0、零信任簡介
零信任架構(gòu)是一種系統(tǒng)設(shè)計(jì)方法,,其中消除了對網(wǎng)絡(luò)的固有信任,。
相反,假設(shè)網(wǎng)絡(luò)是敵對的,,并且每個訪問請求都根據(jù)訪問策略進(jìn)行驗(yàn)證,。
對請求可信度的置信度是通過構(gòu)建上下文來實(shí)現(xiàn)的,而上下文又依賴于強(qiáng)身份驗(yàn)證,、授權(quán),、設(shè)備運(yùn)行狀況和所訪問數(shù)據(jù)的價(jià)值。
如果不確定零信任是否是滿足正確網(wǎng)絡(luò)架構(gòu)需求,,或者如果不熟悉零信任,,從現(xiàn)在開始了解應(yīng)該是一個不錯的起點(diǎn)。
關(guān)鍵概念
網(wǎng)絡(luò)充滿敵意
網(wǎng)絡(luò)應(yīng)被視為受到威脅,,因此具有敵意,,意味著需要從網(wǎng)絡(luò)中刪除(固有)信任。
在零信任架構(gòu)中,,固有信任從網(wǎng)絡(luò)中移除,。因?yàn)檫B接到網(wǎng)絡(luò),不意味著應(yīng)該能夠訪問網(wǎng)絡(luò)上的所有內(nèi)容,。每個訪問數(shù)據(jù)或服務(wù)的請求都應(yīng)根據(jù)訪問策略進(jìn)行身份驗(yàn)證和授權(quán),。如果連接不滿足訪問策略,連接將被丟棄,。
在漏洞中,,攻擊者在網(wǎng)絡(luò)上站穩(wěn)腳跟,然后橫向移動攻擊是很常見的,。因?yàn)榫W(wǎng)絡(luò)上的所有內(nèi)容和每個人都可以訪問網(wǎng)絡(luò)的其余部分,。在零信任架構(gòu)中,網(wǎng)絡(luò)被視為敵對網(wǎng)絡(luò),,因此每個數(shù)據(jù)或服務(wù)訪問請求都會根據(jù)訪問策略不斷進(jìn)行驗(yàn)證,。與傳統(tǒng)的圍墻花園相比,將改進(jìn)對攻擊者橫向移動嘗試的監(jiān)控和檢測,。
但請記?。毫阈湃尾粫耆{,。
動態(tài)獲得信心
如果從網(wǎng)絡(luò)中刪除信任,必須獲得對用戶,、設(shè)備和服務(wù)的信心,。與其在用戶、設(shè)備或服務(wù)連接到網(wǎng)絡(luò)時拍攝快照并允許產(chǎn)生的權(quán)限持續(xù)存在,,更應(yīng)該繼續(xù)評估這些連接的可信度,。
對于訪問服務(wù)的用戶,必須先建立對用戶身份和行為以及設(shè)備健康的信任,,然后他們才能訪問服務(wù),。對于相互交互的服務(wù),例如使用 API 進(jìn)行數(shù)據(jù)交換,,這是通過確保正確的服務(wù)相互通信并獲得對托管的服務(wù)的健康狀況的信任來實(shí)現(xiàn)的,。
信任連接所需的信心取決于所訪問數(shù)據(jù)的價(jià)值或所請求操作的影響。
例如,,訪問敏感的個人數(shù)據(jù)可能需要一個訪問策略,,根據(jù)定義的配置策略(如加密、補(bǔ)丁級別和正在啟用安全啟動,。
另一方面,,組織中的任何人都可以訪問低價(jià)值數(shù)據(jù),例如午餐菜單,,無論他們的身份驗(yàn)證強(qiáng)度或設(shè)備健康狀況如何,。
術(shù)語
在討論零信任架構(gòu)時,需要了解一些通用的術(shù)語,。以下是零信任原則中使用的一些術(shù)語,。
這些術(shù)語與其他來源緊密結(jié)合,在討論零信任技術(shù)時提供幫助,。
訪問策略- 訪問請求被信任和授權(quán)的要求,。
配置策略- 描述設(shè)備和服務(wù)配置選項(xiàng)的策略。
信號- 一條信息,,如設(shè)備運(yùn)行狀況或位置,,可用于獲得對資產(chǎn)可信度的信心。會經(jīng)常使用許多信號來決定是否授予對資源的訪問權(quán)限,。
策略引擎- 獲取信號并將其與訪問策略進(jìn)行比較以確定訪問決策的組件,。
策略執(zhí)行點(diǎn)- 使用策略引擎來調(diào)解用戶或設(shè)備對服務(wù)或數(shù)據(jù)的請求,以確定是否可以授權(quán)請求,。
設(shè)備運(yùn)行狀況- 設(shè)備符合配置策略并且處于良好狀態(tài)的置信度,。例如,安裝了最新的補(bǔ)丁,或者啟用了安全啟動等功能,。
1,、零信任原則:了解架構(gòu),包括用戶,、設(shè)備,、服務(wù)和數(shù)據(jù)
在零信任網(wǎng)絡(luò)模型中,了解用戶,、設(shè)備、服務(wù)和數(shù)據(jù)比以往任何時候都重要,。
介紹
為了從零信任中獲益,需要了解架構(gòu)的每個組件,,包括用戶、設(shè)備以及他們正在訪問的服務(wù)和數(shù)據(jù),。
正確理解資產(chǎn)很可能涉及資產(chǎn)發(fā)現(xiàn)階段,這是零信任之旅的第一步,。在某些環(huán)境中,,這可能具有挑戰(zhàn)性,并且可能涉及使用自動化工具來發(fā)現(xiàn)網(wǎng)絡(luò)上的資產(chǎn),。在其他情況下,可能能夠通過遵循非技術(shù)程序(例如查詢采購記錄)來確定您的資產(chǎn),。
了解環(huán)境中存儲了哪些數(shù)據(jù)、其位置和敏感性也很重要,。了解數(shù)據(jù)及其相關(guān)敏感性將有助于制定有效且適當(dāng)?shù)脑L問策略,,有助于實(shí)現(xiàn)使用策略來授權(quán)請求,。
過渡到零信任
無論是從具有許多預(yù)先存在的服務(wù)的已建立系統(tǒng)過渡到零信任架構(gòu),還是開始全新的架構(gòu)部署,,資產(chǎn)發(fā)現(xiàn)都同樣重要,。
如果在不考慮現(xiàn)有服務(wù)的情況下實(shí)施零信任架構(gòu),它們可能面臨更高的風(fēng)險(xiǎn),。這些服務(wù)可能不是為敵對的,、不受信任的網(wǎng)絡(luò)設(shè)計(jì)的,因此將無法保護(hù)自己免受攻擊,。
進(jìn)行風(fēng)險(xiǎn)評估
一旦了解了架構(gòu),,就可以更好地確定新目標(biāo)架構(gòu)的風(fēng)險(xiǎn)并確保它們得到緩解,。
在資產(chǎn)發(fā)現(xiàn)階段之后開始進(jìn)行風(fēng)險(xiǎn)評估是明智的 ,包括對零信任方法進(jìn)行威脅建模,。此評估可用于幫助了解正在考慮的零信任組件是否會減輕 - 防范 - 所有風(fēng)險(xiǎn),。
風(fēng)險(xiǎn)緩解的程度可能取決于資產(chǎn)的重要性和風(fēng)險(xiǎn)偏好。因此,,必須評估資產(chǎn)的重要性并為其提供適當(dāng)?shù)谋Wo(hù)措施,。
如果使用零信任方法無法緩解所有風(fēng)險(xiǎn),,則需要保留當(dāng)前網(wǎng)絡(luò)架構(gòu)中的現(xiàn)有安全控制,。
2、零信任原則:了解用戶,、服務(wù)和設(shè)備身份
在零信任網(wǎng)絡(luò)中做出訪問決策時,用戶,、服務(wù)和設(shè)備身份是一個非常重要的因素,。
介紹
身份可以代表用戶(人),、服務(wù)(軟件過程)或設(shè)備。在零信任架構(gòu)中,,每個都應(yīng)該是唯一可識別的。這是決定是否應(yīng)授予某人或某物訪問數(shù)據(jù)或服務(wù)的權(quán)限的最重要因素之一,。
這些唯一身份是輸入策略引擎的眾多信號之一,,策略引擎使用此信息做出訪問決策,。例如,,在允許訪問服務(wù)或數(shù)據(jù)之前,,策略引擎可以評估用戶和設(shè)備身份信號以確定兩者是否真實(shí),。
用戶,、服務(wù)和設(shè)備分配單一身份來源的重要第一步,。
用戶身份
組織應(yīng)使用明確的用戶目錄,創(chuàng)建與個人相關(guān)聯(lián)的帳戶,。這可以以虛擬目錄或目錄同步的形式出現(xiàn),以呈現(xiàn)單個用戶目錄的外觀,。
每個身份都應(yīng)該分配給一個角色,,并且應(yīng)該將其配置為“最低權(quán)限”,因此用戶只能訪問他們執(zhí)行角色所需的內(nèi)容,。事實(shí)上,這些特權(quán)通常源自用戶在組織內(nèi)的工作職能,。
無論從何處訪問,用戶有一個單一的身份和登錄來源,。這將允許更好的用戶體驗(yàn),但也允許所有服務(wù)具有單一的強(qiáng)身份,。
用戶身份服務(wù)應(yīng)該能夠:
創(chuàng)建群組
定義已配置為“最低權(quán)限”的角色
支持強(qiáng)大的現(xiàn)代身份驗(yàn)證方法,例如多因素或無密碼身份驗(yàn)證,。
安全地為用戶提供憑據(jù)
啟用對服務(wù)的聯(lián)合身份驗(yàn)證(例如 SAML 2.0、OAuth 2.0 或 OpenID Connect)
在適用的情況下管理外部服務(wù)中的用戶身份(例如 SCIM 2.0)
支持您的加入者,、移動者和離開者流程
支持第三方聯(lián)合 ID(接受來自其他受信任的第三方用戶目錄的身份)
遷移
如果有一個現(xiàn)有目錄,,遷移到另一個目錄需要仔細(xì)規(guī)劃,。某些目錄服務(wù)允許在目錄之間導(dǎo)入,、同步或聯(lián)合,,這將實(shí)現(xiàn)分階段遷移,或者有效地提供共享目錄,。
外部訪問
應(yīng)該考慮如何向組織外部的人員提供訪問權(quán)限,。服務(wù)可以與外部身份提供者聯(lián)合,,以允許訪問適當(dāng)?shù)姆?wù)和數(shù)據(jù),。例如,,訪客可以查看午餐菜單,,或者承包商只能訪問與其工作相關(guān)的文檔,。
身份和身份驗(yàn)證是一個需要仔細(xì)考慮的廣泛主題。
服務(wù)令牌
服務(wù)不應(yīng)該能夠代表用戶采取無限的行動,。如果這樣的服務(wù)受到威脅,,它將提供對系統(tǒng)中任何服務(wù)或任何數(shù)據(jù)的高特權(quán)訪問,。
為服務(wù)提供適當(dāng)訪問權(quán)限的更好方法是將每個操作與與用戶身份相關(guān)聯(lián)的范圍和限時訪問令牌相關(guān)聯(lián)。這樣,,如果同一服務(wù)受到損害,,對您的服務(wù)造成的損害將僅限于原始操作的權(quán)限。
如果檢測到異常行為,,用戶和設(shè)備評估服務(wù)或數(shù)據(jù)的信心水平將會下降,。應(yīng)立即觸發(fā)補(bǔ)救措施,因?yàn)橛捎谟脩艋蛟O(shè)備健康狀況的變化,,令牌的可信度低于發(fā)布時的可信度,。一些補(bǔ)救措施的示例是終止連接或觸發(fā) MFA 提示。
服務(wù)標(biāo)識
一項(xiàng)服務(wù)或者更準(zhǔn)確地說,,提供一項(xiàng)服務(wù)的軟件——應(yīng)該有自己獨(dú)特的身份,,并被授予正常運(yùn)行所需的最低權(quán)限。這包括根據(jù)服務(wù)的身份維護(hù)連接的允許列表,,將服務(wù)之間的網(wǎng)絡(luò)通信限制為所需的最小數(shù)量,。
示例身份驗(yàn)證方法可能涉及每個服務(wù)的唯一證書。然后可以使用證書身份驗(yàn)證在構(gòu)成服務(wù)的軟件進(jìn)程之間形成相互的TLS(傳輸層安全)連接,。
用戶對應(yīng)用程序或容器平臺的訪問應(yīng)聯(lián)合到單個用戶目錄中,,并使用策略引擎根據(jù)多個信號授權(quán)訪問。如果滿足策略,,策略引擎可以做出訪問決策并釋放令牌,。
設(shè)備標(biāo)識
組織擁有的每臺設(shè)備都應(yīng)在單個設(shè)備目錄中唯一標(biāo)識。這可以實(shí)現(xiàn)高效的資產(chǎn)管理,,并提供訪問服務(wù)和數(shù)據(jù)的設(shè)備的清晰可見性,。
定義的零信任策略將使用設(shè)備的合規(guī)性和健康聲明來決定它可以訪問哪些數(shù)據(jù)以及它可以執(zhí)行的操作。需要一個強(qiáng)大的身份來確保這些聲明可以得到驗(yàn)證,。
設(shè)備身份的強(qiáng)度取決于設(shè)備類型,、硬件和平臺:
設(shè)備身份應(yīng)在安全硬件協(xié)處理器(例如 TPM)上與設(shè)備緊密綁定,這將使您對設(shè)備身份充滿信心,。應(yīng)盡可能使用密鑰證明來證明身份在安全硬件協(xié)處理器中受到保護(hù),。
與基于 TPM 的方法相比,使用基于軟件的密鑰存儲存儲在管理良好的設(shè)備上的身份對設(shè)備身份的信心較低,。
相對于上述內(nèi)容,,基于軟件的密鑰庫中的非托管設(shè)備上的身份對設(shè)備身份的可信度最低。
識別來自另一個組織的設(shè)備需要在兩個組織之間建立信任關(guān)系,。這應(yīng)該發(fā)生在治理和技術(shù)層面,。
自帶設(shè)備場景
當(dāng)允許來自不擁有和管理的設(shè)備的請求時,識別可能具有挑戰(zhàn)性,。BYOD 模型中的設(shè)備仍應(yīng)具有與其相關(guān)聯(lián)的身份以進(jìn)行監(jiān)控,,但對該設(shè)備身份的置信度可能會降低。
3,、零信任原則:評估用戶行為,、服務(wù)和設(shè)備健康狀況
用戶行為以及服務(wù)或設(shè)備健康狀況是建立對系統(tǒng)安全性的信心的重要指標(biāo)。
介紹
應(yīng)該持續(xù)監(jiān)控來自用戶和設(shè)備的健康信號,,以評估對其可信度的信心,。衡量用戶行為和設(shè)備健康狀況有助于對他們的網(wǎng)絡(luò)衛(wèi)生以及他們沒有受到損害有信心,。該信息可以輸入到策略引擎中以做出訪問決策,,如原則中所述。使用策略來授權(quán)請求,。
例如,,可能想知道用戶嘗試從何處訪問服務(wù)并對設(shè)備的健康狀況充滿信心。然后,,這些健康信號可以流入策略引擎以幫助做出訪問決策。
為了促進(jìn)這些評估,,應(yīng)該擁有用戶,、設(shè)備和服務(wù)的單一身份來源,。這些應(yīng)該先于資產(chǎn)發(fā)現(xiàn)階段,。
設(shè)備
需要確信訪問的服務(wù)和數(shù)據(jù)的設(shè)備是健康的,。這些設(shè)備的健康狀況代表了一些最重要的信號,,用于控制對數(shù)據(jù)和服務(wù)的訪問,。設(shè)備運(yùn)行狀況包括遵守設(shè)備配置策略和設(shè)備狀態(tài),。
首先,定義配置策略,,為設(shè)備實(shí)施安全基線。該NCSC的設(shè)備安全指導(dǎo)可以幫助這一點(diǎn),。使用設(shè)備管理服務(wù),,將這些策略應(yīng)用到設(shè)備并強(qiáng)制執(zhí)行,。然后不斷檢查設(shè)備是否合規(guī),。
可以從平臺上的安全功能狀態(tài)確定設(shè)備健康狀況,。例如,是否啟用了安全啟動,?是否安裝了最新的操作系統(tǒng)更新?是否啟用了基于虛擬化的安全或系統(tǒng)完整性保護(hù),?
更進(jìn)一步,,確定設(shè)備固件、啟動過程,、端點(diǎn)安全套件和操作系統(tǒng)內(nèi)核的潛在健康狀況是有助于確定整體設(shè)備健康狀況的強(qiáng)信號,。證明是實(shí)現(xiàn)這一目標(biāo)的一種方式,,它獲取設(shè)備狀態(tài)的快照,并聲明硬件和操作系統(tǒng)的不同組件,。某些端點(diǎn)安全套件可以提供有助于確定設(shè)備是否值得信賴的信號。
如果設(shè)備意外低于所需標(biāo)準(zhǔn),,應(yīng)該確保為合法用戶提供明確且清晰的路徑,,使他們的設(shè)備恢復(fù)良好的網(wǎng)絡(luò)健康。如果設(shè)備錯過了一些日常維護(hù),,合法用戶可能會被阻止訪問服務(wù)或數(shù)據(jù),。
例如,,如果設(shè)備已離線一段時間且未收到操作系統(tǒng)補(bǔ)丁,,則應(yīng)為用戶提供更新其設(shè)備的能力和所需的支持,,因此它可以被視為合規(guī)。
服務(wù)
不僅在最終用戶設(shè)備訪問它們時,,而且在服務(wù)與其他服務(wù)交談時,,還應(yīng)考慮服務(wù)健康狀況。零信任基礎(chǔ)設(shè)施,,例如策略引擎和策略執(zhí)行點(diǎn),也應(yīng)該在這里被視為服務(wù),。
服務(wù)應(yīng)配置為使用其本機(jī)安全功能滿足我們的零信任原則,。例如,通過強(qiáng)制執(zhí)行強(qiáng)身份驗(yàn)證機(jī)制并禁用不支持現(xiàn)代身份驗(yàn)證的舊協(xié)議,。
服務(wù)必須與最新的軟件補(bǔ)丁保持同步,。還應(yīng)該能夠確定服務(wù)的版本和補(bǔ)丁級別。應(yīng)盡早應(yīng)用修復(fù)漏洞的補(bǔ)丁,。
需要監(jiān)控的服務(wù)的健康狀況,。狀態(tài)的意外變化可能表示未經(jīng)授權(quán)的更改或惡意活動。一些示例信號可能是,,確保服務(wù)補(bǔ)丁是最新的并根據(jù)配置策略進(jìn)行配置 - 例如,,容器未以特權(quán)用戶身份運(yùn)行。組成服務(wù)的代碼來源應(yīng)該被驗(yàn)證為來自可信來源,,即代碼交付管道,。
用戶
應(yīng)仔細(xì)考慮用戶訪問服務(wù)和數(shù)據(jù)的行為??梢允褂帽O(jiān)控來定義什么是正常的用戶活動,。
應(yīng)該定義檢查用戶連接健康狀況的策略。例如,,用戶從不同的地理區(qū)域連接到他們通常所在的地方,,或者在半夜進(jìn)行活動,可能是意料之外的,。
通過請求另一個身份驗(yàn)證因素,,可以請求進(jìn)一步的信號,以提高用戶操作的完整性,。
基礎(chǔ)設(shè)施
了解可以作為 IaaS(基礎(chǔ)設(shè)施即服務(wù))托管在數(shù)據(jù)中心或云中的基礎(chǔ)設(shè)施的健康狀況也將是有利的,。
這種與健康相關(guān)的信息可能來自監(jiān)控網(wǎng)絡(luò)流量或來自基礎(chǔ)設(shè)施日志記錄的信息。
例如,,這可以幫助您發(fā)現(xiàn)網(wǎng)絡(luò)上的惡意設(shè)備,、向惡意域發(fā)出信號的未經(jīng)授權(quán)的數(shù)據(jù)流,或者可能表明系統(tǒng)中存在惡意軟件的意外進(jìn)程啟動,。
