產(chǎn)品解決方案
隨著“云大物移”的不斷興起,企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,傳統(tǒng)的安全邊界逐漸瓦解。而以5G、工業(yè)互聯(lián)網(wǎng)為代表的新基建的不斷推進(jìn),更進(jìn)一步加速了“無邊界”的進(jìn)化過程。與此同時(shí),零信任安全逐漸進(jìn)入人們的視野,成為解決新時(shí)代網(wǎng)絡(luò)安全的新理念、新架構(gòu)、新解決方案。
01零信任概念
零信任(Zero Trust,ZT),顧名思義就是“永不信任、持續(xù)驗(yàn)證”。NIST對(duì)零信任的定義是:零信任體系結(jié)構(gòu)(ZTA)提供了一系列的概念、思想和組件關(guān)系,旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精確訪問決策時(shí)的不確定性。
核心概念:所有流量都不可信;不以位置作為安全依據(jù),為所有訪問采取安全措施;采用最小授權(quán)策略和嚴(yán)格訪問控制;所有流量都需要進(jìn)行可視化和分析檢查。
訪問控制技術(shù)是信息系統(tǒng)安全的核心技術(shù)之一。訪問控制是通過某種途徑顯示準(zhǔn)許或限制主體對(duì)客體訪問能力范圍的一種方法,它是針對(duì)越權(quán)使用系統(tǒng)資源的防御措施,通過顯示訪問受保護(hù)資源,防止非法用戶的入侵或因?yàn)楹戏ㄓ脩舨簧鞑僮魉斐傻钠茐?,從而保證系統(tǒng)資源受控地、合法地使用。
訪問控制模型是從訪問控制技術(shù)的角度出發(fā),定義了主體、客體及主體對(duì)客體的訪問規(guī)劃,從抽象的層次來描述訪問控制約束的概念性框架,建立安全模型以適應(yīng)各種各樣的實(shí)現(xiàn)方式和應(yīng)用環(huán)境。建立規(guī)范的訪問控制模型是實(shí)現(xiàn)嚴(yán)格訪問控制約束的基礎(chǔ)。
在零信任網(wǎng)絡(luò)架構(gòu)下,要求系統(tǒng)要能夠在網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的情況下,仍然有效的降低和限制異常用戶的訪問行為。那么,應(yīng)該如何設(shè)計(jì)零信任架構(gòu)的訪問控制模型呢?
訪問控制技術(shù)興起于20世紀(jì)70年代,最初是為了解決大型主機(jī)上共享數(shù)據(jù)授權(quán)訪問的管理問題。經(jīng)過四十多年的蓬勃發(fā)展,訪問控制技術(shù)應(yīng)用領(lǐng)域逐漸擴(kuò)大,具有代表性的模型不斷涌現(xiàn),如早期的自主訪問控制(DAC)和強(qiáng)制訪問控制模型(MAC);中期基于角色的訪問控制(RBAC);“域”概念引入推動(dòng)了基于任務(wù)的訪問控制模型(TBAC);在云計(jì)算、大數(shù)據(jù)等計(jì)算模式還促進(jìn)了新型的基于屬性的訪問控制模型(ABAC)等。
(1)自主訪問控制(DAC,Discretionary Access Control)
DAC模型是通過建立客體關(guān)聯(lián)表,主要是訪問控制列表的形式將主體和客體的關(guān)聯(lián)性在表中組織起來。其自主性主要體現(xiàn)在系統(tǒng)中的主體可以將其擁有的權(quán)限授權(quán)給其他主體而不需要經(jīng)過系統(tǒng)安全員的允許。即用戶有權(quán)對(duì)自身所創(chuàng)建的訪問對(duì)象(服務(wù)器、目錄、文件、數(shù)據(jù)等)進(jìn)行訪問,并可將對(duì)這些對(duì)象的訪問權(quán)授予其他用戶、系統(tǒng)和從授予權(quán)限的用戶、系統(tǒng)收回器訪問權(quán)限。
DAC模型的優(yōu)點(diǎn)是比較靈活,易于實(shí)現(xiàn)。其缺點(diǎn)是資源管理比較分散,主體間的關(guān)系不能在系統(tǒng)中明顯的體現(xiàn)出來;最為嚴(yán)重的是主體可以自主地將權(quán)限授予其他主體,這樣可能會(huì)造成權(quán)限傳遞失控,易遭受攻擊,從而導(dǎo)致信息的泄漏。另外,如果主體、客體數(shù)量過于龐大,DAC模型將帶來極大的系統(tǒng)開銷,因此很少被應(yīng)用于大型系統(tǒng)中。
(2)強(qiáng)制訪問控制(MAC,Mandatory Access Control)
MAC是美國政府和軍方源于對(duì)信息機(jī)密性的要求以及防止木馬攻擊而研發(fā),其基本思想是依據(jù)主體和客體的安全屬性的級(jí)別來決定主體是否擁有對(duì)客體的訪問權(quán)限,主要用于多層次安全級(jí)別的軍事系統(tǒng)中。
在強(qiáng)制訪問控制機(jī)制下,系統(tǒng)內(nèi)的每個(gè)用戶或主體被賦予一個(gè)安全屬性來表示能夠訪問客體的敏感程度,同樣系統(tǒng)內(nèi)的每個(gè)客體也被賦予一個(gè)安全屬性,以反映其本身的敏感程度。系統(tǒng)通過比較主體和客體相應(yīng)的安全屬性的級(jí)別來決定是否授予一個(gè)主體對(duì)客體的訪問請(qǐng)求。安全屬性由系統(tǒng)策略管理員分配,具有強(qiáng)制性,用戶或用戶進(jìn)程不能改變自身或其它主、客體的安全屬性。
MAC模型的優(yōu)點(diǎn)是較高的安全性,可以通過信息的單向流動(dòng)來防止機(jī)密信息的泄漏,以此抵御攻擊;同時(shí),由于用戶不能改變自身或其他客體的屬性,MAC可以防止用戶濫用職權(quán)。其缺點(diǎn)是靈活性較低,權(quán)限不能動(dòng)態(tài)變化,授權(quán)管理較為困難,對(duì)用戶惡意泄漏信息無能為力。
(1)基于角色的訪問控制(RBAC,Role-Based Access Control)
為了解決DAC和MAC將權(quán)限直接分配給主體,造成管理困難的缺陷。在訪問控制模型中引入了“角色”的概念,即RBAC。所謂角色,就是一個(gè)或一群用戶在組織內(nèi)可進(jìn)行的操作的集合。RBAC通過引入角色這一中介,對(duì)角色權(quán)限的更改將自動(dòng)更新?lián)碛性摻巧拿總€(gè)用戶的權(quán)限。如果用戶改變了角色,其權(quán)限也隨之改變。
RBAC模型的優(yōu)點(diǎn)是通過引入“角色”的概念,實(shí)現(xiàn)了用戶和權(quán)限的邏輯分離,從而大大簡(jiǎn)化了授權(quán)管理,也使其接近日常的組織管理規(guī)則,能夠?qū)崿F(xiàn)最小權(quán)限原則,實(shí)用性強(qiáng)。其缺點(diǎn)是由于一個(gè)用戶可以同時(shí)激活多個(gè)角色,約束顆粒較大,易造成用戶權(quán)限過大帶來的安全隱患,主客體之間聯(lián)系較弱,可擴(kuò)展性不強(qiáng),難以適用于分布式系統(tǒng)中。
(2)基于對(duì)象的訪問控制(OBAC,Object-Based Access Control)
OBAC從信息系統(tǒng)的數(shù)據(jù)差異變化和用戶需求出發(fā),有效地解決了信息數(shù)據(jù)量大、數(shù)據(jù)種類繁多、數(shù)據(jù)更新變化頻繁的大型管理信息系統(tǒng)的安全管理。OBAC從受控對(duì)象的角度出發(fā),將訪問主體的訪問權(quán)限直接與受控對(duì)象相關(guān)聯(lián),一方面定義對(duì)象的訪問控制列表,增、刪、修改訪問控制項(xiàng)易于操作,另一方面,當(dāng)受控對(duì)象的屬性發(fā)生變化,或者受控對(duì)象發(fā)生繼承和派生行為時(shí),無須更新訪問主體權(quán)限,只需要修改受控對(duì)象的相應(yīng)訪問控制項(xiàng)即可,從而減少了訪問主體的權(quán)限管理,降低了授權(quán)數(shù)據(jù)管理的復(fù)雜性。
(3)基于任務(wù)的訪問控制(TBAC,Task-Based Access Control)
訪問權(quán)限與任務(wù)結(jié)合,每個(gè)任務(wù)的執(zhí)行都被看做是主體使用相關(guān)訪問權(quán)限訪問客體的過程。在任務(wù)執(zhí)行過程中,權(quán)限被消耗,當(dāng)權(quán)限用完時(shí),主體就不能再訪問客體了。
系統(tǒng)授予給用戶的訪問權(quán)限,不僅僅與主體、客體有關(guān),還與主體當(dāng)前執(zhí)行的任務(wù)、任務(wù)的狀態(tài)有關(guān)??腕w的訪問控制權(quán)限并不靜止不變的,而是隨著執(zhí)行任務(wù)的上下文環(huán)境的變化而變化。
(1)基于屬性的訪問控制(ABAC,Attribute-Based Access Control)
ABAC是一種細(xì)粒度的訪問管理方法,其中,基于已分配給用戶、操作、資源或環(huán)境的已定義規(guī)則,決定批準(zhǔn)或拒絕對(duì)特定信息的訪問請(qǐng)求。
針對(duì)復(fù)雜信息系統(tǒng)中細(xì)粒度訪問控制和大規(guī)模用戶動(dòng)態(tài)擴(kuò)展問題,將實(shí)體屬性(組)的概念貫穿于訪問控制策略、模型和實(shí)現(xiàn)機(jī)制三個(gè)層次,通過主體、客體、權(quán)限和環(huán)境屬性的統(tǒng)一建模,描述授權(quán)和訪問控制約束,使其具有足夠的靈活性和可擴(kuò)展性。
ABAC模型的優(yōu)點(diǎn)是框架式的,可與其他訪問控制模型結(jié)合(如RBAC);缺點(diǎn)是所有要素均需要以屬性形式進(jìn)行描述,一些關(guān)系用基本的屬性不易描述。
(2)基于策略的訪問控制(PBAC,Policy-Based Access Control)
PBAC是一種將角色和屬性與邏輯結(jié)合以創(chuàng)建靈活的動(dòng)態(tài)控制策略的方法。與ABAC一樣,它使用許多屬性來確定訪問權(quán)限。它支持環(huán)境和上下文控制,因此可以設(shè)置策略以在特定時(shí)間和特定位置授予對(duì)資源的訪問權(quán),甚至評(píng)估身份和資源之間的關(guān)系。可以快速調(diào)整政策,并為給定的時(shí)間段設(shè)置政策(例如,應(yīng)對(duì)違規(guī)或其他緊急情況)??梢暂p松地添加、刪除或修改用戶組,并通過單擊撤消過時(shí)的權(quán)限。PlainID公司的Policy Manager提供了PBAC的支持。
(3)下一代訪問控制(NGAC,Next Generation Access Control)
下一代訪問控制(NGAC)是對(duì)傳統(tǒng)訪問控制的重新發(fā)明,以適應(yīng)現(xiàn)代、分布式、互聯(lián)企業(yè)的需求。NGAC的設(shè)計(jì)是可擴(kuò)展的,支持廣泛的訪問控制策略,同時(shí)執(zhí)行不同類型的策略,為不同類型的資源提供訪問控制服務(wù),并在面對(duì)變化時(shí)保持可管理。NGAC遵循一種基于屬性的構(gòu)造,其中特征或?qū)傩杂糜诳刂茖?duì)資源的訪問,并描述和管理策略。
該標(biāo)準(zhǔn)規(guī)定了NGAC框架的體系結(jié)構(gòu)、安全模型和接口,以確保其在不同類型的實(shí)現(xiàn)環(huán)境中在一系列可伸縮性級(jí)別上實(shí)現(xiàn),并獲得必要級(jí)別的內(nèi)聚和功能,以在系統(tǒng)級(jí)別上正確有效地操作。
在零信任的訪問控制模型中,要求在沒有傳統(tǒng)邊界的動(dòng)態(tài)世界中實(shí)現(xiàn)一致的策略。我們絕大多數(shù)人都在混合環(huán)境中工作,數(shù)據(jù)從公司服務(wù)器或云端流向辦公室、家里、酒店、車中,以及提供開放WIFI熱點(diǎn)的咖啡館。
另外,隨著用戶設(shè)備類型、數(shù)量的激增,也增加了數(shù)據(jù)暴露的風(fēng)險(xiǎn),比如PC、筆記本電腦、智能手機(jī)、平板電腦和其他物聯(lián)網(wǎng)設(shè)備。設(shè)備的多樣性讓創(chuàng)建和保持訪問策略一致性成為了非常困難的事情。
過去,訪問控制的方法是靜態(tài)的,采用DAC、MAC、RBAC就可以很好的解決訪問控制的問題。如今,網(wǎng)絡(luò)訪問必須是動(dòng)態(tài)的和流動(dòng)的,要支持基于身份和基于應(yīng)用的動(dòng)態(tài)的訪問控制。
高級(jí)訪問控制策略應(yīng)可動(dòng)態(tài)調(diào)整,以響應(yīng)不斷進(jìn)化的風(fēng)險(xiǎn)因素,使已被入侵的公司或組織能夠隔離相關(guān)員工和數(shù)據(jù)資源以控制傷害。訪問控制規(guī)則必須依據(jù)風(fēng)險(xiǎn)因素而改變,也就是說,公司企業(yè)應(yīng)在現(xiàn)有網(wǎng)絡(luò)及安全配置的基礎(chǔ)上,部署運(yùn)用人工智能(AI)和機(jī)器學(xué)習(xí)的安全分析層。實(shí)時(shí)識(shí)別威脅并自動(dòng)化調(diào)整訪問控制規(guī)則是零信任訪問控制模型的主要實(shí)現(xiàn)目標(biāo)。
因此,零信任訪問控制模型不應(yīng)局限于某種訪問控制模型,而應(yīng)根據(jù)所處理數(shù)據(jù)的類型及敏感程度,確定采用那種訪問控制模型,無論是舊有的自主訪問控制(DAC)和強(qiáng)制訪問控制(MAC)、現(xiàn)今最常用的基于角色的控制模型(RBAC)、最新的基于屬性的訪問控制模型(ABAC),單獨(dú)都無法滿足零信任安全的所有場(chǎng)景,只有協(xié)同使用多種技術(shù)才可以達(dá)成所需訪問控制的等級(jí)和需求。
04任子行智行零信任訪問控制系統(tǒng)
任子行智行零信任解決方案以身份為基石,遵循“網(wǎng)絡(luò)無特權(quán)化、信任最小化、權(quán)限動(dòng)態(tài)化”原則,采用軟件定義邊界技術(shù),強(qiáng)化身份治理與訪問控制,充分利用態(tài)勢(shì)感知、流量分析、資產(chǎn)監(jiān)測(cè)、行為畫像,并結(jié)合應(yīng)用隱身和終端準(zhǔn)入與管控,持續(xù)、動(dòng)態(tài)的構(gòu)建企業(yè)核心資產(chǎn)的安全防護(hù)壁壘。