零信任的本质:基于身份的动态管控_java


安全牛评


2020年,企业高管和CISO们的头号任务就是数据安全和隐私保护,对于拥有海量用户数据的企业来说,数据安全和隐私保护正面临三大挑战:合规、远程办公加速安全边界消失、数字化转型(上云)。而零信任正是当下企业渴望的一种能够应对以上挑战的,全新的网络安全防御方法和体系。零信任不仅可以保护整个企业范围内的总体边界,还可以将企业的安全边界移动到组织内外的每个网络、系统、用户和设备从而使更细粒度和更高效的安全访问控制成为可能。


总之,零信任架构的本质是一次(身份管理)安全范型的转移或者变革。因此成功实施零信任架构的决定性因素并非厂商或产品,而是企业CISO自身对零信任架构概念、方法和实践路径的理解。尤其对于中国企业用户来说,由于技术基础、业务、法规、时局和市场环境的特殊性,如何充分正确认识零信任落地的挑战显得尤为重要,安全牛有幸邀请到玉符科技创始人兼CEO石扬,为国内企业用户解读零信任的概念、现状和挑战。


零信任的本质:基于身份的动态管控_java_02

石扬

玉符科技创始人兼CEO。曾在微软总部负责Lync产品的开发。随后加入Salesforce。创业前在Facebook担任FeedAds以及VideoAds的iOS客户端的产品技术负责人。


零信任的本质:基于身份的动态管控_java_03

安全牛

零信任的本质:基于身份的动态管控_java_04

一、零信任这个概念是在什么样的背景下提出来的?您是如何理解零信任这一概念的?



石扬:随着企业应用开始上云,网络环境日趋复杂,企业人员流动日益频繁,传统防火墙机制在面对外部用户裸奔访问公有云服务等潜在危险时显得无力应对,网络环境中用户、设备、应用以及IT资源之间的连接被暴露在高风险环境中。


传统网络环境将企业内部网络定义为“可信区域”,这个区域内部的所有计算资源可以互相通信,没有做到权限最小化原则。一旦有外部黑客攻入内网,或是企业内部人员想要恶意破坏,就可以在“可信区域”内对企业计算资源进行大肆攻击和破坏。


在这种背景下,零信任被提出来,它的核心原则是“Trust no-one. Verify everything”。提倡以身份为边界作为权限管控的基础。进一步讲,就是零信任认为企业不应该自动信任内部或外部的任何人/事/物,应在授权前通过动态和持续的身份认证和评估机制,对网络环境中的访问主体人和设备的危险等级进行科学准确判定,采用最小特权访问策略,严格执行访问控制,提升所有网络实体连接之间的可信关系,增加企业安全保障。


零信任目前有多种流派,比如Forrester的ZTX、Google的BeyondCorp、Gartner提出的CARTA,但是无论哪一种方案实现,身份管理都是其中最核心不变的安全需求。



零信任的本质:基于身份的动态管控_java_03

安全牛


二、现阶段,零信任的发展态势如何?新冠疫情对零信任的发展有哪些影响?



石扬:远程办公期间爆发的数据泄露等安全性事件给很多企业带来巨大的损失,比如客户数据丢失、生意停摆等,这些都严重威胁到了企业正常经营和品牌声誉。远程办公环境下,企业IT很难对所有员工的网络环境和应用操作行为进行精准识别和判断,一些和账号权限相关的误操作及违规操作极难被监控。IT运维人员通过VPN就可以访问企业内部网络“可信区域”,并且在进行删库等一些高危操作时,缺少审核或是强认证机制。这些都会加剧远程办公下企业网络和应用的危险情况。


远程办公带来安全性问题的同时,也带来了效率方面的问题。远程办公期间,企业微信、钉钉等协同办公平台,腾讯会议和zoom等视频会议平台被企业大量采用,如果企业内部人员数量众多,在初始化启用这些应用时,IT就会需要为数量众多的人员创建账号权限,这是十分庞大的工作量,很难在短时间内完成。


零信任机制中的身份信息集中管理、账号身份数据快速打通、基于策略的访问控制、多因素认证和安全审计等能力可以很好地帮助企业解决远程办公中存在的安全性和效率性问题。可以说,远程办公极大地催生了企业对零信任安全机制,尤其是零信任身份动态管控的需求。



零信任的本质:基于身份的动态管控_java_03

安全牛

零信任的本质:基于身份的动态管控_java_04

三、企业在进行零信任模型设计的过程中应该考虑哪些因素?



石扬:企业在设计和部署零信任模型的过程中,首先要把所有的数据资源和计算服务都当做资源来对待,比如小内存设备、员工自携设备等。其次要确保任意网络之间的连接是安全可信的,来自任意网络的访问请求都应该满足相同的安全性要求,并通过加密或是认证的方式进行可信认证。除了这两点之外,企业还需要遵循3个基本原则:


1.在提前建立连接的基础上对单个企业资源进行授权访问。在对访问请求进行授权之前需要先对访问用户的身份进行信任判断,也就是说只有提前和企业IT资源建立连接关系的用户所发起的访问请求才可以被允许。同时,该用户只允许访问请求的单个资源,不允许访问其他资源。


2.资源访问授权是基于上下文属性的策略组合。上下文包括可以观测到的用户身份状态、发起访问请求的应用系统的状态,以及其他一些行为属性。企业只有对资源、用户、以及用户和资源访问授权的对应关系有清晰的定义,才可以对其所拥有资源进行更好的保护。用户身份状态一般包括其所使用的账号以及相关属性;发起访问请求的应用系统的状态包括比如软件安装版本等设备特征、所处网络位置、历史行为和安装证书等;行为属性则包括自动化的用户和设备分析,以及观测模型存在的测量偏差。结合企业商业流程需求,根据上下文分析得出对应的风险等级并自动唤起授权策略。


3.严格执行动态用户身份认证。企业可以配备自动化的账号生命周期系统来对用户资源访问授权进行管理,并通过配备多因素认证(MFA)能力来增加安全认证防护。在用户与资源进行互动的过程中,系统会根据定义好的策略对用户行为进行持续监测和再认证,比如静态密码加动态口令的形式,对于一些高危动作则增加多人确认机制,从而确保企业零信任架构在安全性、可用性、可靠性、成本效率配比方面能够达到一个平衡状态。



零信任的本质:基于身份的动态管控_java_03

安全牛

零信任的本质:基于身份的动态管控_java_04

四、结合国内目前的业务和市场环境,您认为中国企业实施零信任主要面临哪些挑战?



石扬:从宏观层面来说,国内企业在实施零信任时主要会面临两方面的挑战:一是建设周期长。企业需要对所有的IT资源进行梳理,包括设备、数据库、应用系统、甚至是服务器等,并且需要根据企业的业务流程和安全防护要求构建新的访问控制策略。如果企业资产规模庞大,业务流程复杂,整个零信任模型的构建周期就会特别长。二是成本高。目前国内市场上并没有出现成熟的零信任解决方案,已经实施零信任的企业大部分是基于定制化开发实现的,在对原有网络环境进行升级改造的基础上,进一步对身份认证和权限管理进行细粒度的管控,这些都会增加企业的IT运维成本。


从更深层次来讲,零信任的本质其实就是基于身份的访问控制,即确保正确的用户可以被分配到正确的访问权限,可以在正确的情境下对正确的IT资源进行访问,并且用户的访问权限会被持续进行评估,最终确保访问授权的正确性和安全性。单就身份管控这一层面来讲,企业在身份数据连接、权限管理和合规审计等细分层面也会遭遇挑战:


第一,身份数据连接。动态的身份控制需要有丰富的身份数据做支撑。中国企业在管理身份数据方面存在不少痛点,比如无法对分散在各系统中的身份数据进行统一管理和分析,应用系统间身份数据的打通难度高等等,其中最为复杂的就是系统之间的数据异构性问题。举个简单例子,在企业微信和其他身份源系统的对接中,企业微信系统里的人员信息有个业务字段叫启用/停用,而源系统中可能有更多个状态:待入职、离职等,那怎么把这些信息一一对应起来,就是企业经常遇到的一个身份数据连接方面的挑战。


第二,权限管理。普华永道在《全球信息安全状况调查》中提到了人员安全的重要性,离职和在职员工,已经成为信息安全的重要威胁。应用访问权限是控制应用和数据安全的第一道门槛,错误的权限分配、或是离职员工账号未关停、以及日志审计缺乏必要的分级分权管理,都会给企业的安全带来隐患。企业只有建立合理的权限分配和管理制度,才能有效预防各种因“人祸”引起的信息泄露、黑客攻击。


第三,合规审计。合规通常分为三种类型:1)法律要求的合规,国内例如企业内部控制规范;2)商业领域的合规,国内例如金融行业的内控指引;3)政府领域的合规,比如国内的网络安全法和等级保护。因此,如何通过可视化和系统化的数据分析和危机控制来满足多维度的合规审计要求,比如离职员工权限管控、僵尸账号审计等,也是国内企业面临的挑战之一。



零信任的本质:基于身份的动态管控_java_03

安全牛

零信任的本质:基于身份的动态管控_java_04

五、在您看来,一个成熟的零信任模型应该是怎样的?



石扬:零信任概念是在突破旧的边界或模式下,利用更成熟的技术、更先进的科技、更安全的算法,突破旧的安全瓶颈,将企业或组织的安全水平提升到全新的级别。



零信任的本质:基于身份的动态管控_java_12



一个现代化的零信任模型表面层依旧是用户(与设备)、策略权限引擎和企业的应用服务、机器资源(IDC/IaaS),这一层是用户容易感知的,也是最常被讨论到的。尤其是权限策略引擎,新的零信任环境下,我们往往需要重新搭建一个高性能可横向扩展的权限引擎,处理更复杂更细粒度的访问策略。然而在表层之下还有很多不可或缺的重要模块,恰恰是使得无边界的零信任访问成为可能的关键,包括企业统一身份管理目录、密钥管理系统KMS(或公钥基础设施PKI)、风险评估、SIEM等。


企业统一身份管理目录


一个有一定规模的企业内原本就存在着复杂的资源类型以及相应的权限模型,例如机器、各类应用服务、角色,还有大量的应用策略,现在,我们还需要关心很多其他维度(“什么地点”、“什么网络环境”、“什么访问设备”等),可以毫不夸张地说,整个企业管理目录的复杂度将提高2-3个数量级。我们实际就遇到过一个大型企业,在改造完的目录中,单单应用的访问控制列表(ACL)有4百万条左右的规则,原有的目录体系已经无法支撑和处理这样的数据量级,利用分布式数据库来重新设计和搭建统一目录成为了唯一途径。


密钥管理系统KMS


企业内几乎所有应用都需要管理各种各样的私密信息,从个人的登陆密码、到生产环境的Key以及数据库登录信息、API认证信息等。但传统做法会将这些秘密信息保存在某个文件中,这种方式弊端很多,比如跨团队分享存在安全隐患、文件格式难以维护、私密信息难以回收等。


密钥管理系统作为企业统一的一套系统或工具来处理私密信息的方方面面,大大提高了在零信任模式下企业这些秘密信息的安全性,需包含但不限于以下设计:


1.提供稳定成熟的密钥管理API,让企业内开发者轻松添加创建密钥信息、应用程序能获取和使用私密信息;

2.支持不同策略更新私密信息、适时回收私密信息;

3.提供基本PKI设施,为企业内所有的应用服务访问提供256位SSL加密证书支持,最好全部服务都是强制HTTPS连接;

4.服务内的敏感信息也只缓存在受保护的内存空间内(Security Barrier),而不存在于任何持久化存储内(禁SWAP)。即使黑客攻破服务器的文件系统也无法获得有用信息。


风险评估


风险评估往往可能是多个服务,例如人工智能评估引擎、威胁评估引擎等,这类服务基于历史和当前的访问信息,甚至还有来自企业的外部数据,主动发现企业内潜在的攻击行为或漏洞,从而标志出高危险人群、DNS黑名单等,实时检测到有高危风险的用户行为,自动或根据设置调整用户的权限等级,进而减少企业损失。


SIEM与日志审计


企业需部署一套审计系统,永久保留所有内部系统的操作日志,可对每位员工、设备的操作进行全时全方位的审计:


1.防止任何运行时的敏感数据被记录,严格日志规范,加入代码审查;

2.统一的日志系统,可审计用户在各个系统的行为,跨系统检测异常操作;

3.严格限制内部员工访问权限,需在足够授权下才进行访问或修改。