中关村网站建设公司,wordpress微商授权,两个网站用一个空间,访问中国建设银行网站目前#xff0c;国外已有较多有关零信任网络的研究与实践#xff0c;包括谷歌的 BeyondCorp、BeyondProd#xff0c;软件定义边界#xff08;Software Defined Perimeter#xff0c;SDP#xff09; 及盖特提出的“持续自适应风险与信任评估”等。国内也有不少安全厂商积极…目前国外已有较多有关零信任网络的研究与实践包括谷歌的 BeyondCorp、BeyondProd软件定义边界Software Defined PerimeterSDP 及盖特提出的“持续自适应风险与信任评估”等。国内也有不少安全厂商积极投身零信任市场包括360、安恒信息等并推出了相应的零信任产品和解决方案。这些研究与实践对零信任网络的落地应用带来了积极影响。 但同时也应该看到目前零信任网络的推广难度较大。系统设计人员在实际应用中主要面临以下几个方面的难题 1不清楚零信任思想本质容易走入堆砌技术和产品的歧途 2不清楚零信任的功能架构容易“照顾不周”“顾此失彼”导致安全防护功能出现短板或者出现某一方面能力特别突出的情况整个系统能力不佳 3没有掌握零信任网络实现技术难以将功能落地。 本文针对上述问题开展了研究期望找到适合的应对措施为想要提升网络安全防护能力的各类组织提供参考。 1、零信任思想的本质 零信任思想的本质是基于动态的信任度赋予适度的访问权限其关键点在于摈弃无端或超出合理范围的信任对实体、环境等进行持续评估并根据反馈结果及时修正策略从而将静态的防御转换为动态的防御。 、零信任网络功能架构 零信任网络功能架构可分解为 5 个基本功能分别是 1网络身份管理提供对网络实体全生命周期的管理确保所有实体来源可信、安全可控。 2网络身份认证确保网络实体在发起网络行为时向相关对象证明其身份可信。 3网络访问授权实现基于网络实体的身份对网络访问进行无特权的权限管控和访问控制保证所有访问都必须得到授权。 4传输安全保障实现访问数据在网络传输过程中的安全可信确保数据访问不可抵赖、内容不被窃取等。 5行为安全监控对网络实体的运行状态和网络行为的持续监测并抑制网络攻击对系统的影响。 、零信任网络实现技术 3.1 网络身份管理 网络身份管理的目标是在网络空间中产生网络行为的网络实体的全生命周期内掌握网络实体与现实实体之间的映射关系并记录其变更过程。由于网络行为均由应用软件和设备发起还可能来自操作应用的用户故网络身份管理的对象既可以是用户也可以是应用和设备。在某些场合可将一个网络中的网络实体视为一个整体从而实现简化管理故网络身份管理的对象还可以是网络。 人员管理主要包括身份注册、安全审查、安全培训、身份变更处理和身份注销处理几个方面。其中身份注册的主要目的是为可信度评估提供基础用户信息分为基本信息和高级信息。用户基本信息包括姓名、生日、年龄等用户高级信息包括身份证号、生物特征和住址等。根据系统的安全等级选择是否需要录入高级信息录入的信息越多掌握的信息越全面判断人员可信度的参数则越多。完成可信度初始评估后还需对人员进行安全审查包括对其信用信息、履历和犯罪记录等的调阅和审查。在安全审查通过之前需要限制人员对网络进行所有或者部分访问。当人员正式成为员工或者客户时至少应该在开放访问前对其进行安全培训或提示。在高安全等级系统中为了防止出现人为安全漏洞需要在系统使用过程中不断进行安全提示和必要的强化培训。当人员身份信息和安全审查相关信息发生改变时需要及时更新。当人员不再使用信息系统时需要及时关闭其所有权限进行注销处理。在发生身份注销时应该根据信息系统的保密程度考虑是否对人员要求签署保密条款。 设备的管理方面应结合资产管理系统对设备的采购来源、用途等基本信息以及 IP 地址、证书的状态进行登记和随时更新并记录相关的变更日志。根据网络安全等级要求应选择记录良好、资本构成符合要求的供应商进行供货并考虑是否对供应商进行背景调查。根据网络安全等级要求考虑是否监管供应商生产供应过程包括元器件采购、加工、装备、检验等以提升产品安全性一般适用于高安全网络。接收设备时应对设备进行系统安全检测比如病毒扫描、漏洞扫描掌握设备的安全风险状态。在设备上线前和运行过程中应及时对设备进行安全加固包括病毒查杀、修补漏洞、升级病毒库等。若设备不再接入网络使用则应下线处理对于安全要求高的组织机构应该强制要求拆除设备硬盘或者擦除硬盘数据最后才能将设备转作他用或者报废。 应用的身份管理主要关注应用的开发、测评和部署 3 个阶段。在应用开发阶段至少应先明确安全性需求并明确是否允许使用高风险数据库或者第三方插件等。在应用开发完成后应组织专业机构对应用安全性进行测评包括是否存在已知漏洞、是否符合安全性设计要求等。在应用部署阶段应对应用进行上线审批建立软件白名单通过终端管控软件控制设备允许运行的软件。 网络安全等级越高评估的因素就越多要求掌握的信息就越丰富。在建立身份管理系统、资产管理系统、软件白名单和网络组织清单时信息采集应满足法律的要求如果是采集个人信息应该得到个人的授权并且数据的生成、传递和保存必须采用制度和技术保护保证数据的保密、真实和完整。 3.2 网络身份认证 网 络 身 份 认 证 时 不 同 实 体 选 用 不 同 的 认证方式。人员认证方法有基于口令、生物特征或者私人持有的基于硬件的可信处理模块Trusted Processing ModuleTPM等的方法。设备和应用的认证方法有通过软数字证书或者设备绑定的 TPM来认证的方法。网络的认证可以通过网络代理设备或软件代理网络整体对外认证从而不用对网络中多个实体分别认证在某些对计算或网络开销比较敏感的场合可以考虑使用。 身份认证方法的选择通常根据风险高低决定。当环境风险小到一定程度时身份认证可以通过传递身份标识如 IP、端口等实现如同新认识的朋友相互交换名字就知道对方是谁。但当环境风险不够高时身份认证必须采用更安全的方式。一般来说首先使用非常强的认证手段保证一定是该实体其次生成一个可验证的身份断言用于基本业务即“初始强认证”与“使用时弱认证”结合可兼顾安全性和便利性。“初始强认证”一般在系统开设、业务开通阶段进行比如用户到银行开户需要本人到柜台出示身份证新员工入职时公司对员工进行安全审查此工作可以与网络身份管理的身份录入和信息审查合并进行。经过“初始强认证”后进入“使用时弱认证”阶段银行颁发给用户一张银行卡并让用户设置一个口令允许用户通过银行卡和口令办理存取款业务公司也给员工办理一张员工证允许员工凭该证出入工作环境。但用户银行卡和口令必须经过 ATM 机在线验证员工证也必须经过公司门卫手工验证或者刷卡机在线验证。 采用可变强度的身份认证。当环境风险发生变化时身份认证强度应该及时调整。比如首次使用新设备风险较高需要使用强认证、设置口令并绑定设备后续允许使用口令进行操作但再次更换新设备时需要再次使用强认证、设置口令并绑定设备。在进行高风险操作时也需要提高认证强度。 必须警惕口令不当使用。某些系统可能必须多人使用同一账户操作业务造成口令知悉范围较大没有与人绑定某些系统口令复杂度要求低抗攻击能力弱。上述不当的口令使用会带来很多风险应该设法降低风险。在无法与人绑定账户的系统中应增强环境准入控制或用其他方法保证使用者的合法性在口令复杂度要求低的系统中应强制提升密码复杂度要求。 使用的数字证书应当定期更新。相当多的系统使用数字证书方式进行认证却忽视了数字证书有效期的限制。为提升安全性其证书需要强制定期更新。此外证书更新途径是否安全、更新周期是否得到控制等因素都会影响可信度。 充分利用信任传递技术来构建信任链 。如图 1所示信任传递是指当 B 在一定程度上信任 C 时A 依赖于对 B 的信任而一定程度地信任 C。比如员工与公司门卫并不熟识但员工因公携带物品离开公司大门若向公司门卫出具部门领导签署的审批单公司门卫可依据审批单对其放行。上述例子中A 对 B 和 B 对 C 的信任称为直接信任而 A 对 C的信任称为间接信任。A 基于 B 从而对 C 的信任形成信任链。在信任链上相邻实体间不都是绝对信任所以信任度会随着信任传递次数的增加而减小。此外A 对 C 的信任程度与 A 对 B 和 B 对 C 的信任程度正相关但不一定线性。特别的若 A 不再信任 B 或 B 不再信任 C则 A 也不再信任 C。信任传递用途很广只要两个实体能够借助其他实体生成一个信任链就可以计算出信任度。 3.3 网络访问授权 一般情况下应采用基于身份的访问控制技术或者相应的人机结合的管理方式来进行网络授权。很多情况下网络实体的标识不会固定不变比如对于移动环境或者使用动态主机配置协议Dynamic Host Configuration ProtocolDHCP技术的局域网如果基于固定网络标识进行访问控制则无法快速调整策略以适应动态的网络标识变化给访问控制策略维护带来极大负担。这时候应该配置基于身份的访问控制策略通过认证过程跟踪网络访问标识的动态变化随时自动更新策略提高策略的安全性和适应性。 图 1 任链关系及基于信任链的信任度 基于动态信任度和风险的访问控制可极大增强访问控制的安全性。零信任思想之所以更安全是因为其根据信任度做出是否允许访问的决策。因为身份证明并不代表对方是安全的所以大量系统仅通过身份认证就开放安全策略的方式存在诸多安全漏洞。判断是否开放安全策略的依据应该是对方是否可信以及是否具有高风险。信任度和风险评估可从第三方获取也可基于交互行为与预期的对比不断积累形成。 统一权限管控解决全网权限的一致性问题确保不因权限差异导致访问受阻或产生权限漏洞。统一权限管控的高效架构是树形分级架构该架构从主干到分支每一级管辖本级策略并逐级细化分支仅在主干约束范围下定制详细策略。如图 2 所示A 分支到 B 分支的主干路径上的策略只管理整个A 分支能否访问整个 B 分支但 A 分支入口和 B 分支入口的策略则管理 A 分支的实体 a 能否访问 B 分支的实体 b 的约束。这样的管理架构有利于降低主干策略压力分支策略虽受限于主干策略的限制但有一定自主灵活度。 图 2 树形分级的权限管控架构 权限同步一般分为管理流驱动和业务流驱动两类。管理流驱动是指权限在各个策略管控节点之间进行同步需要占用带宽且每个策略管控节点需要存储大量的权限无法事先判断权限是否有用处理访问时本地已经有策略处理延迟小。业务流驱动无须各个权限管控节点之间进行同步访问者访问时向策略控制点提供权限信息策略控制点验证权限真实性并进行生成策略需要花费更多时间处理延迟大。权限同步方案的选择需要根据具体需求进行。 3.4 传输安全保障 因为数据在传输时可能受到窃取、伪造、篡改和重放攻击所以必须考虑数据传输受到上述攻击时系统是否有安全风险。 常见的数据传输安全保护技术包括互联网安全协 议Internet Protocol SecurityIPSEC、 安 全 接口层Secure Socket LayerSSL等。IPSEC 由操作系统在网络层为应用程序统一提供基于 IP 的安全性能对应用程序是透明的。SSL 为应用层提供标准安全接口需要应用程序进行适配实现。IPSEC和 SSL 属于网络认证和加密可以部署在路径网关上也可以部署在端点上。在带宽和处理能力允许的情况下两种技术可以同时运用进一步增强数据传输的安全性。 数据安全的传输通道构建可以因地制宜比如在两个局域网之间的数据传输中可以在各自网络的出口架设实体网关对经过网关的数据进行保护也可以在对外提供服务的数据服务器上部署代理软件或者在其物理接口处部署实体网关接管出入服务器的数据流。至于局域网内部流量是否加密不应一概而论需要综合考虑网络安全需求、环境威胁、安全脆弱性等多方面因素。 3.5 行为安全监控 行为安全监控通过分析网络实体的各种攻击和异常行为的活动可以及早发现威胁并进行风险控制对实体信任度进行动态评价。主要方法包括网络攻击抑制、异常行为监测。 网络攻击抑制用于检测并抑制网络中已知攻击从而对网络进行保护。网络攻击检测方法主要有两种一种是通过检测流量是否满足某种已知特征来发现攻击即基于流量特征匹配的攻击检测方法这种方法对拒绝服务Deny of ServiceDoS和 分 布 式 拒 绝 服 务Distributed Deny of ServiceDDoS等流量攻击有效 另一种是通过检测网络包内容是否满足某种已知特征来发现攻击即基于内容特征匹配的攻击检测方法这种方法对于漏洞利用、恶意代码等攻击有效 。当发现攻击后可以对攻击进行抑制但很多情况下攻击检测设备难以识别正常访问和攻击访问。攻击监测分析人员不断地深入分析攻击特征对匹配规则进行完善但总会出现滞后这正是零日攻击的突破口。在数据中心攻击检测通常搭配流量清洗工作当发现攻击后攻击检测设备联动网络交换设备进行引流清洗经过清洗后正常访问流量被导回网络继续转发。 异常行为监测用于进一步检测超越使用习惯的高风险操作发现各种未知攻击比如后台木马程序借用用户和终端身份发起越级访问。异常行为监测与纯粹的基于行为的网络攻击检测不同基于行为的网络攻击检测主要通过事先把攻击模式和特征进行总结成为模型再通过抓取流量进行分析检查是否存在匹配相似的网络流量从而判断是否存在攻击行为而网络行为安全检测是评估用户行为超出正常习惯是否带来信任度降低的方法。网络行为安全检测通过不断收集正常业务的习惯进行用户、流量、包长、时刻、间隔等多维的分析和总结归纳形成正常业务习惯模型。有了正常业务习惯模型后再对新流量进行分析评估是否符合正常业务习惯特征最终给出相应的可信度一维评价。网络行为安全检测使用人工辅助机器学习或深度学习技术对此研究者们提出了很多理论方法如文献 [10] 提出了在静态的身份认证之上通过对用户行为的实时评估引入奖惩因子和时间因子实现动态的信任度评价文献 [11] 提出了一种基于灰色关联度的信任模型对节点进行细粒度的信任评估抑制不诚实的节点的访问行为文献 [12] 提出了一种基于隐式反馈控制的用户行为度量模型构建用户的状态和行为基线并根据基线评估用户的可信度进而实施动态的信任度评价。 、零信任网络推广应用的突破点 利用零信任提升网络安全防护能力不能仅依靠优化网络拓扑、提升点位产品的功能还需要在制度、架构及配套上进行相应的改变与提升。 1在管理方面需要引导相关行业分步细化和落实《信息安全等级保护管理办法》等国家标准和配套的顶层制度逐步提升全行业中涉及信息网络领域的整体安全管理水平。 2在业务融合方面需要引导相关行业认识到安全能力的提升对业务能力增强的积极意义以及两者相辅相成的关系促进其做好充分的思想和物质准备去迎接变革。 3在成本方面建立市场促进机制推动相关行业通过市场手段共享成果降低成本为提升网络能力构建基础。 、结 语 本文针对零信任网络在现实中推广存在的诸多难题从体系架构、技术方法、管理制度等多角度进行了多方面的分析。结果表明充分认识零信任思想本质结合实际情况采用契合业务和网络特点的技术方法各行各业都能够利用零信任思想加强网络防御能力有效降低网络安全风险。