此可以获取到全流量和特定应用的数据提取,提高安全检测能力。

    部署方式

    零信任实现,具体到落地部署中,可以根据企业特点有多种部署方式,下面列举常见的几类部署模式

    企业内部部署

    在企业内部部署模式中,零信任网关主要用于企业内部服务保护,因此部署位置将零信任网关放置到服务器网络前,如下图:
    在这里插入图片描述
    通过零信任系统提供统一的业务安全访问通道,关闭职场内部终端直连内部业务系统的网络策略,尽可能避免企业内部服务全部暴露在办公网络(内网中过多的默认信任)。
    所有的终端访问都要进过终端身份校验(人的安全可信),终端/系统/应用的可信确认(终端设备的安全可信),还有细粒度的权限访问校验,然后才可以通过加密安全网关访问具体的业务(链路的安全可信),这样能极大的降低和减少内部业务资产被恶意扫描和攻击的行为

    集团多分支部署

    集团公司,其全国/全球的多个分支子公司、办事处、并购公司、外部合作(协作)公司等员工需要安全访问集团内部系统,该需求模式下可以采用以下部署模式,实现多分支的访问:
    在这里插入图片描述
    该模式和模式一比较,1)不是部署在公司内网2)主要通过访问策略配置,实现不同子公司/机构成员的访问。
    保障访问过来的人员身份、设备、链路的安全,同时子公司的终端或者账户如果有异常可以及时阻断访问。

    云业务服务部署

    中小企业用户多数使用多个公有云服务商的云服务,在不同的公有云上部署不同的业务类型,难以构建一个包含多个云服务的企业网络来保障访问策略的统一和对资源的安全访问控制,对这类场景可以采用如下部署模式:
    在这里插入图片描述
    不同云环境部署不同网关,多个网关共用一个安全控制中心,提供统一访问控制策略,通过低流量的策略同步或者其他不影响带宽的机制,做到统一的授权管理。用户在具体要访问哪个云上业务的时候,就可以通过控制中心,对接到相应云的零信任网关入口进行访问。

    服务之间调用模式实现

    需求分析

    数据中心的集中化建设,导致数据泄露风险增加

    数据中心的集中化建设,解决了集中运维、管理的问题,同时也节约了资源成本,但数据的集中也增加了数据泄露的风险。通过Killchain模型我们可以看到,现代的攻击都有一些显著特点,一旦边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而中心内部基本没有安全控制的手段可以阻止攻击。

    内部恶意软件传播

    考虑服务器的稳定运行及性能,数据中心很少会部署杀毒软件,目前最常见的方式是通过划分VLAN的方式将数据中心内部的服务器划分为多个区域。这种架构,虽然边界关闭了无用端口、过滤了流量,但一旦内部某一台工作负载感染病毒,病毒即可在区域内部进行传播。

    核心理念

    核心元素

    a)工作负载:workload,承载业务的主机,可以是物理服务器、虚拟机或容器。
    b)访问者:发起访问一方的工作负载。
    c)提供者:提供服务一方的工作负载。在数据中心中,任意一个工作负载都可能本身即是提供者,也是其他工作负载的访问者。
    d)服务:即根据业务需要所开放的供其他工作负载或用户访问的服务

    风险

    a)工作负载风险:对于不同的主机形态,数据中心内部的零信任建设是否可以覆盖,防止“木桶”出现短板。
    b)访问者风险:访问者是否是可信的,如攻击者通过钓鱼邮件、口令破解、0day漏洞等拿下一台工作负载后,以此为跳板在内部发起攻击。而这种攻击边界防护是无法发现的。
    c)提供者风险:往往被作为攻击的目标,通过跳板机去探测提供者所提供的服务是否存在漏洞等。
    d)服务风险:服务的风险有两个方面,一是工作负载是否提供了业务不需要的服务(端口),例如445,139等,很多攻击及病毒的传播都是由于过大的暴露面。二是服务的调用是否符合业务逻辑,在实际环境中,数据中心往往采用大二层网络,无法对服务的调用进行有效控制

    目标

    在实现零信任方案的过程中,要实现的核心目标主要有以下几类:
    a)零信任防护尽可能的覆盖现有工作负载。
    b)访问者、服务者可信。可参考以下方式:设备特征,如已安装的软件版本、网络位置、以前观察到的行为、已安装的凭证等。
    c)服务最小化原则:1.限制无用端口的开放,形成进程/端口台账。2.限制服务的可视性及可访问性。可考虑采用访问控制或加密的方式。
    d)通过动态的策略调整,减少人工参与,才能使工作负载之间的零信任建设适应业务的动态变化

    技术框架

    在这里插入图片描述
    对于数据中心内部零信任的建设,一般采用软件定义的方式进行,分为控制平面与数据平面。该架构的核心组成如下

    1. 零信任安全控制中心:负责鉴权和授权判断,并提供业务流的可视化能力。主要功能如下:
      a)认证:对工作负载身份进行认证和授权;
      b)安全策略配置:统一的安全策略配置管理,访问控制策略可以灵活组合。
      c)动态策略调整:根据环境的变化,动态计算修改安全策略。
      2)零信任安全代理(策略执行点):
      用于执行访问控制决策,允许/拒绝通信或进行协商加密;
      有时也会将工作负载的相关信息同步给安全控制中心,从而辅助其进行决策。可以单个逻辑组件(充当连接门卫的单个门户组件),或分为两个不同的组件:客户端(例如安装在工作负载之上)和网关端(例如在资源之前控制访问的组件)

    实现方式

    对于服务之间调用的零信任实现方式,主要参考Gartner相关报告,但在介绍Gartner的实现方式之前,也简单说明一下NIST报告早年对于内部隔离方式的划分。与Gartner定义的四种实现方式不同,NIST将传统方式结合其中。

    NIST服务之间调用的零信任实现方式

    共分为5种,分别为:
    a)基于虚拟化宿主机的隔离(Segmentation based on Virtualized Hosts):将不同安全级别的应用部署在不同宿主机的虚拟机中,再将宿主机连接至不同物理交换机上,在通过防火墙进行控制。
    b)基于虚拟交换机的隔离(Segmentation using Virtual Switches)
    c)基于虚拟化防火墙的隔离(Network Segmentation using Virtual Firewalls)
    d)在虚拟化网络中使用VLAN进行隔离(Network Segmentation using VLANS in Virtual Network)
    e)基于跨平台的网络隔离(Network Segmentation using Overlay-based Virtual Networking)
    从以上的划分可以看出,NIST将多种传统的隔离方式进行了列举,具有一定的局限性,毕竟是2015年发布的报告。数据中心的不断变化以及用户的需求增加都促使隔离技术的发展,2017年Gartner总结了更符合现代数据中心内部隔离方式,而随着零信任研究的不断深入,这四种方式被广泛接受及引用。

    Gartner服务之间调用的零信任实现方式

    以下为四种工作负载之间隔离的实现方式,不同实现方式也对应了不同的部署方式,没有哪一种方式是最佳的隔离方案,应根据自身的数据中心环境选择最适合自己的方式。
    在这里插入图片描述

    云原生控制

    这种路线在虚拟化平台提供者中比较常见。往往在虚拟化平台、IaaS、Hypervisor或基础设施中提供。最基本的功能非常类似于配置单个主机,更高级的功能往往提供了复杂分组和名称的简单抽象
    在这里插入图片描述
    与VLAN一样,云原生控制方式通常适合于隔离,而不是访问控制。服务器之间的隔离往往是东西向访问控制的要求,安全功能的相对强度通常低于南北向,涉及的是控制而不是隔离流量。
    该模型的主要优点是不需要额外的部署,隔离能力和基础设施是紧密耦合的,在控制台和管理方面使用了类似的外观,并且比添加其他供应商的安全工具更便捷。

    基于第三方防火墙

    此技术路线主要基于第三方防火墙供应商提供的虚拟防火墙(与虚拟基础设施供应商提供的防火墙不同)。此种方式有两种部署模式,一种为在虚拟化环境的每一台宿主机上运行一台虚拟化防火墙,通过跟底层架构的对接,使此台宿主机上虚拟机的流量先由此虚拟化防火墙处理,从而实现对工作负载的控制(如下图)。
    在这里插入图片描述
    第二种模式为利用与NFV的结合来进行控制,NFV的启用使得虚拟防火墙有了更强的控制,因为它们主要与网络活动交互,而不是嵌入到主机中(如下图)
    在这里插入图片描述
    总体来说,第三方防火墙方式的最大优势在于其可以提供丰富的安全能力及报告,相当于将防火墙/下一代防火墙功能移植到虚拟化环境内部。而这种方式的不足在于需要跟虚拟化架构的底层做对接,目前结合最完善的平台主要为VMware,而且只能支持本地虚拟化环境,无法覆盖公有云、物理环境及容器环境。

    基于代理模式

    大多数Overlay模式,使用某种形式的代理或软件,这些代理或软件必须部署在每个主机(虚拟机)中,而不是像防火墙那样在外部控制通信。在分区以进行分割的过程中,大多数其他模型关注于在主机周围形成虚拟墙的类似网络的抽象,而Overly模型通常以一种更动态的方式控制启用代理的主机之间的通信。中央控制器用于维护策略配置并与代理通信
    在这里插入图片描述
    此种方式除了使用主机墙作为控制手段外,也有部分供应商利用工作负载之间的协商加密方式进行通信控制。加密也是一种隔离,而这种方式相当于在现有的网络上又构建出不同的独立网络,只有按照策略完成协商的才可以进行通信。
    基于主机代理模式的最大优点在于可以覆盖几乎所有环境(对于部分小型机支持程度一般),包括物理环境、任何底层架构的私有云、公有云以及容器环境。而不足则是需要安装代理,这在部分客户处较难推进。

    混合模式

    混合模式一般是通过不同其它模式进行组合使用,例如使用本地控件和第三方控件进行组合。使用第三方控件进行南北通信(例如,在Web服务器和应用程序服务器之间),使用本地控件进行东西连接(例如,数据服务器到数据服务器)
    在这里插入图片描述

    展开全文
  • 零信任安全学习笔记

    千次阅读 2021-11-07 13:49:50
    为了应对逐渐复杂的网络环境,一种新的网络安全技术构架–零信任逐步走入公众视野。 一、零信任技术介绍 (一)零信任核心原则: ①网络无时无刻不处于危险的环境中。 ②网络中自始至终存在外部或内部威胁。 ③网络...

    Zero Trust

    为了应对逐渐复杂的网络环境,一种新的网络安全技术构架–零信任逐步走入公众视野。

    一、零信任技术介绍

    (一)零信任核心原则:

    ①网络无时无刻不处于危险的环境中。

    ②网络中自始至终存在外部或内部威胁。

    ③网络位置不足以决定网络的可信程度。

    ④所有设备、用户和网络流量都应当经过授权和认证。

    ⑤安全策略必须是动态的,并基于尽可能多的数据源计算而来。

    简言之,核心思想就是默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。

    基于零信任安全框架的理解,可将零信任构架的原则归纳如下:

    (1)将身份作为访问控制的基础:零信任架构为所有对象赋予数字身份,基于身份而非网络位置来构建访问控制体系。

    (2)最小权限原理:零信任构架强调资源的使用按需分配,仅授予执行任务所需要的的最小特权,同时限制了资源的可见性。通过使用端口隐藏等技术手段,默认情况下资源对未经认证的访问主体不可见。授权决策时将人员、设备、应用等实体身份进行组合,形成访问主体。针对主体的组合信息和访问需求,以及信任评估和权限策略计算情况,确定是否授权访问权限。

    (3)实时计算访问控制策略:授权决策依据主体的身份信息、权限信息、环境信息、当前主体信任等级等,通过将这些信息进行实时计算,形成访问控制策略。在资源访问过程中,一旦授权决策依据发生了变化,将重新进行计算分析,必要时及时变更授权决策。

    (4)资源受控安全访问:零信任默认网络互联环境是不安全的,要求所有的访问连接都必须加密。

    (5)基于多源数据进行信任等级持续评估:主体信任等级是零信任授权决策的判定依据之一,主体信任等级根据实时多源数据,如身份、权限、访问日志等信息计算出,参与计算的数据种类越多,数据的可靠性越高,信任等级的评估就越准确。人工智能技术的迅猛发展为信任评估赋能,通过专家系统、模型训练、机器学习等人工智能技术,紧扣应用场景,提升信任评估策略计算效率,实现零信任架构在安全性、可靠性、可用性、安全成本等方面的综合平衡。

    (二)零信任安全构架及组件

    零信任秉承==“从不信任并始终验证”的安全原则,对访问主体和访问客体之间的数据访问和认证验证进行处理,并将访问行为实施平面分解为用于网络通信控制的控制平面和用应用程序通信的数据平面。访问主体通过控制平面发起的访问请求,由信任评估引擎、访问控制引擎实施身份认证和授权,一旦访问请求获得允许后,系统动态配置数据平面,访问代理接受来自访问主体的流量数据,建立一次性==的安全访问连接。信任评估引擎将持续进行信任评估,把评估数据提供给访问控制引擎进行零信任策略决策运算,判断访问控制策略是否需要改变,如有需要及时通过访问代理中断连接,快速实施对资源的保护。身份管理和权限管理为访问控制提供所需的基础数据来源,其中身份管理实现各种实体的身份化及身份生命周期管理,权限管理实现对授权策略的细粒度管理和跟踪分析。典型的身份安全基础设施包括:PKI系统、身份管理系统、数据访问策略等。
    在这里插入图片描述

    (三)零信任关键技术

    1. 现代身份与访问管理技术

    2. 软件定义边界技术
      SDP技术旨在通过软件的方式,在“移动+云”的时代背景下,为企业构建起虚拟边界,利用基于身份的访问控制以及完备的权限认证机制,为企业应用和服务提供隐身保护,是网络黑客因为看不到目标而无法对企业的资源发动攻击,有效的保护企业的数据安全。

    SDP的五大特点:

    (1)网络隐身:SDP应用服务器没有对外暴露的DNS、IP地址或端口,必须通过授权的SDP客户端使用专有的协议才能进行连接,攻击者无法获取攻击目标。

    (2)预验证:用户和终端在连接服务器前必须提前进行验证,确保用户和设备的合法性。

    (3)预授权:根据用户不同的职能以及工作需求,依据最小权限原则,SDP在设备接入前对该用户授予完成工作任务所需的应用和最小访问行为权限。

    (4)应用级的访问准入:用户只有应用层的访问权限,理论上无法获得服务器的配置、网络拓扑等其他信息,无法进行网络级访问。

    (5)扩展性:除采用特殊协议对接SDP服务器以外,其他访问依然基于标准的网络协议,可以方便的与其他安全系统集成。

    1. 微隔离技术
      对数据中心而言,主要有南北向流量东西向流量,南北向流量是指通过网关进出数据中心的流量,东西向流量是指数据中心内部服务器彼此相互访问的内部流量。传统防护模式通常采用防火墙作为南北向流量的安全防护手段,一旦攻击者突破防护边界,缺少有效的安全控制手段用来阻止东西向流量的随意访问。随着东西向流量的占比越来越大,微隔离技术应运而生,其作为一种网络安全技术,重点用于阻止攻击者在进入企业数据中心网络内部后的东西向移动访问。

    数据中心往往包括海量的节点,频繁变化带来的工作量不可预估,传统的人工配置模式已经无法满足管理的需求,自动适应业务变化的策略计算引擎是微隔离成功的关键。

    二、零信任应用场景

    (一)远程办公

    场景分析:

    (1)接入人员和设备的多样性增加

    (2)企业资源暴露程度大幅度增加

    (3)数据泄露和滥用风险大幅增加

    零信任安全构架针对远程办公应用场景,不再采用持续强化边界的思维,不区分内外网,针对核心业务和数据资产,梳理访问这些资产的各种访问路径和场景,在人员、设备和业务之间构建一张虚拟的、基于身份的逻辑边界,针对各种场景构建一体化的零信任动态访问控制体系,主要包括以下创新点和先进性:

    ①构建更安全的远程办公网络

    通过实施“从不信任并始终验证”,不同类型用户只能按照预先确定的信任级别,访问预先申请的企业资源,未预先申请的企业资源将无法被访问,阻止企业内部“漫游”情况。

    ②增强对企业应用和数据保护

    在实施“按需求访问”的基础上,有效整合资源保护相关的数据加密、网络分段、数据防泄漏等技术,保护应用资源、数据在网络中的传输和存储,并优先保护高价值资源。

    ③大面积减少攻击暴露面

    用户通过访问认证之前,资源对用户隐身,即使用户通过访问认证和授权,成功进入网络以后,零信任架构也将阻止用户漫游到未经授权的领域。零信任思维从根本上降低了外部(互联网可发现)和内部(内部威胁)攻击面。

    ④减少违规行为的影响

    零信任架构中,用户只能按需获得有限访问权限,有助于限制违规操作、业务中断、安全漏洞等的危害范围和危害后果,降低了补救成本。

    ⑤缩减安全管理成本和潜在建设成本

    零信任架构终结了安全防护手段各自为政的现状,在零信任架构实施时,可以通过与现有工具的集成,大幅度降低零信任潜在建设成本,零信任的“无边界信任”思想减少了VPN的使用,简化了运营模式,缩减了安全管理成本。

    典型案例:

    零信任架构基于网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度对权限进行动态调整,最终在访问主体和访问客体之间建立一种动态的信任关系。

    在这里插入图片描述

    (二)大数据中心

    ①精细化隔离的安全策略

    ②以身份为基石的逻辑边界

    ③安全策略自适应调整

    (三)云计算平台

    ①实施细粒度的访问控制

    ②面向微笑服务的隔离机制

    ③“先验证后连接”的微服务

    (四)物联网

    场景分析:

    (1)泛终端自身的安全短板
    研究报告显示,攻击者越来越多地利用智能家居传感器、智能手机、路由器上的各种漏洞将其作为新的攻击媒介,物联网终端已经成为事实上的攻击“跳板”,将威胁带入全网。

    (2)多样化终端接入管理困难
    随着物联网的广泛使用,物联网设备快速兴起,传统的哑终端、非智能终端也开始向智能终端靠拢。数量众多、类型多样、不同接入方式的泛终端,既需要传统的网络准入控制、企业资源管理产品对办公终端进行接入管理,也需要统一终端管理等产品对移动端和服务器进行接入资产管理。同时,对于物联终端,尤其是在传统PC终端、移动端混合接入的场景下,还面临接入认证和管理的难题。

    (3)物联终端易于攻击

    物联网终端采用多样化接入技术,包括2G/3G/4G/5G、WiFi、蓝牙、Zigbee、LoRa、NB-IoT等,在云网融合背景下,5G物联网装置绕过了中央路由器直接接入5G网络云端。由于物联网终端具有数量大、安全防护能力较弱等特性,在安全管控措施不到位的情况下,高级攻击者利用设备的脆弱性,从内部攻击服务平台,将更容易获得成功。

    解决思路:

    随着边缘计算技术的不断完善,边缘计算在本地执行计算和分析的思想也越来越被接受,云边协同成为新的基础架构,极大地满足物联网大部分场景在敏捷连接、实施业务、数据优化、安全与隐私等方面的计算需求。在物联网实施零信任架构,可借边缘计算技术,解决终端的身份认证和访问控制,允许身份可信、经过动态授权的物联网设备入网,并动态监测,及时发现并处置假冒、伪造的非法连接。

    (1)部署边缘物联接入管理设备

    在物联网设备侧部署边缘物联网接入管理设备,接管物联设备的身份管理、权限分配、接入控制等接入管理功能,物联接入管理设备和数据中心联动,在网络边缘处协同使用计算、连接、存储能力,及时处理物联网设备相关请求,控制安全风险范围。
    

    (2)建立物联设备标识管理机制

    面对物联网终端主要存在的终端设备仿冒、用户身份仿冒问题,根据物联终端各自不同的特性,可以采用不同的身份标识实施身份鉴别。高可信设备采用可信芯片+可信OS(Operation System,操作系统),直接标识身份;嵌入式设备采用设备标签,如	如移动设备识别码(IMEI)、应用开发商标识符(IDFA)、唯一设备标识码(UDID)等,以及设备外贴RFID电子标签、密码模组等,都可以帮助建立设备身份标识;对于智能程度较低的物联设备,也可以采用设备数字指纹的方式来构建设备标识,解决设备入网身份管理问题。
    

    (3)建立物联设备安全基线库

    ​ 采用灵活的方式,对物联设备建立安全基线。在物联设备标识管理基础上,综合获取物联设备信息,包括操作系统类别、操作系统版本、涉及敏感数据的APP特征、业务访问记录、行为特征等,运用人工智能深度学习等技术手段,建立安全基线库,帮助快速精准判断设备运行环境是否正常,及时发现被“攻陷”设备。

    典型案例:

    ​ 零信任身份指纹的解决方案,借助边缘物联代理,已进入关键技术突破和实验验证阶段。其核心指导思想是对物联设备建立身份指纹,主体属性(包括:MAC地址、操作系统、端口、协议、服务、厂商)、环境属性(包括:上线时间、IP、接入位置、业务流量大小)和客体属性(包括:所属部门、管理人员、授权时间、授权级别)构成,通过持续主动扫描、被动监听检测、安全接入控制区等方式,对物联终端进行持续信任评估、访问控制,解决物联终端的身份仿冒和恶意访问。

    在这里插入图片描述

    MQTT:(Message Queuing Telemetry Transport消息队列遥测传输)是ISO标准下基于发布/订阅范式的消息协议。它工作在TCP/IP协议族上,是为硬件性能低下的远程设备以及网络状况糟糕的情况下而设计的发布/订阅型消息协议,为此,它需要一个消息中间件。

    MQTT是一个基于客户端-服务器的消息发布/订阅传输协议。MQTT协议是轻量、简单、开放和易于实现的,这些特点使它适用范围非常广泛。在很多情况下,包括受限的环境中,如:机器与机器(M2M)通信和物联网(IoT),其中,通过卫星链路通信传感器、偶尔拨号的医疗设备、智能家居、及一些小型化设备中已广泛使用。

    国内很多企业都广泛使用MQTT作为Android手机客户端与服务器端推送消息的协议。随着移动互联网的发展,MQTT由于开放源代码,耗电量小等特点,将会在移动消息推送领域会有更多的贡献,在物联网领域,传感器与服务器的通信,信息的收集,MQTT都可以作为考虑的方案之一。

    MQTT协议是为大量计算能力有限,且工作在低带宽、不可靠的网络远程传感器和控制设备通讯二设计的协议,它具有以下主要的几项特性:

    1. 使用发布/订阅消息模式,提供一对多的消息发布,解除应用程序耦合。

    2. 对负载内容屏蔽的消息传输。

    3. 使用TCP/IP提供网络连接。

    4. 有三种消息发布服务质量。

    5. 小型传输,开销很小(固定长度的头部是2字节),协议交换最小化,以降低网络流量。

    6. 使用Last Will和Testament特性通知有关各方客户端异常中断的机制。

    HTTP:(Hyper Text Transfer Protocol超文本传输协议)是一个简单地请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出,二消息内容则具有一个类似MIME的格式。

    HTTP是基于客户/服务器模式,且面向连接的。典型的HTTP事务处理有如下的过程:

    (1)客户与服务器建立连接

    (2)客户想服务器提出请求,(请求格式:统一资源标识符URL、协议版本号,后面是MIME信息包括请求修饰符、客户机信息和可能的内容)

    (3)服务器接受请求,并根据请求返回响应的文件作为应答,(其格式为一个状态行,包括信息的协议版本号、一个成功或者错误的代码,后边是MIME信息包括服务器信息、实体信息和可能的内容)

    (4)客户与服务器关闭连接

    客户与服务器之间的HTTP连接是一种一次性连接,它限制每次连接只处理一个请求,当服务器返回本次请求的应答后便立即关闭连接,下次请求再重新建立连接。这种一次性连接主要考虑到WWW服务器面向的是Internet中成千上万个用户,且只能提供有限个连接,故服务器不会让一个连接处于等待状态,及时的释放连接可以大大提高服务器的执行效率。

    HTTP是一种无状态协议,即服务器不保留与客户交易时的任何状态。大大减轻服务器记忆负担,保持较快响应速度。HTTP是一种面向对象的协议,允许传送任意类型的数据对象,它通过数据类型和长度来标识所传送的数据内容和大小,并允许对数据进行压缩传送。当用户在一个HTML文档中定义了一个超文本链后,浏览器通过TCP/IP协议与指定的服务器建立连接。

    从技术上讲,客户在一个特定的TCP端口(端口号一般为80)上打开一套接字。如果服务器一直在这个周知的端口上倾听连接,则该连接便会建立起来,然后客户通过该连接发送一个包含请求方法的请求块。

    HTTP规范定义了9种请求方法,每种请求方法规定了客户和服务器之间不同的信息交换方式,常用的请求方法是GET和POST。服务器将根据客户请求完成相应操作,并以应答块形式返回给客户,最后关闭连接。

    (五)5G应用

    在Gartner行业报告《市场报告:通信服务提供商应对5G安全挑战的策略》中,把纵深防御持续性和自适应以及零信任安全列为5G安全战略的三大支柱。

    1. 5G应用安全风险分析

    5G将多样化的应用统一到了一个网络,并且凭借网络切片和边缘计算技术实现网络的划分和对应用的支撑,但是安全需求仍然呈现多样化的特点。5G网络从云、管、边、端多维度引进了安全风险,同时,2G/3G/4G的一些应用风险在5G中仍然存在。基于5G应用架构,对5G应用进行安全风险分析和梳理。

    (1)按照网络侧和用户端梳理5G架构下的主要对象,如下表所示:

    在这里插入图片描述

    (2)按照内部和外部梳理5G架构面对的风险来源,如下表所示:

    在这里插入图片描述

    (3)对5G架构下的攻击情况进行梳理,如下表所示:

    在这里插入图片描述

    典型的攻击案例列表如下:

    ①建立5G统一的身份管理机制

    ②实现细粒度用户访问控制

    ③访问控制策略自动化配置

    在这里插入图片描述

    对5G应用的威胁集中在对数据的机密性、完整性、可用性、防抵赖性攻击以及对应用资源和服务身份授权等方向,由于5G应用表现形式的不同,所采用的资源保护方式也有所不同。

    2. 基于零信任的5G应用风险消减思路

    5G应用面临的安全挑战主要源于开放的5G架构下,攻击面大大增加。5G应用安全建设一支滞后于5G业务建设。梳理影响5G应用安全的关键技术要素如下:

    ①获取5G网络中用户的唯一永久身份标志(SUPI)加密后的隐藏标识符(SUCI)

    ②更新后的身份验证和密钥协议(AKA)

    ③增强完整性的无线接入网数据

    ④增强密码算法

    ⑤增强网间连接安全性

    ⑥增强家庭网络安全控制

    ⑦基于用户设备数据的虚假基站检测

    结合5G应用架构和零信任体系架构方法,可以很有针对性的采取5G风险消减的办法

    (1)建立5G统一的身份管理机制

    (2)实现细粒度用户访问控制

    (3)访问控制策略自动化配置

    文献总结:

    基于零信任架构的IoT设备身份认证机制研究 2020

    摘要:新型应用场景致使网络安全边界模糊、增加新的暴露面。

    三、零信任的实现

    在这里插入图片描述

    云深互联陈本峰谈零信任架构的3大核心技术:https://www.deepcloudsdp.com/news/detail7.html

    软件定义边界(SDP)简介:

    https://blog.csdn.net/baidu_41700102/article/details/104314375

    SDP 软件定义边界:

    在这里插入图片描述

    SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP 旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构。

    SDP 的体系结构由两部分组成:SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理(请参见下图)。因此,在 SDP 中,控制平面与数据平面分离以实现完全可扩展的系统。此外,为便于扩展与保证正常使用,所有组件都可以是多个实例的。

    基于SDP技术构建零信任安全

    在这里插入图片描述

    使用 lstio 服务网格实现零信任网络

    https://itnext.io/helping-reach-a-zero-trust-network-using-an-istio-service-mesh-ca4865d46e61

    360云盾

    https://www.360.cn/n/11512.html

    在云端轻松实现零信任安全策略的灵活扩展

    https://cloud.51cto.com/art/201504/472271_all.htm

    VMware NSX实现零信任

    https://blog.csdn.net/z136370204/article/details/97243605

    VMware vCenter 6.0 安装及群集配置介绍

    https://blog.51cto.com/wzlinux/2094598

    创建 vSphere Distributed Switch

    https://docs.vmware.com/cn/VMware-vSphere/6.5/com.vmware.vsphere.networking.doc/GUID-D21B3241-0AC9-437C-80B1-0C8043CC1D7D.html

    Toomey说,如何开始零信任之旅零信任可以逐步实施。他说:“第一步是定义您想要实现的业务成果。” “查看您的技术清单,并加以利用。制定一个计划并坚持下去。一位圆桌会议参与者询问采用零信任度是否意味着您必须废弃现有的基础架构。 Toomey回答说,它不会替代现有技术,而是添加到您拥有的技术旁边。供应商可以提供评估工具,以帮助组织确定要保护的最高优先级应用程序。这些将扫描组织的环境,以识别与特权访问相关的现有风险。为了解决这些风险,零信任需要多种技术的结合,例如多因素身份验证,身份和访问管理,特权访问和网络分段。鲁兹说。 Ruetz说,单一登录也很重要,但只是一小部分。行为分析和AI可以通过为身份管理提供上下文来帮助理解不寻常的模式。 Gritter说,有关他们正在访问什么以及流量来自何处的信息可以帮助系统做出授予访问权限的决策。通过开始自动执行过程,这也使身份管理更加容易。 “我们要做的不只是自动化流程,” Gritter补充道。 Ruetz表示:“借助AI和机器学习,我们需要达到一个自治的程度,否则我们将永远跟不上。”没有一家供应商提供完整的零信任解决方案。

    腾讯安全发布《零信任解决方案白皮书》

    https://mp.weixin.qq.com/s/ZkuR5bDGYpXySUcuROcb7Q

    FWKNOP 是 Jonathan Bennett 等推动的一个 SPA开源项目[9],诞生于 2004 年,最新版本( 2018 年) 可 以支持对 iptables、firewalld( Linux) 、ipfw( FreeBSD 和 Mac OS X) 、PF( OpenBSD) 等防火墙进行调用. Fwknopd 为服务端守护进程,根据客户端发送的 SPA 报 文,完成客户端认证,并根据加密报文的具体内容,执 行服务端临时防火墙策略的生成、删除和连接状态保持.

    fwknop教程

    https://blog.csdn.net/u010617952/article/details/108757602

    单包授权认证(SPA)fwknop之安装和演示

    https://blog.csdn.net/he_tao225/article/details/106425229

    源代码

    https://github.com/mrash/fwknop

    单包授权fwknop 强服务隐蔽的综合指南 *使用教程*

    http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

    权限控制模式:ACL、RBAC、ABAC {GO语言}

    https://blog.csdn.net/hukfei/article/details/86631685

    在 Go 语言中使用 casbin 实现基于角色的 HTTP 权限控制

    https://studygolang.com/articles/12323

    四、 区块链与零信任的结合

    文献总结

    1.使用区块链将零信任架构扩展到端点:一项系统性综述

    Augmenting Zero Trust Architecture to Endpoints Using Blockchain: A Systematic Review

    摘要:为了在当今的无边界网络中防止横向移动,零信任体系结构(ZTA)的采用正在获得势头。考虑到全面的ZTA实施,对手不太可能从受损的端点开始通过网络传播。但是,可以利用受损端点的已验证和授权会话执行有限的恶意活动,最终使端点成为ZTA的致命弱点。为了有效地检测此类攻击,基于攻击场景的分布式协同入侵检测系统已经被开发出来。尽管如此,高级持久性威胁(APT)已经证明它们能够以高成功率绕过这种方法。因此,对手可以在未被发现的情况下通过或潜在地改变检测日志机制以实现隐蔽存在。最近,区块链技术在网络安全领域展示了可靠的用例。受ZTA和基于区块链的入侵检测和预防的融合的推动,在本文中,我们研究了如何将ZTA扩展到端点。也就是说,我们对ZTA模型、以端点为重点的现实世界体系结构以及基于区块链的入侵检测系统进行了系统回顾。我们讨论了区块链的不变性增强检测过程的潜力、已识别的开放挑战以及可能的解决方案和未来方向

    痛点:随着云计算和基于云的服务的革命,组织或企业的大多数资源和数据不再存储在本地。此外,像新冠病毒这样的流行病极大地改变了工作模式,大多数员工和企业不得不转而在家工作。由于许多“未经培训”的员工使用自己的设备连接到工作IT系统,在家工作(和远程工作)使组织面临新的严重安全风险。

    传统问题:基于边界的安全模型中,我们通常假设边界内的组织资源和资产是良性和可信的。一旦攻击者成功控制了这些端点中的任何一个,他们就会进入边界并获得对进一步敏感信息和资产的访问权。此外,在基于边界的安全模型中,组织将无法保护由第三方云服务提供商管理的资产。

    文章引用了几篇实现零信任架构的文献:

    [13] M. Zhou, L. Han, H. Lu and C. Fu, “Distributed collaborative intrusion detection system for vehicular Ad Hoc networks based on invariant,” Computer Networks, vol. 172, no. 107174, pp. 12-14, 8 May 2020.

    [14] W. Li, Y. Wang, Z. Jin, K. Yu, J. Li and Y. Xiang, “g, Challenge-based CollaborativeIntrusion Detection in Software Defined Networking: An Evaluation,” Digital Communications and Networks, vol. 10, no. 1016, pp. 4-6, 19 September 2020.

    [15] C. Cunningham, “forrester.com,” Forrester Research, Inc., 27 March 2018. [Online]. Available: https://go.forrester.com/blogs/next-generation-access-and-zero-trust/. [Accessed October 2020].

    [16] J. G. Grimes, “acqnotes.com,” June 2007. [Online]. Available: http://www.acqnotes.com/Attachments/DoD%20GIG %20Architectural%20Vision,%20June%2007.pdf. [Accessed October 2020].

    [17] R. Ward and B. Beyer, “BeyondCorp: A New Approach to Enterprise Security,” Usenix, vol. 39, no. 6, pp. 6-10, December 2014.

    [18] L. Cittadini, B. Spear, B. Beyer and M. Saltonstall, “BeyondCorp: The Access Proxy,” Security, vol. 41, no. 4, pp. 28-33, 2016.

    在这里插入图片描述

    一旦网络位置依赖变得无关,虚拟专用网(VPN)技术就可以被消除。简言之,VPN允许远程工作的用户A通过安全加密通道连接到办公室B。更准确地说,从A到B的隧道是加密的,但是,作为端点的A和B是无关的,应该通过其他方式进行保护,因为VPN加密仅指A到B隧道本身。当用户A通过身份验证且隧道成功建立时,他/她在远程网络B上接收到IP地址。此外,在该隧道上,从点A到网络B的流量被解除封装并路由,因此导致“正式”后门。因此,如果我们开始将网络位置视为不相关的,同时应用一组适当的控制以及现代体系结构,那么只要没有进一步的依赖关系(例如,使用遗留协议的应用程序),就可以消除VPN。这就是说,身份验证和授权以及策略执行应该立即尽可能地移动到网络边缘。

    在这里插入图片描述

    在这里插入图片描述

    展开全文
  • 零信任理念适用场景如下 办公安全 远程办公安全 需求 从远程办公的业务需求上来看,主要有: 1)普通办公需求:主要需求是访问公司的OA、审批系统、知识管理系统,以及公司的邮件、即时通讯、视频会议系统等; 2)...

    适用场景

    零信任理念适用场景如下

    办公安全

    远程办公安全

    需求

    从远程办公的业务需求上来看,主要有:
    1)普通办公需求:主要需求是访问公司的OA、审批系统、知识管理系统,以及公司的邮件、即时通讯、视频会议系统等;
    2)开发测试需求:主要需求是访问公司的测试环境、代码仓库、持续集成系统等;
    3)运维需求:主要需求是能远程登陆运维管理平台、远程服务器登陆维护等。

    存在问题

    传统安全架构下,主要存在如下问题:
    1)无法判断来源系统(员工设备等)环境的安全性,存在以来源终端为跳板攻击企业内网的风险;
    2)无法进行精细化、动态化的权限控制;
    3)缺乏安全感知能力,只能基于网络流量进行审计;
    4)扩展能力较差,无法应对大规模的突发远程办公需求

    解决方案

    通过零信任系统提供统一的业务安全访问通道,取消职场内部终端直连内部业务系统的网络策略,尽可能避免企业内部服务完全暴露在办公网络中的情况。所有的终端访问都需进行用户身份校验和终端/系统/应用的可信确认,并进行细粒度的权限访问校验,然后通过零信任网关访问具体的业务,这样能极大的减少企业内部资产被非授权访问的行为。
    在这里插入图片描述
    在该方案中,零信任网关暴露在外网而内部资产被隐藏,通过可信身份、可信设备、可信应用、可信链路,建立信任链的方式来访问资源。方案中比较重要的核心模块功能如下:
    a)零信任Agent:在用户终端安装的零信任Agent实现了对设备的注册、安全状态上报、基线修复等功能,通过Agent实现用户与终端的绑定和信任建立,让零信任访问控制和保护引擎(安全控制中心)可以动态评估终端环境安全风险;
    b)零信任网关:零信任网关提供对外访问入口,通过七层HTTP代理,或是四层网络流量代理等方式,实现将内部资源代理到外部访问中;
    c)零零信任访问控制和保护引擎:该模块主要实现认证与鉴权两个功能,认证可以通过多因素认证解决用户身份可信问题,还有设备信任、应用信任等,通过零信任的终端、用户、资源、链路的信任链和动态校验机制,来确保对资源的可信访问;
    d)内部系统:内部系统在零信任网关保护之后,只有通过零信任的认证和授权后才可以被访问使用。

    职场外可通过多运营商DNS解析不同的IP入口保障远程用户访问可达,通过负载均衡入口减少对外暴露IP的资源消耗,并能够实现网关处理能力的快速扩展。职场内可以通过同样的DNS解析到内部网关,或者通过控制通道提供网关列表给终端,进行探测选择。这样内网只要网络带宽够,可以无限制扩展网关,不受前置负载均衡的瓶颈影响

    优势

    零信任方案可以带来如下好处:
    a)可快速扩容:零信任网关可以通过负载均衡实现快速的横向扩展,来满足突发的远程办公需求;
    b)安全控制能力强:零信任把安全架构延伸到用户终端上,有更强的控制和感知能力;
    c)安全攻击面小:零信任远程办公方案中,唯一可被访问的只有零信任网关,所有内部资源全部被隐藏在网关后,即便资源存在0day也难以被攻击到;
    d)易使用:用户一旦完成认证后,整个使用过程对用户不会有打扰,用户和在公司内部的权限维持一致,有较好用户体验

    多分支机构访问集团内部资源

    需求

    大的集团公司,员工分布在全国/全球的多个分支子公司或办事处,他们有安全访问集团内部资源的需求,另外还存在着并购公司、合作(协作)公司员工的访问需求。

    存在问题

    1、分支子公司、办事处等地的职场网络,不一定有专线到集团内网(搭建专线价格昂贵),经常通过公网VPN连接,存在安全性不足和访问效率低等问题。
    2、并购公司、协作公司的网络安全管理机制与集团公司很难保持一致,当其访问集团内网资源时,存在人员身份校验和设备安全可信等问题。

    解决方案

    在这里插入图片描述
    1、零信任网络架构设计不再区分集团内网、专线、公网等接入方式,通过将访问流量统一接入零信任网关、零信任访问控制与保护引擎(零信任安全控制中心),实现在任意分支机构网络环境下的内部资源访问。
    2、针对集团、子公司的组织架构或者员工角色设置访问策略,员工可以访问的内部系统仅限于指定业务(细粒度授权),不可越界。应保障访问人员身份、设备、链路的安全,同时子公司的终端或者账户如果有异常需要及时阻断访问。
    3、多数情况下,并购或者协作公司的内部安全建设标准并不统一,因此应加强终端设备的安全管理和保护能力,标准化终端的安全配置。针对并购或协作企业用户的授权,还可以设置有效时间,超时后就无法再访问内部资源

    数据中心内部访问

    主机间加密访问

    需求

    由于合规或内部安全要求,所有包含用户交易或身份信息等敏感信息的流量需要加密传输。而现代的大型数据中心由于计算密度的增加以及虚拟化、容器技术的应用,导致传统的加密方式实施成本及运维难度加大。

    存在问题

    1)传统基于业务开发的加密方式对业务侵蚀较大;
    2)基于硬件设备的加密,成本较高且配置复杂;
    3)业务变化频繁,需要更加灵活的、能够动态配置的流量加密方式。

    解决方案

    流量加密需求结合零信任理念,将控制平面与数据平面分离,在虚拟机或容器环境的节点(Node)上安装微隔离客户端,通过统一的微隔离管理端进行加密策略的配置。为了便于业务梳理,可考虑增加业务流的可视化拓扑,从而实现基于实际业务访问关系的加密策略配置。
    **微隔离管理端:**采用标签体系对工作负载进行定义,即可实现加密策略的去IP化。例如定义某业务系统的“APP1”标签主机可以访问数据库“DB1”标签主机的1521端口。去IP化后,当工作负载发生变化时,例如克隆复制、IP变化等,微隔离客户端会将变化上传至微隔离管理端,管理端可自动计算环境变化导致的策略变化,从而进行自动调整。
    **微隔离客户端:**以长连接形式与管理端进行保活,当管理端生成加密策略时,客户端即可获取到对应策略。工作负载间的加密可通过IPsec的方式进行,从而保障TCP和UDP均可进行加密,另外IPsec这种长连接形式,更适用于服务间调用的场景。微隔离客户端也可将主机的连接信息,上报到微隔离管理端,管理端进行分析匹配,从而绘制业务流量拓扑。

    风险提示

    流量加密会增加工作负载的性能损耗,在规划时,建议按需配置。另外本方案需要安装微隔离客户端

    云数据中心虚拟机间访问

    需求

    对于大型数据中心场景,传统方式通常采用对数据中心网络分级分域的方式进行管理。随着业务的发展,一个网络区域内部的虚拟机数量可能会大幅增加,需要通过更快捷的方式实现数据中心内部东西向流量之间的隔离和访问管理,缩减内部攻击面

    存在问题

    1)已有业务系统,由于长时间运行,业务关系复杂,很难通过人工形式进行有效梳理,从而导致东西向安全策略的配置工作无从下手;
    2)与南北向域间访问控制相比,东西向的访问控制策略条数随着工作负载的数量呈指数上升,高计算密度下,通过人工方式配置策略不再可行;
    3)新业务上线前,需要安全或运维部门进行访问控制策略的配置,如果配置效率低,将影响业务交付速度

    解决方案

    1)对于已有系统,通过微隔离组件与CMDB(配置管理数据库)对接,实现业务流学习与精细化策略配置
    通过与CMDB的对接,将工作负载的属性信息读取到微隔离管理中心组件上,并自动生成对应的工作组(微隔离能够按角色、业务功能等多维度对需要隔离的工作负载进行快速分组)及标签。通过自动化运维工具批量部署微隔离客户端组件,通过IP作为媒介,安装好客户端的工作负载会自动接入微隔离管理中心组件的对应工作组中并配置相应标签。
    微隔离客户端会自动学习工作负载间的访问关系,绘制业务流量拓扑,同时将学习到的业务关系转换为业务流信息上传到CMDB中,即可实现对已有系统的业务梳理。再由业务部门对业务流信息进行审核,审核通过的即可回传至微隔离管理中心,管理中心将确定的业务流信息自动生成安全策略下发到各工作负载之上。
    2)对于新建系统,通过微隔离组件与CMDB对接,实现安全策略与业务功能的同步交付
    微隔离客户端默认安装在虚拟机操作系统的镜像中,业务部门需要在CMDB中说明新建系统内部、新建系统与已有系统的业务流信息。当新业务上线时,微隔离管理中心除了读取CMDB中工作负载的属性信息外,还将读取业务流信息,并基于业务流信息自动生成新的安全策略并覆盖原有安全策略,从而实现业务与安全的同步交付。对于几百上千台虚拟机的情况下,这种方案可以大幅减少安全策略管理的工作量,并提升内部安全等级

    风险提示

    本方案依赖于CMDB系统,对于CMDB的标准化建设有一定要求。对于已有系统,如果业务未经过梳理,则开始需要业务部门参与,存在一定工作量。

    k8s容器间访问

    需求

    容器环境的应用使业务开发和部署更加灵活,但目前容器环境下内部普遍采用大二层网络,在安全建设层面缺少基础的网络层访问控制,而开源工具配置复杂,很难使用和运维。因此需要一种方案能够对容器之间的流量进行管理和控制

    存在问题

    1)Kubernetes(k8s)容器环境下pod变化频繁,导致IP随之变化,传统基于IP的策略管理模型失效;
    2)开源工具Network policy等配置繁琐,缺少阻断日志,无法排查异常通信;
    3)海量节点的策略配置与下发,有完全去IP化的需求;
    4)地址转换问题,例如pod访问容器外的数据库集群,传统方式会隐藏掉源pod的信息

    解决方案

    整体方案包含两部分——微隔离客户端+管理端,在不改变业务及网络架构的前提下,自定义容器间访问控制。
    对于k8s架构的容器环境,可通过在Node上部署微隔离客户端,实现对pod的Label、Namespace的识别,Label信息可用于配置pod的身份,Namespace可用于划分工作组。同时k8s现有接口,可识别pod之间的通信。
    为了解决容器环境频繁上下线时,策略频繁计算导致性能瓶颈的问题,在配置过程中采用基于机器身份的微隔离方案,利用SPA机制实现完全去IP化,策略的配置、执行完全以机器的身份作为标识,在地址转换场景下也可识别真实的访问来源

    风险提示

    上述方案实施需要容器环境具备一定的架构规划,配置信息规范,例如规范定义Label及Namespace。采用SPA机制可减少策略计算导致的延迟,但会增加性能损耗

    大数据

    需求

    大数据应用场景下,数据访问包括以下几种方式:
    1)终端用户通过访问内部应用,然后通过API调用方式访问数据;
    2)外部应用或数据服务平台通过访问数据服务区提供的API服务,进而访问数据;
    3)数据分析和运维人员可直接访问数据。
    由于数据访问入口多、数据结构复杂,数据泄漏风险增大,因此需要对数据访问行为进行动态、细粒度的数据访问控制

    存在问题

    尽管已经在应用层面上对不同的用户实施了访问控制,但如果某个应用系统被入侵或被控制,攻击者拥有应用系统访问权限后能够访问到数据资源,造成数据泄露风险。即无法验证终端和环境的可信性,可能导致数据外泄。

    解决方案

    在这里插入图片描述
    如上图所示,在大数据应用场景下,部署零信任方案,在用户身份、设备安全、应用安全、链路安全等信任属性基础上,增加数据类别、数据级别、数据操作(增删改查)等更多数据本身的属性,实施动态、细粒度的访问控制。即便某一应用系统遭受到攻击,也只能攻击该应用系统所能操控的数据范围,而不会影响到大数据环境下其它数据的安全

    物联网

    需求

    物联网属于典型的大型分布式网络系统,每一个数据采集节点都属于一个分布式节点,该节点往往缺少本地的防护能力,容易被不法分子利用,导致整个物联网系统的安全坍塌。
    可见物联网的本质属于“无边界网络”,其安全要求不仅体现在传统网络层面上的节点安全、通信安全、后端业务应用的安全等方面,还包括其在“无边界网络”环境下的感知层的安全,即分布式节点的各类传感器的安全,以及在对应复杂的业务策略带来的各种管理控制要求等。
    物联网终端、连接、管控等方面可实现以零信任理念为主导,形成动态防御的体系。

    存在问题

    1)终端资产不可见问题:终端资产多为传感器,自身结构简单、功能单一,不具备传统网络终端可感知、可自身防护、可管控等特点,部署完成之后很难知道终端的状态,同时对传感器上报的数据也没有安全手段予以防护,终端和链路均不安全;
    2)连接方式不可知问题:目前传感器的连接以非IP的连接方式为主,传统的手段在物联网的应用场景下无法起到应有的效果,需针对新应用场景提供可用的管理和防护方法,满足新业务场景的需求;
    3)网络不可控问题:物联网网络连接的特点是次数少、速率慢、数据包小,很难像传统网络一样形成可管可控的管理系统,也无法提供及时有效的安全防护手段,从网络防护的角度上看,网络状态处于不可控;
    4)运维不可行问题:物联网终端存在分布范围广、终端类型多、协议难管理、拓扑无固定模式等特点,需要针对此类特点提供更可靠的运维模式

    解决方案

    在这里插入图片描述
    物联网安全防护解决方案主要根据实际应用场景的需求,安全防护痛点,有针对性的形成集中管控、资产可视、网络可控和安全可视的整体安全防护解决方案。该方案是针对物联网安全需求而设计,方案特色主要体现在以下几点:
    1)资产可视。物联网终端安全准入控制,基于物联网节点感知技术,通过丰富的物联网设备指纹基线库,并且支持结合特定需求,定制指纹库,实现物联网设备准入控制和行为诊断,可以有效评估物联网设备的安全状态,发现终端异常行为,及时阻断。对于物联网资产,识别为零信任体系中的环境因子,在感知层提供环境感知基础;
    2)传感器接入提供安全防护。物联网安全接入网关能够做到对传感器(人脸识别器、车辆识别器、道闸、智能门禁)做到识别、动态展现、异常接入检测告警,这是传统网关类设备不具备的。连接方式丰富,支持LoRa、wifi、RS485等接入方式,能够应对各种网络变化和对有线连接的备份。在物联网接入层,确认传感器的状态之后,形成接入层安全状态的模型,上报上层管理中心,接入设备的安全状态发生变化时,可接受管理中心的策略,切断传感器的连接甚至是接入层的连接,保证物联网汇聚节点的安全;
    3)网络可控。物联网终端安全准入系统通过监听通信链路的网络流量,识别终端模型,支持对接第三方的网关设备,能够确保通信链路的安全性。可以持续监控传输流量的协议类型,识别传感器的业务种类,进行业务安全行为分析,为设备标注可信标签,快速的检测实时网络攻击。网络可控提供了网络行为的模型基线,网络流量发生的时间、流量大小、异常流量等成为风险评估因子,为管理中心提供网络行为评估基础。
    4)运维实施简单、成本低。所有安全设备部署做到即插即用,网关上电、插网线即可完成安装工作,网关自动注册到云端设备管理平台,完成自动连接和安全配置下发工作。通过集中的管理平台,用户可以同时管理成千上万的分布式节点,同时管理安全策略,相对于传统需要耗费巨大的时间和人力成本的方案,统一管理的模式使物联网业务的安全部署更加简单、快捷、灵活、易用和高效。顶层管理中心对传感器环境因子和网络行为因子进行综合评估,可形成完整的安全态势分析,通过预置的安全策略保障物联网安全实现动态防护。

    多云安全访问和混合云服务器运维

    多云办公安全访问

    需求

    中小企业用户,经常使用多个公有云厂商的云服务,在不同的公有云上部署不同的业务。中小企业用户不愿意也没有能力在多个云上构建企业网络来保障访问策略的统一,但需要安全的访问多个云上的资源

    存在问题

    用户要适配不同的云服务商提供的访问控制策略接口,没有统一入口,缺少跨公有云的统一资源安全访问能力

    解决方案

    在这里插入图片描述
    需要为终端设备提供多个公有云连接通道的能力,多个云复用同一个零信任安全控制中心,提供统一的访问控制策略,通过低流量的策略同步或者其他不影响带宽的机制,做到统一的授权管理。用户在具体要访问某个公有云上业务的时候,就可以通过安全控制中心,对接到相应云的零信任安全网关入口进行访问

    混合云服务器安全运维

    需求

    某些大型跨国公司,其业务及服务对象遍布全球多个区域。为了提供良好的用户体验、满足不同区域的合规性要求,采用就近部署服务的方式,需要使用混合云、分布式数据中心的方式部署相关业务服务器。如何进行服务器的安全运维需要安全、便捷的解决方案

    存在问题

    服务器承载业务核心数据,分布部署在运维上将带来授权失控、管理端口对外暴露等风险,同时运维在保证安全的前提下也需要兼顾效率

    解决方案

    为避免企业的运维人员使用静态票据登录云服务器远程运维,通过安全网关对运维人员进行集中身份认证(使用企业的统一身份认证),在对用户和终端设备做身份认证、安全评估和访问授权后,为当前会话临时生成证书,作为服务器登录的票据,解决服务器运维登录问题。同时安全网关也减少了服务器高危端口直接对外暴露的风险。
    另外,针对外部合作方参与协作运维的场景,可以通过企业OA身份认证与合作方身份管理系统对接,合作方人员可直接使用自己的身份认证结果,从而避免合作方使用静态票据登录服务器可能泄露带来的安全风险。

    私有机房对外访问入口的安全防护

    需求

    企业内部IDC网路,默认提供对外入口比较固定,容易遭受DDoS攻击,也比较给企业管理者带来一定的担忧。但是企业面临业务发展,不得不开放远程的办公访问或者服务接入。需要一个既能够对外提供服务,又能够从架构上面保证相对安全的方案

    存在问题

    机房默认对外暴露的入口,带来DDoS或者其他入侵的担忧和风险

    解决方案

    通过提供一个额外的云上接入安全服务,提供对各种入口流量的安全处理,实现对来源流量的网络策略管理
    在这里插入图片描述
    如图,在云上接入安全服务,将原有的IDC入口防护放到云上实现,云上提供的全网络接入点,另外通过前置购买动态CDN,可以降低网络访问的延迟,增加远程访问的体验,保护IDC对外开放的入口。有些云服务厂商提供默认的DDoS防护能力,如果防护能力不足的话可以再追加购买DDoS防护,弹性扩容。然后在云上接入安全服务中部署零信任网关,网关和用户的IDC机房连接,可以通过虚拟的专线网络,也可以通过物理专线做连接。客户终端流量通过动态CDN,通过云上接入安全服务,再进入企业的IDC内网访问对应的资源。过程中可以保障用户业务系统所在的机房不直接对外暴露访问入口

    零信任落地指引

    实施概述

    零信任安全理念在企业的落地不会是一蹴而就,也绝非仅靠采购一些零信任安全产品或者部署一些零信任安全组件就能够简单实现。需要企业根据自身业务系统建设阶段、人员和设备管理情况、现有网络环境、企业网络安全威胁、现有安全机制、预算情况、安全团队人员能力等因素综合考虑,制定零信任安全目标和实施计划,分阶段的逐步落地,持续提升企业零信任安全能力,是一个不断完善、持续优化的过程。
    结合零信任理念在企业落地的具体场景和安全需要,本章将分为全新建设零信任架构网络和在已有网络架构上改造升级两种情况分别介绍。
    主要因素:
    1)有专门的安全团队和人员牵头和推进实施;
    2)领导的重视(往往决定了落地的难易程度);
    3)有明确的安全目标(以及阶段性目标);
    4)有适配达到安全目标的足够预算;
    5)业务团队的充分理解和配合;
    6)第三方厂商的配合;

    方法步骤:
    1)明确范围
    全面梳理和确认过程中涉及的人员、设备、业务系统、数据资产等保护对象,并考虑到实施过程中可能涉及的网络位置(集团总部、分支机构、云环境等)等因素。从应用场景进行梳理可能是比较好的一种方式。
    2)确定安全目标
    根据零信任网络保护对象的重要程度,以及企业可能面临的安全风险、企业安全现状、团队能力、可投入的资源等因素,确定零信任网络需要建设的安全能力,以及能力实现的强弱程度(并非一定要把所有最高级别的安全能力手段都加于企业身上,而是应根据企业实际需求适配,但需要保障零信任基本能力的建设)。
    3)制定实施方案和计划
    根据已确定的安全目标、企业现状,制定实施方案和计划,明确各实施阶段的实施目标和里程碑标志(能够验证目标已达成的事项)。
    4)分阶段实施
    根据制定的实施计划,推动相关人员实施。并按照项目管理的模式,按时推进,跟踪进展,适时调整,逐个阶段的实现。
    5)持续完善和优化
    在完成零信任网络的基本建设后,应该不断和提升丰富企业的零信任安全能力(包括持续加强零信任组件的自身安全防护、持续提升企业的零信任网络安全运营能力等),最终从安全技术、安全意识、安全运营、组织建设等方面持续完善和优化

    全新建设实施指引

    企业全新建设零信任网络时,在实施过程应该注意以下事项:
    1)明确范围时,应对新建系统的访问流程进行遍历,梳理企业内部资源(业务系统、服务接口等)的所有访问路径、用户(含角色等属性)等,并明确是否支持员工使用BYOD设备等场景需求。分析业务流可以用流程图分析,也可以通过自动化方法对业务系统选择非入侵的方式对流量进行长期记录,并对网络流量进行分析,发现系统中存在哪些网络连接。
    2)确定安全目标时,确认需要建设的零信任组件和安全能力,并制定阶段性目标(可以区分企业现阶段能够掌握的能力,以及未来要完善或突破的能力)。应规划和建设统一的身份管理和认证机制,包括对用户、终端设备、应用等的数字身份管理和认证;建设统一的访问控制中心,实现对来自所有用户、终端设备、应用等的访问请求的授权决策。根据企业应用场景、内部资源支持的协议和应用架构(如B/S应用、C/S应用)、工作负载所处环境(物理机、虚拟机、容器等)等因素,确认零信任Agent、网关、隔离组件等实现方式和部署模式。
    3)制定实施计划和实施过程,应注意根据确定的阶段性目标,分步骤实施。在建设完相关组件后,并根据最小权限原则定义访问控制策略,同时需注意集中策略管理带来的风险,对零信任策略访问组件实行强访问限制(也就是对零信任核心组件本身应用零信任理念防护)。企业的安全团队可以制定企业级的访问控制策略,业务团队可以提供更细粒度的应用访问控制策略。
    4)持续完善和优化时,应注意不仅仅是完善零信任组件能力的建设这类“硬”实力的提升,还要根据零信任理念配套提升企业的安全“软”实力,如组织企业员工安全意识培训、组建安全组织、建立安全运营机制等。同时,对于零信任组件安全能力的优化,还可以通过日志分析等方式,对安全目标进行反馈和系统调优,形成闭环,有益于了解如何持续改进零信任网络,逐步降低零信任网络中人工介入的工作量,实现更为全面的自动化和自适应的能力

    已有架构升级实施指引

    企业将已有网络架构升级到零信任架构时,在实施过程应该注意以下事项:
    1)明确范围时,首先要确认需要迁移到零信任架构下的业务系统、网络、用户和终端设备等保护对象然后进行业务访问流程的全面梳理。
    2)确定安全目标时,应确认需要建设的零信任组件和安全能力,并和企业现有的安全能力进行对比,梳理出需要补全的安全能力。
    3)制定实施计划和实施过程,首先要确认是采取优先建设完整的零信任基本安全能力,还是先建立部分零信任安全能力而优先保障业务的覆盖度。在实施时,尤其要关注与企业现有安全产品/系统的对接问题(第三方供应商的配合程度会影响实施时长)。在业务迁移的顺序选择上,可以先选择非核心业务进行试点,逐步将核心业务覆盖;同时要注意设计一定的纠错和缓冲机制(比如同时支持VPN访问和零信任网络访问),在零信任架构网络出现问题时,能保证业务的正常访问,通过方案调整保障业务的平稳迁移,过程中还应加强对用户使用零信任网络的引导。
    4)持续完善和优化时,应注意零信任组件和架构落地部署和运行只是开始,要持续将零信任理念与企业现有安全运营机制、安全组织模式等相结合。

    展开全文
  • 零信任与SASE如何重新定义网络安全.pdf
  • 零信任实战架构总结

    2021-07-28 01:01:51
    此报告主要参考了《零信任实战白皮书》,结合自己对零信任的理解,做了一个精简的总结,做参考。零信任认识零信任解决的是由于传统边界模型过度信任造成的安全问题,重点是Trust Area内过度信...
  • 全球及中国零信任浏览行业规划动向与运行走势分析报告2022版 --------------------------------------- 【修订日期】:2021年12月 【搜索鸿晟信合研究院查看更多内容!】 2021年,全球零信任浏览市场规模达到了 百万...
  • 超详细零信任市场解读

    千次阅读 2021-05-26 10:13:31
    零信任 零信任的特点: “信任”等于“权限”,零信任的实质是通过在网络中消除未经验证的隐含信任 构建安全的业务访问环境。“从不信任,始终验证”是零信任的核心思想,权限最小化是基本原则,在不可信 网络中...
  • 零信任(Zero Trust )(ZT)是一种网络安全范式。它的重心在于保护资源,动态赋予用户的资源访问权限(基于你操作的上下文,基于你的设备,ip,身份认证等综合信息不断调整你的访问权限)。相比之下,传统的网络防御...
  • 零信任,重构网络安全架构!

    千次阅读 2021-06-10 17:44:00
    文章目录一、引言二、传统安全架构的困境三、零信任的概念四、零信任的发展五、零信任架构5.1 设计/部署原则5.2 零信任体系架构的逻辑组件5.3 零信任架构常见方案六、应用场景6.1 具有分支机构的企业6.2 多云企业6.3...
  • 浅析零信任安全模型

    2021-02-04 10:07:39
    自2010年约翰·金德维格(John Kindervag)首次提出了零信任安全的概念之后,已经有十年时间。零信任安全理念已经在国外已经被广泛应用,在国内零信任安全也引起了国家相关部门和业界的高度重视。而今年备受关注,是被...
  • 零信任架构的3大核心技术

    千次阅读 2021-02-04 09:59:24
    零信任”自从2010年被Forrester分析师约翰·金德维格正式提出到现在已有十年的历史,在这十年中“零信任”一直都是安全圈内众人不断争议和讨论的对象,有人说它将是网络安全发展的必然产物,也有人说这种理念难以...
  • 一、初步了解密信零信任安全解决方案 密信零信任安全解决方案基于PKI技术,依托已经建设的密信云密码基础设施和已经提供的密信云密码服务,为用户提供可靠的零信任安全,不仅解决信任问题,最重要的是解决所有安全...
  • 图谱从客户视角出发,结合相关零信任标准和国内外零信任最佳实践,针对企业用户如何构建零信任体系,提供具体的能力清单和指导框架,汇聚成通用性的零信任安全能力谱图,旨在帮助企业进行安全能力转型和升级。...
  • 零信任实战白皮书》笔记要点一、零信任理念、基本假设和原则1.1零信任理念1.2基本假设前提1.3实施原则1.4零信任理念与传统边界安全理念的区别二、零信任技术架构2.1两大参考架构A.CSA-SDP架构B.NIST架构2.2 白皮书...
  • 一文读懂零信任

    千次阅读 2020-12-22 08:00:00
    新钛云服已为您服务917天零信任模型是一个安全框架,它通过删除隐式信任,并在整个网络中强制实施严格的用户和设备身份验证来强化企业安全。本指南深入探讨零信任的起源、体系架构,构成零信任模型...
  • 本文的内容来源于NIST SP 800-207《零信任架构》(草案)、NIST NCCoE发布《实现零信任架构》(草案),着重为大家介绍零信任安全应用场景。零信任架构(草案)可以去关注云深互联公众号免费领取中文版。 零信任是一个...
  • 2020年全球零信任安全解决方案市场规模达到了xx亿元,预计2027年将达到xx亿元,年复合增长率(CAGR)为xx%。 本文重点分析在全球及中国有重要角色的企业,分析这些企业零信任安全解决方案产品的市场规模、市场份额、...
  • 零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 33,805
精华内容 13,522
关键字:

零信任