下载掌阅APP,畅读海量书库
立即打开
在行业发展到一定阶段之后,相关机构就会出台技术标准。在2014年,零信任行业发展初期,国际云安全联盟发布了一个遵循零信任理念的技术标准——软件定义边界(Software Defined Perimeter,SDP)。现在很多企业的零信任架构都是参考SDP标准开发的。
2019年,美国国家标准技术研究所(NIST)发布了零信任架构的标准草案,并于2020年正式发布。目前,这是业界最权威的一份技术标准。
目前国内在零信任标准化的推进上相对落后,不过也有一些企业和机构已经发布了零信任的参考架构。
下面将分别介绍SDP技术架构、NIST的零信任标准、国内零信任标准。
2014年,国际云安全联盟(CSA)的SDP工作组发布了《SDP标准规范》。软件定义边界是相对于传统的以物理边界为中心的网络安全模式来说的。SDP主张在每个用户的设备上都安装客户端软件,进行身份校验,只有通过验证的用户才能访问企业资源。这样就构建了一个软件的、虚拟的安全边界。这种理念与零信任理念是非常相似的。
由于SDP的架构非常简单可靠,国内外很多安全厂商都在推出基于SDP架构的零信任产品。可以说SDP是目前最好的实现零信任理念的技术架构之一。
第一,SDP系出名门。CSA的SDP工作组的组长是原美国中央情报局(CIA)的CTO——Bob Flores。没错,就是电影里常常见到的那个特工组织CIA。Bob Flores把CIA、美国国防部(DoD)、美国国家安全局(NSA)里面的很多实用技术拿出来,放到了SDP架构里。所以如果你去翻看SDP的白皮书原文,那么可以看到很多地方写到,SDP中的这部分技术源自DoD的某某技术,是经过NSA验证的。
第二,SDP 不是纸上谈兵,自诞生之初,就经历重重考验。在 SDP 技术推出之后,CSA曾经组织过4次黑客大赛来检验SDP的可靠性。来自100多个国家的黑客一共发起过几百亿次攻击,却没有一个人能攻破SDP的防御。比赛的具体过程会在5.2节详细介绍。
SDP架构有3个组件,如图1-8所示。
SDP客户端:负责在用户登录时,感知设备安全状态,将用户的业务访问请求转发到SDP网关。
SDP网关:负责执行访问控制策略,只允许合法用户经过网关,访问业务系统。
SDP管控端:负责验证用户的身份,制定并向SDP网关下发安全策略。
图1-8
SDP架构的整个工作流程如下。
(1)SDP管控端启动。
(2)SDP网关向管控端“报道”,准备接收SDP管控端的控制指令。
(3)用户在SDP客户端上进行登录操作,登录请求被转发到SDP管控端进行验证。
(4)在身份验证成功后,管控端向客户端下发用户有权连接的SDP网关列表,向网关下发校验用户所需的身份和授权信息。在下发信息之前二者不知道对方的存在。
(5)在下发信息后,SDP客户端与SDP网关建立安全加密的数据传输通道(包括SPA端口敲门过程)。用户发起的业务访问请求会被SDP客户端转发至SDP网关。
(6)SDP网关会根据访问请求中包含的用户信息进行身份和权限校验。
(7)校验成功后,SDP网关将访问请求转发到后方的业务系统。此后,用户即可正常访问业务系统。
单包授权(Single Packet Authorization,SPA)是SDP的特色技术。在默认情况下,SDP不对外开放端口。只有在客户端通过SPA敲门技术通过身份验证之后,才暂时对其开放端口。具体的隐身技术原理会在4.1节详细介绍。这就像进入一个秘密基地,平时基地的大门是紧闭的,打不开,外面的人也不知道里面有没有人。秘密基地的成员来了之后,看到大门紧闭,就会敲门。敲门的节奏是三长两短,门里面的人听到了暗号,知道是自己人来了,自然就把门打开了。SPA技术就是让客户端向SDP网关发送一个“敲门”的数据包,包里携带用户的身份信息。SDP网关接收之后,不做回应,而是解析包中的身份,如果校验成功,就向该用户的IP开放端口。
乍一看,SDP与VPN在架构上有几分相似,但其实SDP架构中有很多安全考虑是VPN不具备的。
SPA网络隐身就是VPN不具备的安全技术。有了SPA之后,SDP网关在互联网上是隐身的,黑客完全扫描不到。黑客发现不了,自然就不会发起攻击。在近年来VPN漏洞频发的情况下,SDP的网络隐身能力的价值更加明显。
SDP 架构强调控制面与数据面分离,这与 VPN 有明显区别。从架构图上可以看出,SDP将管控端和网关在逻辑上进行分离,数据的流动与控制指令的流动互不干扰。SDP管控端和SDP网关在专门的控制面网络上进行通信,数据面网络用于业务访问的通信。这么做的好处是,避免黑客攻陷一点就波及整个网络。
另外,管控端分离便于对“多个网关”的场景进行集中管理。例如,企业有两个数据中心,一个在机房,另一个在云端。SDP 可以在每个环境下都部署一个 SDP 网关,然后由一个 SDP管控端进行统一管理。SDP管控端会向客户端下发SDP网关与其业务系统的对应关系。用户在访问这两个环境中的业务系统时不用切换账号,可以直接进行访问。这是VPN做不到的。
SDP架构需要用户安装客户端,所以SDP对终端的安全控制更强,客户端和网关联动能产生更严密的防护效果。但客户端也限制了SDP的应用场景。一些公开的网站无法用SDP保护。
SDP特别适用于合作伙伴、供应商、第三方人员、分支机构等特定人群访问业务系统的场景。这些系统需要在互联网上开放,以便第三方人员访问。但是又不需要向所有人开放,不会引来黑客攻击。在这种场景下,SDP能保证合法用户正常连接,对未知用户“隐形”。
2019 年9月,美国国家标准与技术研究院(NIST)发布了《零信任架构》标准草案(NIST.SP.800-207-draft-Zero Trust Architecture)。2020年2月,NIST发布了标准草案的第2版,并最终于8月发布了标准的正式版。这份标准介绍了零信任的基本概念、架构组件、部署方案等,是目前最权威的零信任架构标准。
NIST 标准对“零信任”下了定义。零信任(Zero Trust)是一系列概念和思想,用于减少网络威胁带来的不确定性,以便对业务系统和服务的每个请求都执行细粒度访问决策。零信任架构(Zero Trust Architecture)是一种基于零信任理念的企业网络安全规划,包括组件关系、工作流规划、访问策略等。
NIST的零信任概念框架模型展示了组件及其之间的基本关系。NIST的架构模型比此前介绍的架构模型更抽象,但它们本质上是相似的。例如,NIST的策略决策点相当于SDP管控端和 BeyondCorp 的访问控制引擎。NIST 的策略执行点在某些场景下相当于 SDP 网关和BeyondCorp的访问代理,在某些场景下相当于美国国防部参考架构中网络、应用、数据的授权校验点。
从图1-9 中可以看出,零信任架构并非单一的技术产品,它是一个完整的网络安全架构。企业很可能已经拥有其中部分元素了。
NIST零信任架构的基本组件包括策略决策点和策略执行点。
(1)策略决策点:可以细分为策略引擎和策略管理。
图1-9
a)策略引擎:当用户发起访问请求时,策略引擎从周边各个系统获取用户的身份和安全状态,进行综合分析,然后计算是否允许该用户访问某个资源。
b)策略管理:负责管理用户的身份凭证和会话创建,根据策略引擎的计算结果,通知策略执行点创建会话或关闭会话。
(2)策略执行点:零信任假设访问的主体不可信,而且身处不可信环境,所以主体只有在通过策略执行点的严格校验后,才能访问企业资源。策略执行点负责接收用户的访问请求,按策略决策点的指令放行或拦截。
注意:NIST的策略执行点是一个抽象的概念,可以指代客户端和网关等组件。NIST的主体可以指用户,也可以指服务器,还可以指物联网设备。系统可以指用户的笔记本计算机,也可以指服务器系统,还可以指物联网设备的系统。
NIST零信任架构中左右两边的组件代表了企业现有的或来自第三方的网络安全系统。这些系统也包含在零信任架构之中,为零信任的策略决策点提供信息输入和管理支撑功能。
(1)持续诊断和缓解(CDM)系统:收集企业资产的安全状态,更新系统配置和软件。如果存在漏洞,策略决策点就可以采取修复或隔离措施。
(2)行业合规系统:确保企业遵守了各种合规制度,包括一系列相关的策略规则。
(3)威胁情报源:为企业提供最新的漏洞、恶意软件、恶意IP地址等信息。策略决策点可以有针对性地进行分析和屏蔽。
(4)数据访问策略:定义了谁可以访问哪些数据,零信任架构可以在此基础上基于身份和数据属性进行更细粒度的策略管控。
(5)公钥基础设施(PKI):生成并记录企业向主体、资源签发的证书。
(6)身份管理系统:负责管理企业用户的身份信息,包括姓名、邮箱等基本信息,岗位、部门等组织架构信息,角色、安全标签、绑定设备等其他相关信息。例如,AD或IAM、4A系统等。
(7)行为日志:汇聚企业系统日志、网络流量、授权日志等。策略决策点可以根据行为日志进行分析建模。
(8)安全信息与事件管理(SIEM)系统:汇聚各个系统发出的安全事件及告警日志,便于零信任架构进行策略响应。
我国正在积极推进零信任的标准化进程。2019 年7月,腾讯联合国家互联网应急中心(CNCERT)、中国移动设计院、奇虎科技、天融信等产学研机构,向中国通信标准化协会申请将《零信任安全技术—参考框架》作为行业标准并获得立项。
2020年8月,由奇安信作为牵头单位向全国信息安全标准化技术委员会申请将《信息安全技术零信任参考体系架构》作为标准并获得立项。
2021年,中国信息通信研究院和CSA大中华区零信任工作组联合推进《零信任能力成熟度模型》等相关标准的建立。2021年7月,中国电子工业标准化技术协会发布了 T/CESA 1165-2021《零信任系统技术规范》团体标准。该标准由腾讯安全牵头起草,联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内16家零信任厂商、测评机构及用户共同编制。