“零信任”安全体系架构和实践

在一个万物互联的时代,全球数据量日益增加。在探索数据价值的同时,人们也打开了数据安全的潘多拉盒子。

一、为什么传统网络安全在数据安全时代开始失效?

尽管已经部署了全面的网络安全措施,但数据安全事件仍在继续发生。进入数据安全时代,那些以前有效的安全措施已经开始变得无效甚至无效。世界发生了什么变化?

1. 日益普及的互联网业务

互联网的快速发展打破了传统的时间和空间限制,使我们可以服务的人数无限。当然,互联网带来了无限数量的客户,也带来了无限数量的黑客。在大量黑客面前,任何微小的漏洞都可以被捕获,导致安全风险无限放大。特别是,两个基本假设的建立让我们不知所措:

2. 肆意泛滥的社交网络

随着移动互联网的兴起,社交网络经历了新的颠覆性变化。从电子邮件到QQ、微博、微信等。内部和外部网络已经完全开放,网络边界变得越来越模糊。每个人在社交网络上都有大量“最熟悉的陌生人”,他们可以在我们的信任下轻松进入我们的网络。

3. 无限提高的数据价值

从网络安全转变为数据安全的根本原因是数据价值的无限增长。在许多组织中,数据已经成为他们的核心财富,甚至是他们最大的财富,甚至有句谚语说“抢银行不如抢数据好”。在数据财富无限快速扩张的过程中,数据财富的管理没有发生任何本质的变化,基本上处于裸奔状态。因此,这些未受保护的数据财富不断诱惑企业的员工和合作伙伴犯错,黑客抓住他们。

在现实生活中,我们不会在客厅和广场等公共场所投入大量现金。我们总是谨慎地对这些财富采取多种保护措施,或者委托更专业的信贷机构(如银行)保管。然而,我们现在处理数据财富的方式就像把它放在客厅甚至广场上。在数据世界,我们还没有找到像银行这样的机构来保护我们的数据财富。

4. 数字世界和现实世界的镜像

随着数据价值的凸显,特别是人工智能的兴起,我们正在数字化和数字化现实社会中发生的一切。可以预测,在不久的将来,数据世界将很快成为现实世界的投影或镜像,现实生活中的抢劫和谋杀等犯罪将被映射成数字世界中的“数据破坏”。

二、从可信任验证体系走向“零信任”安全体系

1. 可信任验证和零信任体系并存的生活

人们大部分时间都生活在可信的验证系统中。每个人都可以自由处置自己的财富和其他物质。例如,我花钱买了一个杯子,可以用来喝茶或咖啡,或者让它闲置,或者把它当作垃圾处理掉。我有权处理这个杯子。在大多数生活场景中,我们用相似的方法来处理财富、商品甚至关系。

然而,当财富或物质的影响达到一定程度时,我们往往需要采取另一种形式来处理它。例如:一件无价的古董,虽然是你买的,但是你没有权利随意弄坏它;森林绿化,虽然山和森林是你的,但你没有权利随意砍伐。显然,当涉及到大规模利益和公共利益时,通常是另一种有效的机制:零信任机制。例如,战略情报、重大选举、法律法规的制定和多重认证(授权批准)都是基于零信任系统的操作机制,前提是没有人可以自然信任。

2. 传统IT系统中的可信任验证体系

传统的信息技术系统(如操作系统、数据库和其他类型的信息系统)几乎严格遵循类似于生活中可信验证的安全设计理念:每个人都有权处置自己拥有的一切。例如,在Oracle数据库中,模式帐户对存储在模式下的所有对象拥有任何处置权,可以随意查询、更新、删除和清除。作为整个数据库的所有者,数据库管理员帐户有权处置数据库中的所有对象。

这种处置理论似乎是正确的。如果你仔细想想,你会发现这种处置方法非常“荒谬”,在很大程度上取决于人性,即遵守法律法规的意识。数据库管理员只是管理数据库的人,而不是处理数据的人。就像仓库保管员一样,他只负责仓库的清洁、温湿度、安全等事项,但他无权处置仓库中的粮食和物资。模式帐户类似于仓库。数据和代码只需要存储在仓库中。仓库管理员无权处置仓库中的材料。

“零信任”安全体系架构和实践

尽管这种基于传统帐户的安全系统在相对可信的内部网环境中有很好的生存空间,但本质上存在概念上的混乱。这个系统很容易混淆账户和身份的区别。账户只是信息系统的登录证书和参考证书,而身份是现实生活中的人,两者基本上是分离的。在实际的数据库实践中,帐户不仅仅是存储为数据库对象的容器,而是身份。这种混乱最终模糊了生活中可信认证系统的核心身份。现代网络环境下的身份安全越来越差,这种模糊性最终导致传统网络安全系统的不连续性。

3. 走向零信任安全体系

迈向零信任安全系统主要由两个方面驱动:

三、“零信任”安全体系的基本原则

当数据构成我们的财富和核心竞争力时,传统的信任系统面临巨大挑战,无法满足用户数据安全的需求。我们需要建立一个零信任系统,以管理战略情报的思想来管理数据。

“零信任”安全体系架构和实践

零信任安全(或零信任网络、零信任架构、零信任)是约翰·金德瓦格在2010年首次提出的。2010年,美创科技还并行提出了零信任安全体系并付诸实施。它是世界上最早的零信任安全系统构建者和实践者。经过多年零信任实践,美创科技形成了一系列零信任安全体系的基本原则和实践原则。

在零信任安全系统的构建中,微软遵循四个基本原则:

1. 灯下黑

不被发现意味着不被攻击,尽管我们的业务和系统充满了各种安全漏洞。例如,隐形战斗机速度慢,防御差,但是他们被攻击的几率不高。在灯火管制下,放弃了对抗的传统观念,让我们免受黑客攻击。

2. 与狼共舞、带毒生存

在今天模糊的网络边界中,假设我们的网络总是被攻破,并且网络内部总是有“坏人”,我们需要确保在一个充满“坏人”的网络环境中,关键资产不会被破坏和泄露,关键业务不会受到影响。

3. 不阻断、无安全

入侵者或破坏者通常会在几秒到几分钟内损坏和影响关键资产和关键业务。除了几个专门机构外,大多数机构都无法对入侵作出快速反应。即使组织具有这种快速响应能力,其巨大的快速响应成本也超出了大多数组织的能力。我们需要在事件发生之前阻止其发生,并在不部署快速响应能力的情况下实现最大的安全性。

4. 知白守黑

如何识别“坏人”一直是传统网络安全的核心命题。我们使用累积的“坏人库”来描绘各种“坏人”的特征。不幸的是,大量的“坏人”仍然无法帮助我们更好地识别可能的“坏人”。知道白寿黑是从另一个角度看待“坏人”的,我们不是描绘“坏人”的特征,而是描绘“好人”的特征。不符合“好人”特征的是“坏人”。从商业的角度来看,“坏人”的特征是不能穷尽的,而“好人”的特征在特定的场景下是可以穷尽的。了解白色和保护黑色可以更好地确保数据安全和业务安全。

四、“零信任”安全体系的实践原则

1. 从保护目标开始,知道保护什么才谈得上安全

很难想象在不知道保护目标的情况下如何确保安全。当你不知道保护目标或者保护目标已知但无法描述时,你只能尽力识别可能的“坏人”,你只能进行全方位的一般性保护,或者针对假想的攻击进行基于场景的防御。

数据安全不同于网络安全。它定义了一个明确的保护目标:数据。每一条数据都有其固有的特征和行为,我们可以围绕这些特征和行为构建一个保护和防御系统。

2. 保护要由内而外,不是由外而内

当我们清楚地将数据定义为保护目标时,从内到外的保护成为我们的自然选择。离数据越近,保护措施就越有力。这是常识性的认知。从内部到外部的保护层都服务于相同的目的——,以更有效地保护数据安全。

3. 以身份为基础而不是以账户为基础

定义数据本身不是以帐户为基础访问的。帐户只是一个信息符号,是访问数据库、企业、操作系统等的证书。但不是访问数据的证书。我们总是将数据访问定义为尽可能接近一个人的真实身份,定义一个人或一个身份可以访问特定的数据。或者定义表示身份的特定规则可以访问特定数据。

4. 知白守黑,从正常行为和特征来推断安全

当我们定义保护目标的数据时,我们发现访问数据的正常行为可以被定义和耗尽。因此,访问定义详尽列表之外的所有访问都是不规则和不安全的。此外,通过对历史访问行为的研究,可以表征正常访问的特征。不符合正常访问特征的访问行为是不规则和不安全的。

5. 消除特权账户

消除特权帐户是建立零信任安全系统的先决条件。引入多方联动监督约束机制是零信任安全的基本实践。

“零信任”安全体系架构和实践

极牛网精选文章《“零信任”安全体系架构和实践》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4998.html

(38)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年7月30日 下午4:16
下一篇 2019年8月1日 下午2:27

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部