作为“十四五”规划和2035年远景目标的核心内容之一,我国智慧城市建设正在加快推进。简单来说,智慧城市就是利用新技术,通过数字化和智慧化的方式,来解决广泛存在的城市和社会问题,以最终实现优政、惠民、兴业、智治的目标。然而,我们在看到智慧城市发展成效的同时,更应该聚焦智慧城市面临的网络安全风险,通过有效的应对手段,保证在数字化、智慧化的大背景下,智慧城市得到更快更好的发展。
聚焦当下智慧城市建设的安全需求:一方面,云大物移等各种新技术的融合应用是智慧城市建设的重要特征,技术的创新和边界的消失,对传统边界安全思维提出挑战;另一方面,智慧城市应用服务开放场景、海量物联网接入场景以及远程资产运维场景都对身份和权限管理提出了更高的需求。
本质上讲,零信任的理念是在传统安全防护的基础上对身份和权限增强管理控制能力。零信任的提出主要是为了应对现有边界防护思维所面临的缺陷,具体包括:
针对传统边界思维对内网的过度信任问题,以及云大物移等新技术使得传统边界变得模糊的问题,零信任通过软件定义边界的形式,将传统边界收缩到更靠近具体的应用;
传统边界由于缺少终端侧、资源侧的数据而对威胁的安全分析不够全面,而且由于更多关注流量攻击,导致对身份和权限的管理过于薄弱。针对这两点问题,零信任通过部署访问终端,实现安全联动,可以有效增强身份和权限管理。
从零信任实现角度看:在身份认证方面,其不再仅仅针对用户,还对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证,并且在访问过程中可以根据需要多次发起身份认证;在授权决策方面,不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是基于尽可能多的数据源,通过持续的安全监测和信任评估,进行动态、细粒度的授权。
总的来说,零信任理念突出多维认证、动态授权、最小授权、减少暴露面、持续评估和响应等特征,是应对智慧城市新技术、新场景下安全挑战的有效手段。
以零信任安全理念的融合应用为目标,当前智慧城市中有三大典型场景可以与零信任结合,实现安全能力的优化和提升。
1、应用服务开放场景
面向公众或企业单位提供应用服务开放,是智慧城市实现服务效率提升的重要方式。而面对大量用户的应用服务访问行为,存在众多的网络安全隐患。具体包括:
■ 用户风险:针对用户身份的账号密码爆破、钓鱼、键盘记录等,通过盗取用户账号,以用户身份开展恶意行为。
■ 终端设备风险:硬件供应链的风险,导致数据泄漏或者入侵风险;利用系统软件上的漏洞或植入后门控制终端进行攻击;发起访问的应用程序可能是恶意代码。
■ 资源访问风险:无论是盗取访问用户身份还是控制用户的终端设备,最终目的是对资源服务器开展攻击,因此服务资源安全风险防护至关重要。
■ 链路风险:当终端通过网络链路访问服务资源的时候,可能存在被嗅探或中间人攻击风险,以获取数据和凭证。
针对智慧城市应用服务开放场景中面临的安全风险,通过部署零信任安全解决方案,可以实现风险的有效应对:
■ 用户可信:通过部署终端agent,实现终端对用户的认证和绑定,确保用户的登录、操作是本人操作,而非被盗取的攻击者行为。
■ 终端可信:通过部署终端agent,能够确保终端设备自身的安全可信,例如:通过收集和分析终端信息,确保终端为可信设备,并授权可信用户使用,同时确保终端具备基础安全防护能力,满足安全基线要求;通过应用程序的检测,确保终端发起资源请求的程序是可信程序,防止恶意程序的伪装。
■ 资源权限可信:依托零信任安全控制中心,通过终端、用户、资源、链路的信任链打造持续动态校验机制,减小业务系统安全风险暴露面,确保对资源的可信访问,保障资源被拥有权限的用户正确获取,防止被越权或是被攻击的方式获取。
■ 链路可信:依托零信任网关的代理转发能力、控制能力、联动能力,一方面保障终端访问服务器的流量通过加密手段避免被中间人劫持和泄露,另一方面,一旦关注对象的安全状态发生变化,由可信变为不可信状态,通过与控制中心联动,能动态执行隔离、阻断、降级等操作,防止进一步的攻击和渗透。
2、远程资产运维场景
依托传统的远程运维模式,当前智慧城市远程运维方式有三种:
然而随着微盟删库事件的爆发(公开资料显示,微盟此前已具备独立的虚拟专用网、堡垒机等基本的安全设备和保障手段),传统运维手段的弊端逐渐显现出来,例如:
其中,未根据重要程度对运维人员身份和权限进行分类分级管理,以及运维行为分析和控制能力不足,这两点缺陷成为了事件爆发的最直接原因。
面对复杂、多变的运维环境,面对身份盗用、越权访问、内网暴露面增多、内网横向移动、控制粒度粗放等运维安全风险,将堡垒机系统与零信任体系相结合,可以实现风险的有效应对:
■ 在运维终端安装零信任Agent,实现设备注册、安全状态上报、基线修复等功能,保证终端安全、可控;并通过Agent实现运维人员与终端的绑定和信任建立。
■ 零信任策略中心通过多因素认证解决人员身份可信、设备可信、服务可信等问题,通过零信任的终端、用户、链路、服务的信任链打造动态校验机制,确保服务的可信访问。
■ 基于可信认证结果,持续评估终端环境风险、访问行为异常风险、实时网络环境风险等多维度风险级别;以此为基础,实现访问的分级分类授权,以及实时动态的权限管理和控制。
■ 利用SDP的核心功能——单包授权(SPA),通过关闭默认服务端口,实现服务网络隐身,保证从网络上无法直接连接和扫描。只有特定客户端在零信任策略中心认证通过之后,才能得到可信网关服务的IP地址,并由网关进行访问服务代理,最终实现应用隐藏,缩小攻击面。
3、海量物联网接入场景
广泛覆盖的物联感知层设备是智慧城市建设的重要基础。智慧城市利用物联网传感器和高级分析来改善城市服务和城市生活,从而提高效率,改善民众的生活质量。然而物联网属于大型分布式网络系统,每一个数据采集节点往往由于性能限制导致缺少本地的防护能力,容易被不法分子利用,提升了整个物联网系统的安全风险。可能存在的安全问题包括:
■ 终端资产不可知:物联网终端多为传感器,自身结构简单、不具备传统网络终端可感知、可自身防护、可管控等特点,容易造成部署之后终端状态不可知等问题。
■ 终端接入不可控:物联网终端多处于不可控的外部环境,容易出现终端替换、终端丢失、违规接入等问题,造成智慧城市网络接入不可控。
■ 网络通信不可管:物联网网络连接具有交互少、数据少、速率慢等特点,对传统的安全管理和检测模型的有效性提出挑战,造成物联网络通信不可管。
融合零信任安全理念,建设物联网安全防护体系,能够有效应对以上物联网安全风险:
■ 通过物联网接入网关设备,以主动和被动相结合的方式,全面感知前端资产信息,实现资产信息统一维护;同时,产品具备主流终端漏洞扫描能力,能够发现终端系统的通用漏洞和高危漏洞并进行评估;可以通过深度DPI报文识别能力,对终端的数据交互和上线报文等进行分析和卸载;探测终端的出厂口令和弱口令风险;利用物联网终端的相关信息形成零信任体系中的环境感知基础,上传控制中心进行集中分析。
■ 通过物联网接入网关设备,采用新一代综合特征库准入控制机制,结合特征库集成IP/MAC认证、协议检测以及厂商特征识别机制,入侵者即使能仿冒IP/MAC地址也无法正常接入网络;同时与集中控制中心联动,可有效确保物联网前端设备可信接入。
■ 物联网集中控制中心充分评估通信流量发生的时间、流量大小、访问关系等网络行为因子,结合终端环境感知数据,最终形成网络行为的模型基线;集中控制中心实现持续评估、动态检测,及时发现违规和异常通信,配合网关设备实现有效管控。
零信任安全作为一种理念,更多的是给我们的安全防护体系建设提供一种新的指导思想,但从具体落地层面来看,还有很长的路要走。我们需要不断的挖掘具体场景下的安全需求,并努力做到零信任理念与业务安全需求的融合,只有这样才能真正发挥零信任安全的核心价值。在零信任理念的实现方面,我们也需要不断创新,面对智慧城市建设新需求,在核心理念的指引下不断探索新结构、新模式,全面助力智慧城市的安全建设和发展。