零信任的三种主流技术【远航】
写在前面
欢迎关注点赞收藏⭐️留言
✉️今日分享:
欢迎关注点赞收藏⭐️留言
✉️今日分享:
“心有所信,方能远行;学有所悟,而后笃行。”
前言
2019年,美国国家标准委员会NIST对外正式发布了《零信任架构ZTA》白皮书,强调了零信任的安全理念,并介绍了实现零信任架构的三大技术SIM:①SDP:软件定义边界;②IAM:身份权限管理;③MSG:微隔离。
零信任的主流技术
从技术视角划分,零信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
分别回答网络中有什么,外面的流量如何进来以及内部的流量如何控制的问题,下面详细介绍三种技术的原理与应用。
软件定义边界(SDP)
软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。 之所以被称为黑云,和其预期达到的效果有关。SDP 可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。 当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问 根据云安全联盟的定义,SDP 的主要组件包括发起主机(客户端),接受主机(服务端)和 SDP 控制器,客户端和服务端都会连接到这些控制器。
SDP 的体系结构由三部分组成:SDP客户端、SDP控制器、SDP网关。SDP 客户端可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理。因此,在 SDP 中,控制平面与数据平面分离以实现完全可扩展的系统。此外,为便于扩展与保证正常使用,所有组件都可以是多个实例的。
SDP的安全优势:
1、SDP最小化攻击面降低安全风险;
2、SDP通过分离访问控制和数据信道,保护关键资产和基础架构,从而阻止潜在的基于网络的攻击;
3、SDP提供了整个集成的安全体系结构,这一体系结构是现有的安全设备难以实现的;
4、SDP提供了基于连接的安全架构,而不是基于IP的替代方案。因为整个IT环境爆炸式的增长,云环境中的边界缺失使得基于IP的安全性变得脆弱。
5、SDP允许预先审查控制所有连接,从哪些设备、哪些服务、哪些设施可以进行连接,所以它整个的安全性方面是比传统的架构是更有优势的。
在使用中,每个服务器都隐藏在远程访问网关设备后面,在授权服务可见且允许访问之前用户必须对其进行身份验证。 SDP 采用分类网络中使用的逻辑模型,并将该模型整合到标准工作流程中。
扩展知识点:
SPA(Single Packet Authorization)单包授权认证
SPA 是 SDP 技术的核心,SPA 作用于 SDP 客户端与 SDP 网关之间,以实现服务隐蔽功能,未经过身份验证的 SDP 客户端无法“看见”敏感资产。 SPA 会根据内置算法生成一个单数据包,在经过加密分组等等一些手段发送到 SDP 网关之上,若是这个数据包通过了 SDP 网关的验证,才会与 SDP 客户端建立连接。如果验证失败,SDP 网关会将该数据包丢弃,让终端无法确认访问目标是否存在。
在零信任产品中,SPA 是零信任客户端与零信任网关(物理网关或软件网关)建立连接的技术。
身份识别与访问管理(IAM)
Gartner 将IAM 定义为一种安全规则:“让对的人在对的时间以对的理由访问对的资源。”IAM 是一种IT 解决方案,使用身份这种唯一用户配置文件管理用户并将用户安全连接到 IT 资源,包括设备、应用、文件、网络等。每个用户都能配置一个唯一的身份,从而控制对WiFi和企业服务器等资源的访问,同时限制其访问工作内容以外的数字资产。
身份识别与管理是零信任最核心的部分,身份管理本身就是网络安全领域中的一个细分方向,用户系统中往往有不止一个身份管理系统,因此零信任系统要解决系统中多个身份管理系统的协同,实现“身份管理系统联邦”。IAM的身份管理不仅是人的身份管理,还包括设备、应用的身份管理;IAM产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何访问,访问后可以执行哪些操作。
IAM的核心主要几个方向:
- 认证:通过确认实体(包含人与设备等)的身份,建立信任,其中包括多因素认证等。
- 访问控制:确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。
- 身份治理:对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。
- 特权身份管理:是对管理员等权限较高的账户等进行进一步管理。
对身份认证相关协议的支持与各 IAM 系统的对接,技术难度不大,更多是工程工作量,更大的难度是在如何协调一个组织现有的多个 IT 系统中不同的身份管理系统,如何实现“身份管理系统联邦”。
身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险,身份管理为所有用户,应用程序和数据启用并保护数字身份。
扩展:基于IAM的用户业务接入方案
工作流程图如下:
用户访问视角的IAM业务处理流程:
1)用户访问业务系统,通过IAM认证中心多因素认证登录;
2)用户登录成功后,根据单点登录应用导航直接进行业务访问。
3)IAM和HR系统连接,同步用户信息。
微隔离(MSG)
微隔离是 Gartner在2015 年提出的概念,经历了软件定义的隔离(软件定义的分段,software-defined segmentation)、Micro Segmentation,也就是我们现在所熟知的微隔离(微分段),再到2020年的 ID-BASED SEGMENTATION,基于身份的隔离(基于身份的网络分段)。
微隔离是一种网络安全技术,微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开,限制用户横向移动,这就是微隔离。
在微隔离的架构中,不再存在内、外网的概念,而是将数据中心网络隔离成了很多微小的计算单元,这里简称节点。每个节点要访问其他节点的资源,都需要经过微隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。
节点可以是门户网站,可以是数据库、审计设备,甚至一个文件服务器,只要具备一定的数据处理能力的单元,都可以成为一个节点。他们不再因处于内网而被认为是“可信的”,所有节点都被逻辑隔离,节点之间的访问都是受控的。节点划分越细致,控制中心对整个数据中心网络的流量可视化就越清晰。
根据NIST给出的微隔离架构标准,可以简单绘出微隔离部署结构图:
微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。此外,微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。
微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。
当前微隔离方案主要有三种技术路线,分别是主机代理微隔离、云原生微隔离以及第三方对接(API)微隔离,其中主机代理(agent插件)微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。
以下是三种主流技术路线的详细介绍:
(1) 基于agent客户端实现微隔离。
这种模式需要每个服务器的操作系统上装一个agent。Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种模式就是NIST的用微隔离实现零信任的模式。
优势:与底层无关,支持容器,支持多云。
缺点:必须在每个服务器上安装agent客户端。会担心资源占用问题,担心影响现有业务。
(2)基于云原生能力实现微隔离。
使用云平台基础架构中虚拟化设备自身的防火墙功能来做访问控制。这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。
优点:隔离功能与基础架构都是云提供的,所以两者兼容性更好,操作界面也类似。
缺点:无法跨越多个云环境进行统一管控。
(3)基于第三方防火墙实现微隔离。
主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。
优势:网络人员很熟悉,有入侵检测、防病毒等功能。
但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。
扩展:如何检验微隔离的效果?
检验微隔离是否真正发挥效果,最直接的方式就是在攻防对抗中进行检验。企业可以模拟以下几个场景进行检验:
- 互联网一台主机被攻陷后,能够触达内部多大范围的主机和工作负载;
- 同一业务区域一台主机被攻陷后,能否攻陷该业务区域的其他主机和工作负载(所有工作负载都存在可以利用的漏洞);
- 某一业务区域一台主机被攻陷后,能否触达跟该业务区域有访问关系的其他业务区域的核心主机和工作负载;
- 内部一台主机被攻陷后,能够触达到域控主机以及能否攻陷域控主机(域控主机存在可以利用的漏洞);
- 内部一个容器工作负载被攻陷后,能够触达内部其他多少个容器工作负载;能否通过该容器渗透到宿主主机;
以上所有网络访问行为是否在微隔离系统中的策略智能管控平台上监测到,是否有明显报警标记。
传统的防火墙只能对纵向流量进行控制,而对于横向流量则无能为力,微隔离则很好的解决了这个问题,通过细粒度的网络隔离技术,可以跨物理网络自定义虚拟安全边界以及自定义基于角色的访问控制策略,防止攻击者入侵内部业务网络后的东西向移动。
其他技术
CSA GCR(云安全联盟大中华区)最早定义了零信任的三大核心技术:软件定义边界技术 SDP、身份管理技术 IAM、微隔离技术 MSG,缩写为:SIM,是在国内会议上解读 NIST SP800-207 时参考而来。但零信任思想发展至今,范围在不断扩大,除了身份识别与管理、授权管理、动态访问控制技术之外,终端安全评估与终端安全防护技术、安全分析与决策技术、沙箱技术、自动化响应与编排能力、国密标准支持、第三方产品与服务集成能力也越来越重要,零信任逐渐成为一种解决方案能力。
总结
IAM技术主要是回答网络中有哪些物理和逻辑的资源实体,以及这些资源之间彼此的访问关系授权。由于零信任技术的特点就是直接面向资源而不是面向网路的,因此就需要一个在全局生效的IAM体系,用以为SDP和微隔离技术提供策略基础。
SDP和微隔离技术的区别在于:SDP用以解决从数据中心外部(不再区分办公网和互联网)安全地访问数据中心的服务与数据的问题,SDP技术是用于实现南北向安全的(用户跟服务器间的安全);而微隔离技术则用于解决数据中心内部流量的识别与访问控制问题,微隔离实现了东西向安全的(服务器跟服务器间的安全)。这两个技术就把数据中心全部流量(南北向,东西向)都管理起来了。
零信任是一个全新的安全机制和构想,即所有资产都必须先经过身份验证和授权,然后才能启动与另一资产的通信。