“零信任”是一种思维方式的转变,它不是解决所有问题,我们永远不会到达那里,大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式,那就是它的价值所在。你永远不会到达完整的零信任终点线,或许只是一种信仰。
本文成稿于国庆,增补于今天。题目有些极端,请允许标题博一次眼球吧,正文写得比较随意,并不刻意组织章节,只是回头看看,以怀念那些年一起追的“Zero Trust”,大家失去了什么。如写到你心里,请多多转发。
第102篇文章目录:
- 开篇
- DOD ZT参考架构核心
- 4年多前的前瞻
- 一些新闻放松一下
- 正确的零信任解读
- DOD ZT能力满足度证明
开篇
2020年作为国内“零信任”元年,疯狂的炒作到逐渐的落地,大家为之疯狂,为之憧憬,为之失眠,为之迷失,为什么到现在有些歇菜的感觉,其地位取而代之的是2021年开始的“数据安全”,我想原因(除ZZ)大概有几点:(1)“零信任”是一种技术称谓,并不是直观得被各类人群理解,在各类所谓的营销方案、宣传口号加持下,让大家反而觉得似懂非懂,听起疲惫,干脆就那样简单的理解,当真正落地实施的时候发现困难重重而做出妥协,一度在国内变成某些产品的代号;(2)给予客户过高的期望,但方案,组件,实施交付,运营等一系列工作跟不上,急功近利好大喜功式的“运动”反而对业务产生一种负面效应,当然不排除一些优秀的专业供应商在持续耕耘;(3)“零信任”概念误区,很少人阅读零信任模型原始论文(《No More Chewy Centers》),文章总结了几个问题,通过一个身份盗窃导致数据泄露的案件说明,恶意内部人员通常处于“信任”位置,来引出最小权限策略并严格执行访问控制作为零信任的基本概念,不信任用户会做正确的事情,所以需要验证,所以提出被动的监控无法面对这样的新型威胁,剑指数据泄露。本质上,那时候的零信任是将保护数据作为目的,但很多时候人们把方法当成目的;
(4)大多数并不能潜心琢磨和组织“零信任”背后的核心思维和方法,躁动的心在错误的道路越走越远。典型的错误就是错误的理解NIST 800-207为所谓的三个技术方向(IAM、SDP、MSG,Really?),其实开篇对零信任即架构的定义(如下)相当准确。零信任不是固定的技术方向,而是用这样的思维改变你的安全能力。
NIST定义零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。因此,零信任企业是作为零信任架构规划的产物,是针对企业的网络基础设施(物理和虚拟的)及运营策略的改造。
相反,联邦及DOD以用户方的姿态一路高歌猛进,持续推进,在实践中不断修正,并朝既定目标迈进,虽然充满许多不确定性,比如“懂王”当选后,对网络安全的影响。总所周知,2021年5月12日,前任总统签署《行政命令14028:改进国家网络安全》,指示联邦政府各机构实施零信任方法,这也是美政府首次正式提出实施零信任。其《推动美国政府走向零信任网络安全原则》行政备忘录,摘要如下:
1、联邦工作人员拥有企业管理账号,这使他们可以访问工作所需的一切,同时还能受到可靠的保护,免遭有针对性的复杂网络钓鱼攻击。2、联邦工作人员用于工作的设备会受到持续跟踪和监控,在授予其访问内部资源的权限时会考虑这些设备的安全状况。3、代理系统彼此隔离,并且它们之间和内部流动的网络流量被可靠加密。4、企业应用程序经过内部和外部测试,并且可以通过互联网安全地提供给员工。5、联邦安全团队和数据团队共同制定数据类别和安全规则,以自动检测并最终阻止对敏感信息的未经授权的访问。
当然这次“懂王”可能会保留部分网络安全政策基石,比如提升联邦网络和关键基础设施的安全性,同时进行调整,使政策更具灵活性并减少对企业的监管。
DOD ZT参考架构核心
比较有代表型的是DOD ZT参考架构,经过几个版本的迭代,于2022年9月发布了DoD Zero Trust Reference Architecture V2.0,围绕7个“Pillar”:用户、设备、网络和环境、应用程序和工作负载、数据、可见性和分析、自动化和编排。从1.0到2.0的支柱图(如下)可以看出显著的变化,是将“数据”列为中心与其他支柱发生关系。2.0开宗明义的指出以数据为中心的安全架构从识别敏感数据和关键应用程序开始,用于引入零信任。零信任是一种网络安全策略,它开发了一种架构,该架构需要认证或验证,然后才能通过减少数据泄露,授予对敏感数据或受保护资源的访问权限。指出虽然零信任原则上很简单,但实际实施和操作包含了几个需要智能集成的领域,包括SDN、数据标记、行为分析、访问控制、策略编排、加密、自动化以及端到端的ICAM(IAM在DOD的术语)。 那么表明零信任是一种跨网络,网络安全,数据安全,身份安全等的顶层架构思维,以保护数据为目的。如果以国内盒子化思维卖设备,一锤子买卖,对于客户来说是个灾难,因为他轻松地得到了零信任,同时也失去了零信任,逐渐大家对零信任就失去好奇心,转而投入到其他领域,如数据安全,AI安全,殊不知零信任是数据安全的终极方法,而传统的数据安全解决方案正在用错误的方法越走越远。
V1.0
V2.0
有了指导方针,接着DOD 2022年11月发布了零信任战略及能力执行路线图,用于制定每个DoD ZT能力分解目标。
至此,各部门开始建设。2024年又发布了400页零信任覆盖文件,真是一干到底的感觉,这次真没精力去细看。他们顺利吗?好像他们摊的饼更大,等会儿说。
4年多前的前瞻
先浏览下2024新闻的片段:
2024年一次专家演讲,ICAM是DOD网络现代化的关键,GDIT国防网络解决方案总监John Sahlin博士来说,获得通用、可扩展和可配置的ICAM解决方案本质上是一个数据问题,解决方案包括可靠的数据管理策略、对企业级所需属性的逻辑理解。Sahlin说:“这归结为我们可以赋予数据的属性类型。”
2024年10月2日,DOD各机构在2026年最后期限前面临零信任挑战和误解,行政命令发布三年多后,人们对零信任的本质仍然存在误解。一些IT和网络安全领导者不明白零信任不是一种一键式解决方案,而是一种网络安全理念,在保护身份和保护边界之间不必做出二元决策,“但最终还是回到用户身上,他们的体验如何?他们可以访问数据吗?
2024年10月,美Air Force公布零信任的计划,除了通过数据标记和实施访问控制来提高内部网络可见性之外,Air Force采用零信任的关键是增加分段:“将统一系统分解为更小的、孤立的部分,以便对每个部分应用更细粒度的可见性和访问控制”,该战略指出。
以上所有的一切指向“数据”,符合DOD ZT参考架构原则,似乎并没有细化说明,这时候可以回到2020年4月,笔者发表的一篇名为《以零信任技术为指导的数据安全体系研究》的文章,那时候刚学习,写得青涩,还可能不完整或者有些错误。文章有几点摘要如下:
一、对数据面临的安全威胁分析总结三点:
- 人的威胁,引出“信任”;
- 传统架构的短板,传统三板斧,信任且单一验证;
- 提出数据流动关键路径的威胁(如下图),数据是在多个系统和网络间流转的,在于对数据流动的关键路径(XX通道)是否进行有效的识别、分析和控制。这里引出面向不同的数据访问通道,而数据在流动,如何应对威胁。
二、在技术体系,基于分类分级再进行保护,将数据通道用零信任方法保护放置在数据使用阶段进行,同时不单纯理解以身份为边界,个人身份访问应用程序,应用程序访问数据库层面。如在登录第三方应用程序时,使用个人身份与使用企业身份之间的区别不仅决定了哪些安全决策适用,还决定了这些决策由谁来制定。应用程序访问数据库的地方,可以看作边界;用户为执行敏感操作而提高权限时,也可以看作边界。那么边界含义进行了延伸到操作数据层面。
所以拉通时间线可以看出边界的进化时间(如下图),身份与数据是贴得非常近。
在2024年3月美Army统一数据参考架构【以身份优先的数据安全将成为业务的必需品】已经在谈与数据结合的方式。美Army当前的数据架构非常复杂,重点关注用于移动和共享数据的网络、系统和消息协议。这种架构重点会造成过多的数据重复和保留,减少数据共享,并阻碍数据驱动的决策主导地位。Army必须从当前以网络/系统为中心的架构转变为以数据为中心的部队。所以制定统一数据参考架构。提出一个关键原则是“数据即产品”,这个概念大家应该不陌生。对于数据产品准入管理,需要符合零信任,采用零信任原则来规划数据产品访问管理基础设施和工作流程。
在C.7数据安全章节明确提出,通过应用经批准的安全标记、处理限制和记录管理标准,数据产品将在所需的粒度级别得到保护。通过应用适当的访问控制(例如基于角色、基于属性、基于目的、基于关系)并允许仅授权的用户访问和共享数据(利用身份),可以保护数据产品免遭未经授权的访问、操纵和使用(凭证和访问管理(ICAM)服务)。生产者数据域将评估数据敏感性、访问级别、分类标准和其他标准等因素,以定义和实施适用于准备其生产的数据产品时使用的数据的访问策略。
4年多后的今天,2024年11月6日(大选日)发布的《联邦零信任数据安全指南》开始正式阐述这个问题。
指南中学习如何准确地分类和处理数据,以及定义数据的敏感性和关键性,介绍对数据实施适当的安全监控和控制,还有确保数据安全实践与数据生命周期管理 (DLM) 保持一致并嵌入其中。
开篇醍醐灌顶
数据安全是零信任的核心,数据作为新的边界,并采用动态数据标记,标签和加密技术来扩展保护面。
美Air Force的战略以正确姿态践行DOD ZT
零信任模型在生命周期中强制上游安全,从数据的逻辑设计阶段开始,零信任数据安全之旅将是复杂而广泛的,因此从业者应该制定零信任数据安全路线图来帮助有效管理任务。
值得注意的各机构需要对什么是数据资产达成共识,以便识别和保护它们,如《证据法》将数据定义为“记录的信息,无论数据记录的形式或介质如何”,将数据资产定义为“可以组合在一起的数据元素或数据集的集合”,识别敏感数据资产并开始数据目录的共同起点。各机构必须开发或采用方法来标记其数据资产。我们建议使用敏感度类型作为标记敏感数据的起点,无论是结构化、半结构化还是非结构化数据。
注意上图第一阶段,在国外的方法是不同的,注意是映射而不是监听。
个人觉得这篇指南跟笔者4年前的文章有类似之处,只是指南更加细化和明确,但笔者似乎提出比他们早一些时间(正如4年多前的描述:以零信任的视角针对性地设计了数据安全防护体系,不仅能解决数据流动关键路径存在的安全风险,而且能有效地提升数据安全防护水平。)庆幸零信任早期实践没有注意到这些,不然大家都卡在数据分类分级的“坑”上。写到这里,又看了看各家的数据安全落地实践,大多数让人索然无味,在此预测一把,4年后再看看今天说的是打脸还是成真。
//制度和管理办法先不谈,如果以加密为基础,将您的身份设施进行整合和扩充到非人类身份,并在不同的位置与数据结合不断地收敛权限和访问控制,4年后,您的数据安全项目可以转变为以身份为中心的业务系统,从此世界清净一半,旁挂式解决方案那时当成摆设看看而已,剩余交给AI,这时候你做的安全是为组织盈利的。这时候零信任才是您的最佳伴侣,而不是您的负担,当然你需要Money、文化和执行力支撑,或许强大的用户才能走出这一步。//
站在零信任的角度,数据安全的成熟是它放出去成长的一个分支,将来始终会落叶归根,换句话说,现在数据安全的做法只是迈向完整零信任的一种过渡。你可以注意一下,欧洲数据空间架构(IDS-Reference-Architecture-Model)在引用零信任的范式,如下图:
再提一嘴,早在2007年,IBM一篇《以数据为中心的范式》的论文,这篇确实非常有前瞻性,或者理念本身就是正确的。见【2023年身份安全的5个趋势】
因此,以期刊时间对比一下ZT AND DATASEC,似乎比对方早一些。
一些新闻放松一下
2024年4月DOD官员详细介绍了零信任实施计划的下一步计划,零信任战略概述了总共152 项零信任活动,表示“这些活动很重要,但我们需要从零信任开始,从以数据为中心的环境开始。”,其次,希望采用当前的ICAM解决方案,并实现零信任,然后希望解决数据标记问题。
美Army
ICAM为零信任奠定基础:没有ICAM,零信任就不可能实现;Army中校乔丹说,这是Army零信任网络架构的一项核心要求。ICAM创建了一个安全可靠的环境,授权用户、应用程序/工作负载、设备、服务可以根据任务需要随时随地安全地访问数据和信息技术资源,战术网络和网络作战(PdM TCNO)产品经理Keith Jordan中校说道。
美Navy
2024年5月1日,Navy信息优势执行指导小组正式指定身份服务为Navy的企业信息技术(IT)服务,Navy CIO Jane Rathbun表示:ICAM通过验证用户身份并根据其角色授权其查看和与特定数字资源交互的能力来管理用户对数据和应用程序的访问权限。强大的 ICAM功能是现代零信任应用程序架构的基石,ICAM通过使用统一、自动化的工作流程(可重复使用权威数据)取代多次重复的系统授权访问请求 (SAAR),从而改善了用户体验。
2024年10月,Navy副首席信息官巴里·坦纳 (Barry Tanner) 向 GovCIO Media讲述了他对网络安全的看法、他最担心的威胁以及零信任实施的进展。他们正在实施零信任,重点提高运营弹性并确保我们能够随时随地向我们的作战人员安全地提供数据,建立并部署了支持Navy快速行动的零信任环境,并支持内部和外部团队对这些环境进行持续评估,提高网络弹性,优先开发抗量子加密技术,以确保后量子时代敏感数据的持续安全。
美Air Froce
2023年2月美Air Froce前首席信息官Lauren Knausenberger采访曾表示:“我们已经标记了数据,我们知道每个人有权访问哪些数据。”
DOD首席副首席信息官Leslie Beavers女士及其团队前往Spangdahlem基地,受到第 52战斗机联队副指挥官Ryan Ley上校的接待,他们观看了正在试验的技术,这些技术展示了零信任作战技术概念的功能验证。
正确的零信任解读
美Air Force是一直践行DOD的战略,大致整体的线路如下图:
先从,2021年6月的战略说起,它最早(相比其他J种)确认了以数据为中心的战略思想,并以多方面的ICAM为基础,引用集中式访问管理和分布式基础设施功能作为基线,DAF还必须开发ICAM系统和相关策略,使断开连接和中断的单元能够同步集中式身份平台的定期快照,以保护其独立环境并提供边缘认证功能。 美Air Force 2024年7月推出一项新的零信任战略,旨在加强对关键资产的保护并增强对新兴网络威胁的抵御能力,强化了DOD对加强部队网络安全的决心。”文章并不绘制具体的逻辑示意图,但提出7个目标:
目标1:应用程序和工作负载:应用程序级可见性和控制
目标2:数据:数据作为新的边界
目标3:用户:出于正确的原因,对正确的实体进行正确的访问
目标4:设备:降低任何单一设备造成的风险
目标5:网络和环境:随时随地访问受保护的资源
目标6:自动化和编排:基于安全策略的自动安全响应
目标7:可见性和分析:提高检测和反应时间
第一,构建这么庞大的工程,将目标映射到安全能力,安全能力映射到技术,已经说明零信任这样的体系化工程,已经升级为下一代安全架构,再进一步可利用企业架构建模的方式,业务、应用、数据和技术架构分解,解析威胁暴露点,每个暴露点对应不同的安全能力,多个安全能力“串接”为防护面,每个防护面进行分层,构建安全的业务运行系统。很可惜,能实施这样的规划先行模式的组织,国内屈指可数,大多数就是PPT+Word+N个Cosmic卖产品,落地一塌糊涂,因为一开始就错了。
在这里回复一位关注者对《身份元素周期表》中一幅图(下图)的疑问,为什么身份支撑业务,而数据安全和网络安全在下面?因为身份是连接整个业务的支点,而它需要借助或者整合网络和数据安全的能力。
举个例子,Microsoft 365 E5 套件将“一流”的生产力解决方案与全面的安全技术相结合,可以满足DOD零信任战略的七大支柱。全面且可扩展的零信任平台支持一系列环境,包括混合云、多云和多平台需求。微软针对面对不断变化的威胁环境、技术平台和业务需求,许多组织都会经常遇到挑战,发布了更高级别的安全采用框架 ( SAF ),为组织应对不断变化的安全形势提供指导。下图(与上图相似)所示,从战略和编程层面而言,本指南的每个元素既可以单独使用,也可以通过体系结构和技术规划作为整体端到端安全现代化的一部分,而支撑业务和安全的是ZT架构,下面挂接不同的能力板块,包括数据安全和治理。
第二,一个好的产品确实需要高频+刚需+简单可复制的特点,比如“矿泉水”,很可惜,零信任不是产品,零信任的愿景是升级您的安全架构,好比你卖了一瓶“矿泉水”给病人说这个可以净化你的血液,很喝几瓶后还有人相信吗?其他原因本文就不多说了。因此,DAF建设零信任好比“家庭装修”的过程,你可以自己体会一下,每一个家庭装修你认为可用同样的模式吗,虽然有些材质都是一样的。DAF比较有意思的是DAF零信任Roadmap的变化图,有些像装修项目进度图,如下:
2023.2月(上图):很巧妙的将Data放置在User下面,在保持认证和访问的一致性基础上,基础数据平台,单独用个 Policy层表达风险的控制应对,似乎没说清楚,然后上面来一个持续监控,引入SIEM能力,在往上Devices层,关注运行状况,授权和IT自动化的能力,包括提及XDR与SDP的集成,再往上网络层,关注宏观分段和微分段的控制措施,强调在微分段在数据流监控,并与最上层Application层衔接,这是个好注意。
2023.12月(上图):这次变化主要是翻转了一次,把应用和工作负载合并,与网络和环境连接,但设备在最下层比较孤立,所以这幅图是比较乱的。
2024.10月(上图),Release版本就比较完美,对每个Pillar进行了分层,User CIAM下面紧跟Data,分数据治理、数据结构、DRM、防泄漏、标签标记管理,发布执行策略点,Device分增强至XDR、企业级的CMDB等,到Applicetion & Workloads,强调微分段,应用目录和软件供应链管理,再到Network,在基于云优先的前提下用SASE覆盖SDP取代VPN,在Visibility和Analytics中引入UEBA和SIEM解决方案,建立实体行为基线和日志分析,最后理想化的来一个Automation编排。注意上幅图很容易让非深处其中的人们掉入产品拼凑的模式,其实对上层对方是有运营平台做支撑,DOD制定的能力准寻为做约束,强调策略的有效性和协调,以及数据管理策略,治理,对于长期成熟度至关重要,所以是一个比较庞大的工程,不要忘记零信任架构是围绕其组件关系、工作流规划与访问策略构建而成,希望2027能交份指引业界的答卷。为什么ICAM作为统一平台并与数据发生关系?首先在分层的结构中位置先摆正,并在ICAM参考架构完整定义“实体-凭据-资源”,比如资源管理和数据标记不在ICAM参考设计的范围内(但并不绝对,比如Google Cloud的敏感数据保护可以自动发现敏感数据资产并根据敏感度将标签附加到数据资产,使用IAM,可以根据敏感度级别标签键或标签值的存在与否授予或拒绝对数据的访问权限。),在资源访问管理,包括将资源与ICAM 进程正确关联的能力,是正确访问确定的关键依赖项。DoD 开发一种数据参考架构来解决数据资源问题(Army已发布),但对于ICAM,资源一词比数据更广泛,可能国内的认知还处于IP+端口。资源是实体可以请求访问的任何东西,资源可能是:
(1)信息集,例如数据库中的结构化数据或文档中的非结构化数据;
(2)电子邮件或文字处理等服务;
(3)NPE(非人类实体);
(4)建筑物内的设施、建筑物或保护区;
(5)会议室或共享工作空间。
DOD ZT能力满足度证明
吹那么多,DOD ZT有没有实现的啊,请看吹上天的供应商Xage【让零信任卷到太空】公布数据, DOD承诺在2027财年末采用零信任网络安全框架。实现这一目标的路线图包含152项活动,分为七个支柱。其中91项活动被视为“目标级别”,其他61项被视为高级零信任活动。 Xage支持90%的DoD零信任战略活动和功能。在某些情况下,必须满足某些配置或条件才能获得全面支持。
绿色:Xage为零信任活动和功能提供全面、独立的支持
黄色:有条件支持:该功能在某些配置或条件下可用。
红色:Xage尚不支持零信任活动或功能,但将来可能会支持。
下图是片段,完整机翻稿,关注公众号获取。
因此,没有真正的零信任可以拿来即用,而是需因地制宜、由内到外的做一次IT文化和技术架构升级,身份是它的支点,保护数据是它的目的。