购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

3.3 零信任安全能力地图

下面对零信任技术进行总结,撇开概念,介绍零信任的技术。最常见的零信任能力分为7类:身份、设备、网络、应用、数据、可见性与分析、自动化与编排,如图3-3所示。

图3-3

也有人将零信任简单总结为“SIM”,即SDP、IAM、微隔离,这种说法点出了零信任架构中最具代表性的几个能力,非常简单易懂,但没有图3-3完整。

3.3.1 身份

1.身份大数据

◎身份属性建模:定义用户、组织、设备、资源等实体的模型。根据业务发展和安全需求增加,不断补充、调整模型属性的定义。

◎多源身份汇聚:从IAM、HR系统、设备管理系统、网络安全分析系统中同步与用户相关的属性信息,汇聚成身份大数据,处理多源汇聚过程中的冲突。

◎基本身份管理:集中管理内部员工、外包人员、合作伙伴、供应商等各类人群的身份生命周期。

2.持续身份认证

◎身份认证:支持密码、动态口令、U盾、生物识别等多种形式的身份认证。

◎持续多因素认证:在登录和访问过程中,如果发现了设备和行为存在异常,或进行了高危操作,则对用户进行二次身份认证。

◎单点登录:用户在零信任客户端或Web端登录后,进入业务系统时,不用再次登录,可以直接进入。

3.动态授权

◎基于角色的授权:将具有类似特征的一批人归纳为一个角色,例如,网络管理员、研发工程师、行政人员等,根据角色授予用户访问应用和数据的权限。

◎基于属性的授权:对各项属性都符合要求的用户进行授权。包括设备属性(是否为管控设备、是否有杀毒软件、是否有锁屏密码等)、环境属性(时间、位置、IP地址等)、身份属性(岗位、部门、职级、休假差旅状态、可信等级等)、业务属性(用户正在进行的事务类型、需要的资源类型、用户级别与资源级别的匹配关系等)等。

◎基于任务的授权:对参与了某项任务的用户,授予访问该任务相关资源的权限,在任务结束后,立即收回权限。

◎基于策略的授权:定义操作某项业务所必需的资源和操作,定义哪些员工可以得到操作这项业务的权限,定义不同的人分别在什么条件下可以得到操作这项业务的权限。当员工满足策略中的条件时,将获得策略中对应资源的操作权限。

◎临时访问权限申请:允许用户申请访问敏感资源的权限,并按流程进行审批。例如,由部门领导和资源负责人审批后再授权。

3.3.2 设备

1.设备清单库

◎设备识别:采集每个设备的设备ID、Mac地址、主板号等信息,组合成设备的唯一指纹标识。

◎设备清单库:导入、管理公司管控设备和员工自带设备的生命周期。

◎设备绑定:限制用户可绑定的设备数量,或指定绑定某个设备ID。绑定过程与审批流程结合,用户可自助申请绑定和解绑。

2.设备安全基线

◎设备认证:在用户登录和访问时,对用户当前使用的设备进行身份校验。

◎设备安全检测:检测设备是否安全合规。例如,是否存在病毒或木马、高危漏洞、黑名单软件,是否存在不安全的配置,是否存在注册表篡改等入侵迹象,是否存在不安全的进程和服务,是否打了最新补丁等。

◎设备漏洞修复:根据设备安全检测的结果,引导用户修复设备存在的漏洞,清理病毒、木马,否则用户无法继续接入零信任网络。

◎远程擦除:当设备被窃取时,可由管理员或用户远程擦除设备上的敏感数据。

◎可信进程管控:按进程的粒度执行访问控制策略。零信任客户端允许企业指定的可信进程连接资源,其他程序即使安装在用户设备上,也无法连接资源。

◎设备准入基线:设备只有满足一定安全要求才能通过认证,接入零信任网络。例如,未安装杀毒软件的设备不能接入。

3.3.3 网络

1.网络隐身

◎网络隐身:零信任安全网关默认隐藏所有端口,只对经过SPA单包授权的用户暂时开放。

◎SPA动态密钥:用户和安全网关各有一个密钥,用户发出的加密SPA包只有安全网关能解开,从而防止对SPA包的重放和篡改。

2.统一入口

◎Web应用代理:统一代理所有Web应用的访问请求。应支持HTTP、HTTPS、WebSocket等协议。当访问请求到达时,校验每个请求是否合法,执行放行或拦截动作。记录用户访问URL的日志。

◎安全隧道网关:与零信任客户端建立网络层隧道,分配虚拟IP地址,转发用户对网络资源的访问,支持基于TCP和UDP的各种协议,如HTTPS、SSH等。当访问请求到达时,校验每个请求是否合法,执行放行或拦截操作,记录用户访问IP地址的日志。

◎API安全网关:统一代理所有调用API的流量。校验每个访问请求,执行放行或拦截操作,记录调用API的日志。

◎云网关与本地连接器:在云端部署网关,在本地部署连接器。本地网络不必提供入站连接,只需提供出站连接,因此,企业网络在互联网上完全不可见。连接器也需要对访问请求进行校验并记录日志。

◎分布式网关集群:为用户提供不间断的访问体验。提供多个网络接入点,全球不同地区的用户可以就近快速接入零信任网络。可以动态添加和删除集群的节点。

◎网络准入:基于零信任的授权策略,检查用户的身份、设备、环境信息,只有符合要求的设备才能连接企业Wi-Fi。

◎网络入侵防护:与防火墙、IDS、IPS联动,检查网络流量中是否存在恶意威胁,进而提供审计或阻断服务。

◎安全DNS:在零信任体系内,进行私有DNS解析。在解析过程中,过滤恶意域名,记录用户的访问历史。

3.微隔离

◎微隔离:在服务器上部署微隔离组件,接收零信任管控平台的安全策略。服务器之间的访问需要经过微隔离组件的校验才能被放行。

◎主机行为基线:通过微隔离组件采集的数据来学习主机的行为习惯,形成安全基线白名单。例如,控制主机上的Java进程只能连接后端数据库的IP地址,控制Ncat、bash进程不能连接任何IP地址,控制只允许运维管理员的IP地址访问22端口等。

4.加密传输

◎国产密码加密传输:使用国产密码对流量进行加密。

◎SSL加密传输:使用SSL对流量进行加密。

◎mTLS加密传输:使用双向TLS(mTLS)对流量进行加密。

◎隧道加密传输:使用隧道传输协议对流量进行加密。

◎加密证书:为每个设备生成一个证书,用于SPA校验和后续的加密通信。证书通过手动或自动方式下发给合法设备。

3.3.4 应用

此处的“应用”与前文提到的工作负载的概念类似,包括本地的业务系统、云端的服务等。

1.应用访问控制

◎应用管理:管理应用的协议、地址、端口等信息。

◎应用发现:从网络日志或访问日志中发现企业有哪些应用,应用有哪些用户。这些信息可以辅助管理员进行授权操作。

◎应用功能访问控制:基于零信任管控平台的安全策略,对登录应用的用户进行细粒度的权限管控。用户只能看到有授权的功能菜单,无法执行未授权的操作。

2.API访问控制

◎服务器安全检测:检测服务器是否安全合规,是否存在病毒或木马、系统篡改、高危漏洞,是否存在不安全的系统配置,各个组件是否都打了最新补丁等。

◎API调用者的身份认证和授权:为API调用者建立身份凭据,配置它在什么条件下,可以调用哪些API服务。

◎API服务的管理:配置API服务的地址和端口,对外发布API服务。

◎API内容过滤:检查API调用的流量中是否存在敏感数据泄露和恶意代码攻击问题。

3.应用赋能

◎访问加速:通过安全网关实施统一的应用代理,通过连接复用、缓存、压缩传输等手段提升访问速度。

◎统计分析:根据客户端的访问日志,对应用的连接速度、响应时间、访问成功率等进行统计。

◎可信身份传递:将零信任系统的用户身份信息传递给应用,便于应用对用户进行识别统计。

4.安全开发运维

◎安全运维访问:管理特权账号的身份和账号,与堡垒机联动,对运维操作进行细粒度权限校验。

◎代码可信校验:只允许经过评审和检测的代码才被构建、部署,避免未知源代码引入安全漏洞。

3.3.5 数据

1.数据访问控制

◎数据分级分类:对接大数据平台,导入数据的分级分类标签作为数据访问控制的依据。

◎数据访问控制:用户通过应用访问数据时,数据代理或数据中台依据零信任授权策略对访问行为进行校验,只放行身份和权限合法的访问。

◎数据脱敏:在对数据进行访问控制后,基于零信任授权策略,检测返回结果中是否存在敏感字段或标签,对其进行脱敏处理后再返回数据。

2.数据泄密防护

◎数据泄密防护:基于零信任授权策略,在用户可信等级较低或资源要求较高时,执行数字水印、文件不落地、文件操作审计、敏感文件的外发审计等策略。例如,当发现敏感文件发送到私人邮箱时,进行录屏存证。

◎终端沙箱:可在设备上划分一片数据安全区。敏感数据只能通过沙箱访问,只能在终端的数据安全区内加密存储。数据无法被复制,无法另存到用户的个人空间。导出文件需经过审批,否则数据只能留在零信任的安全闭环内。

◎远程浏览器隔离(RBI):用户通过远程浏览器隔离技术打开的页面,只是一系列像素组成的图像,实际的页面数据在远端服务器,不会落在本地。用户无法将页面数据复制到本地。

◎安全浏览器:基于浏览器或浏览器插件,给B/S应用的敏感页面打上数字水印。禁止用户对敏感页面进行复制、粘贴和截图操作。监控用户在浏览器输入和查看的页面内容中是否存在敏感信息。

3.3.6 可见性与分析

1.安全审计

◎账号权限审计:对用户和角色的权限进行审计,确保合规。

◎用户设备审计:查看所有设备的可信等级分布,查看用户使用设备的属性信息。

◎访问日志审计:记录用户的网络连接日志、应用访问日志,以便对恶意行为进行溯源。

◎授权策略审计:检查授权策略的执行情况。检查是否存在与策略不符的访问记录(可能是程序故障或攻击行为)。

◎越权访问审计:记录尝试访问未授权应用,或尝试访问沙箱中未授权数据的行为。

◎安全事件审计:记录发生的所有安全事件以及自动化处理结果,安全人员可以据此进行安全事件的人工确认和处理,定期分析事件背后的共性原因。

2.风险分析

◎身份窃取分析:检查用户的登录行为是否存在异地登录、异常时间登录、借用账号、借用设备等情况。

◎异常行为分析:检查用户的访问行为是否存在操作频率过高、会话时间过长、占用带宽过大、访问行为与以往习惯不符等情况。

◎网络攻击发现:检查用户是否存在内网扫描、暴力破解等攻击行为,是否存在针对SPA隐身功能的恶意攻击行为。

◎异常账号分析:检查是否存在长期未使用的沉默账号、在定义流程之外创建的私开账号或孤儿账号、未与零信任身份关联的应用账号和不包含任何用户的角色。管理员应及时删除无效的账号,这样既能节省账号许可费,又能消除安全隐患。

◎异常权限分析:检查账号是否存在长期未使用的权限,是否存在在定义流程外开通的权限,是否存在过度授权的情况。

◎威胁情报分析:对接各个安全设备发现的安全威胁以及全网已发现的威胁情报,与身份大数据融合,以便对用户和设备进行综合信任评估。

3.信任评估

◎综合可信等级分析:综合评估用户当前的认证强度、设备安全状态、环境的可信程度、近期是否出现过风险事件等信息,对用户的可信程度进行分级。

◎可信要求分析:综合评估应用的访问频次、关联人群、关联数据的级别等信息,分析应用的重要性,对应用进行分级,只有当用户可信等级高于应用等级时才能授予其访问权限。

3.3.7 自动化与编排

1.风险响应

基于风险分析的结果执行处置动作。出现低风险事件要向用户或管理员发出风险提示。出现中高级风险事件要对用户进行二次认证,或直接阻断会话。

2.策略编排

◎安全设备联动:通过与终端安全产品和边界安全产品联动,对可疑用户进行各个层面的阻断和隔离。

◎外部管控API:允许第三方系统通过API对零信任体系进行管控,包括对用户、设备管理、策略配置、客户端和网关等的控制。 YKpU2hUYmeJ/RH+PM6zYxCrEGTVVseLKeWP9Zk1ybbnZUega7XpGaHG1iYgrRtgS

点击中间区域
呼出菜单
上一章
目录
下一章
×