您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

零信任的“问题”

时间:2022-03-24 09:42:07  来源:  作者:中国信息安全

文 │ 启明星辰集团首席战略官 潘柱廷

“问题”是一个多义词,可以理解为负面的意义,如错误(Error)、麻烦和困难(Problem)、副作用(Side-effect),也可以理解为开放性的意义,如提问(Question)、题目和课题(Topic)。本文探讨零信任的问题,是从宏观的视角来分析:没有特别关注零信任的技术细节,重点是试图追问零信任根本的原理问题;没有具体讨论零信任的实现方法,但是却希望解构其需求框架。文章重点不在于阐明或立论“正道”和“正解”,而是尽量提出问题,引发对零信任的关注和探讨。

一、零信任的命名问题

零信任这个词其实有些名不对意。“名可名,非常名”,对于一个复杂而玄妙的事务,任何名字都会是片面、甚至是错误的。零信任的“持续验证,永不信任”的这种极为绝对的说法,不太符合网络安全“是相对的而不是绝对”的基本安全观。从零信任的框架内涵和技术实现来看,称作“零化信任”也许更加符合——尽量趋近于零的信任。真实实现的零信任,还有理论框架上的零信任,都不是“永不信任”,而是给信任尽量小的时间窗、尽量小的空间延展。零信任其实可以理解为颗粒度很小,用趋近于零来比喻的信任方式。

但是,换个角度来看,零信任这个名字也不错,具有很好的冲击力和传播性,有助于零信任的推广。在理解了零信任的本质后,可以不再纠结零信任的名字问题。

二、零信任的理论和体系程度问题

零信任到底有没有理论基础和理论支撑?这个问题成为很多质疑者的提问之处。以笔者对于零信任的接触和了解,认为零信任在提出之初,更主要是一种可行的工程化框架和实现思路,理论的严密性并不是其早期的核心诉求。没必要苛求零信任的理论深度和完备性,但随着零信任应用的深入,对于其理论完备性的补充,可以由学术界来完成,理论的顺畅能反哺工程框架。

三、零信任究竟在解决什么问题?其究竟是一个什么样的原生问题?

“云原生安全”已经是业界比较熟悉的一个词。启明星辰在 2021 年末也提出了“数据原生安全”的概念。什么是原生?从字面意思来看,原生就是事物原本的、内在的,而不是外挂的、补丁式的。再细致一些,至少应当包括下面三个部分。

延续基本框架。从最表面来看,原生就是延续了所基于对象的基本框架。例如,云现在已经容器化,那么云原生安全就要基于容器、针对容器。

符合本质规律。例如,数据的本质特征就是容易复制,那么,对于数据遗忘权的诉求就是一个“逆数据原生”的要求,很难实现。

满足根本诉求。例如,云是要实现按需弹性,那么安全访问服务边缘(SASE)就是要实现网络接入的按需弹性。再如,数据是要流通的,那么隐私计算就是要力图实现流通而不拥有,可算但不可见。

零信任究竟有什么用?究竟在解决什么问题?这是一个关键问题。对于这类问题的回答,如果不同,则会走向不同的道路、不同的框架、不同的实现。笔者的回答是“访问”。零信任归根结底是在用一种独特的思路来解决“访问”的问题,零信任是一个“访问原生”的技术方法论,应当可以归结为安全原生的一种类型。

四、零信任的“访问原生”问题

访问,就是主体对客体的访问。简单来看是一个三元问题——主体(Subject)、 客体(Object)、访问(Access)。但不能忽视的是,任何主体和客体,都会存在于空间和环境中。同时,因为访问不是实体,而是一个过程,里面有时间因素。所以,访问原生至少是五元的,除了上述三个要素,还包括环境(Environment)、 时间窗(Time)。零信任就是在访问原生的这五元要素出现趋势性变化的情况下出现的。

五、零信任的主体统一身份问题

在以往的传统访问控制体系中,主体(访问者)都要在被访问的系统中注册,访问者变成了账号(Account)。不管是在普遍的面向企业(To B)机构环境,还是在互联网移动终端(App)的环境,仍然都是主流。不过,由于一个人所涉及的系统和应用越来越多,因此就出现了不同程度的统一身份问题。例如,以身份认证和权限管理为主的堡垒机,就是帮助系统管理员应对超大量的系统管理界面。在当前的互联网环境中,一些强势平台的账号逐渐演变成一种统一账号平台。

身份和访问管理系统(IAM)的一个重要需求驱动因素就是统一身份诉求,而以 IAM 为核心的零信任解决方案也常常是在统一身份管理的前提下,再追求其他零信任能力。

但是,零信任的统一身份诉求可以说是与零信任的“零化”诉求相逆的。因为,统一身份把每个系统单独需要做的身份访问控制都合并了,也就是将诸多访问的信任合并到了一起来管理,访问确实变得方便了,但如果不能做到更加针对性地授权和控制,其控制颗粒度实际是变粗放了,要意识到这里增加的风险。

六、零信任的客体层次上移问题和数据访问控制问题

在过去的传统访问控制体系中,主要集中于相对静态的系统对象,可能是网络设备、操作系统、数据系统、管理系统、应用系统等。不管系统对象的层次是网络层、系统层、应用层,在新的层次视角中,都是“网络和系统层”。现在的 IT 环境,已经变成了下表中的四层结构。过去仅在网络和系统层的访问控制客体,已经上移到了软件定义(SD)网络层(或者称为云计算层、云算力层),还有数据层。

表1 IT环境的四层结构

零信任的“问题”

 

数据的访问控制问题,过去依靠的是数据所在系统的访问控制来解决,那是数据安全 1.0(数据对象安全)的层次。而在数据安全 2.0(数据汇聚安全)和数据安全 3.0(数据流通安全)的层次,必须有直接把数据作为客体的技术框架和技术手段。换句话说,就是要把数据、数据块、数据的结构、数据的操作等数据本身对象化、客体化。数据只有变成了被访问的客体对象,才能用访问控制的机制加以管理和保护。例如,数据库的列访问控制,就是将数据库的列对象化的效果。这种方法将是数据原生安全的突破口之一。

七、零信任访问环境的网络结构性变化问题

在上文阐述零信任的访问原生结构时,谈到了“环境”是五元之一。环境至少可分为四类环境(或称空间):主体所在环境、客体所在环境、主体访问客体的时候所途经的环境、访问控制的管理环境。

过去由零散系统所组成的客体群,已经走向了一个明显的趋势——云化。而且未来最需要访问控制的被访问客体将是应用和数据,这确实不同于过去以网络访问控制为主的安全格局。大型 To B 机构的应用整合梳理、To C 互联网环境的应用互通,都让客体所在环境及其结构发生了变化。

当然,这种客体结构性变化,并没有完全磨灭网络访问控制的价值。虽然网络边界不在以前熟悉的位置,但是边界依然会客观存在。边界的价值在于,在边界进行安全控制的成本,要大大低于在边界后面的每一个节点进行安全控制的成本。在一定防御效能诉求下,边界安全仍是优良费效比的控制手段。

过去的访问主体环境,在统一身份管理系统的推动下,已经进行了重组,更加聚焦在“人、角色”身上。而能够代表人的最方便载体,就是移动终端或者其他与角色紧密关联的端。代表人参与访问和访问控制的经常是端上的代理(Agent)。这对终端安全提出了非常高的要求。访问主体一侧的安全,至少要包含端本身的系统安全、人登录到端上的安全、端访问到端外资源的安全。零信任让端安全技术的地位得到了提升。

另外,对于主体的管理,也可以继续引入安全域和域间控制。例如,将一个分支机构作为一个访问主体聚集的网络域,将域边界控制设备作为主体防护的一环。

八、零信任的 SDP 颗粒度问题和微隔离颗粒度问题

擅长网络访问控制的厂商和用户,最容易引入零信任能力的方式就是软件定义边界(SDP)。

在客户端 SDP、服务侧 SDP、中央策略管理中心(PDP)这三者之间,常常可以先弱化中央管理PDP,降低与应用适配的耦合度,确保系统执行可行性。而客户端 SDP 和服务侧 SDP 都有网络边界的相似性,只是主要体现为应用的边界。如果要加强 SDP 的零化程度,提高访问控制颗粒度,可以逐步迭代客户端和服务侧两端的 SDP。

业界公认的一个零信任分支就是“微隔离”。可以将其理解为对服务侧的、“东西向”的更细颗粒度分割。另外,作为被访问客体的颗粒度,不仅仅从系统细化到应用,而且已经从应用细化到了应用程序编程接口(API)层面。

九、零信任和 SASE 关系的问题

访问环境,除了主体所在的环境、客体所在的环境,还有第三种环境,即主体主场和客体主场之外的中间环境。

基于 SASE 模式的边缘接入网络可以算作这一类。在边缘接入网的入网节点(PoP)中,常常会提供安全资源池的访问控制和调度服务以及其他安全资源池服务。这种安全机制,可以称之为“从边界安全到边缘安全”。

十、零信任的强中心模式问题

零信任的访问控制环境中的第四个环境就是管理环境。因为零信任的体系中总是绕不开集中式的IAM,这让身份和授权等关键管理活动都集中在一个中心,是典型的强中心模式。强中心模式意味着存在单点故障就会导致大面积瘫痪的风险,可能一个漏洞或者一个内鬼就会造成管理系统的破坏甚至被占领。在构建以 IAM 为核心的零信任体系时,必须意识到这种潜在风险。

身份和授权管理的对立模式是“去中心化的”类区块链模式。未来,依托区块链“算力本位”的访问控制模式,是会补充零信任模式,还是颠覆零信任和其他中心化模式,还有待观望。

十一、零信任的时间轴颗粒度问题和用户及实体行为分析(UEBA)问题

零信任的“零化”,有一个重要的方向是在时间轴上越来越小的时间窗。传统的访问控制,常常会在一个访问周期内、一个登录周期内、一个拥有周期内,保持已经被认证和授权的信任关系。而“持续验证,永不信任”文字所表达的不保持信任过于极端,应当理解为零化取向,即尽量缩短信任的保持期。

这种信任保持期的结束,可以随着短期活动的结束而结束,也可在一个确定性的阈值上强硬截断长期活动的信任保持,或在出现风险变化和波动的时候结束信任保持,进入再验证状态。

十二、零信任的事后审计问题和UEBA 问题

网络安全领域理解的审计,经常是在事件发生之后进行的。而 UEBA 用户行为分析要在一个较长期的活动周期内,将对用户行为的风险评判介入到访问控制的事中干预。访问控制的事中干预有较高的性能要求,其反应敏捷度要求大大高于审计类的深度分析、挖掘式分析。这就要求在零信任的分析体系中,要平衡地融合快控制和慢分析,这两者之间不同的平衡模式,将是 UEBA 关键技术和关键能力的一部分。

十三、零信任的 6A 问题

信任中经常提到的 4A,即账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit),是安全管理平台 SOC、身份管理系统、特权账号管理系统、运维管理系统等多种系统逐步融合发展的产物。就像零信任改变了 IAM、SDP、微隔离等技术的受关注度一样,4A 也得到了新的认识和提升。从信任原生的视角,对 4A 的认识已经扩展为了 6A,即 Account——账号和其他主体、以及它们的标识问题,Application——应用和其他客体,以及它们的标识问题,Authentication——认证,Authorization——授权(事前,常常在 PDP 策略决策点来管理),Access Control——访问控制(事中,由 PEP 策略强制点来执行),Auditing——审计(事中记录,事后分析)。

十四、零信任的特权账号管理问题

绝对不能认为零信任中没有特权账号管理。

对特殊类型的主体、特殊类型的客体、特殊的环境等,设计针对性的访问控制模式,非常重要。特权账号管理(PAM)就是一个典型,可以集中解决最具风险性的一些问题。在一个较大的复杂体系中,一定会有重点和特例,绝对不能追求所谓的体系的纯粹简洁,这在真实工程中是非常要不得的。

十五、零信任的信任延展问题和信任承载问题

“永不信任”这样的说法作为宣传噱头可以,实际落地的时候则不能这样。信任总要从一个时空点,延展和保持到其他时空空间。

从空间上看,在 SDP 的体系中,客户端 SDP 和服务 SDP 之间就必须有一个由密码类技术支撑的通道。这个通道可以是类似虚拟专用网络(VPN)的加密信道,也可以是由标签签名技术保证的防抵赖防篡改传输。这些都可以认为是信任的空间传输。

从时间上看,一个主体通过拥有口令、非对称私钥、证书、区块链的算力证明等,以维持对于主体的信任。这都是信任的承载。

另外,在现实生活空间中,对于一个对象的信任常常由这个对象的亲身到场来获得。对此,可以抽象为一种“抵押物信任”。因为如果这个对象做了不该做的,自己在场就要承担责任接受惩罚。在网络空间中,是否能够通过访问者的某种抵押物来作为信任的承载?可否在技术上实现?这是未来可行的一个小分支。

在未来更多的新密码技术应用场景下,也许还能够实现更多类似隐私计算这类在双方只有低互信度下的协同计算。

十六、零信任为什么能火的根本问题

零信任能够火起来,是因为信任原生的各个要素都发生了很大的变化。

信任的空间结构变化,更多的连接,信任变成了全局信任问题;信任的时间结构变化了,信任需要在时间轴上有所控制;信任的多样性变化了;信任的等级不是只有两级(信任或不信任),而是一个有梯度可以度量的区间;海量的主客体构成了新的全局性结构;对客体,从对实体系统的拥有,变为短期的运行访问,从实体变为服务;访问控制的颗粒度要求越来越细等。还有很多新的分支方向值得去挖掘研究。

十七、结束语

还有哪些问题是不适合用零信任来解决的?零信任会带来哪些负面问题?常见的副作用有哪些?零信任成本太高的问题怎么解决?一个较大的复杂系统向零信任转换,有哪些较好的切入路径?除了这些问题,零信任肯定还有一些尚待发现的新问题,需要业界更开放地去探讨、去解决。

(本文刊登于《中国信息安全》杂志2022年第2期)



Tags:零信任   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
如何在零信任世界中实现API安全性?
随着传统网络边界的不断变化,零信任架构(Zero Trust architecture, ZTA)已经从一个讨论话题,转变为许多企业组织积极推进采用的切实计划。然而,在许多企业所制定的ZTA应用计划中,...【详细内容】
2023-11-17  Search: 零信任  点击:(167)  评论:(0)  加入收藏
零信任未来研究的八个领域
2023年3月1日美国发布《国家网络安全战略》,拜登政府承诺通过实施零信任架构(ZTA)战略以及信息技术(IT)和运营技术(OT)基础设施的现代化来改善联邦网络安全。美国卡内基梅隆大学对...【详细内容】
2023-10-25  Search: 零信任  点击:(203)  评论:(0)  加入收藏
零信任网络基础设施的五个关键步骤
在网络安全领域,“零信任”概念(即设备在默认情况下从不信任且始终经过验证)并不新鲜。 然而,随着不断发展的数字环境为日益增加的网络威胁创造了环境,零信任对于澳大利亚的组...【详细内容】
2023-10-13  Search: 零信任  点击:(362)  评论:(0)  加入收藏
为什么CISO需要将零信任作为应对勒索软件的强有力的策略
今年有望成为勒索软件攻击成本第二高的一年,威胁参与者依赖于新的欺骗性社交工程方法和武器化的AI。最近的米高梅泄密事件始于攻击者研究服务台员工的社交媒体个人资料,然后打...【详细内容】
2023-09-27  Search: 零信任  点击:(346)  评论:(0)  加入收藏
零信任时代的网络安全:mTLS的重要性
让我们深入探讨一下SSL、TLS和mTLS等一系列重要的通信安全协议。尽管从整体系统设计的角度来看,这个主题可能并不是至关重要,但仍然值得我们深入了解。1. SSL协议SSL,即安全套...【详细内容】
2023-09-20  Search: 零信任  点击:(307)  评论:(0)  加入收藏
零信任不仅仅关乎安全,还是数字化转型的基础
来自Zscaler的研究表明,“大多数IT领导者已经制定了零信任安全策略,或正在规划中”,但只有不到22%的人有信心充分利用它的潜力。该企业警告称,这表明企业需要“扩大他们的视角”...【详细内容】
2023-09-20  Search: 零信任  点击:(239)  评论:(0)  加入收藏
利用边缘计算克服零信任挑战
根据最近的数据显示,97%的企业表示已经开始实施零信任倡议,到2027年,全球零信任产品的价值将达到约600亿美元。很快,不接受零信任可能会导致竞争劣势,因为潜在客户可能只信任实施...【详细内容】
2023-07-28  Search: 零信任  点击:(164)  评论:(0)  加入收藏
零信任网络架构与实现技术的研究与思考
目前,国外已有较多有关零信任网络的研究与实践,包括谷歌的 BeyondCorp、BeyondProd,软件定义边界(Software Defined Perimeter,SDP) 及盖特提出的“持续自适应风险与信任评估”等...【详细内容】
2023-07-12  Search: 零信任  点击:(177)  评论:(0)  加入收藏
CISA零信任成熟模型2.0完整解读
2021年5月,拜登签署E.O. 14028“提高国家网络安全防御能力”,要求政府所有部门必须在60天内给出实现零信任架构的计划。为此,网络安全和基础设施安全局(CISA)在2021年9月发布了零...【详细内容】
2023-07-04  Search: 零信任  点击:(266)  评论:(0)  加入收藏
深度探讨:零信任已死?
零信任,作为近年来网络安全领域最为火热的技术之一,它的存在为组织网络架构和安全建设提供了新的思路和方向,“持续验证、永不信任”的零信任正在成为开拓新一代组织网络安全建...【详细内容】
2023-03-21  Search: 零信任  点击:(128)  评论:(0)  加入收藏
▌简易百科推荐
网络安全行业的春天何时来?
2023年下半年开始,网络安全从业人员都感受到了网安行业的寒冬,但是其实前奏并不是此刻,只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】
2024-04-11  兰花豆说网络安全    Tags:网络安全   点击:(8)  评论:(0)  加入收藏
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(22)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(17)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(33)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(53)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(111)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(57)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(70)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(88)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(89)  评论:(0)  加入收藏
站内最新
站内热门
站内头条