當前位置:今日智造 > 智造快訊 > 新聞

深度 | NIST標準《零信任架構》草案全文

2019/11/15 22:27:38 人評論 次瀏覽 來源:零信任安全社區 分類:新聞

全文約23506字,大約需要60分鐘一、前言本文開始介紹2019年9月發布的NIST《零信任架構》草案(《NIST.SP.800-207-draft-Zero Trust Architecture》)。其公開評論的時間是2019年9月23日至2019年11月22日。本文檔的價值,不言而喻。其目錄如下:

  • 摘要

  • 1. 介紹

  • 2.零信任網絡架構

  • 3.零信任體系架構的邏輯組件

  • 4.部署場景/用例

  • 5.與零信任架構相關的威脅

  • 6.零信任架構與現有聯邦指南

  • 7.遷移到零信任架構

  • 附錄A:縮略語

  • 附錄B:識別ZTA當前技術水平的差距

由于本文是標準的草案,筆者認為其內容和結論的嚴謹性勝于之前介紹的ACT-IAC《零信任網絡安全當前趨勢》。所以,即便是概念性、介紹性的內容也值得重新溫習。與零信任密切相關的其它重要資料包括:

說明:除了開篇的背景內容,凡是沒有使用“筆者點評:”開頭的段落,都基本是按照原文進行翻譯的。但是對于有些翻譯拿不準或者文字贅述的內容,也會做少量刪節。二、文檔摘要信息1)摘要零信任(zero trust)是一組不斷發展的網絡安全范例的術語,它將網絡防御從廣泛的網絡周界轉移到仔細關注單個或小組資源。零信任架構(ZTA,Zero Trust Architecture)策略是指基于系統的物理或網絡位置(即局域網或因特網)不存在授予系統的隱式信任的策略。當需要資源時才授予對數據資源的訪問權,并在建立連接之前執行身份驗證(用戶和設備)。ZTA是對企業網絡趨勢的響應,這些趨勢包括遠程用戶和不在企業擁有的網絡邊界內的基于云的資產。ZTA的重點是保護資源,而非網絡分段,因為網絡位置不再被視為資源安全態勢的主要組成部分。本文包含了ZTA的抽象定義,并給出了ZTA可以改善企業整體IT安全狀況的一般部署模型和用例。2)致謝本文件是多個聯邦機構合作的產物,由聯邦首席信息官委員會監督。架構小組負責本文檔的開發,但有一些特定的人員值得認可。3)受眾本文檔旨在為企業網絡架構師描述ZTA策略。該文件旨在幫助理解民用非保密系統的ZTA,并提供將ZTA概念遷移和部署到企業網絡的路線圖。機構網絡安全經理、網絡管理員、經理也可以從本文檔中了解ZTA。本文檔的目的不是針對ZTA的單一部署計劃,因為企業將擁有需要保護的獨特業務用例和數據資產。從對組織的業務和數據有一個堅實的了解開始,這將導致一個強大的零信任方法。筆者點評:本文檔的核心對象是為“網絡架構師”準備的,而非“安全架構師”。這應該是“內生安全”和“安全左移”的應有之義。要想真正貫徹零信任思想,就需要了解組織的網絡、業務和數據,這些都是與組織對象密切相關的。筆者經常會有個疑問:是該做安全的人了解業務,還是該做業務的人了解安全。從“本文檔旨在為企業網絡架構師描述ZTA策略”這句話看,本文檔的作者,甚至聯邦首席信息官們,更加傾向于認為:首先應該是做業務的人了解安全。4)審閱者注意事項本特別出版物的目的,是開發一套技術中立的使用ZTA策略的網絡基礎設施的術語、定義和邏輯組件。本文檔不提供如何在企業中部署零信任組件的具體指南或建議。


三、介紹典型的企業網絡基礎設施變得越來越復雜。單個企業可以運行多個內部網絡、具有自己的本地基礎設施的遠程辦公室、遠程和/或移動個人,以及云服務。這種復雜性超過了基于周界的網絡安全的傳統方法,因為企業沒有單一的、易于識別的周界。這種復雜的企業已經導致了一種新的企業網絡安全規劃方法,稱為零信任架構(ZTA)。ZTA方法主要側重于數據保護,但可以擴展到包括所有企業資產。ZTA假設網絡是不懷好意的,并且企業擁有的網絡基礎設施與任何非企業擁有的網絡相比,并沒有不同或更加安全。在這種新的范式中,企業必須不斷地分析和評估其內部資產和業務功能的風險,然后制定保護措施來緩解這些風險。在ZTA中,這些保護通常涉及最小化對資源的訪問,只允許那些被驗證為確有需要者的訪問,并持續驗證每個訪問請求的身份和安全狀態。本出版物提供了ZTA的定義、邏輯組件、可能的部署場景和威脅。它還為希望遷移到以ZTA為中心的網絡基礎設施的組織,提供了一個總體路線圖,并討論了可能影響或確實影響零信任架構的相關聯邦政策。ZTA不是單一的網絡架構,而是一套網絡基礎設施設計和運行的指導原則,可以用來改善任何密級或敏感級別的安全態勢。向ZTA過渡是一段旅程。也就是說,現在許多組織的企業基礎設施中已經有了ZTA的元素。組織應該逐步實現零信任原則、流程變更和保護其數據資產和業務功能的技術解決方案。在此期間,大多數企業基礎設施將以零信任/遺留模式混合運行,同時繼續投資于正在進行的IT現代化計劃和改進的組織業務流程。組織需要實施有效的信息安全和彈性實踐,才能使零信任有效。當與現有的網絡安全政策和指南、身份和訪問管理、持續監測、通用網絡安全相結合時,ZTA能夠使用管理風險的方法增強組織的安全姿態,并保護共同威脅。


1)背景自“零信任”這個詞出現之前,零信任的概念就一直存在于網絡安全中。Jericho論壇的工作公開了基于網絡位置限制隱式信任的思想和依賴靜態防御的限制[JERICHO]。去邊界化的概念發展并改進為一個更大的概念,稱為零信任。后來,Jon Kindervag在Forrester(現在Palo Alto Networks)創立了“零信任”一詞。這項工作包括關鍵概念和零信任網絡架構模型,該模型改進了在Jericho論壇上討論的概念。十多年來,美國聯邦機構在許多方面一直在轉向基于零信任原則的網絡安全。聯邦機構一直在推進相關能力建設和政策,從《聯邦信息安全管理法》(FISMA)開始,然后是風險管理框架(RMF)、聯邦身份、憑證和訪問管理(FICAM)、可信互聯網連接(TIC)、持續診斷和緩解(CDM)計劃。所有這些計劃都旨在限制授權方的數據和資源訪問。在這些計劃啟動時,受到了信息系統技術能力的限制。安全策略基本上是靜態的,并在企業可以控制的大“瓶頸”上執行,以獲得最佳效果。隨著技術的成熟,以動態和細粒度的方式持續分析和評估訪問請求,成為可能。


2)本文件的結構文檔的其余部分如下:?第2節:定義ZTA并列出設計ZTA企業網絡時的一些網絡假設。本節還包括ZTA設計原則的列表。?第3節:描述ZTA的邏輯組件或構建模塊。獨特的實現可能以不同的方式組合ZTA組件,但提供相同的邏輯功能。?第4節:列出一些可能的用例,其中ZTA可使企業網絡更加安全,更不容易被攻擊利用。這包括擁有遠程員工、云服務、客戶網絡等的企業場景。?第5節:討論了使用ZTA策略的企業面臨的威脅。其中許多威脅與傳統架構的網絡相似,但可能需要不同的緩解技術。?第6節:討論ZTA原則如何適合和/或補充了聯邦機構現有的指南。?第7節:提出企業(如聯邦機構)向ZTA過渡的起點。這包括描述在ZTA原則指導下規劃和部署應用程序和網絡基礎設施所需的一般步驟。


四、零信任網絡架構零信任體系架構是一種端到端的網絡/數據安全方法,包括身份、憑證、訪問管理、操作、終端、宿主環境和互聯基礎設施。零信任是一種側重于數據保護的架構方法。初始的重點應該是將資源訪問限制在那些“需要知道”的人身上。傳統上,機構(和一般的企業網絡)專注于邊界防御,授權用戶可以廣泛地訪問資源。因此,網絡內未經授權的橫向移動一直是政府機構面臨的最大挑戰之一。可信Internet連接(TIC)和機構邊界防火墻提供了強大的Internet網關。這有助于阻止來自Internet的攻擊者,但TIC和邊界防火墻在檢測和阻止來自網絡內部的攻擊方面用處不大。一種可用的ZTA定義如下:零信任架構(ZTA)提供了一個概念、思路和組件關系(架構)的集合,旨在消除在信息系統和服務中實施精確訪問決策的不確定性。此定義聚焦于問題的關鍵,即消除對數據和服務的非授權訪問,以及使訪問控制的實施盡可能精細。也就是說,授權和批準的主體(用戶/計算機)可以訪問數據,但不包括所有其他主體(即攻擊者)。進一步,"資源"一詞可以代替"數據",以便ZTA與資源訪問(例如打印機、計算資源、IoT執行器等)有關,而不僅僅是數據訪問。為了減少不確定性(因為它們不能完全消除),重點是身份驗證、授權和縮小隱含信任區域,同時最大限度地減少網絡身份驗證機制中的時間延遲。訪問規則被限制為最小權限,并盡可能細化。在圖1中,用戶或計算機需要訪問企業資源。通過策略決策點(PDP)和相應的策略執行點(PEP)授予訪問權限。圖1:零信任訪問系統必須確保用戶"可信"且請求有效。PDP/PEP會傳遞恰當的判斷,以允許主體訪問資源。這意味著零信任適用于兩個基本領域:身份驗證和授權。系統能否消除對用戶真實身份的足夠懷疑?用戶在訪問請求中是否合理?用于請求的設備是否值得信任?總體而言,企業需要為資源訪問制定基于風險的策略,并建立一個系統來確保正確執行這些策略。這意味著企業不應依賴于隱含的可信性,而隱含可信性是指:如果用戶滿足基本身份驗證級別(即登錄到系統),則假定所有資源請求都同樣有效。“隱含信任區”表示一個區域,其中所有實體都至少被信任到最后一個PDP/PEP網關的級別。例如,考慮機場的乘客篩選模型。所有乘客通過機場安檢點(PDP/PEP)進入登機門。乘客可以在候機區內閑逛,所有乘客都有一個共同的信任級別。在這個模型中,隱含信任區域是候機區。PDP/PEP應用一組公共的控制,使得檢查點之后的所有通信流量都具有公共信任級別。PDP/PEP不能在流量中應用超出其位置的策略。為了使PDP/PEP盡可能細致,隱含信任區必須盡可能小。零信任架構提供了技術和能力,以允許PDP/PEP更接近資源。其思想是對網絡中從參與者(或應用程序)到數據的每個流進行身份驗證和授權。


1)零信任架構的原則關于ZTN/ZTA的許多定義和討論,都強調從方程式中去掉邊界防御(如防火墻等)的概念。然而,大多數人仍然以某種方式定義自己與邊界的關系(例如微分段或微邊界)。以下是根據應引入的基本原則而不是排除的基本原則來定義ZTA的嘗試。零信任架構的設計和部署遵循以下基本原則:1.所有數據源和計算服務都被視為資源。網絡可以由幾種不同類別的設備組成。網絡可能還具有占用空間小的設備,這些設備將數據發送到聚合器/存儲,還有將指令發送到執行器的系統等。此外,如果允許個人擁有的設備訪問企業擁有的資源,則企業可以決定將其歸類為資源。2.無論網絡位置如何,所有通信都是安全的。網絡位置并不意味著信任。來自位于企業自有網絡基礎設施上的系統的訪問請求(例如,在邊界內)必須滿足與來自任何其他非企業自有網絡的訪問請求和通信相同的安全要求。換言之,不應對位于企業自有網絡基礎設施上的設備自動授予任何信任。所有通信應以安全的方式進行(即加密和認證)。3.對單個企業資源的訪問是基于每個連接授予的。在授予訪問權限之前,將評估請求者的信任。這可能意味著此特定事務只能在“以前某個時間”發生,并且在啟動與資源的連接之前可能不會直接發生。但是,對一個資源的身份驗證不會自動授予對另一個不同資源的訪問權限。4.對資源的訪問由策略決定,包括用戶身份和請求系統的可觀察狀態,也可能包括其他行為屬性。一個組織通過定義其擁有的資源、其成員是誰、這些成員需要哪些資源訪問權,來保護資源。用戶身份包括使用的網絡賬戶和企業分配給該賬戶的任何相關屬性。請求系統狀態包括設備特征,如已安裝的軟件版本、網絡位置、以前觀察到的行為、已安裝的憑證等。行為屬性包括自動化的用戶分析、設備分析、度量到的與已觀察到的使用模式的偏差。策略是組織分配給用戶、數據資產或應用程序的一組屬性。這些屬性基于業務流程的需要和可接受的風險水平。資源訪問策略可以根據資源/數據的敏感性而變化。最小特權原則被應用以限制可視性和可訪問性。5.企業確保所有擁有的和關聯的系統處于盡可能最安全的狀態,并監視系統以確保它們保持盡可能最安全的狀態。實施ZTA戰略的企業應建立持續診斷和緩解(CDM)計劃,以監測系統狀態,并根據需要應用補丁/修復程序。被發現為已失陷、易受攻擊和/或非企業所有的系統,與那些企業所有或與企業相關的被認為處于最安全狀態的系統相比,可能會被區別對待(包括拒絕與企業資源的所有連接)。6.在允許訪問之前,用戶身份驗證是動態的并且是嚴格強制實施。這是一個不斷的訪問、掃描和評估威脅、調整、持續驗證的循環。實施ZTA策略的企業具有用戶供應系統(user provisioning system),并使用該系統授權對資源的訪問。這包括使用多因子身份驗證(MFA)訪問某些(或所有)企業資源。根據策略(如基于時間的、請求的新資源、資源修改等)的定義和實施,在用戶交互過程中進行持續監視和重新驗證,以努力實現安全性、可用性、使用性和成本效率之間的平衡。上述原則試圖盡可能做到技術不可知(technology-agnostic)。例如,“網絡ID”可以包括幾個因素,例如用戶名/口令、證書、一次性密碼或某些其他標識。


2)零信任視角的網絡對于在網絡規劃和部署中使用ZTA的任何組織,都有一些關于網絡連接性的基本假設。其中一些假設適用于企業擁有的網絡基礎設施,另一些適用于非企業擁有的網絡基礎設施上使用的企業擁有的資源(例如,公共WiFi)。在實施ZTA戰略的企業中,網絡的開發應遵循上述ZTA原則和以下假設。


2.1) 假設由企業擁有的網絡基礎設施1.企業私有網絡并不可信。系統應始終假設企業網絡上存在攻擊者,通信應該來以安全的方式進行(見上文的原則2)。這需要對所有連接進行身份驗證,對所有通信流量進行加密操作。2.網絡上的設備可能不歸企業所有或不可配置。訪客和/或外包服務可能包括需要網絡訪問才能履行其職責的非企業所有系統。這還包括自帶設備(BYOD)策略,允許企業用戶使用非企業擁有的設備訪問企業資源。3.沒有設備是內生可信的。在連接到企業擁有的資源之前,每個設備都必須認證自己(無論是對資源還是對PEP)(請參閱上面的原則6)。與來自非企業擁有設備的相同請求相比,企業擁有設備可以具有啟用身份驗證并提供更高信任分數(請參閱第3.2節)的構件。用戶憑證并不足以對企業資源進行設備認證。


2.2)假設非企業所有的網絡基礎設施1.并非所有的企業資源都在企業擁有的基礎設施上。這包括遠程用戶和云服務。企業必須能夠監視、配置和修補任何系統,但任何系統都可能依賴本地(即非企業)網絡進行基礎的連接和網絡服務(如DNS等)。2.遠程企業用戶不能信任本地網絡連接。遠程用戶應該假設本地(即非企業所有)網絡是不懷好意的。系統應該假設所有的流量都被監視并可能被修改。所有連接請求都應該經過身份驗證,所有通信流量都應該加密(參見上面的ZTA原則)。


五、零信任體系架構的邏輯組件在企業中,構成ZTA網絡部署的邏輯組件很多。這些組件可以作為場內服務或通過基于云的服務來操作。圖2中的概念框架模型顯示了組件及其相互作用的基本關系。注意,這是顯示邏輯組件及其相互作用的理想模型。從圖1中,策略判定點(PDP)被分解為兩個邏輯組件:策略引擎(PE)策略管理器(PA)(定義如下)。圖2:核心零信任邏輯組件組件描述:策略引擎(Policy Engine, PE):該組件負責最終決定是否授予指定訪問主體對資源(訪問客體)的訪問權限。策略引擎使用企業安全策略以及來自外部源(例如IP黑名單、威脅情報服務)的輸入作為“信任算法”的輸入,以決定授予或拒絕對該資源的訪問。策略引擎(PE)與策略管理器(PA)組件配對使用。策略引擎做出(并記錄)決策,策略管理器執行決策(批準或拒絕)。策略管理器(Policy Administrator, PA):該組件負責建立客戶端與資源之間的連接(是邏輯職責,而非物理連接)。它將生成客戶端用于訪問企業資源的任何身份驗證令牌或憑證。它與策略引擎緊密相關,并依賴于其決定最終允許或拒絕連接。實現時可以將策略引擎和策略管理器作為單個服務;這里,它被劃分為兩個邏輯組件。PA在創建連接時與策略執行點(PEP)通信。這種通信是通過控制平面完成的。策略執行點(Policy Enforcement Point, PEP):此系統負責啟用、監視并最終終止主體和企業資源之間的連接。這是ZTA中的單個邏輯組件,但也可能分為兩個不同的組件:客戶端(例如,用戶便攜式電腦上的代理)和資源端(例如,在資源之前控制訪問的網關組件)或充當連接門衛的單個門戶組件。除了企業中實現ZTA策略的核心組件之外,還有幾個數據源提供輸入和策略規則,以供策略引擎在做出訪問決策時使用。這些包括本地數據源和外部(即非企業控制或創建的)數據源。其中包括:持續診斷和緩解(CDM)系統:該系統收集關于企業系統當前狀態的信息,并對配置和軟件組件應用已有的更新。企業CDM系統向策略引擎提供關于發出訪問請求的系統的信息,例如它是否正在運行適當的打過補丁的操作系統和應用程序,或者系統是否存在任何已知的漏洞。行業合規系統(Industry Compliance System):該系統確保企業遵守其可能歸入的任何監管制度(如FISMA、HIPAA、PCI-DSS等)。這包括企業為確保合規性而制定的所有策略規則。威脅情報源(Threat Intelligence Feed):該系統提供外部來源的信息,幫助策略引擎做出訪問決策。這些可以是從多個外部源獲取數據并提供關于新發現的攻擊或漏洞的信息的多個服務。這還包括DNS黑名單、發現的惡意軟件或策略引擎將要拒絕從企業系統訪問的命令和控制(C&C)系統。數據訪問策略(Data Access Policies):這是一組由企業圍繞著企業資源而創建的數據訪問的屬性、規則和策略。這組規則可以在策略引擎中編碼,也可以由PE動態生成。這些策略是授予對資源的訪問權限的起點,因為它們為企業中的參與者和應用程序提供了基本的訪問特權。這些角色和訪問規則應基于用戶角色和組織的任務需求。企業公鑰基礎設施(PKI):此系統負責生成由企業頒發給資源、參與者和應用程序的證書,并將其記錄在案。這還包括全球CA生態系統和聯邦PKI3,它們可能與企業PKI集成,也可能未集成。身份管理系統(ID Management System):該系統負責創建、存儲和管理企業用戶賬戶和身份記錄。該系統包含必要的用戶信息(如姓名、電子郵件地址、證書等)和其他企業特征,如角色、訪問屬性或分配的系統。該系統通常利用其他系統(如上面的PKI)來處理與用戶賬戶相關聯的工件。安全信息和事件管理(SIEM)系統:聚合系統日志、網絡流量、資源授權和其他事件的企業系統,這些事件提供對企業信息系統安全態勢的反饋。然后這些數據可被用于優化策略并警告可能對企業系統進行的主動攻擊。1)抽象架構的部署變體所有這些組件都是邏輯組件。它們不一定是唯一的系統。單個系統可以執行多個邏輯組件的職責,同樣,一個邏輯組件可以由多個硬件或軟件元素組成,以執行任務。例如,企業PKI可以由一個負責為設備頒發證書的組件和另一個用于向最終用戶頒發證書的組件組成,但兩者都使用從同一企業根證書頒發機構頒發的中間證書。在目前市場上提供的許多ZTA網絡產品中,PE和PA組件組合在一個服務中。在架構的選定組件的部署上有幾個變體,在下面的章節中進行了概述。根據企業網絡的建立方式,一個企業中的不同業務流程可以使用多個ZTA部署模型。1.1)基于設備代理/網關的部署在這個部署模型中,PEP被分為兩個組件,它們位于資源上,或者作為一個組件直接位于資源前面。例如,每個企業發布的系統,都有一個已安裝的設備代理來協調連接,而每個資源都有一個組件(即網關)直接放在前面,以便資源只與網關通信,實質上充當了資源的反向代理。網關負責連接到策略管理器(PA),并且只允許由策略管理器(PA)配置的已批準連接(參見圖3)。圖3:設備代理/網關模型在典型的連接場景中,擁有企業發放的筆記本電腦的用戶,希望連接到企業資源(例如,HR應用程序/數據庫)。連接請求由本地代理接收,并將連接請求發送給PA。PA(和PE)可以是企業本地系統或云托管服務。PA將請求轉發到PE進行評估。如果請求被授權,PA將在設備代理和相關的資源網關(通過控制平面)之間配置通信通道。這可能包括IP地址/端口信息、會話密鑰或類似的安全構件。然后設備代理和網關連接,加密的應用程序數據流開始。當工作流完成或由于安全事件(例如會話超時、無法重新認證等)被PA觸發時,設備代理和資源網關之間的連接將終止。該模型最適合于具有健壯的設備管理程序和可與網關通信的離散資源的企業。對于大量使用云服務的企業,這是云安全聯盟(CSA)軟件定義周界(SDP)的客戶機-服務器實現。對于那些不打算允許BYOD(自帶設備)策略的企業來說,這種模式也很好。只能通過設備代理授予訪問權限,設備代理可以放置在企業擁有的系統上。1.2)基于微邊界的部署此部署模型是上述設備代理/網關模型的變體。在這個模型中,網關組件可能不位于系統上或單個資源的前面,而是位于資源飛地(例如,當地數據中心)的邊界,如圖4所示。通常,這些資源服務于單個業務功能,或者可能無法直接與網關通信(例如,沒有API的遺留數據庫系統,不能被用于與網關通信)。此部署模型對于使用基于云的微服務進行業務處理(例如,用戶通知、數據庫查詢或薪資支付)的企業也很有用。在這個模型中,整個私有云位于網關之后。圖4:飛地網關模型此模型可能與設備代理/網關模型混合。在這樣的模型中,企業系統有一個用于連接到微周界網關的設備代理,但是這些連接是使用與基本設備代理/網關模型相同的過程創建的。此模型對于具有遺留應用程序的企業或無法設置單獨網關的場內數據中心非常有用。這樣的企業需要有一個健壯的設備管理程序來安裝/配置設備代理。缺點是網關保護的是資源集合,而不是單個資源。這是對ZTA原則的放松,因為ZTA原則要求每種資源都應該有自己的PEP來保護它。這也可能允許了客戶端查看它們本無特權訪問的資源。1.3)基于資源門戶的部署在這個部署模型中,PEP是一個單獨的組件,充當用戶請求的網關。網關門戶可以是單個資源,也可以是用于單個業務功能的資源集合的微周邊。一個例子是進入私有云或包含遺留應用程序的數據中心的網關門戶,如圖5所示。圖5:資源門戶模型與其他模型相比,此模型的主要優點是不需要在所有企業系統上安裝軟件組件。該模型對于BYOD政策和組織間協作項目也更加靈活。企業管理員在使用之前不需要確保每個設備都有適當的設備代理。然而,可以從請求訪問的設備推斷出有限的信息。它只能掃描和分析連接到PEP門戶的系統和設備,可能無法持續監視它們是否存在惡意軟件和適當的配置。此模型的主要區別在于沒有處理請求的本地代理。此模型允許在客戶端系統和BYOD策略中具有更大的靈活性,并且可以更容易地對非企業協作者授予資源訪問。缺點是,企業可能無法完全看到或控制企業擁有的系統,因為它們只能在連接到門戶時看到/掃描這些系統。在這些連接會話之間,這些系統對企業而言可能是不可見的。此模型還允許攻擊者發現并嘗試訪問門戶,或嘗試對門戶進行拒絕服務(DoS)攻擊。1.4)系統應用程序沙箱代理/網關部署模型的另一個變體是讓可信應用程序在系統上隔離運行。這種隔離可以是VM、容器或其他一些實現,但目標是相同的:保護應用程序不受主機和系統上運行的其他應用程序的影響。圖6:應用程序沙箱在上面的圖6中,用戶系統在沙箱中運行可信的應用程序。可信應用程序可以與PEP通信以請求對資源的訪問,但PEP將拒絕來自系統上其他(不可信)應用程序的連接。在這個模型中,PEP可以是企業本地服務,也可以是云服務。這種模型變體的主要優點是將單個應用程序與系統的其他部分隔離開來。如果無法掃描系統以檢測脆弱性,則可以保護這些單獨的沙箱應用程序,使其免受主機系統上潛在的惡意軟件感染。這種模式的缺點之一是,企業必須為所有系統維護這些沙盒應用程序,并且可能無法完全看到客戶端系統。2)信任算法對于部署了ZTA的企業,PE可以視為大腦,PE的信任算法是其主要的思維過程。信任算法是PE用來最終授予或拒絕對資源的訪問的過程。PE接受來自多個源的輸入:即包含了以下信息的策略數據庫——用戶、用戶屬性和角色、歷史用戶行為模式、威脅情報源、和其他的元數據源的。流程如圖7所示。圖7:信任算法的輸入在圖中,這些輸入可以被分為多個類別,基于它們提供給信任算法的內容。?訪問請求:來自應用程序的實際請求。被請求的資源是被使用的主要信息,但也會使用有關請求者的信息。這可能包括操作系統版本、使用的應用程序、修補程序級別。根據系統狀態,可能會限制或拒絕對資產的訪問。?用戶標識、屬性和權限:這是請求訪問資源的“誰”。這是企業的一組用戶(人員和進程)和企業開發的一組用戶屬性。這些用戶和屬性構成了資源訪問策略的基礎。用戶身份可以包含以下信息的混合:邏輯身份(例如賬戶ID/口令)、生物測定數據(例如指紋、面部識別、虹膜識別、視網膜和氣味)和行為特征(例如打字節奏、步態和語音)。身份的屬性應被納入計算信任分數,包括時間和地理因素。授予多個用戶的權限集合可以被視為一個角色,但還是應該基于單獨個體,將權限分配給一個用戶,而不僅僅是因為他們可能適合某個特定角色。這應該被編碼并存儲在ID管理系統和策略數據庫中。?系統數據庫和可觀察狀態:系統數據庫包含了每一個企業自有系統(在某種程度上是物理的和虛擬的)的已知狀態。它會與發生請求的系統的可觀察狀態相比較。這可以包括操作系統版本、使用的應用程序、位置(網絡位置和地理位置)、可信平臺模塊(TPM)和補丁程序級別。根據系統狀態,可能會限制或拒絕對資產的訪問。?資源訪問要求:這是對用戶ID和屬性數據庫的補充策略集。它定義了訪問資源的最低要求。要求可以包括認證器的保障級別,例如多因素認證(MFA)和網絡位置(例如,拒絕來自海外IP地址的訪問)或系統配置請求。這些要求應由數據管理員(即負責數據的人員)和使用數據的負責業務過程的人員(即負責任務/使命的人員)共同制定。?威脅情報:這是一個(或多個)關于Internet上運行的一般威脅和活動惡意軟件的信息源。它可能包括攻擊特征和緩解措施。這是唯一的極少受企業控制但極有可能是一種服務的組件。關于每個數據源的重要性權重,可以是專有算法,也可以由企業配置。這些權重值可用于反映數據源對企業的重要性。最終的決策會交給PA執行。PA的工作是配置必要的PEP以啟用連接。根據ZTA的部署方式,這可能涉及向網關和代理或資源門戶發送身份驗證結果和連接配置信息。PA還負責根據策略終止連接(例如,超時后,工作流完成時,或由于安全警報)。2.1)信任算法的變體實現ZTA信任算法(TA,Trust Algorithm)的方法有很多種。不同的實現者可能希望根據其感知到的重要性,對上述因素進行不同的權衡。還有兩個主要特征可以用來區分TA。第一個是如何評估這些因素,要么是二元決策,要么是整個“分數”的加權部分;第二個是如何評估與同一用戶(或應用程序)ID的其他請求有關聯的那些請求。?基于準則與基于分數:基于準則的TA,假設在授予資源訪問權限之前必須滿足一組合格屬性。這些條件由企業配置,應為每個資源獨立配置。只有在滿足所有條件時,才授予對資源的訪問權限。基于分數的TA,基于每個數據源的值和企業配置的權重,計算“分數”。如果分數大于資源的配置閾值,則授予訪問權限。否則,訪問被拒絕。單一(Singular)與上下文(Contextual):單一TA會單獨處理每個請求,在進行評估時不考慮用戶/應用程序的歷史情況。這樣可以加快評估速度,但如果一種攻擊駐留在用戶被允許的角色內,則存在風險無法檢測到這個攻擊。上下文TA在評估訪問請求時會考慮用戶(或網絡代理)的最近歷史記錄。這意味著PE必須維護所有用戶和應用程序的某些狀態信息,但更有可能檢測到攻擊者使用被攻陷的憑證以訪問信息,其模式與PE為給定用戶/代理看到的有所不同。這兩種因素并不相互依賴。可能有一個TA,它將信任分數分配給每個用戶和/或設備,并且仍然獨立地考慮每個訪問請求(即單一的)。同樣,另一個不同的TA可以是基于分數的,但同時也是上下文的,即每個成功和失敗的訪問請求都可以用來更改最終信任分數值。理想情況下,ZTA信任算法應該是上下文的,但這并不總是可能的。它可以緩解這種威脅:當攻擊者非常接近一組“正常”的針對一個失陷用戶賬戶(或內部攻擊)的訪問請求。在定義和實現信任算法時,必須平衡安全性、可用性和成本效益。依據用戶在組織中的任務功能和角色的歷史趨勢和規范,不斷地提示用戶,要針對其行為進行重新認證,可能會導致可用性問題。例如,如果一個機構的人力資源部門的員工通常在一個典型的工作日內訪問20-30個員工記錄,則上下文TA可能會在訪問請求一天內突然超過100個記錄時發送警告,因為這可能是攻擊者使用失陷的人力資源賬戶外滲記錄。這是一個上下文TA可以檢測到攻擊,而單個TA可能無法檢測到新行為的例子。另一個例子是一個會計,他通常在正常工作時間訪問財務系統,而現在正試圖在半夜從一個無法識別的位置,訪問該系統。上下文TA可能觸發警告,并要求用戶滿足NIST SP 800-63A中規定的更嚴格分數或其他準則。為每個資源開發一組準則或權重/閾值,需要規劃和測試。在ZTA的初始部署過程中,企業管理員可能會遇到這樣的問題:由于配置錯誤導致本應該批準的訪問請求遭到拒絕。這將導致部署的初始“優化”階段。可能需要調整準則或評分權重,以確保在執行策略的同時仍允許企業的業務流程正常工作。3)網絡組件在ZTA網絡中,用于控制和配置網絡的通信流,與用于執行組織的實際工作的應用程序通信流之間,應該存在隔離(邏輯的或可能是物理的)。這通常被分解為用于網絡控制通信的控制平面和用于應用通信流的數據平面[Gilman]。控制平面被各種基礎設施組件用于維護系統;判斷、授予或拒絕對資源的訪問;以及執行任何必要的操作以建立資源之間的連接。數據平面用于應用程序之間的實際通信。在通過控制平面建立連接之前,該通信信道可能是不可能的。例如,PA和PEP可以使用控制平面在用戶和企業資源之間建立連接。然后,應用程序工作負載才能使用已建立的數據平面連接。3.1)支持ZTA的網絡需求企業系統應具有基本的網絡連接性。本地網絡提供基本的路由和基礎設施(如DNS等)。遠程企業系統不一定使用所有基礎設施服務。1.企業必須能夠確定哪些系統是企業擁有或管理的,哪些設備不是企業擁有或管理的。這取決于企業發放的憑據,而非未經驗證的信息(例如,MAC地址等)。2.企業能夠捕獲所有網絡流量。企業能夠記錄在數據平面上看到的數據包,但可能無法對所有數據包執行深度數據包檢查(DPI)。企業能夠過濾出關于連接的元數據(例如,目的地、時間、設備標識等)。3.未訪問PEP時,不應該發現企業資源。企業資源不接受來自Internet的任意傳入連接。資源僅在客戶端經過身份驗證后,接受自定義配置的連接。這些連接是由PEP建立的。這可防止攻擊者掃描網絡以識別目標并對資源發起DoS攻擊。4.數據平面和控制平面在邏輯上是分開的。PE、PA和PEP都是在邏輯上獨立、企業系統和資源無法訪問的網絡上進行通信。企業系統在執行網絡任務時使用數據平面。PE、PA和PEP使用控制平面來通信和管理系統之間的連接。PEP必須能夠發送和接收來自數據平面和控制平面的信息。5.企業系統可以到達PEP組件。企業用戶必須能夠訪問其企業ZTA網絡上的PEP組件,以訪問資源。可以采用的方式有企業系統上啟用連接的Web門戶或軟件代理。6.PEP是唯一可以訪問PA和PE的組件。在企業網絡上運行的每個PEP都有一個與PA的連接,以便從客戶端建立連接。PA可以被發現,但只有PEP才允許連接。7.遠程企業系統應能夠訪問企業資源,而無需穿越企業基礎設施。例如,不應要求遠程用戶使用回連到企業網絡的安全鏈接(即VPN)來訪問由企業使用并由公共云提供商托管的服務(例如電子郵件)。8.企業系統由于可觀察因素而可能無法達到某些PEP。例如,移動系統可能無法到達某些資源,除非它們使用企業網絡基礎設施。這些因素可能基于位置(地理位置或網絡位置)、設備類型等。


六、部署場景/用例任何企業網絡都可以在設計時考慮零信任原則。如今,大多數組織的企業基礎架構已經具有了零信任的某些要素,或者正在通過實施信息安全和彈性策略以及最佳實踐來實現。有幾種場景可以更輕松地實施零信任體系架構。例如,ZTA易于在地理廣泛分布和/或具有高度移動性的員工隊伍的組織中扎根。也就是說,任何具有多種資源的大型網絡的組織,都可以從零信任架構中獲益。在下面的用例中,沒有明確指出ZTA,因為企業可能同時擁有遺留和(可能)ZTA基礎設施。ZTA組件和遺留網絡基礎設施在企業中同時運行可能會有一段時間。1)擁有多分支機構的企業最常見的情況是,企業只有一個總部和一個或多個地理上分散的位置,這些位置沒有企業擁有的物理網絡連接(見圖8)。遠程位置的員工可能沒有完全由企業擁有的本地網絡,但仍需要訪問企業資源才能執行其任務。同樣,員工也可以使用企業擁有或個人擁有的設備,進行遠程工作或在遠程位置工作。在這種情況下,企業可能希望授予對某些資源(如員工日歷、電子郵件)的訪問權限,但拒絕訪問更敏感的資源(如人力資源數據庫)。在這個用例中,PE/PA最好作為一個云服務托管,終端系統有一個連接代理(見第3.1.1節)或訪問一個資源門戶(見第3.1.3節)。由于遠程辦公室和工作人員必須將所有流量發送回企業網絡才能訪問云服務,因此將PE/PA托管在企業本地網絡上可能不是響應最迅速的。圖8:擁有遠程員工的企業


2)多云企業部署ZTA策略的一個越來越常見的用例是使用多個云提供商的企業(見圖9)。在這個用例中,企業有一個本地網絡,但使用兩個(或更多)云服務提供商來承載應用程序和數據。有時,應用程序,而非數據源,托管在一個獨立的云服務上。為了提高性能和便于管理,托管在云提供商A中的應用程序,應該能夠直接連接到托管在云提供商B中的數據源,而不是強制應用程序通過隧道返回企業網絡。圖9:多云用例


這個多云用例是ZTA采用的主要驅動因素之一。它是CSA的SDP規范的服務器到服務器實現。隨著企業轉向更多的云托管應用程序和服務,依賴企業邊界進行安全保護顯然成為一種負擔。如第2.2節所述,ZTA認為,企業擁有和運營的網絡基礎設施與任何其他服務提供商擁有的基礎設施之間應該沒有區別。多云使用的零信任方法,是在每個應用程序和數據源的訪問點放置PEP。PE和PA可以是位于云或甚至第三個云提供商上的服務。然后,客戶端(通過門戶或本地安裝的代理)直接訪問PEPs。這樣,即使托管在企業外部,企業仍然可以管理對資源的訪問。


3)存在外包服務和/或非員工訪問的企業另一個常見的場景是,一個企業包含需要有限訪問企業資源才能完成工作的現場訪問者和/或外包服務提供商(見圖10)。例如,企業有自己的內部應用程序、數據庫和員工工作系統。這些包括外包給偶爾在現場提供維護任務的供應商的服務(例如,由外部供應商擁有和管理的智能暖通空調(HVAC)系統和照明系統)。這些訪客和服務提供商將需要網絡連接來執行他們的任務。ZTA網絡可以通過允許這些設備(以及任何來訪的服務技術人員)訪問Internet來實現這一點,同時還可以屏蔽企業資源。圖10:具有非員工訪問的企業在本例中,該組織還有一個會議中心,訪客可以在其中與員工進行交互。同樣,通過ZTA的SDP策略,員工設備和用戶是有區別的,可以分別訪問恰當的企業資源。進入校園的訪客可以訪問Internet,但不能訪問企業資源。它們甚至不能進行網絡掃描,以查找可能可見的企業服務(即阻止主動網絡偵察)。在這個用例中,PE和PA可以作為云服務或在LAN上托管(假設很少或根本沒有使用云托管服務)。企業系統可以安裝代理或通過門戶訪問資源。PA確保所有非企業系統(那些沒有安裝代理或無法連接到門戶的系統)不能訪問本地資源,但可以訪問Internet。4)跨企業協同第四個用例是跨企業協作。例如,有一個項目涉及企業A和企業B的員工(見圖11)。這兩個企業可以是獨立的聯邦機構(G2G),甚至是聯邦機構和私營企業(G2B)。企業A運行用于項目的數據庫,但必須允許企業B的某些成員訪問數據。企業A可以為企業B的員工設置專用賬戶,以訪問所需的數據并拒絕訪問所有其他資源。圖11:跨企業協作此場景可以類似于上面的用例1,因為兩個企業的員工可能不在其組織的網絡基礎設施上,并且他們需要訪問的資源可能在一個企業網絡內部或托管在云中。這意味著不需要復雜的防火墻規則或企業范圍的ACL,允許屬于企業B的某些IP地址訪問企業A中的資源。如何完成此訪問,取決于使用的技術。與用例1類似,PE和PA在理想情況下將作為云服務托管。企業B的員工可能會被要求在其系統上安裝軟件代理或通過Web代理網關訪問必要的數據資源。


七、與零信任架構相關的威脅

任何企業都不能完全消除網絡安全風險。當與現有的網絡安全政策和指南、身份和訪問管理、持續監測、一般的網絡衛生共用時,ZTA可以減少整體風險暴露和保護共同威脅。不過,ZTA也存在一些獨特的威脅風險。1)ZTA決策過程的受損在ZTA中,PE和PA組件是整個企業的關鍵組件。企業資源之間不會發生連接,除非經過PE和PA批準和可能的配置。這意味著必須正確配置和維護這些組件。任何具有PE規則的配置訪問權限的企業管理員,都可以執行未經批準的更改(或誤操作),這些更改可能會中斷企業運行。同樣,失陷的PA可能允許訪問未經批準的資源(例如,受損的個人擁有設備)。要緩解相關風險,必須正確配置和監控PE和PA組件,并且必須記錄任何配置更改并接受審計。2)拒絕服務或網絡中斷在ZTA中,PA是資源訪問的關鍵組件。未經PA的許可和可能的配置操作,企業資源不能相互連接。如果攻擊者中斷或拒絕對PEP或PA的訪問(即拒絕服務攻擊),則可能對企業操作造成不利影響。大多數企業可通過將策略強制駐留在云中或按照網絡彈性指南在多個位置備份,來緩解此威脅。3)內部威脅正確實施ZTA策略、信息安全和彈性策略、最佳實踐,可以降低內部攻擊的風險。ZTA確實可以防止失陷的賬戶或系統,訪問其正常權限之外或正常訪問模式之外的資源。為網絡訪問實施MFA還可以降低從失陷賬戶訪問的風險。但是,與傳統企業一樣,具有有效憑證的攻擊者(或惡意內部人員)可能仍然能夠訪問已授予賬戶訪問權限的資源。ZTA增強了對該攻擊的抵抗力,并防止任何失陷的賬戶或系統在整個網絡中橫向移動。此外,上下文TA比傳統網絡更容易檢測到此類攻擊并快速響應。上下文TA可以檢測出超出正常行為的訪問模式,并拒絕失陷賬戶(或內部威脅)訪問敏感資源。4)網絡可見性ZTA需要檢查并記錄網絡上的所有流量,并對其進行分析,以識別和應對針對企業的潛在攻擊。然而,如前所述,企業網絡上的一些(可能是大多數)流量對于網絡分析工具來說可能是不透明的。此流量可能來自非企業所有的系統(例如,使用企業基礎設施訪問Internet的外包服務)或抗被動監視的應用程序。企業無法執行DPI或檢查加密的通信,必須使用其他方法評估網絡上可能的攻擊者。這并不意味著企業無法分析它在網絡上看到的加密流量。企業可以收集有關加密流量的元數據,并使用這些元數據檢測網絡上可能存在的惡意軟件通信或活動攻擊者。機器學習技術可用于分析無法解密和檢查的流量。采用這種類型的機器學習,將允許企業將流量分類為有效的,或可能惡意并需要補救的。在ZTA部署中,只需要檢查來自非企業所有系統的流量,因為所有企業流量都經過了PA(通過PEP)的分析。5)網絡信息的存儲網絡流量分析的一個相關威脅是分析組件本身。如果存儲網絡流量和元數據以進行進一步分析,則該數據將成為攻擊者的目標。與網絡拓撲、配置文件和其他各種網絡架構文檔一樣,這些資源也應該受到保護。如果攻擊者能夠成功地訪問存儲的流量信息,則他們可能能夠深入了解網絡架構并識別資產以進行進一步的偵察和攻擊。ZT網絡上攻擊者的另一個偵察信息來源是用于編碼訪問策略的管理工具。與存儲的通信流量一樣,此組件包含對資源的訪問策略,可以向攻擊者提供最有價值的賬戶信息(例如,可以訪問所需數據資源的賬戶)。與所有有價值的企業數據一樣,應提供足夠的保護,以防止未經授權的訪問和訪問嘗試。由于這些資源對安全至關重要,因此它們應該具有最嚴格的訪問策略,并且只能從指定(或專用)管理員賬戶進行訪問。6)對專有數據格式的依賴ZTA依賴多個不同的數據源來做出訪問決策,包括關于請求用戶的信息、使用的系統、企業和外部情報、威脅分析等。通常,用于存儲和處理這些信息的系統在如何交互和交換信息方面沒有一個通用的、開放的標準。與DoS攻擊一樣,這種風險并非ZTA獨有,但由于ZTA嚴重依賴信息的動態訪問(企業和服務提供商雙方),中斷可能會影響企業的核心業務功能。為降低相關風險,企業應綜合考慮供應商安全控制、企業轉換成本、供應鏈風險管理等因素,對服務提供商進行評估。7)ZTA管理中非個人實體(NPE)的使用人工智能(AI)和其他基于軟件的代理正在部署,以管理企業網絡上的安全問題。這些組件需要與ZTA的管理組件(例如,PE、PA等)交互,有時代替了人工管理員。在實施ZTA策略的企業中,這些組件如何對自己進行身份驗證是一個開放性問題。假設大多數自動化技術系統在使用到資源組件的一個API時,將使用某種方式進行身份驗證。相關的風險是,攻擊者將能夠誘導或強制NPE代理執行某些攻擊者無權執行的任務。與人類用戶相比,軟件代理可能具有較低的認證標準(例如,API密鑰與MFA),以執行管理或安全相關任務。還有一個潛在的風險是,攻擊者可以在執行任務時訪問到軟件代理的憑證并模擬該代理。


八、零信任架構與現有聯邦指南有一些現有的聯邦政策和指南,與ZTA戰略的規劃、部署和運行相交叉。當與現有的網絡安全政策和指南、身份憑證和訪問管理(ICAM)、持續監測、通用的網絡衛生結合時,ZTA可以加強組織的安全姿態并防護共同威脅。筆者說明:由于此節內容所涉及到的美國各種政策指南,具有美國政府的特定性,且與理解零信任關系不大,故只摘錄簡要內容。1)ZTA和NIST風險管理框架ZTA部署涉及圍繞指定任務或業務流程的可接受風險,制定訪問策略。必須識別、評估和緩解與執行給定任務相關的風險。為此,NIST制定了風險管理框架(RMF)。ZTA的規劃和實施可能會改變企業定義的授權邊界。這是由于添加了新組件(例如,PE、PA和PEP)以及減少了對網絡外圍防御的依賴。RMF中描述的過程不會改變ZTA的網絡安全策略。2)ZTA和NIST隱私框架隱私和數據保護包括在FISMA和HIPAA等合規計劃中。而ZTA的核心要求之一是,企業應檢查并記錄其網絡上的所有流量。這包括盡可能對通信量進行解密以啟用檢查。某些流量可能包含私人信息或具有相關的隱私風險。NIST隱私框架有助于開發一個正式的流程,以識別和緩解ZTA網絡的任何隱私相關風險。3)ZTA和聯邦身份、憑證和訪問管理架構(FICAM)用戶配置是ZTA的關鍵組成部分。如果PE沒有足夠的信息來標識關聯的用戶和資源,則PE無法決策嘗試的連接是否應被授權連接到資源。在遷移到更為零信任的部署之前,需要制定強大的用戶配置和身份驗證策略。企業需要有一組清晰的用戶屬性和策略,PE可以使用這些屬性和策略來評估訪問請求。由于ZTA嚴重依賴于精確的身份管理,任何ZTA的努力都需要與機構的ICAM政策相結合。4)ZTA和可信Internet連接(TIC)TIC是由OMB、DHS和總務管理局(GSA)聯合管理的一項聯邦網絡安全計劃,旨在建立整個聯邦政府的網絡安全基線。TIC 3.0專注于基于網絡的安全保護,而ZTA則是一個更具包容性的架構,用于解決應用程序、用戶和數據保護問題。隨著TIC 3.0用例的發展,很可能會開發一個ZTA TIC用例,來定義將在ZTA強制實施點部署的網絡保護。5)ZTA和EINSTEIN(NCPS-國家網絡安全保護系統)NCPS(又名EINSTEN(愛因斯坦))是一個集成的體系,提供入侵檢測、高級分析、信息共享和入侵防御能力,以保護聯邦政府免受網絡威脅。NCPS的目標與零信任的首要目標一致,是管理網絡風險,改進網絡保護,并授權合作伙伴保護網絡空間。NCPS傳感器的部署基于聯邦政府的周界網絡防御,而零信任架構使保護更接近數據和資源。如果整個聯邦政府都采用ZTA,則NCPS的實施需要改進,或者需要部署新的能力來實現NCPS目標。6)ZTA和持續診斷和緩解(CDM)計劃國土安全部CDM計劃是一項旨在改善聯邦機構IT安全狀況的努力。這種態勢的關鍵是,機構要洞察機構內的系統、配置和用戶。有一個強大的CDM計劃是ZTA成功的關鍵。國土安全部CDM計劃已經啟動了幾項工作,以建立聯邦機構內所需的能力,從而轉向ZTA戰略。7)ZTA、云智能和聯邦數據戰略云智能6戰略、更新的數據中心優化計劃政策、聯邦數據戰略7等政策,要求機構清點和評估它們如何收集、存儲和訪問本地和云中的數據。該清單對于確定哪些業務流程和資源將從實施ZTA中受益至關重要。主要基于云或主要由遠程工作者使用的數據資源和應用程序,是ZTA方法的良好候選,因為用戶和資源都位于企業網絡周界之外。


九、遷移到零信任架構實施ZTA戰略是一個旅程,而非對基礎設施或流程的大規模替換。組織應該逐步實現零信任原則、流程變更、保護其最高價值數據資產的技術解決方案。企業如何遷移到ZTA戰略,取決于其當前的網絡安全態勢和運行情況。企業應該達到一個能力基線,包括為企業識別和編目資產、用戶和業務流程。企業在開發一系列ZTA候選業務流程和參與此流程的用戶/系統之前,需要此信息。1)純零信任架構可以從頭開始構建一個零信任架構網絡。假設企業知道所需使用的應用程序和工作流,那么它可以為這些工作流生成基于零信任策略原則的架構。一旦確定了工作流,企業就可以縮小所需組件的范圍,并開始映射各個組件的交互方式。從這一點上講,它是一個構建網絡基礎設施和配置組件的工程實踐。當然,組織的網絡通常不會是新建的。然而,有時一個組織可能會被要求履行一項新的職責,這將需要建立它自己的網絡基礎設施。在這種情況下,有可能在某種程度上引入ZT概念。例如,一個機構可能被賦予一項新的職責,即建立一個新的應用程序和數據庫。該機構可以圍繞ZT原則,設計新需要的基礎設施,例如在授予訪問權限之前評估用戶的信任,在新資源周圍部署微周界等。2)混合ZTA和傳統架構ZTA工作流與傳統企業架構的共存,可能會有一段時間。企業向ZTA方法的遷移,可以采取一次遷移一個業務流程的方式。企業需要確保公共元素(例如ID管理、設備管理、事件日志等)足夠靈活,以在ZTA和遺留混合安全架構中運行。企業架構師也可能希望將ZTA候選解決方案,限制為那些可以與現有組件接口連接的解決方案。3)將ZTA引入傳統架構網絡的步驟筆者說明:此小節內容是本篇中的關鍵,詳述了在傳統架構網絡中采取漸進方式逐步引入零信任架構的“七步走”部署策略。遷移到ZTA,需要組織對其資產(物理和虛擬)、用戶、業務流程有詳細的了解。當評估資源請求時,PE可以訪問這些知識。不完整的知識,通常會導致業務流程失敗,即PE由于信息不足而拒絕請求。在努力把ZTA帶到企業之前,應該對資產和用戶進行調查。這是在ZTA部署之前應該達到的基礎狀態。這些調查可以并行進行,但都與對組織業務流程的檢查有關。這些步驟可以映射到風險管理框架(RMF)中的步驟,因為向ZTA的任何轉移,都可以看作是降低機構業務職能風險的過程。通往ZTA的路徑如圖12所示。圖12:ZTA部署周期創建初始庫存清單后,將會有定期的維護和更新周期。此更新可能會更改業務流程或不產生任何影響,但應進行業務流程評估。例如,數字證書提供商中的變更,可能看起來沒有重大影響,但可能涉及證書根存儲管理、證書透明日志監視和其他起初不大明顯的因素。3.1)識別企業中的參與者為了ZTA網絡的運行,PE必須具備企業主體的知識。“主體”包括人和可能的非人實體(NPE),例如與資源交互的服務賬戶。具有特殊權限的用戶(如開發人員或系統管理員),在被分配屬性或角色時需要特別考慮。在傳統的安全架構中,這些賬戶可能具有訪問所有企業資源的總體權限。ZTA應該允許開發人員和管理員有足夠的靈活性,來滿足他們的業務需求,但同時要記錄和審核行為。3.2)識別企業擁有的資產ZTA的關鍵要求之一是識別和管理企業自有設備的能力。ZTA還要求能夠識別和監控可能在企業擁有的網絡基礎設施上或訪問企業資源的非企業擁有的設備。管理企業資產的能力是ZTA成功部署的關鍵。這包括硬件組件(例如筆記本電腦、電話、物聯網設備等)和數字化構件(例如用戶賬戶、應用程序、數字證書等)。這不僅僅是對企業資產數據庫進行編目和維護。這還包括配置管理和監視。觀察系統當前狀態的能力,是評估訪問請求過程的一部分。這意味著企業必須能夠配置、調查和更新企業系統,包括虛擬系統、容器等。這還包括其物理位置(最佳估計)和網絡位置。此信息應在做出資源訪問決策時通知給PE。非企業所有的資產也應盡可能地分類。這可能包括企業可見的任何內容(例如,MAC地址、網絡位置),并通過管理員數據輸入進行擴充。這些信息不僅用于訪問決策(因為合作者和BOYD系統可能需要聯系PEP),還用于企業的監控。許多聯邦機構已經開始了識別企業資產的任務。已經建立了CDM能力如硬件資產管理(HWAM)和軟件資產管理(SWAM)的機構,在制定ZTA戰略時有一套豐富的數據可供參考。各機構還可能有一份涉及高價值資產的ZTA候選流程清單,這些流程已被確定為機構任務的關鍵。3.3)識別關鍵流程并評估與執行流程相關的風險一個機構應該進行的第三項清查,是識別和排列該機構的業務流程(即任務)。業務流程應通知在何種情況下授予和拒絕資源訪問請求。企業在第一次過渡到ZTA時可能希望從低風險的業務流程開始,因為中斷可能不會對整個組織產生負面影響。一旦獲得了足夠的經驗,就可以選擇更關鍵的業務流程。利用基于云的資源或由遠程工作人員使用的業務流程,通常是ZTA的良好候選。這是因為客戶端和資源不在企業范圍內,這是ZTA相對于傳統企業網絡架構的主要優勢之一。企業客戶端可以直接請求云服務,而不是通過虛擬專用網(VPN)將企業邊界投射到云中或將客戶端帶入企業網絡。企業的PEP確保在將資源訪問權授予客戶機之前遵循企業策略。3.4)為ZTA候選制定策略識別候選應用程序或業務工作流的過程,取決于以下幾個因素:流程對組織的重要性、受影響的用戶組、工作流所用資源的當前狀態。基于資產或工作流風險的資產或工作流的價值,可以使用NIST風險管理框架進行評估。識別資產或工作流后,下一步是識別將受影響的用戶集。這可能會影響作為第一次遷移到ZTA的候選者的選擇。由企業用戶的已識別子集(例如,采購系統)所使用的應用程序,可以優先于對企業的整個用戶群至關重要的應用程序(例如,電子郵件)。然后,企業管理員需要為候選業務流程中使用的資源,確定一組準則(如果使用基于準則的TA)或信任分數權重(如果使用基于分數的TA)。管理員可能需要在優化階段對這些條件或值進行調整。這些調整是必要的,以確保策略有效,但又不妨礙對資源的必要訪問。3.5)確定候選解決方案一旦開發了一系列候選業務流程,企業架構師就可以編寫一系列候選解決方案。一些部署模型更適合于特定的工作流和當前的企業生態系統。而一些供應商解決方案比其他解決方案更適合于特定的用例。需要考慮的因素有:

  • 解決方案是否要求在客戶端系統上安裝組件?這可能會對那些使用了非企業擁有系統(如BYOD或跨機構協作)的業務流程產生限制。

  • 解決方案是否用于業務流程資源完全存在于企業內部的場景?一些解決方案假設請求的資源將駐留在云中(所謂的“南北”流量),而不是企業范圍內(“東西”流量)。候選業務流程資源的位置,將影響到該流程的候選解決方案和ZTA。

一種解決方案是將現有業務流程建模為試點計劃,而不僅僅是替換。這個試點計劃可以通用化,以應用于多個業務流程或特定于一個用例。3.6)初始部署和監測一旦選擇了候選工作流和ZTA組件,就可以開始初始部署。企業管理員必須使用選定的組件來實現已開發的策略,但首先可能希望使它們更為寬松。很少有企業策略集在第一次迭代中就是完整的:重要的用戶賬戶(例如,管理員賬戶)可能被拒絕訪問他們需要的資源,也可能不需要他們分配的所有訪問特權。新的ZT業務工作流可以在“僅報告模式”下運行一段時間,以確保策略的有效性和可操作性。“僅報告”意味著應為大多數請求授予訪問權限,并且應將連接的日志和蹤跡與最初制定的策略進行比較。基本策略,如拒絕掉MFA失敗的請求或出現在已知黑名單IP地址中的請求,都應該強制執行并記錄,但是在初始部署之后,訪問策略應該更寬松些,以收集ZT工作流實際交互的數據。如果無法以更寬松的方式運行,企業網絡運行人員應密切監視日志,并準備根據運行經驗修改訪問策略。3.7)擴展ZTA在工作流策略集獲得足夠的信任后,企業進入了穩定的運行階段。在此階段,企業管理員可以開始規劃ZT部署的下一階段。與上一次發布一樣,需要確定候選工作流和解決方案集,并開發初始策略。但是,如果工作流發生變更,則需要重新評估正在運行的ZT架構。對系統的重大變更,如新設備、軟件(特別是ZT邏輯組件)的重大更新、組織結構的變化,都可能導致工作流或策略的變更。例如,購買了新設備,但沒有創建新的用戶賬戶,因此需要更新設備資源清單。


附錄A:縮略語

(略)


附錄B:識別ZTA當前技術水平的差距對于零信任組件和解決方案的當前成熟度,在本文檔的背景研究期間進行了調查。以下是ZTA生態系統和需要進一步調查的區域中識別出的差距的總結。B.1 技術調查多個供應商受邀展示了他們關于零信任的產品和觀點。本次調查的目的是找出那些阻礙機構現在遷移到ZTA基礎設施或維護現有ZTA部署的遺漏部分。這些差距可分類為即時部署(即時或短期)、影響維護或運行的系統性差距(短期或中期)、知識缺失(未來研究領域)。表B-1總結了這些內容:表B-1:識別的差距匯總

分類問題示例識別的差距
立即性如何編制采購要求ZTA戰略如何與TIC、FISMA等結合。缺乏ZTA的通用框架和詞匯;認識到ZTA與現行政策的沖突;
系統性如何防止供應商鎖定;不同的ZTA環境如何相互作用;過于依賴供應商API;
研究領域面對ZTA,威脅將如何演變;面對ZTA,業務流程如何變化;采用ZTA的企業中,成功的入侵是什么樣的?采用ZTA的企業中的最終用戶體驗;


B.2 阻礙立即轉移至ZTA的差距這些都是目前阻礙ZTA戰略采用的問題。這些問題被歸類為“立即的”問題,并沒有考慮今后的維護或遷移。1)缺乏ZTA設計、規劃和采購的通用術語業界還沒有一套術語或概念來描述ZTA的組件和運行。這使得組織(如聯邦機構)很難為設計ZTA基礎設施和采購組件制定一致的要求和政策。2)關于ZTA與現有聯邦網絡安全政策沖突的認知有一種誤解,ZTA是一個單一框架,帶有一套解決方案,且與現有的網絡安全觀并不兼容。而實際上,零信任應該被視為當前網絡安全戰略的演變,因為許多概念和想法已經流傳了很長時間。聯邦機構已經被鼓勵,通過現有的指南,采取更加零信任的方法,來解決網絡安全問題。如果一個機構擁有成熟的ID管理系統和強大的CDM能力,那么它已經在通往ZTA戰略的路上。這一差距其實是源于對ZTA的誤解以及它是如何從以前的網絡安全范式演變而來的。B.3 影響ZTA的系統性差距這些差距影響了ZTA戰略的實施和部署,以及持續運營/成熟度。系統的差距是開放標準(由標準開發組織(SDO)或行業聯盟制定)可以發揮助力的領域。1)組件間接口的標準化組件內部的互操作性問題,不僅發生在采購的時候,而且會隨著時間推移。在更廣泛的零信任生態系統(ZTE)中,組件的范圍非常廣泛,許多產品專注于ZTE內部的單個市場,并依賴于其他產品來向另一個組件提供數據或某些服務(例如,為資源訪問而集成多因素認證(MFA))。供應商常常依賴合作伙伴公司提供的專有API,而不是標準化的、獨立于供應商的API來實現這種集成。這種方法的問題在于,這些API是專有的,由單個供應商控制。一旦供應商改變API的行為,將導致集成商需要更新他們的產品來響應。這進一步增加了供應商和消費者的負擔:供應商需要花費資源對其產品進行變更,當一個供應商對其專有API進行變更時,消費者需要對多個產品應用更新。2)解決過度依賴專有API的新興標準目前,有多種模式和解決方案,試圖建立ZTA的領導權威。這表明有機會開發一套開放的、標準化的協議(或框架),以幫助組織遷移到ZTA戰略。標準開發組織(SDO)如Internet工程任務組(IETF)已經指定了在交換威脅信息時可能有用的協議。云安全聯盟(CSA)已經為軟件定義邊界(SDP)開發了一個框架,該框架可能在ZTA中也很有用。B.4 ZTA的知識差距與未來研究方向此節列出的差距,并不妨礙組織為其企業采用ZTA戰略。這些是關于運行ZTA環境的知識的灰色區域。它們是未來研究人員的工作領域。1)攻擊者對ZTA的反擊對一個企業來說,一個正確實施的ZTA戰略相對于傳統的基于網絡邊界的安全而言,將改善其網絡安全態勢。ZTA的宗旨是減少對攻擊者的資源暴露,并在主機系統失陷時最小化(或防止)企業內部的橫向移動。然而,堅定的攻擊者不會坐視不管,而是會改變面對ZTA的行為。開放性的問題是攻擊將如何演變。一種可能性是,由于ZTA的主要原則之一是在訪問資源之前進行頻繁的身份驗證,因此旨在竊取憑證的攻擊(例如網絡釣魚、社會工程)可能會變得更加普遍。另一種可能性是,在混合型ZTA/遺留企業中,攻擊者將重點關注尚未應用ZTA原則的業務流程(即遵循傳統的基于網絡邊界的安全)——實際上,目標是最容易摘到的果子,試圖在ZTA業務流程中獲得一些立足點。隨著ZTA的更加成熟,實現了更多的部署,并獲得了經驗,ZTA相對于基于網絡邊界安全的舊方法的有效性將會變得顯而易見。此外,還需要制定ZTA相對于較老網絡安全策略的“成功”指標。2)ZTA環境中的用戶體驗對于最終用戶在使用ZTA戰略的企業中表現得如何,還沒有進行嚴格的審查。已有研究表明,用戶對MFA和其他安全操作的反應,被視為ZTA企業戰略的一部分。這項工作可以成為在企業中使用ZTA工作流時預測最終用戶體驗和行為的基礎。可以預測ZTA如何影響最終用戶體驗的一組研究,是MFA在企業中的使用和“安全疲勞”。安全疲勞是指最終用戶面對如此多的安全策略和挑戰,開始以負面方式影響其生產力的現象。一些用戶很容易接受MFA,如果這個過程是流暢的,并且涉及到他們習慣于使用或擁有的設備(例如,智能手機上的應用程序)。然而,有些用戶討厭在業務流程中使用個人擁有的設備,或者感到他們經常被監視以防對IT策略的可能觸犯。3)ZTA對企業和網絡中斷的適應能力對ZTA供應商生態系統的調查,顯示了企業部署ZTA戰略需要考慮的廣泛基礎設施。大多數被調查的產品和服務,都依賴于云的存在以提供健壯性,但眾所周知即使是云服務也會在在遭遇攻擊或簡單錯誤時變得不可用。當這種情況發生時,用于做出訪問決策的關鍵組件,可能無法訪問或無法與其他組件通信。例如,位于云中的PE和PA組件,可能在分布式拒絕服務(DDoS)攻擊期間可訪問,但可能無法訪問所有位于資源中的PEP。需要研究如何發現ZTA部署模型的可能“瓶頸”以及ZTA組件不可訪問或可訪問性有限時對網絡運行的影響。在采用ZTA戰略時,企業的運行連續性(COOP)計劃可能需要修訂。ZTA戰略使許多COOP因素變得更容易,因為遠程工作者可能與他們在本地擁有相同的資源訪問權限。然而,如果用戶沒有得到適當培訓而缺乏經驗,像MFA這樣的策略也可能產生負面影響。用戶可能會在突發情況下忘記(或無法訪問)令牌和企業設備,這將影響企業業務流程的速度和效率。


(全篇完)

免責聲明:本文系網絡轉載,版權歸原作者所有,如涉及版權,請聯系我們刪除,QQ:1138247081!

共有條評論 網友評論

驗證碼: 看不清楚?
    广东十一选五