作者:360企业安全集团副总裁 左英男
行业现状:近年来,新兴科技与金融业务的深度融合,使金融业态复杂多变,潜在的网络安全风险不容忽视。APT攻击、内部威胁等新型攻击手段也花样翻新,层出不穷,给数字时代的金融科技带来了严峻的挑战。在这样的背景下,零信任安全架构(ZeroTrustSecurity)逐渐浮出水面。Google基于零信任的企业安全架构改造项目,BeyondCorp的成功实施,更是引发了业界的高度关注。
为什么要引入零信任?数字时代的金融创新业务大多基于云和大数据平台构建,这种IT技术架构导致了业务和数据的集中,同时也造成了网络安全风险的集中。 在诸多网络安全风险中,数据安全风险是金融机构最关心的问题。 近年来,大型企业数据泄露事件屡见不鲜,其中也不乏大型的金融机构。对数据安全风险的担忧往往成为金融机构数字化转型的最大障碍。
据有关机构调查分析,内部人员威胁是造成企业数据泄露的第二大原因。企业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权限,一旦出现凭证丢失、权限滥用或非授权访问等问题,往往会导致企业的数据泄漏。 外部黑客攻击是造成企业数据泄露的第一大原因。 美国Verizon公司《2017年数据泄露报告》分析指出,攻击者渗透进企业的内网之后,并没有采用什么高明的手段窃取数据,81%的攻击者只是利用偷来的凭证或者“爆破”得到的弱口令,就轻而易举地获得了系统和数据的访问权限。
造成数据泄露的两大原因值得我们深入思考:企业的安全意识在不断提高,网络安全防护体系建设的投入也在不断加大,为什么类似数据泄露这样的安全事件并没有得到很好的遏制,反而有愈演愈烈的趋势?我们在企业网络安全体系建设上忽视了什么?
提到网络安全防护,人们第一时间会考虑如何对抗具体的威胁。例如,通过消费威胁情报构建积极防御能力,对抗高级威胁、APT攻击等。这些防护措施当然必不可少,而且必须随着威胁的升级持续演进。但是,在企业构建网络安全体系的过程中,人们往往忽视最基础的架构安全能力建设。 网络安全架构往往伴随IT技术架构的变革不断演进,而数字化转型的技术本质恰恰是IT技术架构的剧烈变革。 在新的IT技术架构下,传统的网络安全架构理念如果不能随需应变,自然会成为木桶最短的那块木板。
传统的网络安全架构理念是基于边界的安全架构。企业构建网络安全体系时,首先寻找安全边界,把网络划分为外网、内网、DMZ区等不同的区域,然后在边界上通过部署防火墙、WAF、IPS等网络安全产品/方案进行重重防护,构筑企业业务的数字护城河。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备和系统的信任,从而忽视内网安全措施的加强。于是,攻击者一旦突破企业的网络安全边界进入内网,常常会如入无人之境。
此外,云计算等的快速发展导致传统的内外网边界模糊,很难找到物理上的安全边界。企业自然无法基于传统的安全架构理念构筑安全基础设施,只能诉诸于更灵活的技术手段对动态变化的人、设备、系统进行识别、认证、访问控制和审计,以身份为中心的访问控制成为数字时代架构安全的第一道关口。 零信任安全架构正是拥抱了这种技术趋势,从而成为数字时代网络安全架构演进的必然选择。
零信任的技术方案与实践特点零信任架构重新评估和审视了传统的边界安全架构,并给出了新思路:应该假设网络自始至终充满外部和内部威胁,不能仅凭网络位置来评估信任;默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础;并且访问控制策略应该是动态的,基于设备和用户的多源环境数据计算得来。
零信任对访问控制进行了范式上的颠覆,引导网络安全架构从“网络中心化”走向“身份中心化”。从技术方案层面来看,零信任安全架构是借助现代身份管理技术实现对人、设备和系统的全面、动态、智能的访问控制。
图 零信任架构的技术方案
零信任架构的技术方案包含: 业务访问主体、业务访问代理和智能身份安全平台,三者之间的关系如上图所示。
业务访问主体:是业务请求的发起者,一般包括用户、设备和应用程序三类实体。在传统的安全方案中,这些实体一般单独进行认证和授权,但在零信任架构中,授权策略需要将这三类实体作为一个密不可分的整体来对待,这样可以极大地缓解凭证窃取等安全威胁。零信任架构落地实践中,常常将其简化为用户和设备的绑定关系。
业务访问代理:是业务访问数据平面的实际控制点,是强制访问控制的策略执行器。所有业务都隐藏在业务访问代理之后,只有完成设备和用户的认证,并且业务访问主体具备足够的权限,业务访问代理才对其开放业务资源,并建立起加密的业务访问数据通道。
智能身份平台:是零信任架构的安全控制平面。业务访问主体和业务访问代理分别通过与智能身份安全平台的交互,完成信任的评估和授权过程,并协商数据平面的安全配置参数。现代身份管理平台非常适合承担这一角色,完成身份认证、身份治理、动态授权和智能分析等任务。
零信任架构的技术实践具有以下特点。以身份为中心:零信任的本质是以身份为中心进行动态访问控制,全面身份化是实现零信任的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程,并进一步构筑动态访问控制体系,将安全边界延伸至身份实体。
持续身份认证:零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过持续认证进行信任评估。例如,通过持续地对用户访问业务的行为、操作习惯等进行分析、识别和验证,动态评估用户的信任度。
动态访问控制:传统的访问控制机制是宏观的二值逻辑,大多基于静态的授权规则、黑白名单等技术手段进行一次性的评估。零信任架构下的访问控制基于持续度量的思想,是一种微观判定逻辑,通过对业务访问主体的信任度、环境的风险进行持续度量并动态判定是否授权。主体的信任度评估可以依据采用的认证手段、设备的健康度、应用程序是否企业分发等等;环境的评估则可能包括访问时间、来源IP地址、来源地理位置、访问频度、设备相似性等各种时空因素。
智能身份分析:零信任架构提倡的持续认证、动态访问控制等特性会显著地增加管理开销,只有引入智能身份分析,提升管理的自动化水平,才能更好地实现零信任架构的落地。智能身份分析可以帮助我们实现自适应的访问控制,还能够对当前系统的权限、策略、角色进行分析,发现潜在的策略违规并触发工作流引擎进行自动或人工干预的策略调整,实现治理的闭环。
零信任架构在实践机制上拥抱灰度哲学,以安全与易用平衡的持续认证改进固化的一次性强认证,以基于风险和信任持续度量的动态授权替代简单的二值判定静态授权,以开放智能的身份治理优化封闭僵化的身份管理。
结束语基于零信任推动企业网络安全架构的重构应该上升到企业数字化转型的战略层面,与业务规划同步进行,并明确愿景和路线图,成立专门的组织,指派具有足够权限的负责人,才能保障零信任安全的落地和逐步实施。
金融机构通过实施零信任架构,可以构建“端到端”的、最小授权的业务动态访问控制机制,极大地收缩攻击面;采用智能身份分析技术,提升内外部攻击和身份欺诈的发现和响应能力。以此为保障,金融机构就能够安全地采用云、大数据和移动技术,提升业务的敏捷性;基于业务风险的有效管理框架,对合作伙伴开放敏感的业务和基础设施。
数字时代,零信任架构必将成为企业网络安全的新范式。金融机构应当开放心态,积极拥抱这种理念的变化,务实推动零信任架构的落地实践,为数字时代的金融科技和创新业务保驾护航。
本文节选自《金融电子化》2018年11月刊
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。