系列文章
由于本系列文章较长,故分为五个部分,如需回顾前文,可点击下方链接:
打工人眼中攻防演练蓝军那些人那些事儿(四)
打工人眼中攻防演练蓝军那些人那些事儿(五)
六、新型攻防视角看防守体系-零信任
6.1 零信任的基本认知
6.1.1 零信任:Zero trust architecture(信任是随时变化的,没有永久的信任)
1.零信任的本质是基于身份的访问控制,是进行统一管理的基础和起点
2.“一个都不信”,于是进行严格的身份认证和状态确认;仔细检查各种权限要素,以确定“是否得到许可”;即使一切都没有异常,也“只信这一次”;“仔细记录在案”,以便及时发现/追溯不当行为和改进管理措施。在这个主体管控链条之外,还有诸如防止披露过多信息、建立动态交流通道等各种有效的辅助措施,以保证资源访问的安全性。
3.零信任要解决的核心问题只有一个:在无边界网络环境下,确保所有的业务访问都是由可信的人、终端或系统用可信的方式访问可信的资源和数据。
6.1.2零信任的基本实现:
1)摒弃内外网概念,尽量将安全关口向两边前移,缩小信任边界
2)确认四个可信:人可信、终端可信、资源可信、行为可信
3)持续验证,动态调整授权
零信任概念里信任是随时变化的,没有永久的信任。
6.1.3零信任会改变什么:
1)摒弃内外网的概念
所有连接都是端到端的,中间网络不可信。
2)改变了认证授权和接入的顺序
传统认证模式是先接入再认证。在零信任网络里是先****认证授权,再按最小授权接入。通过这种方式可以将业务资源隐藏起来,未认证授权的访问者根本看不到业务资源。
3)身份成为安全策略的核心要素
企业需要一套权威的认证授权和策略管理平台,集中对用户、终端、资源进行管理,所有的安全策略需要以这些身份为基本要素进行设置,不再完全依赖IP地址进行设置
4)安全能力边缘化
在零信任网络中,端到端之间的网络全程加密,因此原本在内外网边界部署的安全设备会失效,比如NIPS、DLP、WAF等
5)将监测与管控融为一体
6.1.4 零信任的挑战:
1)涉及的安全能力太多
2)超大规模带来的问题
3)建设成本
6.1.5 零信任优点
安全是建立在信任链之上,如果信任链被打破,那么对资源的访问权限则被自动取消。在这个模型下,有几个显著的优点:
1. 安全可靠性更高:因为链条的信任关系是环环相扣,因此中间发生任何异常变化,会更容易被发现被检测到;
2. 攻击难度大:信任链条是多维度组成,例如对用户的信任是通过生物校验和多因素认证,对设备的信任是通过主机准人关系,基线状态,运行状态判断,而维度越多,黑客要攻击的成本就越高,从而入侵的难度也就越大;
3. 持续校验,从不信任:每一次对资源的请求,都是一次重新校验的过程,安全的状态是动态,因此检测也是动态持续发生,这样如果产生了异常,可以迅速感知并阻断;
4. 除此外还有一些全链路分析、集中管控,资产容易管理,包括远程办公等等优点,但这些并不是架构核心优点,因此不再过多描述。
6.1.5 零信任缺点
听起来挺美好的,那么零信任架构是不是完美的?
一直以来我有一个观点,即试图用一个方案解决安全风险时,一定会带来新的风险,这个方案的好坏,很大程度是依赖这个新风险是否可接受。
用人话来说,就是你引入一个新的安全方案的时候,一定会带来新的风险,而对新的风险是否能接受,它是否可控,是决定你这个方案是否可行的关键因素。
所以零信任架构必然也是有它的风险,并且风险不能有效管理,可能会带来更大的问题。在我看来零信任架构有几个缺点:
1. 单点风险:因为对资源的控制都集中在网关上了,因此一旦单点故障会导致整个业务中断;
2. 集中化权限风险:零信任架构实时上是把很多风险收敛给集中起来了,但并非这个风险就不存在了,比如集中化管理中,如果管理失控了会带更大风险;
3. 复杂化风险:因为整个架构涉及多个组件,足够复杂,容易出现业务异常后问题不能及时发现和处理,以及出现业务有任何问题,都是你的责任的情况;
4. 凭证风险:为了平衡用户体验,一般零信任架构都会内置SSO功能,这样对于身份的凭证安全、或是注册设备的凭证安全问题、这些凭证的风险都可能会破坏信任体系;
5. 投资风险:从我们整个周期来看,零信任架构建设周期比一般架构体系要来的长,这样可能会出现项目未完工,人已经走了的情况,后续接手的人是否还认可这个理念,是否要会从头来过,这些都是建设过程的风险。
6.1.6 零信任架构的选择
(1)建议上的场景
1. 有高价值资产:这个应该是所有选择零信任架构的前提,只有资产有价值,需要保护才需要安全的大力投入;
2. 业务严重依赖网络:如果你的业务严重依赖网络,有从内部被恶意破坏的可能,内部控制又很混乱,这种需求可以通过零信任来收敛权限降低风险;
3. 需要防范内部:如果内部是要作为不可信源来进行防护,那么可以考虑零信任架构,因为它对内部权限,身份的识别以及管控会更加严格,可以全程回溯;
4. 是APT的目标:如果有被针对性的长期攻击风险,可以考虑上零信任来加强安全防护能力,抵御攻击;
5. 有钱有资源:土豪还有什么好说的,高大上的统统来就好,这样的公司让我们做朋友吧!
(2)可以不用上的场景
1. 为了远程办公:第一篇零信任远程办公文章发出去后,很多人找我咨询,因为疫情,公司需要远程办公,看了我的文章后考虑上零信任来解决远程办公需求,这里面其实有两个误区:
疫情不是常态,社会秩序必然会尽快恢复正常,为了一次性偶发场景是否要大成本投入需要衡量;
很多公司并没有很强的安全需求,用VPN已经可以很好的解决办公需求了,有安全需求的通过VPN+云桌面等扩展方案,同样兼顾安全,如果是这类需求其实也可以衡量下成本;
2. 追寻零信任的趋势:好的安全方案应该是贴合自己的场景去设计,新的不一定适合自己,追寻新趋势同时也意味着会引入不可预料的风险;
(3)不要去上的场景
1. 成本投入不足:零信任架构会需要改变公司的IT基础架构,改变业务,不管是技术还是管理都需要很大的改变,如果不能坚持长期投入,比如自研方式可能做到一半人走了,商采部署的方案到一半预算就被砍了,到时都会让公司利益受损;
2. 运营能力不足:如上个章节所说,零信任其实会引入一些新的风险,比如集中化管控带来的安全内部的风险,单点故障风险,运营人员被入侵控制的风险,都会因为零信任架构的集中化模式,大大方便了黑客,所以缺乏好的运营和管理会导致更大的风险,而安全运营能力的建设,悲观的看很多公司并不具备好的运营能力。
6.2 基于SDP的零信任
6.21零信任架构的五个核心思想
网络总是被认为是怀有敌意的;
网络外部和内部威胁始终存在;
网络位置不足以决定网络中的信任;
每个设备、用户和网络流都经过认证和授权;
策略必须是动态的,并根据尽可能多的数据来源进行修订。
6.2.2 SDP的零信任依据
零信任产品仅是理论模型,实现方式有多种,但事实证明SDP是零信任的最佳实践。依据如下:
CSA:《SDP标准规范1.0》《 SDP架构指南》 《 SDP实现等保2.0合规技术指南v3.20 》;
NIST:《零信任架构》,提出基于软件定义边界SDP 的ZTA、基于微隔离的ZTA、基于增强身份治理的ZTA;
Garter:零信任网络接入技术开始取代 VPN,零信任网络接入(ZTNA)使企业控制对特定应用的远程访问;
GB:《信息安全技术 零信任架构 参考体系架构》 《零信任参考架构及通用安全指引》
6.2.3 SDP设计的产品
SDP客户端:安卓苹果、信创微软、认证加密、环境感知
SDP控制器:认证授权、信任评估、策略下发、全网可视
SDP网关:网络隐身、动态链接、传输加密、访问控制
首先经过SDP客户端的可信环境验证,然后加密连接SDP控制器进行可信身份验证,然后告知SDP网关用户可信,SDP网关向客户端开放可信通道,最后SDP客户端才能连接SDP网关,动态控制对业务数据的访问,全程动态可信验证,给予最小权限。
6.3 SDP主要功能
九大功能:
可信用户
可信设备
可信环境
可信网络
信任评估
动态访控
可信通道
可信应用
信任支撑
可信用户 (用户名口令、证书认证、短信认证、动态令牌、单点登录)
可信设备(设备指纹、IP/MAC、设备注册、设备审批、移动管控)
可信环境(关键进程、注册表项、关键文件、系统版本、补丁版本)
可信网络(SPA单包授权、默认drop、抗端口扫描、抗重放、抗DDOS、防中间人)先认证后接入的机制导致
信任评估( 合规检测、数据保护、威胁发现、安全加固、风险汇聚、信任评分、数据上报、状态监控、行为基线、行为检测、关联分析、多维画像)
动态防控(策略基线配置、动态策略生成、动态策略下发、二次认证策略、强制下线策略、升权降权策略、口令安全策略、用户安全策略、角色安全策略)
可信通道( 国密算法、国际算法、SSLVPN、IPSecVPN、国密证书、密钥周期)
可信应用(地址隐藏、单点登录、应用代理、域名解析、资源映射、主从账号)
信任支撑(身份认证:Radius、AD/LDAP、SAML