一、身份管理(零信任)
在零信任的研究、传播和实践中,零信任架构和观点面临着一系列挑战:
1) 零信任命名的不准确
信任是在两个实体之间建立的双向信赖,即另一个实体是它所声称的,并且在交互期间以预期的方式行为。信任总是带来风险,但信任是访问实体之间通信的基础能力,所有访问行为,都是建立在一定程度的信任之上。同时,信任不是静态的,信任水平会随行为、环境的变化而变化。宏观来看信任也不是二进制的,在可信和不可信之间,应该有中间地带。但是,零信任的字面含义,意味着实体之间不存在信任,也意味着整个交互过程信任程度的不变,而这两个将导致交互和业务的无法开展,以及信任等级的过度或不足。
2) 零信任的实现效果被误读
零信任常常被与零风险联系在一起,认为实现了零信任就能实现零风险。实际上,信任就伴随着风险。需要通过信任建立交互,那么就一定会伴随风险的出现。可行的路径不是消除风险,而是以可接受的代价降低风险,控制风险。
3) 零信任与已有网络安全手段的关系
近期的众多零信任实践中,零信任很多被用于解决应用访问问题。同时,很多观点认为零信任只针对的身份层面的安全访问问题,对来自内部或外部的网络攻击行为,比如恶意代码注入、数据大规模窃取、远程控制、扫描,其检测、防御和响应,只能依赖传统的边界和内网安全手段。实际上,从Forrester提出零信任,到Gartner对零信任的最新阐述,零信任的定位都是针对整个网络安全技术架构,从信任的角度进行方法论的重构,其中包括了对传统网络安全手段的整合和改造。
4) 已有零信任方案的缺陷
已有的零信任方案,比如谷歌的BeyondCorp和Cisco的Duo Beyond方案,其中一个关键改造点是取消VPN,全部采用HTTP、HTTPS和SSH等方式对内网进行访问。这样的改造要求内网业务系统进行大范围的改造,同时已有VPN设备几乎完全得不到复用。另外,零信任的实现常常包括业务资产、用户身份、访问权限的梳理,以及业务和设备的改造协同,需要考虑建设成本。最后,已有零信任方案,信任等级的计算侧重于来自设备信息的收集,很少考虑安全设备日志、攻击流量信息。而只考虑静态的设备信息,不考虑动态的行为或攻击信息,得到的信任评估结果是不完备甚至不正确的。
上述由于零信任的概念表述的缺陷和架构落地的不足,导致了业界对网络安全架构设计和建设的不准确认识,比如认为SDP的方案能够完全代替现在的网络边界、内网安全设备,零信任能带来零风险等。同时也带来了更高成本的实践或不成功的部署。
针对上述零信任的实践和问题,IT研究机构Gartner在2018年研究报告中,认为零信任是实践持续自适应的风险和信任评估(CARTA, continuous adaptive risk and trust assessment)的第一步。即当交互开始前,或不需要通信交互时,所有访问者都是不信任的。但出现了访问交互的需要,那么就必须建立起足够而适度的信任。进一步,已建立的信任并非静态或二元的,当访问者环境、行为产生变化,例如访问行为风险增大时,对访问者的信任应该进行相应的调整。Gartner基于CARTA的上述理念提出了精益信任的概念,认为信任应该基于风险的持续评估,实现精益地控制,应该是“足够而及时”的。而零信任是实现信任的精益控制的第一步。
从上述精益信任安全访问架构,以及风险/信任评估控制流程可以看到,精益信任的控制过程同样包含了防御-检测-响应的闭环。本文中的精益信任安全访问架构定位与对资源访问行为的防护和控制,不能替代传统的云端、边界、内网、数据安全手段,与已有安全防护手段是共存的关系。同时,传统安全手段中设备的攻击防御日志、检测日志、流量信息、事件处置信息等,都可以用于扩展多源上下文信息,作为信任等级计算的输入,用于对信任进行更精细准确的评估。
精益信任网络安全架构的运转,是各个层面相互交织、相互依赖的自适应过程。从零信任开始,基于多源上下文信息对风险/信任进行持续评估,循环不断进行反馈和控制。精益信任的上述理念,可以运用到包括身份、数据、内网、计算环境等场景的整个网络安全架构中,进而改造和提升传统安全建设方法论,提升防护能力。
本小节中基于深信服精益信任安全访问架构的实现,需要满足以下几个关键指标:
1) 访问建立前,默认所有用户和设备不可信;
2) 信任的建立基于对用户身份、设备信息、环境信息的综合评估;
3) 持续监测设备、用户的多源上下文信息(设备信息、行为信息、环境信息),进行风险评估;
4) 基于风险评估结果,对风险和当前的信任等级进行比较,持续调整信任等级;
5) 支持C/S、B/S下的加密访问,支持本地和云化部署,支持组件的扩展。
基于精益信任的构建思想和上述指标,精益信任安全访问架构如下:
图1 精益信任安全访问架构
精益信任安全访问架构包含精益信任平台和精益信任插件。其中精益信任平台部署于应用服务区前端,控制对应用服务区的访问行为。平台由5个模块组成,分别是信任控制中心,安全接入网关,身份认证中心,终端管理中心和检测分析中心。5个模块和精益信任插件的功能分别是:
1) 信任控制中心:信任控制中心负责进行信任的评估和权限管理。访问建立之前中,信任控制中心对接用户设备上的精益信任插件进行认证。用户的认证信息、设备和环境信息由精益信任插件上传至信任控制中心,与身份认证中心和终端管理中心内相关数据比对,确定用户合法身份和信任等级。访问过程中,基于用户、设备的身份和状态变化,以及访问行为、失陷信息,信任控制中心计算用户、终端的风险状况,变更信任等级,更改控制策略。
2) 安全接入网关:可信接入网关接收信任控制中心下发的策略,实现访问行为的控制。同时支持C/S和B/S架构下的加密访问。通过可信接入网关,访问过程只能看到权限内的应用资源和端口信息,后端其他应用被隐藏。可新接入网关还负责实现传输加解密,部分边界防御和负载均衡等功能。
3) 身份认证中心:身份认证中心存储用户的身份信息,与权限控制管理系统对接,进行用户身份的核对和更新。并与后端业务系统对接,实现身份管理、单点登录、联邦认证等功能。
4) 终端管理中心:终端管理中心存储终端设备信息,包括IP、硬件特征码、操作系统、安全软件、应用软件、漏洞等信息。与信任控制中心对接,比对设备信息。并与精益信任插件对接,实现终端管控和终端环境信息收集。
5) 检测分析中心:检测分析中心对用户访问行为和流量进行检测,发现异常、攻击行为和恶意流量。与信任控制中心对接,反馈检测结果。
精益信任插件:部署于用户端的个人电脑(PC)或移动终端上,实现用户端设备防护、环境感知,并建立对接精益信任平台的认证通道。
如上所述,零信任网络架构落地过程中容易出现业务改造要求大,现有设备难以复用,部署落地投资较大等困难。精益信任安全访问架构针对这些问题进行了针对性设计,通过以下关键技术解决上述问题:
1)支持代理模式与隧道模式:谷歌的BeyondCorp等SDP方式部署的零信任架构,只支持代理模式访问。但是,很多政企客户都采购了VPN硬件,用VPN的方式从外部网络访问应用服务资源。同时应用服务资源普遍存在C/S和B/S架构并存的现象。精益信任安全访问架构同时支持B/S架构下的代理模式,与C/S架构下的隧道模式,实现了对现有VPN设备和应用系统的兼容。同时,VPN、HTTPS、SSH等访问协议下,均可以实现风险/信任的持续评估和动态控制。
2)私有部署和云化部署:精益信任安全访问架构中的平台,支持本地独立部署与云端部署。云端部署模式下,平台模块通过网络功能虚拟化形式在公有云或私有云平台中实现,仍以上述精益信任的保护方式对云内资源提供防护。
3)按需部署组件:精益信任平台中包含多个模块,共同实现风险/信任的持续评估和动态控制。但整体平台支持模块的可裁剪,其中检测分析中心、终端管理中心、身份认证中心都属于可裁剪模块。当缺失某个模块时,信任控制中心承担此模块的部分功能,用户的业务访问仍然可以进行,并仍具有精益信任控制功能。比如身份认证中心缺失,则信任控制中心承担弱化版的登录认证和身份信息存储功能。同时此时的多源上下文信息将会有所缺失,评估得到的信任准确性和精细程度也将下降。
4)风险/信任传递标准化:精益信任安全访问架构中,信任建立和持续评估过程依靠模块间广泛持续的互动和通信。考虑已有安全设备也能发挥精益信任平台中部分模块的功能,如4A平台能发挥身份认证中心的功能,因此精益信任架构需要支持对多厂商、多类型设备的兼容。通过在信任控制中心中实现一个风险/信任接口标签库,来实现对多厂商、多类型设备的兼容。接口标签库实现标准接口、各个厂商私有接口的转换。通过将接口协议转换为特定的风险/信任标签,来实现设备的兼容和按需的接入扩展。