零信任与传统的安全模型存在很大不同:
传统的安全模型:“一次验证+静态授权”的模式,就是“我记住你了,自己人”
零信任安全模型:“持续验证+动态授权”的模式,就是“你谁啊,凭证拿来”
用一句话解释零信任就是:别想刷脸,凭证拿来
无论你是哪个服务,无论你在内网还是外网,无论一天交互多少次,没有凭证,或者凭证无法验证通过,就会被阻止
零信任模型的核心原则:
1、永不信任:对内对外均不给予自动信任
2、持续验证:对所有入站和出站请求执行彻底验证
3、身份管理:对人、终端和应用进行统一身份化管理
4、精细授权:通过微分段、应用分级、功能分级、数据分级等技术,做到最小权限原则,减少潜在攻击面
5、动态授权:基于访问主体、目标客体、环境属性(终端状态、网络风险、用户行为等)进行权限动态判定
6、全局防御:持续监控终端风险、用户行为异常、流量威胁、应用鉴权等信息,实时进行信用评估
7、快速处置:对低分的主体,立即实施阻断措施
零信任模型的核心能力:
1、全面身份化能力
零信任的信任关系来源于对所有参与对象的身份验证,所有参与对象共同构建端到端信任链,参与对象包括网络、终端、人员、应用等。身份是访问控制体系的基石,零信任需要为所有对象赋予数字身份,基于身份而非网络位置来构建访问控制体系。
2、最小权限分配
零信任强调按需分配资源,实施细粒度的权限访问控制,仅授予访问主体执行任务所需的最小权限。
3、持续且动态的访问控制
零信任依据访问主体的身份信息、终端信息、网络信息等信任要素,通过实时计算信任要素形成访问控制策略。在资源访问过程中,一旦访问控制策略的决策依据发生变化,零信任将重新计算分析,动态调整认证和授权策略。
4、资源受控安全访问
零信任默认网络环境是不安全的,要求对所有业务场景、所有资源的所有访问请求进行强制身份识别和授权判定,确认访问请求的权限、信任等级符合访问控制策略后才予以放行。且要求所有的访问连接都必须加密。
5、组件联动能力
零信任需要具备较高的联动性,各类组件能够相互联动才能有效防范各类威胁并做到攻击快速闭环,切忌不可机械堆砌产品组件。
零信任架构的三大技术基础:
1、三大技术SIM之SPD,软件定义边界:应用程在部署时需要指定安全边界,以便将服务与不安全的网络隔离开。
2、三大技术SIM之IAM,身份识别与访问管理:解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。
3、三大技术SIM之MSG,微隔离:在逻辑上将数据中心划分为不同的安全段,将网络边界分割到尽可能的小,然后为每个独立的安全段定义访问控制策略。
零信任架构的核心技术:
1、终端环境感知:对终端身份进行可信标识,赋予每个终端唯一的数字身份,并能够维护终端身份属性,对终端环境进行实时感知和度量,支撑零信任安全解决方案实现持续风险评估。
2、身份鉴别:身份引擎将出差人员、内部员工、合作伙伴、供应商等不同人员纳入统一认证平台,打通终端 PC、网络设备、应用系统、公司网络等各种业务系统之间的身份数据屏障。所有身份数据集中管理和共享,避免身份孤岛带来的身份数据不一致或重复、身份数据质量不可控等制约业务发展的问题,降低信息化成本。采用MFA(多因子认证)方式对同一用户进行身份鉴别,从而加强身份验证的安全性。
3、分级管控:身份引擎统一维护所有授权客体(包括应用资源、API 资源、服务资源)的安全等级。每次范围资源必须进行认证,当授权主体的安全等级大于授权客体的安全等级时,授权主体才能访问授权客体,反之则不能访问。
4、动态授权:基于对网络环境、终端环境、用户行为的持续风险评估实现授权动态判定,并且能够将访问目标的权限控制细化到应用级、API等级和服务等级,只对访问主体开放最小授权,极大地收缩了潜在攻击面,解决了传统静态授权带来的越权风险高、授权粒度粗等问题。
5、持续验证:案对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端环境和用户行为等作为
认证的考量要素,并针对网络环境、终端环境、用户行为等进行持续风险评估,实现对接入用户和终端的持续验证,解决了由于安全边界逐渐模糊带来的一系列问题。
6、风险审计:根据认证日志、鉴权日志等输入,对用户安全等级的进行评价,重点对登录模式异常、访问时间异常、操作行为异常、访问习惯异常、访问关系异常等进行风险审计。
7、安全接入代理:统筹管理所有访问连接,为认证成功且具有权限的访问主体建立安全访问通道,帮助企业构建虚拟网络边界。可分为安全接入网关、API 网关、SDP网关三种类型。其中,安全接入网关、API 网关用于敏感应用场景,SDP 网关用于非敏感应用场景。
零信任架构的三层架构:
1、安全管理中心,部署安全态势感知引擎
安全态势感知引擎:对环境感知代理发送的终端风险评分、身份引擎发送的认证日志和鉴权日志、关键节点镜像的网络流量进行智能分析,实现对用户、终端、网络的安全评估。
2、策略控制中心,包括身份引擎、控制引擎
身份引擎:负责对接入用户以及终端设备进行统一认证和鉴权。当用户安全等级变更时,及时更新用户拥有的访问权限,并向安全接入代理网关下发权限变更指令。
控制引擎:通过与安全态势感知引擎联动,实现威胁事件的检测智能、处置智能、全局防御,显著提升威胁的闭环效率。
3、策略执行器,部署环境感知代理、安全接入代理网关(包括安全接入网关、SDP网关、API网关三种类型)。
环境感知代理:负责统一管理和执行终端管控策略,能够实时感知终端环境状态,并向安全态势感知引擎上报终端风险评分。
安全接入代理网:关作为终端用户访问企业内网的控制设备,能够统筹管理所有访问连接,为认证成功且具有权限的访问主体建立安全访问通道,帮助企业构建虚拟网络边界。根据用户访问场景选择安全接入代理网关的类型。
参考:
华为IP网络系列丛书:《零信任》