零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,在美创科技的每个数据安全产品中无缝落地。在经过5年的成熟实践之后,近期美创科技零信任架构即将升级为2.0版本,以更好的满足数据安全和网络安全的诉求。
零信任架构1.0包含四大基本原则和六大实践原则,具体内容如上图所示。在本文中讲六大实践原则,六大实践原则是四大基本原则的具体落地措施,其中知白守黑已经在上篇中做个讲解,不再重复。
1、从保护目标开始
当你连自己的保护目标是谁,在哪儿都不清楚的时候,很难想象施加的保护措施会是有效的。保护和防御总是从理解目标、懂得目标开始,我们需要保护的目标是资产。在数据安全中,数据或者敏感数据就是最显而易见的资产。我们要知道数据在哪里,数据是什么,做数据认责,确定数据的责任人,做敏感数据发现和识别,做敏感数据分级分类。
2、由内而外进行保护而不是由外而内防御
当我们具有明确的保护目标并清晰的认知它,我们就开始围绕着资产进行保护。越靠近保护目标的措施就越有力,这是个人人都懂的常识。显然,在零信任架构中,首先构建紧贴数据的保护措施,然后逐步由内而外构建防御体系是一种自然选择。
3、以身份为基础而不是以账户为基础
账户可以说是IT基础架构的基础,无论是操作系统,数据库还是各种业务系统都依赖于账户体系生存。但是账户在网络环境中具有高度的不确定性,天生可以被冒名、盗用、碰撞、密码的管理复杂度等弱点。特别是账户共享机制直接剥夺了账户的私密性,使其完全不具有确定性。从nist宣布实践了40多年的复杂密码体系破产可以看出账户管理体系的复杂性和高风险度。
在零信任架构中,网络中充满着不确定性,除了明晃晃的资产可以被信任之外,包括传统网络中的位置和账户都存在天生的不可信任性。零信任架构或者安全的本质就是在不可信任的网络环境掌控可以信任的因素,生活中的人显然是一个可以确定的因素。如果可以把生活中的人映射到网络中,就可以成为一个相对确定性的因素。我们把人在网络中的映射表述为身份,人和身份之间的映射确定程度则体现为身份的确定性程度。
4、特权管理和三权分立
在生活中,大部分情况下每个人对于自己拥有的东西具有绝对的处置权。我们的信息化系统的访问控制体系也是基本按照这个体系建立起来的,这个体系被表述为自主访问控制体系。操作系统,数据库,中间件以及各种业务系统,基本都遵循这个体系来构建访问控制。随着信息化的不断普及以及数据价值的不断提高,自主访问控制体系中必然存在的超级账户这个幽灵的威胁在不断放大又无能为力。
生活中除了完全自由处置权之外,事实上还运行着另一套机制:三权分立机制。当涉及到大众利益或者重要权力的时候,往往是需要多方决策制衡,一致同意才可以完成。甚至于重要的私人物品,比如文物孤品,收藏家未必具有完全的处置权,比如私有林场,林场主未必有自由砍伐权。非常遗憾的是,生活中的三权分立机制并没有被广泛引入到网络世界的基础设施中。比如操作系统,数据库等基础设施都采用自主访问控制体系,充斥着超级账户和特权账户。正是因为如此,特权账户会成为网络世界中的最大威胁之一。零信任架构的保护目标都是高价值目标,必须以做到消除特权账户,实现三权分立为基础。如果无法做到三权分立,要实现零信任架构是存在悖论的,或者是无法达成的。
5、基于访问链的动态验证
零信任架构的高价值的目标,比较传统网络安全对于确定性的要求要高出很多。美创零信任架构通过资产的确认和身份的认知,建立了在不确定网络中两个确定性支点。但是客观来说,再确定性的身份都会存在被胁迫、劫持、冒用和盗用的风险,也就是说身份的不确定性始终是存在的。为了可以进一步提升资产访问的确定性,需要对身份在访问生命周期进行持续的动态验证,不断通过附加因素来增强其确定性,比如环境上下文,比如时空上下文,比如操作上下文,比如路径依赖等等。我们不仅要看其相貌,还要观其言,察其行,才可以最终确定是否真正是我想要的那个人。
访问链是美创零信任架构的一个重要的概念,其承载了两个基本事实:一是贯穿全局(访问生命周期)的身份,二是当上下文发生明显变化的时候持续对身份进行验证,动态增加或者降低身份的信任程度。
6、知白守黑
知白守黑不仅是美创零信任架构的实践指南,也是美创零信任架构的四大基本原则之一。知白守黑已经在前文中做过详细说明,这里不再展开