零信任關鍵技術白皮書2023

100010101101101版權聲明本報告版權屬于江蘇易安聯網絡技術有限公司與云計算開源產業(yè)聯盟。轉載、摘編其相關責任。公司目錄目錄前言發(fā)展概況零信任起源與發(fā)展零信任的基本原則設零信任關鍵技術全景全面建設零信任概述全面建設零信任關鍵技術1設零信任實施指南全面建設零信任參考架構7全面建設零信任典型實踐全面建設零信任落地場景束語附錄編制單位介紹零信任關鍵技術白皮書前言臻成通過位的零信任關鍵技術白皮書零信任發(fā)展概況 業(yè)務訪問需求復雜化，使得企業(yè)原有的網絡邊界逐漸模糊；二是遠程辦公、自有設備 BYOD加了數據泄露的風險；三是內部橫向移動、APT攻擊、勒索軟件等網絡攻擊手應對各種合作伙伴、客戶和員工提供多樣化的網絡接入和服務訪問。方案的探索。2010年，Forrester的首席分析師JohnKindervag正式提出零信任概念 的橫向移動。體系演變。2014年，谷歌通過一系列論文介紹了BeyondCorp的設計思路和落地方案， 零信任關鍵技術白皮書零信任發(fā)展概況N置的所有用戶均能安全地訪問企業(yè)業(yè)務。任零信任關鍵技術白皮書零信任發(fā)展概況任假。 權限原則； 當被記錄和跟蹤。方向已經從企業(yè)網絡基礎架構發(fā)展為企業(yè)業(yè)務訪問安全架構，提供了旨在消除訪問決策不確定性的一系列概念和組件，進一步細化明確了零信任架構設計的前提假設和基本原NIST為代表的安全框一些 均存在無法避免的各種安全威脅； (2)從訪問過程的組成維度來看，參與訪問過程的所有對象默認都不可信任，包括用 、零信任關鍵技術白皮書零信任發(fā)展概況 (2)業(yè)務、資源訪問所依賴的通信機制必須滿足相應的安全要求(身份鑒別、機密性、 予其最小訪問權限(遵循最小權限原則)； (4)對資源的訪問授權是通過動態(tài)策略決定的，影響策略判決結果的因素包括用戶身 (5)企業(yè)持續(xù)監(jiān)控和測量所有IT資產的安全狀態(tài)，以便對處于不同安全態(tài)勢下的資同的安全策略； IT、訪問請求的元數據)，以便態(tài)勢。最大限度地收斂暴露面和失陷范圍?！皩崟r上下文”是零信任的實現基礎，由業(yè)務訪問過程中，所有可能影響業(yè)務安全的級零信任關鍵技術白皮書零信任發(fā)展概況圍內的所有數字資產均面臨威脅，需要對它們實施最大范圍、基于風險的全過程訪問控展策略的部署來加以保證，以確保兼顧來自風險管通過實時上下文和持續(xù)驗證的統一協同，零信任限制了用戶身份憑據的使用范圍和圖1全面建設零信任概念會話建立動態(tài)訪問控制會話建立動態(tài)訪問控制身份認證會話建立業(yè)務通信會話關閉零信任關鍵技術白皮書全面建設零信任關鍵技術全景PAPART 企業(yè)全面建設零信任的目的是為了提升業(yè)務資源訪問的速度與安全性，企業(yè)需要建基礎設施，形成對企業(yè)資源的全方位保護。零信任架構通過提供自適應的持續(xù)保護和主動威脅管理，為用戶、設備和應用建立多層級的測與響應。技技術與編排與認證零信任關鍵技術白皮書全面建設零信任關鍵技術全景 (3)網絡：訪問主體與資源間各中間節(jié)點構成的物理或邏輯通道。 (1)身份認證：訪問關聯實體進行身份認證； (3)業(yè)務通信：用戶通過安全鏈路訪問業(yè)務資源； )會話終止：主客體之間關閉訪問會話。： 應用服務等。授權決策不僅僅基于網絡位置、用戶角色或屬性等傳統靜態(tài)訪問控制模型，零信任關鍵技術白皮書全面建設零信任關鍵技術全景圖2全面建設零信任技術圖譜 自動響應與可視化。1.可信身份與認證份零信任關鍵技術白皮書全面建設零信任關鍵技術全景的關鍵技術如圖3所示。圖3零信任架構中可信身份關鍵技術 用戶數字身份由用戶屬性、行為、生物特征等標簽共同組成，用戶的可信正建立在對數字身份認證的基礎之上，用戶通過動態(tài)口令、人臉識別、指紋識別以及認證令牌等方式完成身份認證。零信任架構中的身份認證是一個持續(xù)驗證的過程，首先在建立連接之前先執(zhí)行身份認證，只有經過驗證的最終用戶才能訪問資源；其次，在訪問的整個生命周期中持續(xù)進行身份驗證，以確定每個訪問請求的身份和安全狀況；同時，訪問控制引擎結合用予對資源的最小訪問權限。零信任通過自適應的、基于風險的評估來識別潛在威脅，做到精細化的權限控制，減少因身份憑證被盜或泄露所帶來的潛在威脅，該評估機制會貫穿整個用戶生命周期。 數字設備身份由客戶端設備信息、訪問時間、入網位置等標簽共同組成。零信任架構中，設備的可信主要通過對設備的安全性進行持續(xù)檢查和發(fā)現來實現。一方面，根據預先收集的設備信息對設備的訪問行為賦予初始權限策略；另一方面持續(xù)監(jiān)控設備行為，對于零信任關鍵技術白皮書全面建設零信任關鍵技術全景存儲的信息校驗登錄設備信息以及證書有效性，判斷是否為可信設備；其次，可信設備管理將持續(xù)、自動化地識別、記錄和跟蹤組織內不同類型設備資產及對應屬性，為設備動態(tài)屬性及上下文環(huán)境，完成對設備的動態(tài)認證與授權；最后，零信任架構將持續(xù)對所有接入設備進行威脅檢測與響應，同時，信任評估引擎將持續(xù)驗證設備相關配置策略，并針對不符合配置基線的設備執(zhí)行修復操作?？尚旁O備的重點在于持續(xù)對每個訪問企業(yè)資源的設 零信任架構默認不信任訪問主體的身份，在單次會話全生命周期中持續(xù)驗證訪問主因子，自適應SSO和MFA可在不影響用戶體驗的同時增加訪問安全性。SSO單點登錄允許用戶通過一組登錄憑證訪問多個相關的應用程序和服務。為了降低多個應用程序依賴于同一組登錄憑證的風險，通常需要對SSO使用自適應認證。如果用戶在嘗試通過SSO登錄時或在其SSO認證會話期間表現出異常行為，如通過無法識別的VPN進行連接、訪問用戶會話認證令牌未涵蓋的應用程序或數據等，SSOMFA的多種非密碼認證因子，降低密碼泄露帶來的潛在安全隱患。2.數據隔離保護 數據沙箱可以為員工提供可信的終端工作環(huán)境，如圖4所示，支持多域多安全級別的零信任關鍵技術白皮書全面建設零信任關鍵技術全景能在安全工作域內訪問業(yè)務資源；二是工作空間全生命周圖4終端沙箱的安全能力數據沙箱使用內存映射技術，為每個進程創(chuàng)造一個單獨的地址空間，用以隔離多個進程的代碼和數據，通過內核空間和用戶空間不同的特權級來隔離操作系統和用戶進程的代碼和數據。關鍵隔離技術包括：文件隔離?隔離宿主機與空間文件系統；剪切板隔離?隔離剪切板的數據通道；網絡隔離?隔離應用訪問通道；注冊表隔離?隔離應用系統配置；進程通信隔離?隔離進程避免數據逃逸。零信任關鍵技術白皮書全面建設零信任關鍵技術全景 微隔離技術主要實現工作負載間的安全隔離，按邏輯將數據中心網絡劃分為不同安 遠程瀏覽器隔離(RBI)是一種訪問會話隔離技術，將瀏覽器執(zhí)行從用戶設備轉移到云只3.動態(tài)訪問控制 訪問控制是通過某種途徑顯式地準許或限制主體對客體訪問能力及范圍的一種方基于角色的訪問控制(RBAC)和基于屬性的訪問控制(ABAC)，同時也存在兩者結合的授權方零信任關鍵技術白皮書全面建設零信任關鍵技術全景問主體 信任評估引擎是零信任架構中實現持續(xù)信任評估能力的核心組件，持續(xù)信任評估是圖5零信任動態(tài)訪問控制的核心功能是對零信任關鍵技術白皮書全面建設零信任關鍵技術全景為動態(tài)訪問控制提供有效輸入；二是對訪問主體訪問上下文行為分析的評估，結合訪問 策略統一編排實現網絡安全設備內部安全策略可視化編排和可視化監(jiān)控運行，借助中其中，策略規(guī)則用于描述策略匹配的具體條件；策略優(yōu)先級用于定義策略執(zhí)行的先后順序；策略動作標識滿足策略規(guī)則之后所采取的動作。通常，，濾策略等。通過策略鏈，安全運維人員可更便捷地查看安全策略配置以及安全策略的執(zhí) 化響應與處置零信任架構下，基于風險驅動和上下文感知的自動化安全響應能夠識別行為的不一零信任關鍵技術白皮書全面建設零信任關鍵技術全景全響應與處置。安全編排是將企業(yè)不同安全技術按照一定的邏輯關系組合到一起，以實現安全響應與處置流程的自動化，在此過程中，企業(yè)需要簡化安全堆棧，消除不必要與重復 可視化分析零信任架構需要支持最新的外部合規(guī)審計要求，結合自身行業(yè)、業(yè)務特點制定信息安全管理體系，對用戶操作行為進行審計，并將審計信息上傳至零信任控制中心，零信任控制中心通過對信息進行統計分析，得出用戶安全訪問基線、設備安全訪問基線和服務間流量安全基線。零信任控制中心將監(jiān)視、記錄、關聯分析網絡中的每個活動，對可疑行為展開時空線用戶異常訪問行為直觀展示，幫助安全運營人員更直觀、全面地了解訪問主體的安全狀態(tài)零信任關鍵技術白皮書全面建設零信任實施指南PARPART不同點和應用場景，并對每種架構的關鍵技術能力進行分 1.NIST零信任架構 以及組件關系(架構)，旨在消除在信息系統和服務中執(zhí)行準確訪問決策的不確定性”。零境和網絡基礎設施等組件。傳統的企業(yè)網絡安全解決方案只關注外圍防御，導致對內部用戶開放了過多的訪問權限，而零信任的主要目標是提供基于身份的細粒度訪問控制，以應對日益嚴峻的橫向移動風險。零信任關鍵技術白皮書全面建設零信任實施指南圖6給出了NIST的零信任架構示意圖，各邏輯組件使用獨立的控制層面進行通信，應用數據則在數據層面進行通信。a)策略決策點(PDP)PAPE負責決定是否授予主體對資源(訪問客體)的訪問權限，使用來自外部信息源(例對該資源的訪問。PA根據PE的決策結果向PEP下達控制指令，建立和/或切斷主體與資源之間的訪b)策略執(zhí)行點(PEP)t除了企業(yè)中實現ZTA策略的核心組件之外，其它多個數據源也可以提供輸入和策略規(guī)則，以供策略引擎在做出訪問決策時使用。這些數據源包括本地數據源和外部(即非企零信任關鍵技術白皮書全面建設零信任實施指南a)持續(xù)診斷和緩解系統該系統收集關于企業(yè)資產當前狀態(tài)的信息，并對配置和軟件組件應用進行更新。企業(yè)CDM序是否打過補丁、企業(yè)準入軟件/組件的完整性狀態(tài)、是否存在已知漏洞或未經批準的組CDM該系統確保企業(yè)遵守相關監(jiān)管制度(如醫(yī)療或金融行業(yè)信息安全要求HIPAA、擎做出訪問決策。一組與企業(yè)數據資源訪問相關的屬性、規(guī)則和策略集合。這些策略是授予對資源訪問權限的規(guī)則條件，為企業(yè)中的參與者和應用/服務提供了基本的訪問特權。e施此系統負責生成和簽發(fā)由資源、主體、服務和應用程序使用的數字證書，并將其記錄該系統負責創(chuàng)建、存儲和管理企業(yè)用戶賬戶和身份記錄，包含必要的用戶信息(如姓g)安全信息和事件管理系統(SIEM)該系統聚合系統日志、網絡流量、資源授權等事件信息，以供策略優(yōu)化和潛在威脅的零信任關鍵技術白皮書全面建設零信任實施指南 等信息，保證用戶的身份可信；持續(xù)診斷和緩解系統、數據訪問策略負責收集關于企業(yè)資產當前狀態(tài)的信息，并對配置和軟件組件應用進行更新，威脅情報源、安全信息和事件管理系統負責收集各類威脅數據和安全事件數據，保證設備和環(huán)境可信。態(tài)訪問控制技術方面，NIST架構中的PEP將訪問主體和訪問客體分隔。作為訪問主體側的用戶想獲取作為訪問客體的數據資源，必須通過PEP進入。零信任要求對用戶的當上述輸入的數據產生變化時，評估結果隨之變化，PE將新的評估全事件。2.CSA軟件定義邊界架構 機和接受主機。圖7CSASDP架構零信任關鍵技術白皮書全面建設零信任實施指南S主機可以細分為兩類：發(fā)起主機或接受主機。發(fā)起主機(IH)與控制器通信以請求它們可 SDP夠實現基于用戶自定義控制的網絡微隔離。通過SDP夠抵御基于網絡的攻擊，并通過動態(tài)創(chuàng)建和刪除訪問規(guī)則(出站和入站)來啟用對受保護H零信任關鍵技術白皮書全面建設零信任實施指南訪問的執(zhí)行情況，并把這些日志上報給SDP控制器。一方面SDP控制器將對日志分析結 1.谷歌BeyondCorp項目 能證、授權和加密。零信任關鍵技術白皮書全面建設零信任實施指南BeyondCorp員工訪問控制引擎是集中化策略編排和下發(fā)的核心組件，用來確保網關正確地實施安全評估引擎是一個持續(xù)分析、評估設備安全狀態(tài)的系統。系統設置設備可訪問的最大信任層或更新失敗會觸發(fā)重新評估。源(如SSH服務、Web代理、802.1x網絡)，網關提供授權(如分配最低信任層、分配資源都與訪問所需的最低信任級別相關聯。 零信任關鍵技術白皮書全面建設零信任實施指南HR系統將需要訪問企業(yè)網絡和應用的用戶的所有相關信息都提供給BeyondCorp。在動態(tài)訪問控制方面，訪問代理中的訪問控制引擎，基于每個訪問請求，為企業(yè)應用提供服務級的細粒度授權。授權判定基于用戶、用戶所屬的群組、設備證書以及設備清單的設備屬性進行綜合計算，動態(tài)決策每個訪問的權限。在終端的網絡隔離方面，BeyondCorp項目將所有辦公設備默認分配到一個無特權網絡中，避免直接接入內部業(yè)務網絡，并在內網中構建了一個與外網環(huán)境類似、且只能訪問無特權網絡和谷歌網絡的其他部分之間由嚴格管理的ACL(訪問控制列表)進行控制。 SaaS原生安全控制、物聯網與運營管理，信息保護等功能上進行細化和落地。該架構在假定出現了信息泄露的情況下，對所有訪問請求進行驗證，無論該請求出自何處、要訪問什么資源，以保護位于任何位置的微軟零信任安全架構的核心是安全策略的統一部署執(zhí)行，安全策略引擎提供實時的策略評估與決策。該引擎通過對身份、設備、組織策略和威脅情報的分析綜合決策訪問的設備的安全性。零信任關鍵技術白皮書全面建設零信任實施指南圖9微軟零信任架構示意圖 從可信身份與認證技術方面來看，在微軟零信任架構下，用戶若想要訪問到目標資源，首先要收集身份、設備的安全態(tài)勢信息(風險判定)。身份信息方面，通過AzureAD監(jiān)控和分析網絡中的用戶活動和信息。使用基于非對稱密鑰的用戶身份驗證(無密碼方P零全面建設零信任實施指南據到進行SIEM的分析是不夠的，因為采集的數據缺少檢測、缺少一致性的語言定義。為 1.遠程辦公場景N圖10零信任遠程辦公場景零信任關鍵技術白皮書全面建設零信任實施指南基于SDP的零信任解決方案可以更好解決遠程辦公場景下的安全問題，一是基于方面，通過多因子認證、社交化賬號接入和設備清單關聯，確保只有身份可信的用戶使用清單內的設備才能訪問。APP等多種訪問方式；另一方面，可為管理員提供多維度的用戶行為分析和應用訪2.數據防護場景由邏零信任關鍵技術白皮書全面建設零信任實施指南圖11數據安全場景任在終端數據安全方面的能力，另一方面和零信任的自適應動態(tài)策略和細粒度權限管控零信任策略中心可以集成多安全產品，提供完整的用戶行為審計和終端安全分析，通過零信任自適應動態(tài)策略管控和安全工作空間終端數據安全的融據在加密隧道應最小權限數據管控。零信任關鍵技術白皮書結束語PAPART零信任理念從提出至今，歷時十八載(2004年開始)?從早期耶利哥論壇對企業(yè)“去邊界化”網絡安全解決方案的探索，到2010年零信任概念(ZeroTrust)正式提出，到基于零信任理念的企業(yè)安全架構