隨著“云大物移”的不斷興起�����,企業(yè)IT架構(gòu)正在從“有邊界”向“無(wú)邊界”轉(zhuǎn)變,傳統(tǒng)的安全邊界逐漸瓦解�。而以5G�、工業(yè)互聯(lián)網(wǎng)為代表的新基建的不斷推進(jìn)�����,更進(jìn)一步加速了“無(wú)邊界”的進(jìn)化過(guò)程��。與此同時(shí)���,零信任安全逐漸進(jìn)入人們的視野��,成為解決新時(shí)代網(wǎng)絡(luò)安全的新理念、新架構(gòu)��、新解決方案��。
01零信任概念
零信任(Zero Trust�,ZT),顧名思義就是“永不信任����、持續(xù)驗(yàn)證”。NIST對(duì)零信任的定義是:零信任體系結(jié)構(gòu)(ZTA)提供了一系列的概念�、思想和組件關(guān)系,旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精確訪問(wèn)決策時(shí)的不確定性����。
核心概念:所有流量都不可信�;不以位置作為安全依據(jù)���,為所有訪問(wèn)采取安全措施���;采用最小授權(quán)策略和嚴(yán)格訪問(wèn)控制;所有流量都需要進(jìn)行可視化和分析檢查���。
訪問(wèn)控制技術(shù)是信息系統(tǒng)安全的核心技術(shù)之一��。訪問(wèn)控制是通過(guò)某種途徑顯示準(zhǔn)許或限制主體對(duì)客體訪問(wèn)能力范圍的一種方法���,它是針對(duì)越權(quán)使用系統(tǒng)資源的防御措施,通過(guò)顯示訪問(wèn)受保護(hù)資源�,防止非法用戶(hù)的入侵或因?yàn)楹戏ㄓ脩?hù)不慎操作所造成的破壞,從而保證系統(tǒng)資源受控地�、合法地使用。
訪問(wèn)控制模型是從訪問(wèn)控制技術(shù)的角度出發(fā)���,定義了主體���、客體及主體對(duì)客體的訪問(wèn)規(guī)劃���,從抽象的層次來(lái)描述訪問(wèn)控制約束的概念性框架,建立安全模型以適應(yīng)各種各樣的實(shí)現(xiàn)方式和應(yīng)用環(huán)境����。建立規(guī)范的訪問(wèn)控制模型是實(shí)現(xiàn)嚴(yán)格訪問(wèn)控制約束的基礎(chǔ)��。
在零信任網(wǎng)絡(luò)架構(gòu)下���,要求系統(tǒng)要能夠在網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的情況下,仍然有效的降低和限制異常用戶(hù)的訪問(wèn)行為���。那么��,應(yīng)該如何設(shè)計(jì)零信任架構(gòu)的訪問(wèn)控制模型呢�?
02訪問(wèn)控制的發(fā)展路線
訪問(wèn)控制技術(shù)興起于20世紀(jì)70年代���,最初是為了解決大型主機(jī)上共享數(shù)據(jù)授權(quán)訪問(wèn)的管理問(wèn)題��。經(jīng)過(guò)四十多年的蓬勃發(fā)展���,訪問(wèn)控制技術(shù)應(yīng)用領(lǐng)域逐漸擴(kuò)大,具有代表性的模型不斷涌現(xiàn)�,如早期的自主訪問(wèn)控制(DAC)和強(qiáng)制訪問(wèn)控制模型(MAC);中期基于角色的訪問(wèn)控制(RBAC)�;“域”概念引入推動(dòng)了基于任務(wù)的訪問(wèn)控制模型(TBAC);在云計(jì)算�����、大數(shù)據(jù)等計(jì)算模式還促進(jìn)了新型的基于屬性的訪問(wèn)控制模型(ABAC)等��。
1.1早期的訪問(wèn)控制模型
(1)自主訪問(wèn)控制(DAC���,Discretionary Access Control)
DAC模型是通過(guò)建立客體關(guān)聯(lián)表,主要是訪問(wèn)控制列表的形式將主體和客體的關(guān)聯(lián)性在表中組織起來(lái)���。其自主性主要體現(xiàn)在系統(tǒng)中的主體可以將其擁有的權(quán)限授權(quán)給其他主體而不需要經(jīng)過(guò)系統(tǒng)安全員的允許�����。即用戶(hù)有權(quán)對(duì)自身所創(chuàng)建的訪問(wèn)對(duì)象(服務(wù)器��、目錄�����、文件��、數(shù)據(jù)等)進(jìn)行訪問(wèn)�����,并可將對(duì)這些對(duì)象的訪問(wèn)權(quán)授予其他用戶(hù)���、系統(tǒng)和從授予權(quán)限的用戶(hù)�、系統(tǒng)收回器訪問(wèn)權(quán)限�。
DAC模型的優(yōu)點(diǎn)是比較靈活,易于實(shí)現(xiàn)��。其缺點(diǎn)是資源管理比較分散,主體間的關(guān)系不能在系統(tǒng)中明顯的體現(xiàn)出來(lái)��;最為嚴(yán)重的是主體可以自主地將權(quán)限授予其他主體��,這樣可能會(huì)造成權(quán)限傳遞失控�,易遭受攻擊,從而導(dǎo)致信息的泄漏��。另外���,如果主體���、客體數(shù)量過(guò)于龐大,DAC模型將帶來(lái)極大的系統(tǒng)開(kāi)銷(xiāo)����,因此很少被應(yīng)用于大型系統(tǒng)中。
(2)強(qiáng)制訪問(wèn)控制(MAC�����,Mandatory Access Control)
MAC是美國(guó)政府和軍方源于對(duì)信息機(jī)密性的要求以及防止木馬攻擊而研發(fā)����,其基本思想是依據(jù)主體和客體的安全屬性的級(jí)別來(lái)決定主體是否擁有對(duì)客體的訪問(wèn)權(quán)限,主要用于多層次安全級(jí)別的軍事系統(tǒng)中���。
在強(qiáng)制訪問(wèn)控制機(jī)制下��,系統(tǒng)內(nèi)的每個(gè)用戶(hù)或主體被賦予一個(gè)安全屬性來(lái)表示能夠訪問(wèn)客體的敏感程度�����,同樣系統(tǒng)內(nèi)的每個(gè)客體也被賦予一個(gè)安全屬性���,以反映其本身的敏感程度。系統(tǒng)通過(guò)比較主體和客體相應(yīng)的安全屬性的級(jí)別來(lái)決定是否授予一個(gè)主體對(duì)客體的訪問(wèn)請(qǐng)求�����。安全屬性由系統(tǒng)策略管理員分配���,具有強(qiáng)制性��,用戶(hù)或用戶(hù)進(jìn)程不能改變自身或其它主����、客體的安全屬性���。
MAC模型的優(yōu)點(diǎn)是較高的安全性���,可以通過(guò)信息的單向流動(dòng)來(lái)防止機(jī)密信息的泄漏���,以此抵御攻擊;同時(shí)��,由于用戶(hù)不能改變自身或其他客體的屬性�����,MAC可以防止用戶(hù)濫用職權(quán)���。其缺點(diǎn)是靈活性較低���,權(quán)限不能動(dòng)態(tài)變化,授權(quán)管理較為困難��,對(duì)用戶(hù)惡意泄漏信息無(wú)能為力�����。
1.2中期的訪問(wèn)控制模型
(1)基于角色的訪問(wèn)控制(RBAC��,Role-Based Access Control)
為了解決DAC和MAC將權(quán)限直接分配給主體,造成管理困難的缺陷����。在訪問(wèn)控制模型中引入了“角色”的概念����,即RBAC。所謂角色����,就是一個(gè)或一群用戶(hù)在組織內(nèi)可進(jìn)行的操作的集合。RBAC通過(guò)引入角色這一中介���,對(duì)角色權(quán)限的更改將自動(dòng)更新?lián)碛性摻巧拿總€(gè)用戶(hù)的權(quán)限���。如果用戶(hù)改變了角色,其權(quán)限也隨之改變��。
RBAC模型的優(yōu)點(diǎn)是通過(guò)引入“角色”的概念����,實(shí)現(xiàn)了用戶(hù)和權(quán)限的邏輯分離,從而大大簡(jiǎn)化了授權(quán)管理��,也使其接近日常的組織管理規(guī)則,能夠?qū)崿F(xiàn)最小權(quán)限原則�����,實(shí)用性強(qiáng)��。其缺點(diǎn)是由于一個(gè)用戶(hù)可以同時(shí)激活多個(gè)角色��,約束顆粒較大�����,易造成用戶(hù)權(quán)限過(guò)大帶來(lái)的安全隱患���,主客體之間聯(lián)系較弱���,可擴(kuò)展性不強(qiáng),難以適用于分布式系統(tǒng)中�。
(2)基于對(duì)象的訪問(wèn)控制(OBAC,Object-Based Access Control)
OBAC從信息系統(tǒng)的數(shù)據(jù)差異變化和用戶(hù)需求出發(fā)��,有效地解決了信息數(shù)據(jù)量大���、數(shù)據(jù)種類(lèi)繁多���、數(shù)據(jù)更新變化頻繁的大型管理信息系統(tǒng)的安全管理��。OBAC從受控對(duì)象的角度出發(fā)���,將訪問(wèn)主體的訪問(wèn)權(quán)限直接與受控對(duì)象相關(guān)聯(lián),一方面定義對(duì)象的訪問(wèn)控制列表���,增、刪�、修改訪問(wèn)控制項(xiàng)易于操作,另一方面�,當(dāng)受控對(duì)象的屬性發(fā)生變化,或者受控對(duì)象發(fā)生繼承和派生行為時(shí)����,無(wú)須更新訪問(wèn)主體權(quán)限,只需要修改受控對(duì)象的相應(yīng)訪問(wèn)控制項(xiàng)即可��,從而減少了訪問(wèn)主體的權(quán)限管理��,降低了授權(quán)數(shù)據(jù)管理的復(fù)雜性�。
(3)基于任務(wù)的訪問(wèn)控制(TBAC,Task-Based Access Control)
訪問(wèn)權(quán)限與任務(wù)結(jié)合���,每個(gè)任務(wù)的執(zhí)行都被看做是主體使用相關(guān)訪問(wèn)權(quán)限訪問(wèn)客體的過(guò)程�。在任務(wù)執(zhí)行過(guò)程中,權(quán)限被消耗��,當(dāng)權(quán)限用完時(shí)�,主體就不能再訪問(wèn)客體了。
系統(tǒng)授予給用戶(hù)的訪問(wèn)權(quán)限��,不僅僅與主體���、客體有關(guān)�,還與主體當(dāng)前執(zhí)行的任務(wù)���、任務(wù)的狀態(tài)有關(guān)��?����?腕w的訪問(wèn)控制權(quán)限并不靜止不變的���,而是隨著執(zhí)行任務(wù)的上下文環(huán)境的變化而變化。
1.3新型訪問(wèn)控制模型
(1)基于屬性的訪問(wèn)控制(ABAC,Attribute-Based Access Control)
ABAC是一種細(xì)粒度的訪問(wèn)管理方法�,其中,基于已分配給用戶(hù)�、操作、資源或環(huán)境的已定義規(guī)則�,決定批準(zhǔn)或拒絕對(duì)特定信息的訪問(wèn)請(qǐng)求。
針對(duì)復(fù)雜信息系統(tǒng)中細(xì)粒度訪問(wèn)控制和大規(guī)模用戶(hù)動(dòng)態(tài)擴(kuò)展問(wèn)題��,將實(shí)體屬性(組)的概念貫穿于訪問(wèn)控制策略���、模型和實(shí)現(xiàn)機(jī)制三個(gè)層次����,通過(guò)主體�����、客體���、權(quán)限和環(huán)境屬性的統(tǒng)一建模,描述授權(quán)和訪問(wèn)控制約束�����,使其具有足夠的靈活性和可擴(kuò)展性。
ABAC模型的優(yōu)點(diǎn)是框架式的���,可與其他訪問(wèn)控制模型結(jié)合(如RBAC)���;缺點(diǎn)是所有要素均需要以屬性形式進(jìn)行描述,一些關(guān)系用基本的屬性不易描述��。
(2)基于策略的訪問(wèn)控制(PBAC����,Policy-Based Access Control)
PBAC是一種將角色和屬性與邏輯結(jié)合以創(chuàng)建靈活的動(dòng)態(tài)控制策略的方法。與ABAC一樣���,它使用許多屬性來(lái)確定訪問(wèn)權(quán)限��。它支持環(huán)境和上下文控制����,因此可以設(shè)置策略以在特定時(shí)間和特定位置授予對(duì)資源的訪問(wèn)權(quán)��,甚至評(píng)估身份和資源之間的關(guān)系��??梢钥焖僬{(diào)整政策,并為給定的時(shí)間段設(shè)置政策(例如,應(yīng)對(duì)違規(guī)或其他緊急情況)��?��?梢暂p松地添加�、刪除或修改用戶(hù)組�,并通過(guò)單擊撤消過(guò)時(shí)的權(quán)限。PlainID公司的Policy Manager提供了PBAC的支持�。
(3)下一代訪問(wèn)控制(NGAC,Next Generation Access Control)
下一代訪問(wèn)控制(NGAC)是對(duì)傳統(tǒng)訪問(wèn)控制的重新發(fā)明�,以適應(yīng)現(xiàn)代、分布式��、互聯(lián)企業(yè)的需求����。NGAC的設(shè)計(jì)是可擴(kuò)展的��,支持廣泛的訪問(wèn)控制策略���,同時(shí)執(zhí)行不同類(lèi)型的策略��,為不同類(lèi)型的資源提供訪問(wèn)控制服務(wù)��,并在面對(duì)變化時(shí)保持可管理���。NGAC遵循一種基于屬性的構(gòu)造����,其中特征或?qū)傩杂糜诳刂茖?duì)資源的訪問(wèn)���,并描述和管理策略�。
該標(biāo)準(zhǔn)規(guī)定了NGAC框架的體系結(jié)構(gòu)����、安全模型和接口,以確保其在不同類(lèi)型的實(shí)現(xiàn)環(huán)境中在一系列可伸縮性級(jí)別上實(shí)現(xiàn)���,并獲得必要級(jí)別的內(nèi)聚和功能����,以在系統(tǒng)級(jí)別上正確有效地操作�����。
03零信任訪問(wèn)控制模型的思考
在零信任的訪問(wèn)控制模型中�,要求在沒(méi)有傳統(tǒng)邊界的動(dòng)態(tài)世界中實(shí)現(xiàn)一致的策略����。我們絕大多數(shù)人都在混合環(huán)境中工作��,數(shù)據(jù)從公司服務(wù)器或云端流向辦公室���、家里���、酒店、車(chē)中��,以及提供開(kāi)放WIFI熱點(diǎn)的咖啡館���。
另外���,隨著用戶(hù)設(shè)備類(lèi)型、數(shù)量的激增��,也增加了數(shù)據(jù)暴露的風(fēng)險(xiǎn)�����,比如PC����、筆記本電腦、智能手機(jī)��、平板電腦和其他物聯(lián)網(wǎng)設(shè)備�����。設(shè)備的多樣性讓創(chuàng)建和保持訪問(wèn)策略一致性成為了非常困難的事情���。
過(guò)去����,訪問(wèn)控制的方法是靜態(tài)的����,采用DAC、MAC��、RBAC就可以很好的解決訪問(wèn)控制的問(wèn)題����。如今,網(wǎng)絡(luò)訪問(wèn)必須是動(dòng)態(tài)的和流動(dòng)的����,要支持基于身份和基于應(yīng)用的動(dòng)態(tài)的訪問(wèn)控制���。
高級(jí)訪問(wèn)控制策略應(yīng)可動(dòng)態(tài)調(diào)整,以響應(yīng)不斷進(jìn)化的風(fēng)險(xiǎn)因素���,使已被入侵的公司或組織能夠隔離相關(guān)員工和數(shù)據(jù)資源以控制傷害���。訪問(wèn)控制規(guī)則必須依據(jù)風(fēng)險(xiǎn)因素而改變,也就是說(shuō)�����,公司企業(yè)應(yīng)在現(xiàn)有網(wǎng)絡(luò)及安全配置的基礎(chǔ)上��,部署運(yùn)用人工智能(AI)和機(jī)器學(xué)習(xí)的安全分析層�����。實(shí)時(shí)識(shí)別威脅并自動(dòng)化調(diào)整訪問(wèn)控制規(guī)則是零信任訪問(wèn)控制模型的主要實(shí)現(xiàn)目標(biāo)��。
因此��,零信任訪問(wèn)控制模型不應(yīng)局限于某種訪問(wèn)控制模型��,而應(yīng)根據(jù)所處理數(shù)據(jù)的類(lèi)型及敏感程度���,確定采用那種訪問(wèn)控制模型���,無(wú)論是舊有的自主訪問(wèn)控制(DAC)和強(qiáng)制訪問(wèn)控制(MAC)、現(xiàn)今最常用的基于角色的控制模型(RBAC)��、最新的基于屬性的訪問(wèn)控制模型(ABAC)�,單獨(dú)都無(wú)法滿(mǎn)足零信任安全的所有場(chǎng)景,只有協(xié)同使用多種技術(shù)才可以達(dá)成所需訪問(wèn)控制的等級(jí)和需求�����。
04任子行智行零信任訪問(wèn)控制系統(tǒng)
任子行智行零信任解決方案以身份為基石����,遵循“網(wǎng)絡(luò)無(wú)特權(quán)化、信任最小化���、權(quán)限動(dòng)態(tài)化”原則�,采用軟件定義邊界技術(shù)���,強(qiáng)化身份治理與訪問(wèn)控制����,充分利用態(tài)勢(shì)感知、流量分析��、資產(chǎn)監(jiān)測(cè)��、行為畫(huà)像�,并結(jié)合應(yīng)用隱身和終端準(zhǔn)入與管控,持續(xù)���、動(dòng)態(tài)的構(gòu)建企業(yè)核心資產(chǎn)的安全防護(hù)壁壘��。
公安備案號(hào):44030502000376