一文带你读懂NIST《零信任安全架构标准》
伴随着5G、人工智能、大数据等新兴技术的兴起,服务器上云、移动办公已经变成常态。随之而来,网络安全面临的挑战也变得愈发严重。传统基于防火墙的物理边界防御已不再适用,基于用户身份的软件定义边界的云时代模型是大势所趋。
软件定义边界(SDP)是基于零信任安全架构的落地实践。为了更好的了解零信任、并为将零信任安全概念迁移并部署到企业环境,美国国家标准与技术研究院(NIST)等权威机构,近期发布了Draft (2) NIST Special Publication 800-207 Zero Trust Architecture.该草案总结概括了零信任的历史、零信任架构的逻辑组件、部署方案/用例以及与零信任相关的威胁。为了帮助更多安全从业人员能够阅读了解该草案,对零信任安全有更深的了解,云深互联将该草案中文版翻译出来,供大家免费获取观看。(获取全文,扫描下方二维码。)
扫描二维码,免费领取
《零信任架构标准草案》的主要内容分为以下部分:
Ø 第1节:为文档内容简介。
Ø 第2节:定义ZTA并列出设计ZTA企业网络时的一些网络假设。本节还包括ZTA设计原则的列表。
Ø 第3节:描述ZTA的逻辑组件或构建模块。独特的实现可能以不同的方式组合ZTA组件,但提供相同的逻辑功能。
Ø 第4节:列出一些可能的用例,其中ZTA可使企业网络更加安全,更不容易被攻击利用。这包括拥有远程员工、云服务、客户网络等的企业场景。
Ø 第5节:讨论了使用ZTA策略的企业面临的威胁。其中许多威胁与传统架构的网络相似,但可能需要不同的缓解技术。
Ø 第6节:讨论ZTA原则如何适合和/或补充了联邦机构现有的指南。
Ø 第7节:提出企业(如联邦机构)向ZTA过渡的起点。这包括描述在ZTA原则指导下规划和部署应用程序和网络基础设施所需的一般步骤。
零信任网络架构
零信任体系架构是一种端到端的网络/数据安全方法,包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施。零信任是一种侧重于数据保护的架构方法。初始的重点应该是将资源访问限制在那些“需要知道”的人身上。传统上,机构(和一般的企业网络)专注于边界防御,授权用户可以广泛地访问资源。因此,网络内未经授权的横向移动一直是政府机构面临的最大挑战之一。可信Internet连接(TIC)和机构边界防火墙提供了强大的Internet网关。这有助于阻止来自Internet的攻击者,但TIC和边界防火墙在检测和阻止来自网络内部的攻击方面用处不大。
一种可用的ZTA定义如下:
零信任架构(ZTA)提供了一个概念、思路和组件关系(架构)的集合,旨在消除在信息系统和服务中实施精确访问决策的不确定性。
此定义聚焦于问题的关键,即消除对数据和服务的非授权访问,以及使访问控制的实施尽可能精细。也就是说,授权和批准的主体(用户/计算机)可以访问数据,但不包括所有其他主体(即攻击者)。进一步, "资源"一词可以代替"数据",以便ZTA与资源访问(例如打印机、计算资源、IoT执行器等)有关,而不仅仅是数据访问。
为了减少不确定性(因为它们不能完全消除),重点是身份验证、授权和缩小隐含信任区域,同时最大限度地减少网络身份验证机制中的时间延迟。访问规则被限制为最小权限,并尽可能细化。
在图1中,用户或计算机需要访问企业资源。通过策略决策点(PDP)和相应的策略执行点(PEP)授予访问权限。
图1:零信任访问
系统必须确保用户"可信"且请求有效。PDP/PEP会传递恰当的判断,以允许主体访问资源。这意味着零信任适用于两个基本领域:身份验证和授权。系统能否消除对用户真实身份的足够怀疑?用户在访问请求中是否合理?用于请求的设备是否值得信任?总体而言,企业需要为资源访问制定基于风险的策略,并建立一个系统来确保正确执行这些策略。这意味着企业不应依赖于隐含的可信性,而隐含可信性是指:如果用户满足基本身份验证级别(即登录到系统),则假定所有资源请求都同样有效。
零信任体系架构的逻辑组件
在企业中,构成ZTA网络部署的逻辑组件很多。这些组件可以作为场内服务或通过基于云的服务来操作。图2中的概念框架模型显示了组件及其相互作用的基本关系。注意,这是显示逻辑组件及其相互作用的理想模型。从图1中, 策略判定点(PDP)被分解为两个逻辑组件:策略引擎(PE)和 策略管理器(PA)(定义如下)。
图2:零信任核心逻辑组件
组件描述:
策略引擎(Policy Engine, PE):该组件负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源(例如IP黑名单、威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问。策略引擎(PE)与策略管理器(PA)组件配对使用。策略引擎做出(并记录)决策,策略管理器执行决策(批准或拒绝)。
策略管理器(Policy Administrator, PA):该组件负责建立客户端与资源之间的连接(是逻辑职责,而非物理连接)。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与策略引擎紧密相关,并依赖于其决定最终允许或拒绝连接。实现时可以将策略引擎和策略管理器作为单个服务;这里,它被划分为两个逻辑组件。PA在创建连接时与策略执行点(PEP)通信。这种通信是通过控制平面完成的。
策略执行点(Policy Enforcement Point, PEP):此系统负责启用、监视并最终终止主体和企业资源之间的连接。这是ZTA中的单个逻辑组件,但也可能分为两个不同的组件:客户端(例如,用户便携式电脑上的代理)和资源端(例如,在资源之前控制访问的网关组件)或充当连接门卫的单个门户组件。
零信任架构的几种实践方案
企业可以通过多种方式为工作流程制定ZTA。这些方法在使用的组件和组织的策略规则的主要来源方面有所不同。每个方法都实现了ZT的所有原则,但可以使用一个或两个(或一个组件)作为策略的主要驱动力。这些方法包括通过下一代防火墙(NGFW)增强身份治理驱动的逻辑微分段,以及基于网络的细分。
1.ZTA使用增强的身份管理
开发ZTA的增强的身份管理方法将参与者的身份用作策略创建的关键组成部分。如果不是主题请求访问企业资源,则无需创建访问策略。对于这种方法,企业资源访问策略基于身份和分配的属性。资源访问的主要要求基于授予给定主题的访问特权。其他因素(例如使用的设备,资产状态和环境因素)可能会改变最终的置信度计算(和最终的访问授权)或以某种方式调整结果,例如授予根据网络位置仅部分访问给定数据源。单个资源或保护该资源的PEP组件必须有一种方法,可以将请求转发到策略引擎服务,或者对主体进行身份验证并批准请求,然后再授予访问权限。
通常使用开放式网络模型或具有访问者访问权限或网络上频繁使用非企业设备的企业网络找到针对企业的基于身份治理的增强方法。最初,所有具有资源访问权限的资产都将获得网络访问权限,这些资源仅限于具有适当访问权限的身份。自设备NIST. SP.800-207(第二草稿)零信任架构以来,身份驱动的方法与资源门户网站模型配合得很好。身份和状态提供辅助支持数据以访问决策。其他模型也可以使用,具体取决于现有的策略。
2.使用微隔离的ZTA
企业可以基于将单个或一组资源放在由网关安全组件保护的其自己的网段上来选择实施ZTA。在这这种方法中,企业将NGFW或网关设备用作PEP,以保护每个资源或一组资源。这些网关设备动态授权访问来自客户端资产的各个请求。根据型号的不同,网关可以是唯一的PEP组件,也可以是由网关和客户端代理组成的多部分PEP的一部分。
由于保护设备充当PEP,而该设备的管理充当PE / PA组件,因此该方法适用于各种用例和部署模型。此方法要求身份管理程序完全发挥作用,但依赖网关组件充当PEP,从而保护资源免受未经授权的访问和/或发现。
这种方法的关键必要性是对PEP组件进行管理,并应能够根据需要做出反应和重新配置,以响应威胁或工作流中的更改。可以通过使用不太先进的网关设备甚至无状态防火墙来实现微分段企业的某些功能,但是管理成本和快速适应变化的难度使这成为非常糟糕的选择。
3.使用网络基础结构和软件定义边界SDP的ZTA
第三种方法使用网络基础结构来实现ZTA。ZT的实现可以通过使用覆盖网络来实现(即第7层,但也可以将其设置为低于ISO网络堆栈)。这些方法有时称为软件定义边界(SDP)方法,并且经常包含SDN [SDNBOOK]和基于意图的联网(IBN)[IBNVN]的概念。在这种方法中,PA充当网络控制器,根据PE做出的决定来建立和重新配置网络。客户端继续请求通过PEP(由PA组件管理)进行访问。当在应用网络层(即第7层)实施该方法时,最常见的部署模型是代理/网关。在此实现中,代理和资源网关(充当单个PEP,由PA配置)建立用于客户端和资源之间通信的安全通道。
部署场景/用例
任何企业网络都可以在设计时考虑零信任原则。如今,大多数组织的企业基础架构已经具有了零信任的某些要素,或者正在通过实施信息安全和弹性策略以及最佳实践来实现。有几种场景可以更轻松地实施零信任体系架构。如下几个用例,是零信任架构的实践应用:(详细内容请看中文翻译版文档)
1. 拥有多分支机构的企业
最常见的情况是,企业只有一个总部和一个或多个地理上分散的位置,这些位置没有企业拥有的物理网络连接(见图3)。
远程位置的员工可能没有完全由企业拥有的本地网络,但仍需要访问企业资源才能执行其任务。同样,员工也可以使用企业拥有或个人拥有的设备,进行远程工作或在远程位置工作。在这种情况下,企业可能希望授予对某些资源(如员工日历、电子邮件)的访问权限,但拒绝访问更敏感的资源(如人力资源数据库)。
在这个用例中,PE/PA最好作为一个云服务托管,终端系统有一个连接代理或访问一个资源门户。由于远程办公室和工作人员必须将所有流量发送回企业网络才能访问云服务,因此将PE/PA托管在企业本地网络上可能不是响应最迅速的。
图3:有远程办公员工的企业
2. 企业多云战略
部署ZTA策略的一个越来越常见的用例是使用多个云提供商的企业(见图4)。在这个用例中,企业有一个本地网络,但使用两个(或更多)云服务提供商来承载应用程序和数据。有时,应用程序,而非数据源,托管在一个独立的云服务上。为了提高性能和便于管理, 托管在云提供商A中的应用程序,应该能够直接连接到托管在云提供商B中的数据源,而不是强制应用程序通过隧道返回企业网络。
这个多云用例是ZTA采用的主要驱动因素之一。它是CSA的SDP规范的服务器到服务器实现。随着企业转向更多的云托管应用程序和服务,依赖企业边界进行安全保护显然成为一种负担。ZTA认为,企业拥有和运营的网络基础设施与任何其他服务提供商拥有的基础设施之间应该没有区别。多云使用的零信任方法,是在每个应用程序和数据源的访问点放置PEP。PE和PA可以是位于云或甚至第三个云提供商上的服务。然后,客户端(通过门户或本地安装的代理)直接访问PEPs。这样, 即使托管在企业外部,企业仍然可以管理对资源的访问。
图4:多云用例
3 .临时工、外包员工访问业务系统
另一个常见的场景是,一个企业包含需要有限访问企业资源才能完成工作的现场访问者和/或外包服务提供商(见图5)。例如,企业有自己的内部应用程序、数据库和员工工作系统。这些包括外包给偶尔在现场提供维护任务的供应商的服务(例如,由外部供应商拥有和管理的智能暖通空调(HVAC)系统和照明系统)。这些访客和服务提供商将需要网络连接来执行他们的任务。ZTA网络可以通过允许这些设备(以及任何来访的服务技术人员)访问Internet来实现这一点,同时还可以屏蔽企业资源。
在本例中,该组织还有一个会议中心,访客可以在其中与员工进行交互。同样,通过ZTA的SDP策略,员工设备和用户是有区别的,可以分别访问恰当的企业资源。进入校园的访客可以访问Internet,但不能访问企业资源。它们甚至不能进行网络扫描,以查找可能可见的企业服务(即阻止主动网络侦察)。
图5:具有非员工访问的企业
4. 跨企业协同
第四个用例是跨企业协作。例如,有一个项目涉及企业A和企业B的员工(见图6)。这两个企业可以是独立的联邦机构(G2G),甚至是联邦机构和私营企业(G2B)。企业A运行用于项目的数据库,但必须允许企业B的某些成员访问数据。企业A可以为企业B的员工设置专用账户,以访问所需的数据并拒绝访问所有其他资源。
图6:跨企业协作
点击【阅读原文】,可免费申请零信任架构草案中文版。
- End -
更多精彩阅读
云深互联陈本峰:软件定义边界(SDP)是零信任安全的落地技术
Cybersecurity Insiders 发布《2019零信任安全市场普及行业报告》
云深互联
云深互联(北京)科技有限公司(Clouddeep Technology),成立于2012年,致力于为企业提供零信任架构的网络安全产品、技术与服务。云深互联创新实践的深云SDP(软件定义边界)网络隐身技术,具备国际领先水平,成为全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》报告中唯一入选的中国品牌,也是中国信通院《中国网络安全产品白皮书》的零信任安全典型代表厂商。