美國(guó)國(guó)防信息系統(tǒng)局(DISA)最近發(fā)布了初始零信任參考架構(gòu),信息量非常大,具體結(jié)構(gòu)可參看柯老師發(fā)文《DISA發(fā)布國(guó)防部零信任參考架構(gòu)》。本文針對(duì)Department of Defense(DOD) Zero Trust Reference Architecture中的三幅圖進(jìn)行了漢化,以便讀者清晰了解其中的成熟度模型、零信任支柱,高級(jí)別運(yùn)行概念,認(rèn)識(shí)零信任這一理念帶來(lái)的安全觀念轉(zhuǎn)變,不足之處請(qǐng)多多指教。
成熟度模型
零信任(ZT)是一個(gè)術(shù)語(yǔ),指的是一套不斷發(fā)展的網(wǎng)絡(luò)安全范式,它將防御從靜態(tài)的網(wǎng)絡(luò)-基于邊界關(guān)注用戶(hù)、資產(chǎn)和資源。零信任體系結(jié)構(gòu)(ZTA)采用零信任原則規(guī)劃工業(yè)和企業(yè)基礎(chǔ)設(shè)施和工作流程。零信任假設(shè)沒(méi)有完全基于資產(chǎn)或用戶(hù)帳戶(hù)的物理或網(wǎng)絡(luò)位置(即局域網(wǎng)相對(duì)于或基于資產(chǎn)所有權(quán)(企業(yè)或個(gè)人擁有)。身份驗(yàn)證和授權(quán)是在建立到企業(yè)資源的會(huì)話(huà)之前執(zhí)行的離散功能。
零信任是對(duì)企業(yè)網(wǎng)絡(luò)趨勢(shì)的一種響應(yīng),包括遠(yuǎn)程用戶(hù)、自帶設(shè)備(BYOD)和不位于企業(yè)擁有的網(wǎng)絡(luò)邊界內(nèi)的基于云的資產(chǎn)。零信任關(guān)注保護(hù)資源(資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)帳戶(hù)等),而不是網(wǎng)段,因?yàn)榫W(wǎng)絡(luò)位置不再被視為資源安全態(tài)勢(shì)的主要組成部分。本文檔包含了零信任體系結(jié)構(gòu)(ZTA)的抽象定義,并給出了零信任可以改善企業(yè)整體信息技術(shù)安全態(tài)勢(shì)的一般部署模型和用例。
全面實(shí)施零信任的方法從前期發(fā)現(xiàn)和評(píng)估任務(wù)開(kāi)始。最初的發(fā)現(xiàn)過(guò)程將識(shí)別體系結(jié)構(gòu)中有關(guān)訪問(wèn)和授權(quán)活動(dòng)的數(shù)據(jù)。需要發(fā)現(xiàn)工作負(fù)載、網(wǎng)絡(luò)、設(shè)備和用戶(hù)之間的關(guān)系。
最終狀態(tài)ZTA要求安全策略的實(shí)現(xiàn)與特定的授權(quán)屬性和用戶(hù)和實(shí)體的信任級(jí)別相關(guān)聯(lián)。環(huán)境的先決條件評(píng)估將確定合規(guī)狀態(tài)、特權(quán)帳戶(hù)級(jí)別,并驗(yàn)證現(xiàn)有安全控制的實(shí)現(xiàn)。
在設(shè)計(jì)零信任體系結(jié)構(gòu)之前,必須實(shí)現(xiàn)符合現(xiàn)有IT安全策略和標(biāo)準(zhǔn)的基線保護(hù)級(jí)別。零信任設(shè)計(jì)的成熟方面可能不會(huì)影響到所有的功能和控制,其成熟度模型見(jiàn)圖1。
零信任支柱
零信任支柱有助于對(duì)可以在環(huán)境中執(zhí)行零信任功能的功能和技術(shù)進(jìn)行分類(lèi)。DOD零信任架構(gòu)的七個(gè)支柱,見(jiàn)圖2:
用戶(hù)
保護(hù),限制和強(qiáng)制個(gè)人,非個(gè)人和聯(lián)盟實(shí)體訪問(wèn)DAAS包括ICAM功能的使用,例如多因素身份驗(yàn)證(MFA)和連續(xù)多因素身份驗(yàn)證(CMFA)。組織需要具有連續(xù)驗(yàn)證,授權(quán)和監(jiān)視活動(dòng)模式的能力,以控制用戶(hù)的訪問(wèn)和特權(quán),同時(shí)保護(hù)和保護(hù)所有交互。RBAC和ABAC將適用于此支柱內(nèi)的策略,以授權(quán)用戶(hù)訪問(wèn)應(yīng)用程序和數(shù)據(jù)。
注:DAAS在其文中的含義為數(shù)據(jù)(Data),應(yīng)用程序(Applications),資產(chǎn)(Assets),服務(wù)(Services)設(shè)備
具有識(shí)別、認(rèn)證、授權(quán)、庫(kù)存、隔離、安全、補(bǔ)救和控制所有的能力設(shè)備在零信任方法中是必不可少的。企業(yè)設(shè)備的實(shí)時(shí)認(rèn)證和打補(bǔ)丁至關(guān)重要的功能。一些解決方案,如移動(dòng)設(shè)備管理器或遵守連接程序提供數(shù)據(jù)這對(duì)于設(shè)備置信度評(píng)估很有用。對(duì)每一個(gè)訪問(wèn)都應(yīng)進(jìn)行其他評(píng)估請(qǐng)求(例如:檢查危急狀態(tài)、異常檢測(cè)、軟件版本、保護(hù)狀態(tài)、加密支持,等等)。
網(wǎng)絡(luò)/環(huán)境
通過(guò)粒度訪問(wèn)和策略限制(邏輯上和物理上)進(jìn)行分段,隔離和控制(內(nèi)部和外部)網(wǎng)絡(luò)/環(huán)境。隨著外圍通過(guò)宏分段變得越來(lái)越細(xì),微分段為DAAS提供了更好的保護(hù)和控制。
a)控制特權(quán)訪問(wèn),
b)管理內(nèi)部和外部數(shù)據(jù)流,以及
c)防止橫向移動(dòng)
這一點(diǎn)至關(guān)重要。
應(yīng)用程序和工作負(fù)載
應(yīng)用程序和工作負(fù)載包括本地系統(tǒng)或服務(wù)上的任務(wù),以及在云環(huán)境中運(yùn)行的應(yīng)用程序或服務(wù)。零信任工作負(fù)載涵蓋了從應(yīng)用程序?qū)拥焦芾沓绦虻恼麄€(gè)應(yīng)用程序堆棧。保護(hù)和正確管理應(yīng)用程序?qū)右约坝?jì)算容器和虛擬機(jī)是采用零信任的關(guān)鍵。諸如代理技術(shù)之類(lèi)的應(yīng)用程序交付方法使附加保護(hù)能夠包括零信任決策和執(zhí)行點(diǎn)。開(kāi)發(fā)的源代碼和通用庫(kù)通過(guò)DevSecOps開(kāi)發(fā)實(shí)踐進(jìn)行審查,以確保應(yīng)用程序從一開(kāi)始就受到保護(hù)。
數(shù)據(jù)
零信任可保護(hù)關(guān)鍵數(shù)據(jù),資產(chǎn),應(yīng)用程序和服務(wù)。清楚了解組織的DAAS對(duì)于成功實(shí)施零信任架構(gòu)至關(guān)重要。組織需要按照任務(wù)的關(guān)鍵程度對(duì)DAAS進(jìn)行分類(lèi),并使用此信息來(lái)制定全面的數(shù)據(jù)管理策略,并將其作為總體“零信任”方法的一部分。這可以通過(guò)對(duì)數(shù)據(jù)進(jìn)行分類(lèi),開(kāi)發(fā)模式以及對(duì)靜態(tài)和傳輸中的數(shù)據(jù)進(jìn)行加密來(lái)實(shí)現(xiàn)。DRM,DLP,軟件定義的存儲(chǔ)和粒度數(shù)據(jù)標(biāo)記之類(lèi)的解決方案與保護(hù)關(guān)鍵數(shù)據(jù)有關(guān)。
可見(jiàn)性和分析
重要的,上下文細(xì)節(jié)提供了對(duì)性能,行為和其他零信任支柱的活動(dòng)基線。這種可見(jiàn)性改進(jìn)了異常行為的檢測(cè),并提供了對(duì)安全策略和實(shí)時(shí)訪問(wèn)決策進(jìn)行動(dòng)態(tài)更改的能力。此外,其他監(jiān)視諸如傳感器數(shù)據(jù)和遙測(cè)技術(shù)等系統(tǒng)將被使用,這將有助于了解正在發(fā)生的事情與環(huán)境一起,將有助于觸發(fā)警報(bào),用于響應(yīng)。零信任企業(yè)將會(huì)捕獲并檢查流量,超越網(wǎng)絡(luò)遙測(cè)和進(jìn)入數(shù)據(jù)包本身,以準(zhǔn)確地發(fā)現(xiàn)流量網(wǎng)絡(luò)和觀察當(dāng)前的威脅,并更智能地定向防御。
自動(dòng)化和編排
自動(dòng)化手動(dòng)安全流程,以在整個(gè)企業(yè)范圍內(nèi)快速,大規(guī)模地采取基于策略的行動(dòng)。SOAR提高了安全性并減少了響應(yīng)時(shí)間。安全編排集成了安全信息和事件管理(SIEM)和其他自動(dòng)化安全工具,并有助于管理不同的安全系統(tǒng)。自動(dòng)化安全響應(yīng)需要零信任企業(yè)中所有環(huán)境中定義的流程和一致的安全策略實(shí)施,才能提供主動(dòng)的命令和控制。
零信任高級(jí)運(yùn)行概念
零信任高級(jí)運(yùn)行概念提供了有關(guān)如何在體系結(jié)構(gòu)內(nèi)實(shí)施安全措施的操作視圖。見(jiàn)圖3圖片
獨(dú)立跟蹤非人實(shí)體(NPE)身份和用戶(hù)身份,從而允許跨執(zhí)行點(diǎn)驗(yàn)證可信度級(jí)別的單獨(dú)路徑。認(rèn)證和授權(quán)活動(dòng)將在整個(gè)企業(yè)中眾多但集中的地方進(jìn)行,包括客戶(hù)端,代理,應(yīng)用程序和數(shù)據(jù)。在每個(gè)執(zhí)行點(diǎn),將日志發(fā)送到SIEM,并執(zhí)行分析以建立可信度。設(shè)備和用戶(hù)的可信度是獨(dú)立開(kāi)發(fā)的,然后在適用于策略實(shí)施的情況下進(jìn)行匯總。如果非人實(shí)體或用戶(hù)的可信度得分高于測(cè)得的閾值,則將授權(quán)他們查看請(qǐng)求的數(shù)據(jù)。DLP在此過(guò)程中對(duì)數(shù)據(jù)進(jìn)行保護(hù),DLP還向SIEM提供數(shù)據(jù),以確保數(shù)據(jù)得到正確使用。
圖3中描述的決策點(diǎn),組件下面標(biāo)識(shí)的功能代表了最終狀態(tài)的“零信任”實(shí)施。控制對(duì)資源的訪問(wèn)基于用戶(hù)和設(shè)備的風(fēng)險(xiǎn),零信任的基本要求是可能的,而無(wú)需實(shí)施所有已確定的功能就可以實(shí)現(xiàn)。具體內(nèi)容如下:
No.1 企業(yè)身份、憑證和訪問(wèn)管理(ICAM)
包括身份提供者(IDP),自動(dòng)帳戶(hù)設(shè)置(AAP)和主用戶(hù)記錄(MUR),用于識(shí)別和管理角色,訪問(wèn)特權(quán)以及所處的環(huán)境用戶(hù)被授予或拒絕特權(quán)。
1. 身份提供者(IDP)
一種執(zhí)行直接認(rèn)證的系統(tǒng),可以選擇代表一個(gè)或多個(gè)信息系統(tǒng)提供授權(quán)數(shù)據(jù)。該系統(tǒng)還提供對(duì)NPE的身份驗(yàn)證。
2. 自動(dòng)帳戶(hù)設(shè)置(AAP)
提供身份治理服務(wù),如用戶(hù)授權(quán)管理、業(yè)務(wù)角色審計(jì)和執(zhí)行,以及基于在企業(yè)以人為中心的活動(dòng)(如入職和離職、持續(xù)審查、人才管理和準(zhǔn)備就緒培訓(xùn))中產(chǎn)生的身份數(shù)據(jù)提供和取消賬戶(hù)。
3. 主用戶(hù)記錄(MUR)
使企業(yè)范圍內(nèi)的知識(shí)、審計(jì)和數(shù)據(jù)匯總報(bào)告誰(shuí)有權(quán)訪問(wèn)什么系統(tǒng)或應(yīng)用程序。MUR還將為識(shí)別內(nèi)部和外部威脅提供支持。
No.2 客戶(hù)和身份保證(Client and Identity Assurance)1. 身份驗(yàn)證決策點(diǎn)
在嘗試訪問(wèn)應(yīng)用程序和數(shù)據(jù)時(shí),它會(huì)評(píng)估用戶(hù),NPE和/或設(shè)備的身份。還可以評(píng)估設(shè)備是否被管理。ICAM參考設(shè)計(jì)中提供了非用戶(hù)NPE和用戶(hù)輔助NPE的其他用例。
2. 授權(quán)決策點(diǎn)
為請(qǐng)求此類(lèi)訪問(wèn)決策的實(shí)體作出授權(quán)決策的系統(tǒng)實(shí)體。它檢查訪問(wèn)資源的請(qǐng)求,并將其與適用于所有訪問(wèn)該資源請(qǐng)求的策略進(jìn)行比較,以確定是否應(yīng)授予發(fā)出考慮中請(qǐng)求的請(qǐng)求者特定的訪問(wèn)權(quán)。客戶(hù)機(jī)和設(shè)備授權(quán)是有條件訪問(wèn)資源、應(yīng)用程序以及最終訪問(wèn)數(shù)據(jù)的第一階段。
3. 能力
a) Comply-to-Connect (C2C): 在設(shè)備能夠連接到內(nèi)部網(wǎng)絡(luò)并不斷更新其狀態(tài)之前,強(qiáng)制補(bǔ)丁和加固配置被應(yīng)用到設(shè)備上。
b) Privileged Access Management(PAM):
指幫助保護(hù)、控制、管理和監(jiān)視對(duì)關(guān)鍵資產(chǎn)的特權(quán)訪問(wèn)的一類(lèi)解決方案。這包括對(duì)系統(tǒng)、應(yīng)用程序和服務(wù)的管理訪問(wèn)。
No.3 以數(shù)據(jù)為中心的企業(yè)(Data-Centric Enterprise)1. 資源授權(quán)決策點(diǎn)(RADP)
這是一個(gè)中間決策點(diǎn),它將評(píng)估合并后的NPE和用戶(hù),以授權(quán)訪問(wèn)請(qǐng)求。與前面的決策點(diǎn)一樣,這將利用信任度和已定義的策略來(lái)確定是否允許訪問(wèn)。能力如下:
宏觀分段
將網(wǎng)絡(luò)劃分為具有不同屬性的更小的受控段的概念可以通過(guò)應(yīng)用額外的硬件或vlan來(lái)實(shí)現(xiàn)。
應(yīng)用程序交付控制(代理)
應(yīng)用程序交付控制器是一種設(shè)備通常位于防火墻和一個(gè)或多個(gè)應(yīng)用服務(wù)器之間的數(shù)據(jù)中心(一個(gè)被稱(chēng)為DMZ的區(qū)域)。應(yīng)用程序交付控制器主要執(zhí)行應(yīng)用程序加速和處理服務(wù)器之間的企業(yè)級(jí)負(fù)載平衡。前幾代應(yīng)用程序交付控制器可以處理各種任務(wù),包括但不限于內(nèi)容緩存、SSL卸載和加速服務(wù)、數(shù)據(jù)壓縮以及一些入侵防御服務(wù)。
2. 應(yīng)用程序授權(quán)決策點(diǎn)(AADP)
這是一個(gè)中間決策點(diǎn),它將評(píng)估組合的NPE和用戶(hù)以授權(quán)訪問(wèn)請(qǐng)求。像以前的決策點(diǎn)一樣,這將利用信任度和定義的策略來(lái)確定是否需要訪問(wèn)。能入如下:
微分段
這是創(chuàng)建邏輯網(wǎng)絡(luò)區(qū)域以隔離段的實(shí)踐。通過(guò)啟用細(xì)粒度訪問(wèn)控制,用戶(hù)、應(yīng)用程序、工作負(fù)載和設(shè)備根據(jù)邏輯屬性進(jìn)行分段,可以保護(hù)這些分段。這也提供了與傳統(tǒng)的外圍安全相比的優(yōu)勢(shì),因?yàn)檩^小的段呈現(xiàn)出較少的攻擊面(對(duì)于惡意的角色)。在零信任架構(gòu)中,安全設(shè)置可以應(yīng)用于不同類(lèi)型的流量,創(chuàng)建將工作負(fù)載之間的網(wǎng)絡(luò)和應(yīng)用程序流限制為顯式允許的流的策略。分段網(wǎng)關(guān)和API訪問(wèn)決策點(diǎn)可以將每個(gè)身份的訪問(wèn)限制為顯式允許的API調(diào)用,允許粒度細(xì)化到“動(dòng)詞”級(jí)別。
DevSecOps應(yīng)用程序開(kāi)發(fā)
DevSecOps是一套軟件開(kāi)發(fā)實(shí)踐,結(jié)合了軟件開(kāi)發(fā)(Dev),安全性(Sec)和信息技術(shù)操作(Ops)來(lái)確保結(jié)果的安全性并縮短開(kāi)發(fā)生命周期。軟件功能,修補(bǔ)程序和修補(bǔ)程序的出現(xiàn)頻率更高且自動(dòng)化程度更高。
3. 數(shù)據(jù)授權(quán)決策點(diǎn)(DADP)
數(shù)據(jù)所有者使用數(shù)據(jù)參考體系結(jié)構(gòu)通過(guò)編排器或DLP/DRP服務(wù)器對(duì)數(shù)據(jù)應(yīng)用標(biāo)簽。能力如下:
Data Rights Management
(數(shù)據(jù)權(quán)限管理)
一組訪問(wèn)控制技術(shù),防止未經(jīng)授權(quán)的訪問(wèn),修改和重新分配數(shù)據(jù)。強(qiáng)制由加密數(shù)據(jù)組成,其密鑰與數(shù)據(jù)所有者定義的策略綁定。加密密鑰將綁定到數(shù)據(jù)的安全策略,以執(zhí)行最低權(quán)限授權(quán)。
DLP
4. 數(shù)據(jù)
該流程的最后一步是訪問(wèn)數(shù)據(jù)和應(yīng)用程序。數(shù)據(jù)標(biāo)記將用于確保所有數(shù)據(jù)的適當(dāng)分類(lèi)級(jí)別,以幫助防止泄漏。
數(shù)據(jù)標(biāo)記
數(shù)據(jù)標(biāo)記對(duì)于政策制定至關(guān)重要,因?yàn)檫@些屬性將被對(duì)齊以確定有條件的訪問(wèn)。隨著企業(yè)數(shù)據(jù)的規(guī)模和廣度,自動(dòng)化以及機(jī)器學(xué)習(xí)和人工智能將需要作為輔助標(biāo)記過(guò)程的相關(guān)能力逐步引入。
No.4 動(dòng)態(tài)訪問(wèn)控制平面(Dynamic Access Control Plane)1. SOAR
這些術(shù)語(yǔ)用于定義處理威脅管理、事件響應(yīng)、策略實(shí)施和安全策略自動(dòng)化的技術(shù)。零信任架構(gòu)將需要?jiǎng)討B(tài)的策略實(shí)施和自動(dòng)化。SOAR將與分析和政策引擎協(xié)同工作,以開(kāi)發(fā)信任水平,并自動(dòng)將政策交付到實(shí)施點(diǎn)。能力如下:
自動(dòng)化策略部署
策略將由 Engine/
Orchestrator基于分析自動(dòng)部署,并在實(shí)施點(diǎn)實(shí)現(xiàn)。
EDR
這是一個(gè)分析工具,提供對(duì)端點(diǎn)上惡意事件的實(shí)時(shí)監(jiān)視和檢測(cè)。EDR允許您在詳細(xì)的時(shí)間線中可視化威脅,而即時(shí)警報(bào)使您知道如果攻擊發(fā)生。
用戶(hù)活動(dòng)監(jiān)視(UAM)
UAM可以監(jiān)視所有類(lèi)型的用戶(hù)活動(dòng),包括所有系統(tǒng)、數(shù)據(jù)、應(yīng)用程序和用戶(hù)所采取的網(wǎng)絡(luò)行為,例如他們的網(wǎng)頁(yè)瀏覽活動(dòng),無(wú)論用戶(hù)是訪問(wèn)未經(jīng)授權(quán)的或敏感的文件。
2. 分析和信任度評(píng)分
這些技術(shù)對(duì)實(shí)體、屬性和配置進(jìn)行持續(xù)評(píng)估,以適應(yīng)部署的安全策略并對(duì)其進(jìn)行風(fēng)險(xiǎn)優(yōu)化。在授權(quán)活動(dòng)中利用信任分?jǐn)?shù)。
實(shí)體行為分析
分析來(lái)自SIEM的數(shù)據(jù)以確定訪問(wèn)級(jí)別。
數(shù)據(jù)丟失防護(hù)
檢測(cè)潛在的數(shù)據(jù)泄露/數(shù)據(jù)過(guò)濾傳輸并通過(guò)監(jiān)控防止它們。
3. 利用安全信息和事件管理進(jìn)行日志記錄
活動(dòng)數(shù)據(jù)被匯總并存儲(chǔ)在SIEM中,SIEM同時(shí)提供了安全信息管理(SIM)和安全事件管理(SEM)功能。能力如下:
實(shí)體活動(dòng)審核
零信任體系結(jié)構(gòu)將要求記錄所有活動(dòng),以確保進(jìn)行適當(dāng)?shù)姆治龊托湃味仍u(píng)分。每個(gè)執(zhí)行點(diǎn)以及用戶(hù)和實(shí)體的行為分析將為制定訪問(wèn)決策提供操作環(huán)境。
