🚣🏿 👴🏿 💃 零信任安全体系结构实施：第二版 🏙️ 🙏🏿 🔂

来源

2020年初，美国国家标准技术研究院（NIST）发布了该文档第二版的草案，该草案探讨了零置信架构（零信任架构，ZTA）的基本逻辑组成部分。

零信任是指基于“不信任任何人”的原则的一组不断发展的网络安全范式。与传统方法更加关注边界保护不同，“零信任”模型侧重于资源的安全性，而不是企业网络的网段。

今天，我们将研究建立在零信任架构基础上的网络安全增强模型，评估其使用风险并熟悉一些流行的部署方案。

零信任：开始

NIST ZTA第一个项目出现在2019年9月，尽管在所谓的“零信任”这一术语出现很久之前，网络安全中就已经存在零信任的概念。

美国国防信息系统局（DISA）和美国国防部于2007 年发表了有关该公司安全策略的论文。这种称为“黑芯”的策略可实现从基于边界的安全模型到专注于单个交易安全性的模型的过渡。

在2010年，Forrester Research的首席分析师John Kinderwag，制定（基于边界保护策略，在控制的全部信息免受安全），其变化的威胁感知的焦点各种解决方案，制定术语“零置信度”。

零信任模型是试图解决经典问题的一种方法，当侵入网络的入侵者可以访问其所有组件。可以说，根据Microsoft漏洞报告，可以消除或至少减轻88％的严重漏洞的影响，从而剥夺用户的管理员权限。

受边界保护的公司网络为经过身份验证的用户提供了对各种资源的授权访问。结果，未经授权的网络内部横向移动已成为最严重的网络安全问题之一。

零信任模型

要部署零信任模型，您必须分发最低访问权限，并最大化数据包的详细信息。在零信任的模型中，您定义了一个“保护空间”，该空间由最重要和最有价值的数据和资源组成，并根据它们与受保护资源之间的关系来确定整个组织中的流量路由。

一旦对资源，基础架构和服务之间的联系有了了解，就有可能在企业网络的分段级别创建微边界-防火墙。同时，可以远程通过微边界的用户位于世界任何地方，并使用各种设备和数据。

零信任架构的一个显着特征是在提供对每个公司资源的访问权限之前，非常重视身份验证和授权。同时，需要最小化认证机制中的时间延迟。

该图显示了ZTA中的抽象访问模型。

在模型中，用户（或设备）需要通过“检查点”访问公司资源。用户将检查通过基于安全策略的访问决策点（策略决策点，PDP）和策略实施点（策略执行点，PEP），后者负责调用PDP并正确处理响应。

想法是使策略的应用点尽可能地靠近应用程序。PDP / PEP无法在流量流中超出其位置的位置应用其他策略。

零信任原则

这是ZT和ZTA（缩写形式）的七个基本原理，在构建安全系统时应予以考虑。这些原则是“理想目标”，但并非每种情况下都能全部实现。

所有数据和服务源均视为资源。网络可能由不同类别的几个设备组成。如果个人设备可以访问公司拥有的数据和服务，则该公司有权将其归类为资源。
. . , (, ), , , . , .
. .
, , (, ). — , , , .
, , . « » , , .
. , , . , , ZTA, , , .
, , , .

在这里，为方便起见，这不是原始的NIST图，而是Cisco 文章 “做出有意的网络安全生活方式的选择”

中的版本。企业中的零信任体系结构由许多逻辑组件组成。这些组件可以作为本地服务或通过云工作。上图显示了“理想模型”，展示了逻辑组件及其相互作用。

有关公司资源，有关用户，有关数据流以及有关工作流程的信息与规则策略的集成，构成了做出有关资源访问决策的必要输入。

当用户（主体）启动身份验证过程时，将围绕他建立数字标识。在图中，此过程从“主题”块中呈现。此类用户的另一个术语是委托人，即允许进行身份验证的客户端。

上面显示的网络图分为几个流量级别。控制级别（控制平面）与用户可能可见的网络的另一部分分开。从委托人的角度来看，只有该网络的数据层。

控制平面容纳了访问决策点（PDP），该访问决策点由两个逻辑组件组成：

Policy Engine (PE), . , (, ) , ;
Policy Administrator (PA), / . Policy Enforcement Point (PEP), (Data Plane).

PEP负责启用，监视，调用PDP并正确处理其响应，并最终负责断开主题与公司资源之间的连接。在PEP外部，有一个隐式信任区，公司资源位于该信任区中。

所有其他字段（图中的左侧和右侧）显示了安全组件，这些组件可以提供做出有关访问PDP / PEP的决定所需的信息。其中包括例如连续诊断和监视系统（CDM），该系统收集有关企业资产当前状态的信息。

识别和微细分

在开发ZTA时，参与者的身份被用作创建访问策略的关键组成部分。身份是指网络上的身份验证属性和用户属性，即可以验证以确保访问合法性的数据。

企业身份管理的最终目标是将每个网络用户的显示限制为他们有权使用的资源。

企业可以使用下一代防火墙（NGFW）设备保护其自己网段中的资源），将它们用作策略执行点。NGFW动态提供对客户端单个请求的访问。该方法适用于各种用例和部署模型，因为保护设备充当PEP，并且这些设备的管理是PE / PA的组成部分。覆盖网络

也可以用于实现ZTA 。这种方法有时称为软件定义的外围（SDP）模型，通常包含来自软件定义的网络（SDN）的概念。在此，策略管理器充当网络控制器，根据策略引擎做出的决定来安装和重新配置网络。

关键部署方案

最常见的ZTA部署方案涉及具有总部和通过第三方非企业网络通道彼此连接的几个地理位置分布的企业。

在此方案中，远程工作人员仍然需要完全访问公司资源，并且PE / PA块通常被部署为云服务。

随着企业转向更多的云应用程序和服务，零信任方法要求PEP必须位于每个应用程序和数据源的访问点。PE和PA可以位于云中，甚至可以位于第三个云提供商（云提供商A和云提供商B之外）。

另一个常见的情况是企业的访客和/或承包商需要有限的公司资源访问权限。在此示例中，组织还具有会议中心，访客可在此与员工互动。

使用ZTA软件定义的保护方法，访问者可以访问Internet，但不能访问公司资源。有时，他们甚至没有能力通过网络扫描发现公司服务。

在这里，PE和PA可以作为云服务或本地网络托管。PA保证所有非公司所有的资产都可以访问Internet，但不能访问本地资源。

零信任实施的七个风险

决策影响

在ZTA中，策略引擎和策略管理器组件是整个企业的关键。任何有权访问PE规则设置的管理员都可以进行未经授权的更改或犯错误，从而破坏操作。受损的PA可能会提供对所有受保护资源的访问。为了降低风险，必须正确配置和测试PE和PA组件。

拒绝服务

PA是访问资源的关键组件-未经许可，无法建立连接。如果由于DoS攻击或流量拦截而导致攻击者违反或拒绝对PEP或PA的访问，则可能对企业的运营产生不利影响。企业可以通过将PA放在云中或在多个位置复制PA来减轻威胁。

凭证被盗

攻击者可以使用网络钓鱼，社交工程或攻击的组合来获取有价值帐户的凭据。实施多因素身份验证可以降低从受感染帐户访问的风险。

网络可见性

企业网络中的部分流量（可能更大）对于传统的网络分析工具可能不是透明的。这并不意味着企业无法分析加密的流量-您可以收集元数据并将其用于检测可疑活动。机器学习方法可让您深入研究流量。

网络信息存储

用于构建上下文策略的网络流量和元数据可能是黑客攻击的目标。如果攻击者可以访问流量信息，则可以了解网络体系结构并确定进一步攻击的媒介。

攻击者的另一种情报来源是用于对访问策略进行编码的管理工具。像存储的流量一样，此组件包含资源访问策略，并且可以显示哪些帐户最有价值。

依赖专有数据格式

ZTA使用几种不同的数据源来制定访问决策。通常，用于存储和处理此信息的资源没有通用的开放互操作性标准。如果一个提供程序有问题或违反安全性，则该公司有时没有机会在没有过多成本的情况下转换到另一个提供程序。

像DoS攻击一样，这种风险并非ZTA独有，但由于ZTA高度依赖于动态的信息访问，因此违规会影响关键的业务功能。为降低风险，企业应综合评估服务提供商。

非人实体（NPE）对管理组件的访问

神经网络和其他软件代理用于管理公司网络中的安全问题，并且可以与关键的ZTA组件（例如，策略引擎和策略管理员）进行交互。使用ZTA的企业中的NPE身份验证问题仍然存在。假定大多数自动化技术系统仍将使用某种身份验证方法来访问API（例如，API密钥代码）。

使用自动化技术配置和应用策略时，最大的风险是错误肯定反应（误认为是无害操作的攻击）和错误否定反应（误认为是正常活动的攻击）的可能性。可以通过定期分析反应来减少其数量。

结论

今天的ZTA看起来更像是一座可靠的堡垒地图，而不是带有旅行要点的地图。但是，许多组织的公司基础结构中已经包含ZTA元素。根据NIST，组织应努力逐步引入零信任原则。长期以来，大多数企业基础结构将以零信任/周长的混合模式运行。

要进一步探讨应用“零信任”概念的主题，请注意以下材料：

“ 零信任网络：在不受信任的网络中构建安全系统 ”；
“ 使用Microsoft 365构建零信任网络 ”；
“ 使用Microsoft Azure进行零信任的内部威胁监视 ”；
, , Draft (2nd) SP 800-207, Zero Trust Architecture.

零信任安全体系结构实施：第二版