前言
面對(duì)日益增加的內(nèi)網(wǎng)攻擊威脅,,一些模糊了邊界,竊取信任的攻擊層出不窮;又加上云原生的威脅,導(dǎo)致以防火墻,路由,,網(wǎng)關(guān)等傳統(tǒng)的邊界劃分手段,,已經(jīng)是力不從心,;最后近些年的新技術(shù),,彌補(bǔ)了零信任的一大短板。使得國(guó)外的零信任發(fā)展越來(lái)越趨于完善,,從而獲得很多產(chǎn)出,,使得我們?nèi)ソ梃b。
為了將要更好的面對(duì)新技術(shù)的發(fā)展,。小白我,,一個(gè)不知名的安服工程師開(kāi)始對(duì)零信任方面的技術(shù)和規(guī)劃進(jìn)行了,稍微系統(tǒng)的學(xué)習(xí),,總結(jié)出來(lái)了一點(diǎn)自己的看法(如下圖所示),。
產(chǎn)生零信任的需求是什么?
在內(nèi)網(wǎng)環(huán)境復(fù)雜化的今天,,我們國(guó)家整體的內(nèi)網(wǎng)安全建設(shè)水平(懂得都懂)處于一個(gè)正在發(fā)展的水平,,而零信任不亞于一針“強(qiáng)心劑”有力的支撐了未來(lái)我國(guó)內(nèi)網(wǎng)安全體系的發(fā)展。并且隨著信息化建設(shè)的不斷深入,,內(nèi)網(wǎng)安全問(wèn)題層出不窮。面對(duì)日益繁多的網(wǎng)絡(luò)攻擊,,傳統(tǒng)網(wǎng)絡(luò)防護(hù)手段越來(lái)越難以支撐,。在企業(yè)大量上云平臺(tái)的情況下,用戶(hù)在云平臺(tái)應(yīng)用中進(jìn)行訪(fǎng)問(wèn)服務(wù)時(shí),,防火墻需要將應(yīng)用訪(fǎng)問(wèn)端口映射到互聯(lián)網(wǎng),,導(dǎo)致業(yè)務(wù)系統(tǒng)暴露直接在互聯(lián)網(wǎng)上,很容易受到來(lái)自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡(luò)攻擊,;其次內(nèi)部網(wǎng)絡(luò)規(guī)劃也越發(fā)精細(xì)化,,雖然分工管理維護(hù)上輕松不少,但是一旦出現(xiàn)安全問(wèn)題各部門(mén)間協(xié)調(diào)難度較大,;最重要的問(wèn)題是傳統(tǒng)接入方式VPN需要安裝插件,,過(guò)程復(fù)雜,經(jīng)常出現(xiàn)異常,。
而零信任網(wǎng)絡(luò)主要是利用現(xiàn)有的軟件組件和定制化軟件,,以全新的方式集成在一起構(gòu)建起來(lái)的;它可以通過(guò)軟件的統(tǒng)籌方式,,使得傳統(tǒng)的防火墻,,路由器,交換機(jī)等設(shè)備進(jìn)行一個(gè)加持,??梢赃@樣理解:我們只要通過(guò)AI+靜態(tài)規(guī)則的零信任服務(wù)器,就可以調(diào)動(dòng)傳統(tǒng)的安全設(shè)備,對(duì)企業(yè)的訪(fǎng)問(wèn)和數(shù)據(jù)交換進(jìn)行監(jiān)控,,以降低內(nèi)網(wǎng)被攻擊的概率,。
由于零信任模型沒(méi)有基于網(wǎng)絡(luò)位置建立信任,而是在不依賴(lài)網(wǎng)絡(luò)傳輸層物理安全機(jī)制的前提下,,有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪(fǎng)問(wèn),,也使得VPN,內(nèi)網(wǎng)穿透這種攻擊手段失效,,從而大大降低被黑客攻擊的可能性,。以保護(hù)消費(fèi)者的個(gè)人隱私和公司的機(jī)密消息不外泄。
零信任在安全里的作用是什么,?
零信任架構(gòu)的支撐系統(tǒng)稱(chēng)為控制平面,,其他部分稱(chēng)為數(shù)據(jù)平面,數(shù)據(jù)平面由控制平面指揮和配置,。訪(fǎng)問(wèn)受保護(hù)資源的請(qǐng)求首先經(jīng)過(guò)控制平面處理,,包括設(shè)備和用戶(hù)的身份認(rèn)證與授權(quán)。細(xì)粒度的控制策略也在這一層進(jìn)行,,控制平面可以基于組織中的角色,、時(shí)間或設(shè)備類(lèi)型進(jìn)行授權(quán)。如果用戶(hù)需要訪(fǎng)問(wèn)安全等級(jí)更高的資源,,那么就需要執(zhí)行更高強(qiáng)度的認(rèn)證,。
持續(xù)優(yōu)化策略
當(dāng)然,首先要尋找現(xiàn)有的解決方案,。邊界安全模型是公認(rèn)的保護(hù)網(wǎng)絡(luò)安全的方法,,但這并不意味著沒(méi)有更好的方案。在網(wǎng)絡(luò)安全方面出現(xiàn)的最糟糕的情況是什么,?這個(gè)問(wèn)題的答案雖然有些絕對(duì),,但還是可以回答:信任出了問(wèn)題。這個(gè)問(wèn)題的答案,,歸根結(jié)底還是效率問(wèn)題(和安全/效率成為了一個(gè)博弈),,除非出現(xiàn)新的技術(shù),使得信任的成本大大的降低,,否則零信任就只能和現(xiàn)在的5G一樣成為空中閣樓,,難以短時(shí)間變?yōu)楝F(xiàn)實(shí),又因?yàn)檎叩男枨?,我們能否考慮搭上AI和數(shù)據(jù)安全的浪潮,,規(guī)劃出新一代的標(biāo)準(zhǔn)呢?
零信任通過(guò)使用AI引擎成功的幫助我們解決了這個(gè)問(wèn)題,,我們知道因?yàn)楣镜臉I(yè)務(wù)可能隨時(shí)間的變化也是不斷改變的,,所以如果單單使用人工+靜態(tài)肯定是無(wú)法適應(yīng)的,。我們可以依靠這個(gè)超級(jí)大腦解決這個(gè)棘手的問(wèn)題。
增加信任機(jī)制
零信任授權(quán)體系架構(gòu)包括4個(gè)核心組件(如下圖所示):
策略執(zhí)行組件(輔助者)
策略引擎(超級(jí)大腦,,決策者)
信任引擎(執(zhí)行者)
數(shù)據(jù)存儲(chǔ)系統(tǒng)(源數(shù)據(jù)提供者)
策略執(zhí)行組件在整個(gè)零信任網(wǎng)絡(luò)中大量存在,,部署時(shí)需要盡可能地靠近工作負(fù)載。策略執(zhí)行組件直接影響授權(quán)決策的結(jié)果,,在實(shí)際場(chǎng)景中,,可以由負(fù)載均衡器、代理服務(wù)器甚至防火墻充當(dāng)策略執(zhí)行組件的角色,。策略執(zhí)行組件和負(fù)責(zé)授權(quán)決策的策略引擎進(jìn)行交互,,確保網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求的主體通過(guò)認(rèn)證,并將每個(gè)訪(fǎng)問(wèn)請(qǐng)求的上下文傳遞給授權(quán)引擎完成授權(quán)決策,。策略引擎依據(jù)事先制定好的策略,,對(duì)請(qǐng)求及其上下文進(jìn)行比較并做出決策,根據(jù)決策結(jié)果通知策略執(zhí)行點(diǎn)對(duì)訪(fǎng)問(wèn)請(qǐng)求放行還是拒絕,。
策略引擎調(diào)用信任引擎,,利用各種數(shù)據(jù)源分析并評(píng)估風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)分類(lèi)似信用等級(jí),,能有效防護(hù)未知威脅,,通過(guò)風(fēng)險(xiǎn)評(píng)分可以提升策略的安全性和魯棒性,又不至于因?yàn)榭紤]各種邊界場(chǎng)景而引入復(fù)雜性,。授權(quán)決策時(shí),,策略引擎將信任引擎作為一個(gè)重要的外部組件進(jìn)行調(diào)用,Google公司的BeyondCorp項(xiàng)目率先采用了信任引擎技術(shù),。授權(quán)決策依據(jù)的大量數(shù)據(jù)都存放在數(shù)據(jù)存儲(chǔ)系統(tǒng)中,各種數(shù)據(jù)庫(kù)構(gòu)成了授權(quán)決策的權(quán)威數(shù)據(jù)源,,基于這些數(shù)據(jù),,可以將所有請(qǐng)求的上下文清晰地描繪出來(lái)。一般使用認(rèn)證階段已經(jīng)確認(rèn)的實(shí)體標(biāo)識(shí)信息作為數(shù)據(jù)庫(kù)的主鍵,,用戶(hù)名和設(shè)備序列號(hào)都是常用的實(shí)體標(biāo)識(shí),。這些數(shù)據(jù)庫(kù),包含了用戶(hù)數(shù)據(jù),、設(shè)備數(shù)據(jù)等,,策略引擎和信任引擎高度依賴(lài)這些數(shù)據(jù),數(shù)據(jù)存儲(chǔ)系統(tǒng)是授權(quán)決策過(guò)程的重要支撐系統(tǒng),。
策略引擎是零信任授權(quán)模型中進(jìn)行授權(quán)決策的組件,,它接收來(lái)自策略執(zhí)行組件的授權(quán)請(qǐng)求,并和預(yù)先制定好的策略進(jìn)行比較,,決定請(qǐng)求是否被允許,,并將決策結(jié)果返回策略執(zhí)行組件進(jìn)行強(qiáng)制執(zhí)行,。(受各種現(xiàn)實(shí)因素的影響,將策略引擎和策略執(zhí)行機(jī)制合并到一臺(tái)主機(jī)上部署的情況也時(shí)有發(fā)生,,一種可能的場(chǎng)景是作為策略執(zhí)行組件的負(fù)載均衡器通過(guò)進(jìn)程間通信(IPC)機(jī)制而不是網(wǎng)絡(luò)遠(yuǎn)程調(diào)用發(fā)起授權(quán)請(qǐng)求,,這種架構(gòu)可以降低授權(quán)決策的時(shí)間延遲,此優(yōu)勢(shì)在某些場(chǎng)景下很有吸引力,。)
信任引擎是對(duì)特定的網(wǎng)絡(luò)請(qǐng)求或活動(dòng)進(jìn)行風(fēng)險(xiǎn)分析的系統(tǒng)組件,,其職責(zé)是對(duì)網(wǎng)絡(luò)請(qǐng)求及活動(dòng)的風(fēng)險(xiǎn)進(jìn)行數(shù)值評(píng)估,策略引擎基于這個(gè)風(fēng)險(xiǎn)評(píng)估進(jìn)行進(jìn)一步的授權(quán)策略,,以確保是否允許此次訪(fǎng)問(wèn)請(qǐng)求,。信任引擎一般會(huì)混合使用基于規(guī)則的靜態(tài)評(píng)分方法加機(jī)器學(xué)習(xí)的混合方法,來(lái)應(yīng)對(duì)復(fù)雜多變的情況,。
數(shù)據(jù)存儲(chǔ)系統(tǒng)存儲(chǔ)的數(shù)據(jù)是系統(tǒng)當(dāng)前和歷史狀態(tài)的權(quán)威數(shù)據(jù)源,。數(shù)據(jù)庫(kù)存放的信息被控制平面的各個(gè)系統(tǒng)使用,是授權(quán)的一個(gè)重要的決策依據(jù),;零信任網(wǎng)絡(luò)一般具備多類(lèi)按照功能劃分的數(shù)據(jù)庫(kù),,其中主要分為兩大類(lèi):清單庫(kù)和歷史庫(kù)。清單庫(kù)是記錄資源當(dāng)前狀態(tài)的權(quán)威數(shù)據(jù)源,,用戶(hù)清單庫(kù)存放所有的用戶(hù)信息,,設(shè)備清單庫(kù)則記錄公司所有在冊(cè)的設(shè)備的最新信息。
小提示:控制平面本身的安全性較高,,因此,,整個(gè)網(wǎng)絡(luò)代理生命周期都應(yīng)該限制在控制平面內(nèi)以便充分地保護(hù)其數(shù)據(jù)安全,控制平面的系統(tǒng)應(yīng)該在邏輯上和物理上都與數(shù)據(jù)平面隔離,,應(yīng)該定義明確的邊界,,并且不要頻繁變更。
強(qiáng)化內(nèi)網(wǎng)安全
通用的安全規(guī)則總是存在例外,,它們通常被稱(chēng)為防火墻例外規(guī)則(Firewall Exception),。這些例外規(guī)則應(yīng)當(dāng)盡可能?chē)?yán)格地限制范圍。比如,,Web開(kāi)發(fā)人員希望使用SSH訪(fǎng)問(wèn)用于生產(chǎn)環(huán)境的Web服務(wù)器,,或者HR員工為了進(jìn)行審計(jì)可能需要訪(fǎng)問(wèn)HR軟件數(shù)據(jù)庫(kù),等等,。在這些情況下,,可行的辦法是在防火墻上配置例外規(guī)則,允許某個(gè)IP地址訪(fǎng)問(wèn)特定的服務(wù)器,。
VPN的作用是對(duì)用戶(hù)進(jìn)行身份認(rèn)證并分配IP地址,,然后建立加密的傳輸隧道。用戶(hù)的訪(fǎng)問(wèn)流量通過(guò)隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò),,然后進(jìn)行數(shù)據(jù)包的解封裝和路由,?;蛟S人們從來(lái)沒(méi)有想過(guò),在某種程度上,,VPN是一種不會(huì)遭人懷疑的后門(mén),。但是零信任對(duì)VPN是一個(gè)毀滅性的打擊,但是VPN的優(yōu)點(diǎn),,它并沒(méi)有包容進(jìn)來(lái),,反而通過(guò)增加一部分算力,極大的提升了網(wǎng)絡(luò)訪(fǎng)問(wèn)的安全性,!
零信任代理是應(yīng)用級(jí)代理服務(wù)器,,用來(lái)保護(hù)零信任網(wǎng)絡(luò),它是處理認(rèn)證,、授權(quán)以及加密的基礎(chǔ)設(shè)施,。這些代理的部署方式是保證零信任網(wǎng)絡(luò)安全的關(guān)鍵所在。零信任代理分為反向代理和前向代理兩種工作模式,,運(yùn)行時(shí)可以同時(shí)采用這兩種工作模式,,也可以只采用其中的一種。在反向代理工作模式下,,代理接收來(lái)自零信任客戶(hù)端的連接請(qǐng)求,,并接收初始連接,校驗(yàn)此連接是否應(yīng)該被授權(quán),,授權(quán)通過(guò)后,,把客戶(hù)端請(qǐng)求傳遞給后端的應(yīng)用系統(tǒng)處理。在前向代理工作模式下,,非零信任感知的組件需要向另一個(gè)零信任系統(tǒng)發(fā)出網(wǎng)絡(luò)請(qǐng)求,。因?yàn)榉橇阈湃胃兄慕M件不能和零信任控制平面交互,所以不能正確地初始化該請(qǐng)求,,只能通過(guò)認(rèn)證代理完成請(qǐng)求的初始化,。
零信任涉及了那些不成熟的技術(shù)?
RFC 格式零信任的實(shí)施表
所有網(wǎng)絡(luò)流量在處理前必須經(jīng)過(guò)認(rèn)證
所有網(wǎng)絡(luò)流量在傳輸前應(yīng)當(dāng)被加密
必須由網(wǎng)絡(luò)中的端點(diǎn)系統(tǒng)執(zhí)行認(rèn)證和加密
必須枚舉所有網(wǎng)絡(luò)流量,,這樣系統(tǒng)才可以執(zhí)行強(qiáng)制訪(fǎng)問(wèn)控制
應(yīng)當(dāng)使用網(wǎng)絡(luò)中安全強(qiáng)度最高的認(rèn)證和加密算法套件
認(rèn)證不應(yīng)當(dāng)依賴(lài)公共PKI供應(yīng)商,而應(yīng)當(dāng)使用私有PKI系統(tǒng)
應(yīng)當(dāng)定期執(zhí)行設(shè)備掃描,、為設(shè)備安裝補(bǔ)丁以及輪換設(shè)備
我們挑選了幾個(gè)代表性的問(wèn)題,,來(lái)進(jìn)行分析,這有助于我們更加全面的了解零信任,!
協(xié)議兼容問(wèn)題
例如,,802.1X和可信網(wǎng)絡(luò)連接(Trusted Network Connect, TNC)這類(lèi)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)關(guān)注的焦點(diǎn)是網(wǎng)絡(luò)的準(zhǔn)入而不是服務(wù)的準(zhǔn)入,因此不屬于零信任模型的范疇,。所以當(dāng)我們開(kāi)展零信任的時(shí)候,,我們需要對(duì)協(xié)議的選擇,,進(jìn)行一部分的取舍,尤其是在公司是部分改造的情況下,,我們并不能采用一刀切的方法,,對(duì)其進(jìn)行大規(guī)模私人認(rèn)證的改造。
AI識(shí)別準(zhǔn)確率/誤報(bào)率問(wèn)題
安博通網(wǎng)絡(luò)流量安全分析系統(tǒng)在傳統(tǒng)流量采集,、流量分析,、流量回溯的基礎(chǔ)上,集成自研的威脅情報(bào)技術(shù),,并應(yīng)用深度學(xué)習(xí)技術(shù),,降低誤報(bào)率。我們知道深度學(xué)習(xí)技術(shù)是機(jī)器學(xué)習(xí)技術(shù)的一種,,而機(jī)器學(xué)習(xí)是實(shí)現(xiàn)人工智能的必經(jīng)路徑,。深度學(xué)習(xí)概念源于人工神經(jīng)網(wǎng)絡(luò)的研究,其通過(guò)組合低層特征形成更加抽象的高層表示屬性類(lèi)別或特征,,并以發(fā)現(xiàn)數(shù)據(jù)的分布式特征表示,。
研究深度學(xué)習(xí)的動(dòng)機(jī)在于建立模擬人腦學(xué)習(xí)分析的神經(jīng)網(wǎng)絡(luò),它模擬人腦機(jī)制解釋數(shù)據(jù),,如圖像,、聲音、文本等,?;谏疃葘W(xué)習(xí)的惡意文件、惡意URL,、DGA域名等檢測(cè)技術(shù)無(wú)需沙箱環(huán)境,,可以直接將樣本文件轉(zhuǎn)換為二維圖片,進(jìn)而應(yīng)用改造后的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和檢測(cè),。但是由于環(huán)境復(fù)雜多樣,,我們不一定可以取得很好的效果,再加上靜態(tài)規(guī)則可能會(huì)存在的干擾,。
另外零信任網(wǎng)絡(luò)的哪些組件和實(shí)體需要被評(píng)分,?這個(gè)問(wèn)題很有趣。是對(duì)每個(gè)單獨(dú)的實(shí)體(如用戶(hù),、設(shè)備或應(yīng)用程序)進(jìn)行評(píng)分,,還是將網(wǎng)絡(luò)代理作為一個(gè)整體進(jìn)行評(píng)分?或者同時(shí)對(duì)網(wǎng)絡(luò)代理和構(gòu)成網(wǎng)絡(luò)代理的元素進(jìn)行評(píng)分(這很考驗(yàn)AI的智能化),?
而且這種通過(guò)規(guī)則逐項(xiàng)評(píng)估信任評(píng)分的方式是一種較好的基礎(chǔ)方案,,但是僅僅通過(guò)一組靜態(tài)規(guī)則是不夠的,它們不能滿(mǎn)足零信任網(wǎng)絡(luò)對(duì)未知攻擊進(jìn)行防御這一預(yù)設(shè)目標(biāo),。因此,,成熟的信任引擎除了使用靜態(tài)規(guī)則,,還大量采用機(jī)器學(xué)習(xí)技術(shù)來(lái)實(shí)現(xiàn)信任評(píng)分功能。這里我們是否可以利用AI智能的學(xué)習(xí)方法,,做出相應(yīng)的惡意誘導(dǎo),,導(dǎo)致AI生成的策略出現(xiàn)Bug!
小提示:尤其是最近,還有AI識(shí)別投毒的“反后門(mén)攻擊”,,這給零信任危機(jī)也帶來(lái)了,,不小的挑戰(zhàn)參考鏈接:
https://mp.weixin.qq.com/s/0swCFuVf612p88MACXeTmw)。
新的認(rèn)證技術(shù)的融入問(wèn)題
構(gòu)建零信任網(wǎng)絡(luò)并不需要太多新的技術(shù),,而是采用全新的方式使用現(xiàn)有技術(shù),。零信任網(wǎng)絡(luò)有3個(gè)關(guān)鍵組件:用戶(hù)/應(yīng)用程序認(rèn)證、設(shè)備認(rèn)證和信任,。第一個(gè)組件包含了用戶(hù)認(rèn)證和應(yīng)用認(rèn)證兩層含義,,因?yàn)椴⒉皇撬械牟僮鞫加捎脩?hù)執(zhí)行,比如在數(shù)據(jù)中心內(nèi)部,,很多操作由應(yīng)用程序自動(dòng)執(zhí)行,,在這種情況下,通常把應(yīng)用程序等同于用戶(hù)看待,。其實(shí)這種方法的雛形就是像安全狗一樣給網(wǎng)站管理發(fā)信息提醒管理員,,網(wǎng)站上的敏感操作是不是,管理員自己做的,。沒(méi)意義的關(guān)鍵在于效率,,關(guān)系網(wǎng)小還可以,一旦關(guān)系變復(fù)雜,,只能呵呵了,。
我們熟知的認(rèn)證有:密碼認(rèn)證,生物認(rèn)證,,父子延續(xù)認(rèn)證,。但是我們知道,安全圈有這樣的一個(gè)悖論,,只要注意效率,,難免會(huì)造成安全的隱患。所以我們也要考慮一下,,我們?cè)O(shè)計(jì)的認(rèn)證它帶來(lái)的成本和下降的效率,,我們的客戶(hù)是不是可以接受。
設(shè)備生命周期問(wèn)題
策略執(zhí)行組件有兩大職責(zé),。第一,和策略引擎交互完成授權(quán)決策,,比如,,負(fù)載均衡器收到一個(gè)請(qǐng)求時(shí)需要通過(guò)授權(quán)并獲悉此請(qǐng)求是否被允許,。第二,授權(quán)決策結(jié)果的強(qiáng)制執(zhí)行,。這兩大職責(zé)在零信任授權(quán)架構(gòu)中既可以通過(guò)一個(gè)組件實(shí)現(xiàn),,也可以由兩個(gè)系統(tǒng)組件來(lái)分別實(shí)現(xiàn)。但是我們執(zhí)行這些策略,,或者說(shuō)我們通過(guò)AI生成的策略,,該什么時(shí)候進(jìn)行優(yōu)化,或者說(shuō)升級(jí)與修正,。
不光是AI的算法,,我們也需要考慮硬件設(shè)備的壽命,這又是一筆不小的開(kāi)支,!
零信任面臨的實(shí)際困難是什么,?
零信任的防御方法有兩種:一種策略鎖死;另一種是公開(kāi)透明化,,監(jiān)督,。
規(guī)則統(tǒng)一問(wèn)題
目前,應(yīng)用較廣泛的身份認(rèn)證機(jī)制是安全工程師們都非常熟悉的X.509標(biāo)準(zhǔn),。該標(biāo)準(zhǔn)定義了數(shù)字證書(shū)的標(biāo)準(zhǔn)格式,,并能夠通過(guò)信任鏈認(rèn)證身份。X.509證書(shū)是TLS協(xié)議(以前是SSL協(xié)議)用來(lái)驗(yàn)證連接的主要機(jī)制,。既然涉及到了證書(shū),,那么會(huì)不會(huì)存在,密鑰的破解和證書(shū)的偽造呢,?
也就是說(shuō),,雖然身份憑據(jù)的合法性可以得到驗(yàn)證,但是其機(jī)密性無(wú)法得到保證,。因此,,實(shí)踐中最好使用存儲(chǔ)在不同位置的多個(gè)秘密,根據(jù)這些秘密的組合授予訪(fǎng)問(wèn)權(quán)限,。在這種情形下,,攻擊者必須竊取多個(gè)秘密才能完成攻擊,這增加了攻擊的難度,。為身份認(rèn)證憑據(jù)設(shè)定有效期限,,不僅能夠最大限度地縮減憑據(jù)泄露或密鑰被盜的影響范圍,還可以給管理員更新密鑰和重建信任創(chuàng)造更多的機(jī)會(huì),,爭(zhēng)取更多的時(shí)間,。管理員更改或更新密鑰/口令的行為被稱(chēng)為憑據(jù)輪換(Credential Rotation)。雖然解決了上述問(wèn)題,但是表面的可用性和實(shí)效性又有多少呢,?
PKI服務(wù)供應(yīng)商有很多類(lèi)型,,其中證書(shū)授權(quán)中心(CA)和信任網(wǎng)絡(luò)(WoT)是較受歡迎的兩類(lèi)供應(yīng)商。CA的信任依賴(lài)于數(shù)字簽名鏈,,用戶(hù)能夠根據(jù)數(shù)字簽名鏈回溯到初始的可信根節(jié)點(diǎn),。WoT沒(méi)有使用信任鏈的形式,而是允許參與通信的系統(tǒng)斷言對(duì)等方身份的有效性,,最終形成相互背書(shū)的網(wǎng)狀結(jié)構(gòu),。用戶(hù)可以遍歷信任網(wǎng)站,尋找自己需要的,、能夠信任的數(shù)字證書(shū),。WoT在PGP系統(tǒng)中得到了廣泛使用,但本書(shū)更關(guān)注CA這類(lèi)PKI系統(tǒng),,因?yàn)镃A的流行程度遠(yuǎn)遠(yuǎn)超過(guò)信任網(wǎng)絡(luò),。
所以我們?yōu)榱顺霈F(xiàn)上述問(wèn)題,我們需要開(kāi)發(fā)一套屬于自己的認(rèn)證協(xié)議(這個(gè)成本是巨大的)?。,。?/p>
策略配置問(wèn)題
零信任網(wǎng)絡(luò)的策略和傳統(tǒng)的網(wǎng)絡(luò)安全策略雖然有幾分相似,,但它們?cè)诤芏喾矫鎱s截然不同
零信任策略尚未標(biāo)準(zhǔn)化
尚無(wú)策略描述標(biāo)準(zhǔn)
由誰(shuí)定義策略
零信任網(wǎng)絡(luò)的授權(quán)策略往往粒度很細(xì),,如果仍然由系統(tǒng)管理員對(duì)所有策略進(jìn)行集中定義和管理,那么管理員將不堪重負(fù),。因此,,需要將策略定義和管理的權(quán)責(zé)開(kāi)放給資源或服務(wù)的所有者,以便分擔(dān)管理員的策略維護(hù)壓力,。這個(gè)時(shí)候可以考慮偽造協(xié)議(必定存在兼容標(biāo)準(zhǔn)一類(lèi)的)或者利用策略分配的漏洞(本質(zhì)還是人的錯(cuò)誤)進(jìn)行攻擊,!
零信任模型認(rèn)為,主機(jī)無(wú)論處于網(wǎng)絡(luò)的什么位置,,都應(yīng)當(dāng)被視為互聯(lián)網(wǎng)主機(jī),。它們所在的網(wǎng)絡(luò),無(wú)論是互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)絡(luò),,都必須被視為充滿(mǎn)威脅的危險(xiǎn)網(wǎng)絡(luò),。只有認(rèn)識(shí)到這一點(diǎn),才能建立安全通信,。由于大多數(shù)管理員都有建設(shè)和維護(hù)互聯(lián)網(wǎng)主機(jī)安全機(jī)制的經(jīng)驗(yàn),,因此至少有辦法阻止針對(duì)某個(gè)特定IP地址(主機(jī))的攔截或篡改攻擊。自動(dòng)化系統(tǒng)使我們能夠把這一級(jí)別的安全防護(hù)機(jī)制應(yīng)用到基礎(chǔ)設(shè)施中的所有系統(tǒng),??刂破矫婧蛿?shù)據(jù)平面之間的交互需要自動(dòng)化系統(tǒng)來(lái)處理,。如果策略執(zhí)行不能動(dòng)態(tài)更新,那么零信任網(wǎng)絡(luò)就無(wú)法實(shí)現(xiàn),,因此,,策略執(zhí)行過(guò)程的自動(dòng)化和速度是問(wèn)題的關(guān)鍵。使用AI才可以達(dá)到這樣的目的,,如果設(shè)定的底層標(biāo)準(zhǔn)出現(xiàn)問(wèn)題,恐怕這又是一個(gè)供應(yīng)鏈級(jí)別的漏洞,!所以怎么考慮這方面的安全問(wèn)題呢,?有待我們?nèi)ヌ岣撸襴eb3.0的到來(lái),,又會(huì)是一波浪潮,,其本質(zhì)也是零信任。
權(quán)限設(shè)置問(wèn)題
如果代理發(fā)出的訪(fǎng)問(wèn)請(qǐng)求被批準(zhǔn),,那么零信任模型的控制平面會(huì)通知數(shù)據(jù)平面接受該請(qǐng)求,,這一動(dòng)作還可以配置流量加密的細(xì)節(jié)參數(shù)。訪(fǎng)問(wèn)流量的機(jī)密性也非常重要,,至少要采用設(shè)備級(jí)加密或者應(yīng)用程序級(jí)加密中的一種,,也可以?xún)煞N方式同時(shí)采用。通過(guò)這些認(rèn)證/授權(quán)組件,,以及使用控制平面協(xié)助完成的加密通道,,就可以確保網(wǎng)絡(luò)中每一個(gè)訪(fǎng)問(wèn)流量都按照預(yù)期經(jīng)過(guò)了認(rèn)證、授權(quán)和加密,;沒(méi)有經(jīng)過(guò)認(rèn)證,、授權(quán)和加密完整處理的流量會(huì)被主機(jī)和網(wǎng)絡(luò)設(shè)備丟棄,以確保敏感數(shù)據(jù)不會(huì)泄露出去,。另外,,控制平面的每個(gè)事件和每項(xiàng)操作都會(huì)被記錄下來(lái),用于完成基于訪(fǎng)問(wèn)流或訪(fǎng)問(wèn)請(qǐng)求的審計(jì)工作,。
這樣的話(huà)有一個(gè)疑問(wèn),?如果真的打進(jìn)去了,會(huì)不會(huì)導(dǎo)致加密研判工作變的困難呢,?認(rèn)真思考NAT技術(shù)和私有地址空間,,很明顯零信任模型使其安全參數(shù)失去了意義。的確,,提出者也不是傻子,,這個(gè)問(wèn)題很有意思。但是,,如果網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求的路徑中部署了負(fù)載均衡設(shè)備或代理服務(wù)器,,那么就能夠看到應(yīng)用數(shù)據(jù),也就有機(jī)會(huì)進(jìn)行深度包檢測(cè)和授權(quán)操作。但是這種方法,,真的可以在半零信任半傳統(tǒng)的防御中完全杜絕嗎,?
安全/效率問(wèn)題
如果在自動(dòng)化部署的場(chǎng)景中引入了人工環(huán)節(jié),那么對(duì)簽發(fā)和部署請(qǐng)求進(jìn)行授權(quán)就很有意義了,,雖然每次請(qǐng)求都由人工確認(rèn)是理想的做法,,可以杜絕未授權(quán)的簽名請(qǐng)求被批準(zhǔn),但是人無(wú)完人,,人類(lèi)很容易疲勞并且也有很多其他缺點(diǎn),,為避免人為犯錯(cuò),建議每個(gè)人只負(fù)責(zé)對(duì)他們自己發(fā)起的請(qǐng)求進(jìn)行審批確認(rèn),。通過(guò)使用一次性動(dòng)態(tài)口令(TOTP)可以在單個(gè)步驟中完成部署和簽名授權(quán),。生成部署請(qǐng)求時(shí)可以提供一個(gè)TOTP并將其傳遞給簽名服務(wù)進(jìn)行驗(yàn)證,這種簡(jiǎn)單而強(qiáng)大的機(jī)制確保了新證書(shū)簽發(fā)過(guò)程的可控,,同時(shí)其需要的額外管理成本較小,。因?yàn)橐粋€(gè)TOTP口令只能使用一次,所以TOTP驗(yàn)證失敗是一個(gè)重要的安全事件,,可以杜絕安全隱患,。
機(jī)構(gòu)剛開(kāi)始部署多因子認(rèn)證設(shè)施時(shí),經(jīng)常采用基于時(shí)間的硬件動(dòng)態(tài)口令令牌,。隨著智能手機(jī)的流行,,越來(lái)越多的用戶(hù)傾向于使用智能手機(jī)上安裝的軟件形態(tài)的多因子認(rèn)證安全令牌。使用安全令牌的協(xié)議(如U2F)能夠有效防御釣魚(yú)攻擊,,同時(shí)對(duì)于用戶(hù)來(lái)說(shuō)其易用性也更好,。所以,應(yīng)盡可能選擇安全令牌系統(tǒng)代替?zhèn)鹘y(tǒng)的TOTP,。但是上述都建立在公司不追求絕對(duì)的效益上面,!
信任處理問(wèn)題
零信任網(wǎng)絡(luò)的情形與之類(lèi)似,用戶(hù)在大多數(shù)情況下以最小特權(quán)模式訪(fǎng)問(wèn)網(wǎng)絡(luò)資源,,只在需要執(zhí)行敏感操作時(shí)才提升權(quán)限,。比如,經(jīng)過(guò)身份認(rèn)證的用戶(hù)可以自由地訪(fǎng)問(wèn)公司的目錄或使用項(xiàng)目計(jì)劃軟件,。但是,,如果用戶(hù)要訪(fǎng)問(wèn)關(guān)鍵的生產(chǎn)系統(tǒng),那么就需要采用額外的手段確認(rèn)該用戶(hù)的身份,,確保該用戶(hù)的系統(tǒng)沒(méi)有被攻陷,。對(duì)于風(fēng)險(xiǎn)相對(duì)較低的操作,特權(quán)提升過(guò)程可以很簡(jiǎn)單,,只需重新提示用戶(hù)輸入口令,、要求出示雙因素認(rèn)證令牌或者給用戶(hù)的手機(jī)推送認(rèn)證通知,。對(duì)于高風(fēng)險(xiǎn)的操作,可以選擇通過(guò)帶外方式要求相關(guān)人員進(jìn)行主動(dòng)確認(rèn),。
客戶(hù)端以不可信的方式開(kāi)始訪(fǎng)問(wèn)會(huì)話(huà)請(qǐng)求,,并在訪(fǎng)問(wèn)過(guò)程中通過(guò)各種機(jī)制不斷積累信任,直到積累的信任足夠獲得系統(tǒng)的訪(fǎng)問(wèn)權(quán)限,。比如,,用戶(hù)通過(guò)強(qiáng)認(rèn)證能夠證明所使用的終端設(shè)備屬于公司,這可能積累了一些信任,,但不足以獲得賬單系統(tǒng)的訪(fǎng)問(wèn)權(quán)限,。接下來(lái),用戶(hù)提供了正確的RSA令牌,,就可以積累更多的信任。最后,,設(shè)備認(rèn)證和用戶(hù)認(rèn)證相結(jié)合計(jì)算出的信任評(píng)分滿(mǎn)足要求,,用戶(hù)就可以獲得賬單系統(tǒng)的訪(fǎng)問(wèn)權(quán)限了。這個(gè)恰恰是我們的攻擊點(diǎn),,我們的信任是不是可以惡意的刷取呢,?
基于信任評(píng)分的策略模型也不是沒(méi)有缺點(diǎn)。其中一個(gè)問(wèn)題是,,單一的評(píng)分值是否足以保護(hù)所有的敏感資源,。用戶(hù)的信任評(píng)分能夠基于歷史行為而降低,同樣也可以基于歷史的可信行為而增加,。那么,,攻擊者是否有可能通過(guò)在系統(tǒng)中慢慢建立信任,從而獲得更高的訪(fǎng)問(wèn)權(quán)限呢,?很有趣的思考,?確實(shí)使用不同的策略會(huì)產(chǎn)生不同的效果,但是不同的策略會(huì)不會(huì)起沖突呢,?不好說(shuō),!
控制平面和數(shù)據(jù)平面是網(wǎng)絡(luò)系統(tǒng)經(jīng)常使用的概念,其基本思想是,,網(wǎng)絡(luò)設(shè)備有控制平面和數(shù)據(jù)平面兩個(gè)邏輯域,,這兩個(gè)邏輯域之間存在清晰的接口。數(shù)據(jù)平面的作用是轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量,,它需要高速處理數(shù)據(jù)包,,因此其處理邏輯相對(duì)簡(jiǎn)單,通常使用專(zhuān)用硬件,??刂破矫婵梢钥醋魇蔷W(wǎng)絡(luò)設(shè)備的大腦,,系統(tǒng)管理員用它來(lái)配置管理網(wǎng)絡(luò)設(shè)備,因此控制平面會(huì)隨著策略的變化而變化,??刂破矫娴膹?qiáng)可塑性導(dǎo)致其無(wú)法處理高速網(wǎng)絡(luò)數(shù)據(jù)包流量。因此,,控制平面和數(shù)據(jù)平面之間的接口定義需要遵循這樣的原則:任何在數(shù)據(jù)平面執(zhí)行的策略行為,,都要盡可能減少向控制平面發(fā)送請(qǐng)求(相對(duì)于網(wǎng)絡(luò)流量速率來(lái)說(shuō))。
網(wǎng)絡(luò)代理指在網(wǎng)絡(luò)請(qǐng)求中用于描述請(qǐng)求發(fā)起者的信息集合,,一般包括用戶(hù),、應(yīng)用程序和設(shè)備共3類(lèi)實(shí)體信息。在傳統(tǒng)實(shí)現(xiàn)方案中,,一般對(duì)這些實(shí)體進(jìn)行單獨(dú)授權(quán),,但是在零信任網(wǎng)絡(luò)中,策略基于這3類(lèi)實(shí)體信息的組合整體進(jìn)行制定,。用戶(hù),、應(yīng)用程序和設(shè)備信息是訪(fǎng)問(wèn)請(qǐng)求密不可分的上下文,將其作為整體進(jìn)行授權(quán),,可以有效地應(yīng)對(duì)憑證竊取等安全威脅,。類(lèi)似于黃金票據(jù)那樣的萬(wàn)能票據(jù)攻擊可能會(huì)非常的方便!
未來(lái)零信任的安全會(huì)受到那些威脅,?
如果使用基于攻擊者視角的看,,則可以把攻擊者按照能力(造成的損害)從低到高如下:
碰運(yùn)氣攻擊者:這類(lèi)攻擊者又被稱(chēng)為“腳本小子”。他們往往利用那些眾所周知的漏洞和工具發(fā)起攻擊,,廣撒網(wǎng),,碰運(yùn)氣。
定向的攻擊者:此類(lèi)攻擊者針對(duì)特定的目標(biāo)發(fā)起針對(duì)性的攻擊,。他們經(jīng)常通過(guò)魚(yú)叉郵件,、社交工程等手段發(fā)起攻擊。
內(nèi)部人員:擁有合法憑據(jù)的系統(tǒng)用戶(hù),。外包人員,、非特權(quán)的企業(yè)員工等,往往會(huì)被定向攻擊者“搞定”,。
可信內(nèi)部人員:可信度很高的系統(tǒng)管理員(概率小,,危害極大)。
未來(lái)零信任的攻擊方向
枚舉終端
社會(huì)工程學(xué)
身份竊取
分布式拒絕服務(wù)攻擊(DDoS)
枚舉終端
我們知道,,不論怎么改變,,設(shè)備的認(rèn)證都會(huì)帶有密碼。一旦存在弱口令,,那么就算設(shè)備足夠完善,,也可能出現(xiàn)嚴(yán)重的問(wèn)題,。因?yàn)榱阈湃尉W(wǎng)絡(luò)需要控制網(wǎng)絡(luò)中的端點(diǎn)設(shè)備,所以它對(duì)互聯(lián)網(wǎng)威脅模型進(jìn)行了擴(kuò)展,,充分考慮了端點(diǎn)設(shè)備被攻陷的情形,。面對(duì)端點(diǎn)設(shè)備可能遭受的攻擊,通常的應(yīng)對(duì)方式是首先對(duì)端點(diǎn)操作系統(tǒng)進(jìn)行安全加固,,然后采用端點(diǎn)系統(tǒng)安全掃描,、系統(tǒng)活動(dòng)行為分析等方式來(lái)進(jìn)行攻擊檢測(cè)。此外,,定期升級(jí)端點(diǎn)設(shè)備中的軟件,,定期更換端點(diǎn)設(shè)備的登錄憑證,甚至定期更換端點(diǎn)設(shè)備本身等,,也能夠緩解針對(duì)端點(diǎn)設(shè)備的攻擊,。那最簡(jiǎn)單的口令問(wèn)題怎么辦呢?
我們還會(huì)遇到一些很難防御的,、相對(duì)小眾的威脅,,如利用虛擬機(jī)管理程序的漏洞復(fù)制虛擬機(jī)內(nèi)存等。防御這類(lèi)威脅需要付出相當(dāng)大的代價(jià),,可能需要專(zhuān)用的物理硬件,因此大多數(shù)零信任網(wǎng)絡(luò)的威脅模型排除了這類(lèi)攻擊,。我們應(yīng)該明白,,在網(wǎng)絡(luò)安全方面雖然有許多最佳實(shí)踐,但是零信任模型僅需要保證用于認(rèn)證和授權(quán)操作的信息的機(jī)密性,,如存儲(chǔ)在磁盤(pán)上的憑據(jù)的機(jī)密性,。
社會(huì)工程學(xué)
雖然我們可以使用上述的多重認(rèn)證手段搭配解決。但是,,我們不要忘記了,,安全圈里的名言“出問(wèn)題的永遠(yuǎn)是人!”,,我們知道人才造成是安全風(fēng)險(xiǎn)的最不可控的因素,。在整個(gè)攻擊過(guò)程中,網(wǎng)絡(luò)中的安全防護(hù)措施在發(fā)揮什么作用,?防火墻的部署是經(jīng)過(guò)精心設(shè)計(jì)的,,安全策略和例外規(guī)則嚴(yán)格限制了范圍。從網(wǎng)絡(luò)安全的角度看,,一切都做得非常正確,,那為什么攻擊還能成功呢?個(gè)人認(rèn)為在攻防演練越來(lái)越成熟的時(shí)候,,除非是供應(yīng)鏈級(jí)別的0day,,其他的在行業(yè)類(lèi)造成的影響有限,,同時(shí)培養(yǎng)的成本及其高昂(實(shí)驗(yàn)室一群人,開(kāi)發(fā)一波人,,產(chǎn)品……)所以不是太劃算,;這個(gè)時(shí)候釣魚(yú)社工就是一個(gè)付出成本較小,收益占比較高的事情?。,。?/p>
身份竊取
零信任非常適合在云環(huán)境中部署,,原因很明顯:你完全不需要信任公有云環(huán)境中的網(wǎng)絡(luò),!在零信任模型中,計(jì)算資源不依賴(lài)IP地址或網(wǎng)絡(luò)的安全性即可進(jìn)行身份驗(yàn)證和安全通信,,這種能力意味著可以最大程度地把計(jì)算資源商品化,。確實(shí)在數(shù)據(jù)上云的同時(shí),我們也可以考慮如何獲取這些東西,?
由于零信任模型主張加密所有通信數(shù)據(jù),,哪怕通信雙方位于同一個(gè)數(shù)據(jù)中心內(nèi)部,因此管理員不需要操心哪些數(shù)據(jù)包流經(jīng)互聯(lián)網(wǎng),,哪些不流經(jīng)互聯(lián)網(wǎng),。安全性確實(shí)提高了,但是安全產(chǎn)品怎么分析他的特征值啊人們甚至可能連自己都無(wú)法完全信任,,但是至少可以確信所采取的行動(dòng)的確是自己所為,。因此,零信任網(wǎng)絡(luò)中的信任往往源自系統(tǒng)管理員,?!傲阈湃尉W(wǎng)絡(luò)中的信任”這句話(huà)聽(tīng)上去似乎有些自相矛盾,但是理解這一點(diǎn)卻非常重要:如果不存在與生俱來(lái)的信任,,那么就必須從某個(gè)地方產(chǎn)生信任并小心地管理它,。
如何確定一個(gè)新生成的服務(wù)是自己的而不是其他人的?為了達(dá)到這個(gè)目的,,管理員就必須將責(zé)任委托給供應(yīng)系統(tǒng)(Provisioning System),,授予它創(chuàng)建新主機(jī)和為新主機(jī)授予信任的能力。通過(guò)這種方式,,我們就可以相信新創(chuàng)建的服務(wù)確實(shí)是自己的,,因?yàn)楣?yīng)系統(tǒng)已經(jīng)確認(rèn)過(guò)該服務(wù)是由它創(chuàng)建的,并且供應(yīng)系統(tǒng)還可以證明系統(tǒng)管理員已經(jīng)把這樣的權(quán)力授予了它,。能夠返回給系統(tǒng)管理員的這一串信任通常被稱(chēng)為信任鏈(Trust Chain),,而系統(tǒng)管理員被稱(chēng)為信任錨(Trust Anchor)。
信任委托非常重要,。借助信任委托,,人們可以構(gòu)建自動(dòng)化系統(tǒng),,在無(wú)須人為干預(yù)的情況下,以安全可信的方式管理大規(guī)模增長(zhǎng)的零信任網(wǎng)絡(luò),。首先,,系統(tǒng)管理員是可信的,然后他必須為系統(tǒng)賦予一定程度的信任,,使該系統(tǒng)能夠以管理員的身份執(zhí)行后續(xù)動(dòng)作,。
如果管理員寄了,那么零信任也跟著寄,,而且它的加密通訊,,有恰恰提供了很好的隱蔽性!
分布式拒絕服務(wù)攻擊
這個(gè)是我們無(wú)法拒絕的??!
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<