close

摘要



通過研究零信任技術的發展歷程和趨勢以及該技術的七大支柱能力,剖析傳統安全架構 特別是在雲環境下的劣勢與不足。設計了動態信任架構、基於該架構的內生安全模型以及場景下 的動態信任技術體系,給出了基於動態信任的內生安全架構設計。結合系統內生特性,以架構安 全為基礎,在終端可信、身份可信、網絡可信、數據可信各個環節建立多層防線。並結合應用場 景進行剖析,對微隔離防護這一關鍵技術的應用進行了詳細的描述。最後對內生安全架構的未來 進行了展望。

內容目錄:
1 信任架構研究背景
1.1 基於 PKI 的信任架構
1.2 零信任架構
2傳統安全架構的困境
3新架構設計
3.1動態信任架構
3.2基於動態信任的內生安全模型
3.3雲場景下的動態信任技術架構
3.4資源隔離防護
3.4.1微隔離防護
3.4.2安全域隔離
4結 語
內生安全體系架構將安全功能作為基本要素耦合到網絡信息系統的體系結構中,形成「安全基因」,在不藉助外力(安全軟件、防火牆等)的情況下,確保整個網信系統安全。對內生安全的理解包括以下 3 個層面:
(1)安全與系統一體化融合。通過在架構、流程、形態上一體化統籌設計系統與安全,將安全功能作為系統的一種內生能力,而不是在系統建成後反覆打補丁。
(2)安全與系統相互適應。安全與系統之間不再是從屬關係,而是一個有機的整體。體系安全功能無須大量人工操作作為保障,彼此之間能夠適配工作,相互調節控制。系統和安全一體化運維,從而提升系統保障效率。
(3)系統安全能力支持自我進化。內生安全作為系統的內在基因,類似人體的免疫機制,對未知、不斷變化的安全威脅具有一定程度的應對能力,並支持防護體系從靜態防護向動態防禦演進。
內生安全架構能夠依據系統及系統組成要素的自身特性進行全方位認證、授權和動態度量。基於信任的內生安全架構則是以動態信任技術為基礎,構建系統安全架構,覆蓋網絡、終端、應用、流量等各個層面。信任已經從一種技術變成一種框架,在安全架構中扮演着舉足輕重的作用。一方面,從它的誕生來看,它迎合了攻防實戰的趨勢;另一方面,它符合物聯網等新興技術發展的趨勢。在安全與信息化的足夠投入,人員與技術團隊專業化的前提下,內生安全架構是一種信息安全的高階形態。
美國國家標準技術研究所(National Institute of Standards and Technology,NIST) 發 布 的 SP 800-207 《零信任結構》(Zero Trust Architecture)中有一句經典的話:零信任是一種思想,而非一種技術。拜登要求政府採用的零信任架構就是利用零信任思想建立網絡架構。美軍聯合信息環境表明:安全防護需要深度結合,深度結合反映了內生安全的思想。深度結合是指安全能力需要與信息化建設緊密結合。信息化建設包括各個層面,如網絡層、終端層、用戶層、應用層、虛擬化層、雲管層 [1] 等,安全建設要與所有這些層面進行深度融合。如果信息系統在設計之初就已經內生了相應的安全措施和控制,則是最佳安全實踐,只需在此基礎之上,接受安全管理和運行系統的對接、管理和控制;如果信息系統自身欠缺相應的安全機制,則需要通過第三方安全措施進行補充和加固,或者進一步要求信息系統開發相應的內生安全機制。
1 信任架構研究背景
1.1 基於 PKI 的信任架構
公鑰基礎設施(Public Key Infrastructure,PKI)與信任服務設施的研究和建設的核心思想是將 PKI系統、信任服務系統、信息系統嚴格區分為 3 類不同的系統,分別通過 PKI/ 認證授權中心(Certificateauthority,CA)產品、信任服務產品、信息系統產品提供各自的功能,從而通過服務化、標準化、規範化等措施,實現信息系統安全可信、受控互聯、按需互通。三層系統之間的關係如圖 1 所示。

通過圖 1 可以看出,信任服務設施是建立在認證基礎設施之上的。通過服務的方式為信息系統提供相關的安全支撐功能,這些安全支撐功能包括:
(1)資源服務:主要提供用戶和組織機構信息註冊和發布服務,設備、信息系統、網絡資源信息註冊和發布服務,信息資源共享服務等功能。
(2)授權服務:將用戶對資源的訪問關係進行策略化管理,基於用戶、角色、屬性等機制進行授權,並通過鑒權服務方式提供訪問控制相關服務。
(3)身份認證服務:利用身份認證服務、認證網關等機制,基於數字證書和數字簽名實現對用戶身份的鑑別和確認。
(4)簽章服務:通過密碼技術將傳統的實體印章數字化並將其與電子文檔進行綁定,利用簽章技術和版式文件技術實現電子文件簽章操作,並基於服務化思想實現電子簽章。
(5)可信時間服務:通過加蓋時間戳的機制,實現信息操作、電子簽名等操作時間的不可否認、不可偽造。
(6)安全審計服務:基於數字簽名機制,實現操作日誌的安全採集和安全審計。
(7)數字簽名服務:將數字簽名操作通過功能封裝,提供服務化訪問接口,為信息系統提供數字簽名服務,從而達到簡化密碼運算操作的目的。
1.2 零信任架構
2020 年 8 月,NIST 發布的 sp-800-207《零信任結構》白皮書中,明確零信任(Zero Trust,ZT)是一個術語,它代表網信安全不斷發展的一組範式(paradigms),這些範式的重點從基於網絡邊界的靜態安全防禦,轉移到用戶、資產和資源。美國國防信息系統局(Defense Information SystemsAgency,DISA)最近發布了零信任參考架構 [3]。它將防禦從靜態的網絡轉移到擴展基於邊界的關注用戶、資產和資源的領域。零信任體系架構(ZeroTrust Architecture,ZTA)採用零信任原則規劃工業和企業基礎設施和工作流程,零信任假設沒有完全基於資產或用戶賬戶的物理或網絡位置。
零信任是對企業網絡趨勢的一種響應,包括遠程用戶、自帶設備(Bring Your Own Device,BYOD)和位於企業網絡邊界的基於雲的資產。零信任關注的保護資源包括資產、服務、工作流、網絡賬戶等,而不是粗粒度的網段,因為網絡位置不再被視為資源安全態勢的主要組成部分。全面實施零信任的方法是從前期發現和評估任務開始。最初的發現過程將識別體系結構中有關訪問和授權活動的數據,需要發現工作負載、網絡、設備和用戶之間的關係。在設計零信任體系結構之前,必須實現符合現有信息技術(Information Technology,IT)安全策略和標準的基線保護級別。零信任的成熟度模型如圖2 所示,但零信任設計的成熟度可能不會影響到所有的功能和控制。
零信任支柱有助於對環境中執行零信任的功能和技術進行分類。如圖 3 所示,美國國防部(Department of Defense,DoD)零信任架構的 7 個支柱包括用戶、設備、網絡 / 環境、應用程序和工作負載、數據、可見性分析、自動化和編排。
零信任使用 3 大支撐技術作為底層支撐。零信任的 3 種建設方案則正好對應 3 大支撐技術,分 別 是 增 強 型 身 份 認 證 與 訪 問 管 理(Identity andAccess Management,IAM)、微隔離技術(microsegmentation,MSG)、軟件定義邊界(Software DefinedPerimeter,SDP)。
(1)IAM。零信任時代的身份管理的核心是持續的動態認證和持續的動態授權。在實操中,零信任方案會使用多因素身份驗證、單點登錄等 IAM 技術來確保用戶使用安全的設備、建立安全的會話、訪問適當的資源。
(2)MSG。零信任時代 MSG 的核心要義就是把資源更細粒度分割,便於增加更周密的訪問控制權限,既能防範違規的東西橫移,又可以為南北向訪客精細分配資源。數據中心有邊界防護(「大倉保安」),而對於數據中心內部 / 企業內網來說,還需要「小倉保安」對橫向移動進行監管,如服務器之間、虛機之間,甚至 pod(一組容器)之都需要進行管控,這是微隔離的初衷。
(3)SDP。SDP 在「訪問者」和「資源」之間建立動態和細粒度的「業務訪問隧道」。SDP 與傳統(Virtual Private Network,VPN)隧道不同,它是「臨時」並「單一」的訪問控制,把業務資源對未授權的用戶完全屏蔽。即便獲得授權的用戶,也只是使用資源,卻不知道資源的具體位置,正所謂「可用而不可見」。基於控制通道與數據通道分離的設計,SDP 構造了一個「暗黑網絡」,減少了資源的暴露面,獲得了更好的安全性,不僅可以替代 VPN/ 邊界網關來控制南北向流量,也可以用於內網間的訪問權限控制,徹底定義一個彈性的動態的安全邊界。

2  傳統安全架構的困境
某些企業的內部網絡在建設之初並沒有考慮安全性,而是從信息傳輸的角度以核心、分發和接入3 層架構實現。當安全問題浮現時,企業網絡的 3層架構已經完成,安全專家只能在此基礎上堆疊安全相關功能。傳統的安全架構如圖 4 所示。
在傳統的 IT 組網中,網絡安全需求的落地往往把重心放在以下工作:
(1)精心設計的網絡架構,如帶外管理網段 /帶內生產網段的嚴格劃分、不同網段之間的嚴格隔離,嚴格劃分網絡區域,不同區域執行不同的安全策略;
(2)網絡邊界處部署專門的邊界安全設備,如入侵防禦 / 入侵檢測(Intrusion Prevention System/intrusion detection system,IPS/IDS)、防火牆、web安 全 網 關(Web Application Firewall,WAF)、 分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)等,這些網絡安全方案,長期以來起到了較好的安全防護作用。但隨着企業網絡規模的日益擴大、網絡攻擊技術的不斷發展、雲技術和容器化的不斷發展,傳統安全方案的缺點越來越明顯。
整體防禦能力重邊界、輕縱深,這種理念通過「邊界」來區分「可信」與「不可信」。但是複雜的網絡部署環境會造成過長、過寬的網絡邊界,同時雲計算、大數據、移動互聯、物聯網等技術的混合使用也導致網絡邊界越來越模糊,所以邊界的界定也越來越困難。黑客一旦突破邊界防禦,就如同進入無人之境,而在過於強調邊界防護的傳統安全方案下,網絡邊界越來越容易成為實際上的馬奇諾防線,攻擊者往往第一步會利用應用薄弱點(0day或 nday)、水坑攻擊、釣魚郵件等手段繞過企業重兵部署的防禦邊界,找到突破點後,通過端口掃描探測更大的攻擊目標。
3  新架構設計
3.1 動態信任架構
不論信任技術如何發展,信任架構下縱深防禦的思想繼續有效。美軍聯合區域安全棧(Joint Regional Security Stacks,JRSS)減少攻擊暴露面的理念在內生安全架構下依然適用。信任架構的難點是信任與資源的深度結合。因此,本文設計的動態信任體系,能夠建立信任基礎設施,形成覆蓋認證、授權、信任評估的統一信任體系。動態信任架構如圖 5 所示。
動態信任架構的特點如下:
(1)應用統一認證:實現應用的單點登錄等。
(2)資源動態授權:實現數據、信息、應用等資源的細粒度動態授權。
(3)實體信任評估:結合實體的訪問行為,對信任度進行動態度量。
(4)行為合規分析:建立合規基線,對人員、設備、數據應用等訪問行為進行合規性評定。
(5)環境風險預測:結合系統暴露面和外部攻擊形勢,對環境風險進行預判。
(6)事件安全舉證:採用審計等手段,記錄事件的全過程,便於取證分析。
3.2 基於動態信任的內生安全模型
本文給出一種基於信任的內生安全模型,如圖 6所示,其主要部分包括終端可信、身份可信、行為可信、數據可信。該模型結合系統規劃與架構安全,建立白名單、黑名單、灰名單機制,進行全面監視。

3.3 雲場景下的動態信任技術架構
本文採用動態信任技術,以雲計算為例進行內生安全具體設計。如圖 7 所示,雲場景下的動態信任技術架構包括硬件層、虛擬化層、多樣化異構資源層、雲管理平台層。

3.4 資源隔離防護
在雲環境下,資源隔離防護是內生安全的關鍵點,主要包括微隔離和安全域隔離兩部分內容。
3.4.1 微隔離防護
引入零信任安全理論作為基本的微隔離防護設計思想,微隔離防護基於資源微隔離技術、分布式微隔離資源網關技術、安全策略自適應技術、資源拓撲和流量可視化技術、資源安全防護技術,構建基於零信任模型的全方位安全防護體系。微隔離防護的主要設計原則包括:
(1)圍繞數據資產,由內到外設計網絡,構築安全防護;
(2)確保對所有資源的訪問行為都是安全的,不論是來自內部還是外部;
(3)所有訪問都不被信任,都被核查,採用最低特權,嚴格訪問控制;
(4)檢查和記錄所有流量,實現流量的可視化。
3.4.2 安全域隔離
通過集成式安全隔離模塊實現深度數據包的檢查,做到細顆粒度的訪問控制,實現對惡意軟件檢查過濾的功能。該模塊承擔的功能任務較多,需要應對大量虛擬機、應用、存儲的流量,因此對性能的要求很高。本文擬採用分布式架構,將隔離模塊下沉到各個計算節點,容器主機和虛擬機監視器、虛擬交換機協同工作,分別處理相應主機上對應資源的管控和隔離。
根據組織內不同的數據資產類別(用戶、虛擬機、容器、應用、網絡、存儲等)劃分若干個微型核心與邊界(Microcore and Perimeter,MCAP),這些 MCAP 會平行對等地連接到集成式安全隔離模塊上。如圖 8 所示,MCAP 的隔離從兩個維度進行:一是基於安全等級標籤的強制訪問控制,低安全級別的工作負載無法訪問高安全級別的資源;二是在傳統的網絡訪問控制的基礎上加上應用的維度,根據安全策略進行精確的細粒度的訪問控制。
如圖 8 所示,雲架構下的動態訪問控制通過微隔離防護實現,其具有以下 4 個特點:
(1)多粒度隔離:按照不同的安全級別要求,對雲資產進行不同粒度 MCAP 分割,隔離模塊對MCAP 進行隔離。
(2)全方位威脅監測與防護:採用應用深度識別技術、業務語義分析技術實現從鏈路到應用,從應用識別到業務語義分析的全覆蓋,實現了威脅的檢測與防護。
(3)策略自適應:與雲管理平台協同,感知應用負載的遷移和伸縮,自適應現有的安全策略或者根據業務的變化動態地調整安全策略。
(4)多維度深度可視:與雲管理平台集成,實現拓撲的可視化,檢查和記錄所有流量,實現信息流的可視化,對歷史流量進行分析和對比,發現並可視化威脅。
4  結 語
在內生安全趨勢下,基於信任的安全架構具有適應性強、擴展性好的特點,能夠適用於大型企業架構,包括用戶局域網、大型數據中心,但是也有代價,需要系統在規劃、設計之初就要與信任機制、信任實體和信任方法緊密結合設計。基於動態信任的內生安全架構,要結合系統特性,以架構安全為基礎,從終端可信、身份可信、網絡可信到數據可信各個環節建立多層防線,實現數據的全流程管控,構建虛擬化的數據資源安全邊界。通過安全服務或安全運維人員開展持續威脅監測、威脅分析研判、事件及時通告、快速響應處置,將整個數據接入訪問的縱深安全防護體系,並將之有效地運營,從而發揮出整體安全保障體系的最大優勢。
本文研究了傳統安全架構的特點和發展趨勢,梳理了信任架構的關鍵功能和技術,分析了傳統安全架構的缺陷,提出了新的動態信任內生安全架構,並且以雲計算架構為例進行了深入剖析,能夠為信息系統架構設計提供有效參考。

引用格式:曾夢岐 , 石凱 . 基於動態信任的內生安全架構 [J]. 通信技術 ,2022,55(8):1036-1043.
作者簡介 >>>

曾夢岐 (1981 — ), 男, 碩士, 高級工程師,主要研究方向為信息安全;
石 凱(1992— ),男,碩士,工程師,主要研究方向為大數據安全、人工智能安全。
選自《通信技術》2022年第8期

商務合作 | 開白轉載 | 媒體交流 | 理事服務

請聯繫:15710013727(微信同號)

《信息安全與通信保密》雜誌投稿

聯繫電話:13391516229(微信同號)

郵箱:xxaqtgxt@163.com

《通信技術》雜誌投稿

聯繫電話:15198220331(微信同號)

郵箱:txjstgyx@163.com


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()