当前位置:   article > 正文

NIST零信任详解_nist零信任架构

nist零信任架构

1、零信任背景

传统的网络安全架构理念是基于边界的安全架构,把网络划分为外网、内网、DMZ区等不同的安全区域,通过在网络区域边界部署防护设备从而达到保护内网资产的效果。

随着典型企业的IT基础设施变得越来越复杂。⼀个企业可能会运营多个内部网络,拥有本地基础设施的分支机构,远程办公接入、BYOD设备以及云上的服务等。这种复杂性已经超过了基于边界的网络安全的传统方法,因为企业没有单⼀的、易于识别的边界。基于边界的网络安全也已被证明是不够的,因为⼀旦攻击者突破边界,进⼀步的横向移动将不受阻碍。

这个复杂的企业导致了⼀种新的网络安全理念及模型的出现,即“零信任”(ZT)。零信任架构(ZTA)是⼀种基于零信任原则的企业网络安全架构,旨在防⽌数据泄露和限制内部横向移动攻击。

2、零信任的发展

2004年

零信任的最早雏形源于2004年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。

2010年

最早提出零信任一词的是咨询机构Forrester的分析员约翰·金德维格(JohnKindervag)。

他提到了三个核心观点:

  • 不再以一个清晰的边界来划分信任或不信任的设备

  • 不再有信任或不信任的网络

  • 不再有信任或不信任的用户

2013年

2013年CAS成立软件定义边界SDP工作组,次年发布SDP标准规范;

2014年

GoogleBeyondCorp的研究成果并陆续发布6篇相关论文,介绍零信任落地实践;

设计理念如下:

  • 所有网络都不可信;

  • 以合法用户、受控设备访问为主;

  • 所有服务访问都要进行身份验证、授权加密处理。

2017年

Gartner在安全与风险管理峰会上发布持续自适应风险与信任评估(ContinuousAdaptiveRiskandTrustAssessment,CARTA)模型,并提出零信任是实现CARTA宏图的初始步骤,后续两年又发布了零信任网络访问(Zero-
TrustNetworkAccess,ZTNA)。

2018年

Forrester提出ZTX架构,将能力从为隔离扩展到可视化、分析、自动化编排;

2020年

NIST发布的《SP800-207:ZeroTrustArchitecture》标准对零信任架构ZTA的定义如下:利用零信任的企业网络安全规划,包括概念、思路和组件关系的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。该标准强调零信任架构中的众多组件并不是新的技术或产品,而是按照零信任理念形成的一个面向用户、设备和应用的完整安全解决方案。

3、为什么零信任很重要

随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。

  • 访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。

  • 业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。

  • 资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。

零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。

4、零信任基础

零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。

零信任和零信任架构的操作定义:

零信任(ZT)提供了⼀系列概念和想法,旨在最⼤限度地减少在⾯对被视为受损的⽹络时在信息系统和服务中执⾏准确、最⼩权限的每个请求访问决策的不确定性。零信任架构(ZTA)是企业的⽹络安全计划,它利⽤零信任概念并包含组件关系、⼯作流规划和访问策略。

4.1 零信任原则

  1. 所有数据源和计算服务都被视为资源。
  2. 无论网络位置如何,所有通信都是安全的。网络位置并不意味着隐式信任,所有通信应以最安全的方式进行,保证机密性和完整性。
  3. 对企业资源的访问授权是基于每个连接的。
  4. 对资源的访问权限由动态策略(包括客户身份、应用和请求资产的可观测状态)决定,也可能包括其他属性。
  5. 由于没有任何设备本身是值得信赖的,企业应该监控并且测量资产以确保资产保持在尽可能安全的状态。
  6. 所有资源身份验证和授权都是动态的,并且在资源范围跟被允许之前严格强制实施。
  7. 该企业收集尽可能多的关于网络基础设施和通信的当前状态的信息,并将其应用于改善网络安全态势。

4.2 零信任视角的网络

对于在网络规划和部署中使用ZTA的任何组织,都有一些关于网络连接性的基本假设。

  1. 整个企业转往不被视为隐式信任区。
  2. 网络上的设备可能不归企业所有或不可配置。(非企业设备:访客电脑、员工手机等)
  3. 没有资源是天生可信的。
  4. 并非所有的企业资源都在企业拥有的基础设施上。
  5. 远程企业主体不能信任本地网络连接。
  6. 在企业和非企业基础设施之间移动的资产和工作流应具有一致的安全策略和态势。

5、零信任架构

5.1 零信任体系架构的逻辑组件

概念框架模型显示了组件及其相互作用的基本关系,ZTA逻辑组件使用单独的控制平面进行通信,而应用数据则在数据平面进行通信;

1673575782_63c0bd66529dafffd8b84.jpg!small?1673575782574

  • 策略引擎(Policy Engine): 该组件负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源(例如IP黑名单,威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问,策略引擎的核心作用是信任评估。
  • 策略管理器(Policy Administrator): 组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关并依赖于其决定最终允许或拒绝连接,策略管理器的核心作用是策略判定点,是零信任动态权限的判定组件。
  • 策略执行点(Policy Enforcement Point): 这实际上是一个组件系统,负责开始,持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件:客户端组件(如用户笔记本电脑上的agent)与资源端组件(如资源前控制访问的网关),策略执行点的核心作用是确保业务的安全访问。除了以上核心组件外,还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源,具体包括: 持续诊断和缓解计划系统(CDM System): 该系统收集关于企业系统当前状态的信息,并将更新应用到配置和软件组件中。企业CDM系统还提供给策略引擎关于系统访问请求的信息。 行业合规系统(Industry Compliance System): 该系统确保企业与当前政府管理的一致性。包括企业开发的所有策略规则来确保合规。 威胁情报流(Threat Intelligence): 该系统提供帮助策略引擎进行访问决策的信息。 数据访问策略(Data Access Policy): 数据访问策略是企业为企业资源创建的关于数据访问的属性、规则和策略的集合。策略规则集可以编码在策略引擎中或有PE动态生成。 企业公钥基础设施(PKI): 该系统负责生成和记录企业对资源、应用等发布的证书。既包括全局CA生态系统和联邦PKI。 ID管理系统(ID Management): 系统负责创建、保存和管理企业用户帐户和身份记录。系统中既含有必要的用户信息,也含有其他企业特征,比如角色、访问属性、或分配的系统。 安全应急和事件管理系统(SIEM System): 该系统收集以安全为核心、可用于后续分析的信息,比如:系统安全日志。这些数据可被用于优化策略并预警可能对企业系统进行的主动攻击。

5.2 抽象架构常见部署方案

5.2.1 基于设备代理/网关的部署

在设备安装agent代理程序,用于创建和管理连接,并且每个资源都有一个组件(即网关)放置在最前面,以便资源仅能与网关进行通信,通过代理将流量引导到策略执行点(PEP)以便对请求进行评估;

1673575808_63c0bd80b66630e9848e7.jpg!small?1673575809215

通过认证流程进行理解,一个用户希望通过企业分配的电脑连接到企业数据资源,该访问请求由本地代理程序接收,然后将请求发送给策略管理器(PA),PA将请求转发到策略引擎(PE)进行评估,如果请求被授权,则PA通过控制平面配置代理与对应资源网关之间的连接通道,从而访问资源,当工作完成或超时、无法重新认证时,由PA触发终止Agent和Gateway之间的连接;

5.2.2 基于飞地的部署

该模型是代理/网关模型的变体,可用于基于云上微服务的业务流程,在该模型中整个私有云位于网关后;

1673575817_63c0bd89bcec76c1858d0.jpg!small?1673575818008

在该模型中,创建连接的过程和代理/网关模型一致;

5.2.3 基于资源门户的部署

在此模型中,PEP是充当用户请求网关的唯一组件,通过网关门户连接到数据资源;

1673575825_63c0bd91ade0c020ceea8.jpg!small?1673575825871

该模型在客户端设备上无需安装Agent代理程序,也代表着来着访问请求设备得信息也会非常有限,此模型只能在资产和设备连接到PEP门户时进行一次校验分析,无法持续进行监控,并且允许攻击者发现并尝试访问门户,具有DOS风险。

5.2.4 设备应用沙箱

将应用程序或进程在资产设备上的隔离区(虚拟机、容器或者其他方式)运行,保护在设备上运行的应用程序。

1673575840_63c0bda01d6fd39ac9ad0.jpg!small?1673575840295

用户在沙箱中运行已批准和审查过的应用程序,该应用程序可以与PEP通信以请求访问资源,其他未批准应用程序将会被拒绝;

此模型的主要优点是,单个的应用程序和该设备上的其他应用程序隔离。即使无法扫描设备资产上的漏洞,这些独立运行在沙盒的程序也能免受主机上潜在的恶意软件感染,缺点是运维需要大量成本。

6、PEP中的信任算法(TA)

TA 是策略引擎PE 用来最终授予或拒绝对资源的访问的进程。策略引擎 PE
接受来自多个源的数据输入:用户信息、用户属性和角色、用户历史行为模式、威胁情报源和其他元数据源的策略数据库,通过获取的数据基于算法模型对用户请求进行评估,判断是否允许访问或者进行二次验证。

6.1 信任算法的常见实现方式

基于条件与基于分值 :基于条件的信任算法 TA
假设在授予对资源的访问或允许操作(例如读/写)之前必须满足一组合格属性,只有在满足所有条件时,才授予对资源的访问权或对资源应用操作。

简单说,通过对用户过去的行为以及用户是否绑定电话、终端是否注册等信息进行信任评估得出一个分数,对应的分数对应相应的规则,60分以下拒绝访问应用资源,60-80分之间进行短信二次验证,并且分数会根据用户行为动态评估变化;

独立与基于上下文
:基于上下文的信任算法TA在评估访问请求时考虑用户或网络代理的最近历史记录,当攻击者使用被盗的凭据以一种被PE感知到的不同平常的模式访问信息时,攻击能被检测到。对于用户行为的分析可用于建模出可被系统接受的用户使用方式,与此行为的偏差可能会触发额外的身份验证或者资源请求拒绝。

总结

以上为本人近期零信任学习记录,不喜勿喷,内容主要来自于《NIST零信任架构(正式版)》以及《NIST.SP.800-207》,文中还有很多内容没有进行记录比如:与零信任架构相关威胁以及零信任架构实施等,感兴趣的读者可以在CSA的官网找找资料。

行为的偏差可能会触发额外的身份验证或者资源请求拒绝。

总结

以上为本人近期零信任学习记录,不喜勿喷,内容主要来自于《NIST零信任架构(正式版)》以及《NIST.SP.800-207》,文中还有很多内容没有进行记录比如:与零信任架构相关威胁以及零信任架构实施等,感兴趣的读者可以在CSA的官网找找资料。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/神奇cpp/article/detail/854378
推荐阅读
相关标签