邊界信任及其弱點(diǎn)
邊界信任是現(xiàn)代網(wǎng)絡(luò)中最常見(jiàn)的傳統(tǒng)信任模型��。所謂邊界信任就是明確什么是可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境�����,什么是不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境����,并在這兩者之間建立“城墻”,從而保證不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境無(wú)法在攜帶威脅信息的情況下�,訪問(wèn)到可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境的信息。
在企業(yè)應(yīng)用層面最常見(jiàn)的例子是將公司內(nèi)的網(wǎng)絡(luò)認(rèn)為是可信任的網(wǎng)絡(luò)環(huán)境��,將公司外的網(wǎng)絡(luò)認(rèn)為是不可信任的網(wǎng)絡(luò)環(huán)境����,再在這兩者之前建立防火墻服務(wù),從而防止帶有威脅的外部請(qǐng)求獲取到公司的敏感信息����。
典型的邊界信任模型架構(gòu)圖,其中認(rèn)為Internet為不可信任的區(qū)域��,DMZ區(qū)域是類(lèi)似防火墻的區(qū)域,而Trusted與Privileged為信任區(qū)域��,其中Privileged是特權(quán)管理賬號(hào)���,從信任模型的角度來(lái)說(shuō)�����,一臺(tái)可信設(shè)備是否是Privileged����,不影響對(duì)這臺(tái)設(shè)備是否“完全信任”其安全性����。
隨著防火墻技術(shù)的發(fā)展,越來(lái)越多的威脅信息都可以被防火墻直接攔截����,這使得邊界信任模型看起來(lái)完美無(wú)缺。但是����,邊界信任模型存在一些致命弱點(diǎn)���。
1) 如今的網(wǎng)絡(luò)攻擊的花樣層出不窮����,攻擊方式變化非常快��。然而����,由于將所有的“防護(hù)”都孤注一擲地依賴于防火墻,一旦有新的威脅形式超出防火墻的防護(hù)范圍����,那么防火墻就形同虛設(shè)
2) 如果攻擊者使用了某些方法繞過(guò)了防火墻,比如�,利用惡意郵件,直接進(jìn)入內(nèi)網(wǎng)
3) 無(wú)法識(shí)別可信設(shè)備對(duì)其他可信設(shè)備進(jìn)行攻擊的行為
零信任介紹
從邊界信任模型中存在的致命弱點(diǎn)中不難發(fā)現(xiàn)�,所有的弱點(diǎn),歸根到底都是對(duì)可信任設(shè)備與網(wǎng)絡(luò)環(huán)境的“過(guò)度信任”造成的�����。這種“過(guò)度信任”體現(xiàn)在以下兩個(gè)方面:
1) 模型假設(shè)所有的可信設(shè)備的可信度都是相同的����,即所有設(shè)備無(wú)論功能和狀態(tài)�����,只要認(rèn)為是可信的��,就都是“完全信任”其安全性����。
2) 模型假設(shè)對(duì)所有可信設(shè)備的信任是永久的��,全時(shí)段的�。
顯然這種“過(guò)度信任”是非常危險(xiǎn)的,是一種對(duì)信任的濫用��?��;趯?duì)邊界信任的致命弱點(diǎn)的研究����,“零信任”模型橫空出世�����。
相比于邊界信任模型中對(duì)信任設(shè)備及網(wǎng)絡(luò)區(qū)域的“過(guò)度信任”,“零信任”模型提出:在考慮敏感信息時(shí)�����,默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)中的任何設(shè)備和區(qū)域��,而是應(yīng)該通過(guò)基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任體系���,對(duì)訪問(wèn)進(jìn)行“信任授權(quán)”,并且這種授權(quán)和信任應(yīng)當(dāng)是動(dòng)態(tài)的���,即“信任授權(quán)”應(yīng)當(dāng)基于訪問(wèn)實(shí)時(shí)地進(jìn)行評(píng)估與變換��。
在構(gòu)建“零信任”模型的體系時(shí)�����,網(wǎng)絡(luò)專(zhuān)家們對(duì)該模型做了以下假設(shè):
1) 網(wǎng)絡(luò)始終是暴露在危險(xiǎn)之中
2) 無(wú)論外網(wǎng)或者內(nèi)網(wǎng)��,危險(xiǎn)始終存在
3) 不存在可信任的網(wǎng)絡(luò)區(qū)域�,網(wǎng)絡(luò)區(qū)域不能作為判斷網(wǎng)絡(luò)可信的決定因素
4) 所有設(shè)備�����,用戶和網(wǎng)絡(luò)流量在訪問(wèn)時(shí)都應(yīng)經(jīng)過(guò)認(rèn)證和授權(quán)
5) 認(rèn)證和授權(quán)的策略必須是基于所有可能數(shù)據(jù),并加以計(jì)算得到的
原文如下:
根據(jù)“零信任”模型的理念和假設(shè)�����,網(wǎng)絡(luò)專(zhuān)家們進(jìn)一步的給出了典型的“零信任”模型的架構(gòu)�����。
在架構(gòu)中����,支持“零信任”模型能正常運(yùn)行的核心是一個(gè)被稱為Control Plane,即控制平臺(tái)的組件����,在“零信任”模型中,所有訪問(wèn)敏感信息的請(qǐng)求都應(yīng)該先經(jīng)過(guò)控制平臺(tái)�����,由控制平臺(tái)對(duì)訪問(wèn)進(jìn)行評(píng)估����,決定此次訪問(wèn)需要提供什么等級(jí)的認(rèn)證信息,再校驗(yàn)訪問(wèn)所攜帶的認(rèn)證信息是否達(dá)到標(biāo)準(zhǔn)����,從而實(shí)現(xiàn)認(rèn)證����,當(dāng)認(rèn)證成功后�,再對(duì)訪問(wèn)進(jìn)行授權(quán),若認(rèn)證失敗�����,則拒絕訪問(wèn)�。
從模型設(shè)計(jì)上來(lái)探究邊界信任模型與“零信任”模型的區(qū)別時(shí)��,我們不難發(fā)現(xiàn)���,“零信任”模型是一種“信任細(xì)化”的設(shè)計(jì)��,即摒棄了邊界信任模型“過(guò)度信任”的一刀切做法�����,采用對(duì)信任在訪問(wèn)維度�����,設(shè)備維度和時(shí)間維度的細(xì)化處理����,再加上認(rèn)證和授權(quán)體系的動(dòng)態(tài)化,使得權(quán)限授權(quán)也是被細(xì)化處理的�����。
在如今社會(huì)�����,網(wǎng)絡(luò)攻擊的手段層出不窮的大背景下����,“信任細(xì)化”是一種比較符合當(dāng)前安全防范需求的理念,也正是因?yàn)檫@樣�����,“零信任”模型是當(dāng)今與網(wǎng)絡(luò)訪問(wèn)相關(guān)的產(chǎn)品推薦使用的安全模型�。
派拉軟件可信數(shù)字身份管理平臺(tái)已經(jīng)全面實(shí)現(xiàn)了“零信任”模型的標(biāo)準(zhǔn),并在該標(biāo)準(zhǔn)上進(jìn)行了自主創(chuàng)新�,提出了授權(quán)等級(jí)的概念,為更好的服務(wù)于有身份管理和訪問(wèn)控制需求的客戶和合作伙伴��,我們?cè)凇傲阈湃巍钡幕A(chǔ)上,提出了“零信任+”的安全理念���。
零信任+淺談:算法與“零信任”模型結(jié)合的“智能信任”
雖然“零信任”模型在現(xiàn)代網(wǎng)絡(luò)安全中有著很高的應(yīng)用價(jià)值�,但是“零信任”模型也不是十全十美的����。我們認(rèn)為,“零信任”模型設(shè)計(jì)有以下不足:
1) “零信任”模型雖然提出了對(duì)信任的細(xì)化�,但是缺乏對(duì)這種細(xì)化的顆粒度的定義,這樣又反過(guò)來(lái)導(dǎo)致另一種極端�,即對(duì)所有訪問(wèn)都進(jìn)行評(píng)估�����,認(rèn)證和授權(quán)�����,這樣使得在實(shí)施“零信任”模型時(shí)往往會(huì)對(duì)訪問(wèn)的信任授權(quán)“過(guò)于嚴(yán)格”�����。
2) 前文也提到�,在“零信任”模型下的訪問(wèn)都先經(jīng)過(guò)控制平臺(tái)���,對(duì)訪問(wèn)進(jìn)行評(píng)估,認(rèn)證和授權(quán)�����,但模型缺乏對(duì)訪問(wèn)后的用戶行為進(jìn)行監(jiān)控的機(jī)制�,從另一個(gè)角度來(lái)看,模型對(duì)控制平臺(tái)“過(guò)度信任”���。
3) “零信任”模型只對(duì)訪問(wèn)本身做評(píng)估����,認(rèn)證和授權(quán)����,那么如果黑客或攻擊者通過(guò)某些特殊方法通過(guò)了該評(píng)估,認(rèn)證和授權(quán)�,有沒(méi)有可能再對(duì)訪問(wèn)的風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)評(píng)估,從而杜絕或至少減少敏感信息的泄露���?
4) 對(duì)于一些高級(jí)的黑客攻擊���,比如低頻滲透�����,“零信任”模型可能失效����,怎么去防范這類(lèi)安全問(wèn)題呢����?
5) 等等其他問(wèn)題
為了在“零信任”模型的基礎(chǔ)上,做出更好的����,更加完善的身份管理與訪問(wèn)控制產(chǎn)品,我們提出“零信任+”的概念���,即算法與“零信任”模型結(jié)合的“智能信任”。
去年的時(shí)候�,我們?cè)诠井a(chǎn)品的單點(diǎn)登錄模塊率先推出了SSO-IDA模塊(IDA: Intelligence Driven Authentication),該模塊基于用戶的登錄統(tǒng)計(jì)信息,經(jīng)過(guò)計(jì)算后�,智能判斷了用戶使用單點(diǎn)登錄時(shí)的風(fēng)險(xiǎn)情況,在低風(fēng)險(xiǎn)時(shí)可實(shí)現(xiàn)一鍵自動(dòng)登錄�,而在高風(fēng)險(xiǎn)時(shí)需要用戶提供諸如人臉識(shí)別或指紋驗(yàn)證的生物認(rèn)證才可完成單點(diǎn)登錄。
SSO-IDA只能視作是對(duì)“零信任”模型中控制平臺(tái)的加強(qiáng)�����,之后我們會(huì)推出針對(duì)“零信任”模型不足點(diǎn)的智能算法模塊,意在解決(3)和(4)的情況�,使得我們的身份管理與訪問(wèn)控制,真正做到強(qiáng)于“零信任”模型的“零信任+”標(biāo)準(zhǔn)�。
當(dāng)然,所有模型和算法都是基于前人的研究成果的���。在網(wǎng)絡(luò)安全領(lǐng)域��,使用統(tǒng)計(jì)���,機(jī)器學(xué)習(xí)甚至深度學(xué)習(xí)的研究已經(jīng)持續(xù)了至少30年,而最近10年以來(lái)��,由于數(shù)據(jù)分析技術(shù)和大數(shù)據(jù)技術(shù)的發(fā)展�����,以及硬件性能的提升����,網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)算法研究進(jìn)入了高速增長(zhǎng)的時(shí)代。
我們只希望將這些前人和專(zhuān)家的理論研究成果真正的結(jié)合到自己的產(chǎn)品中,提供安全����,高效,極致體驗(yàn)的身份安全產(chǎn)品與服務(wù)���。當(dāng)然����,如果有幸在某些子領(lǐng)域?qū)π袠I(yè)有所貢獻(xiàn)�����,那將是我們的榮幸��。
REEBUF首發(fā)
參考資料
Evan Gilman, Doug Barth – Zero Trust Networks, Ch1 – 2017
員工身份與訪問(wèn)控制eIAM
客戶身份與訪問(wèn)控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問(wèn)管理PAM
數(shù)據(jù)庫(kù)訪問(wèn)管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國(guó)產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門(mén)戶
熱門(mén)文章
7*24小時(shí)服務(wù)
專(zhuān)屬安全顧問(wèn)
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)