邊界信任及其弱點(diǎn)

邊界信任是現(xiàn)代網(wǎng)絡(luò)中最常見(jiàn)的傳統(tǒng)信任模型。所謂邊界信任就是明確什么是可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境，什么是不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境，并在這兩者之間建立“城墻”，從而保證不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境無(wú)法在攜帶威脅信息的情況下，訪問(wèn)到可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境的信息。

在企業(yè)應(yīng)用層面最常見(jiàn)的例子是將公司內(nèi)的網(wǎng)絡(luò)認(rèn)為是可信任的網(wǎng)絡(luò)環(huán)境，將公司外的網(wǎng)絡(luò)認(rèn)為是不可信任的網(wǎng)絡(luò)環(huán)境，再在這兩者之前建立防火墻服務(wù)，從而防止帶有威脅的外部請(qǐng)求獲取到公司的敏感信息。

典型的邊界信任模型架構(gòu)圖，其中認(rèn)為Internet為不可信任的區(qū)域，DMZ區(qū)域是類(lèi)似防火墻的區(qū)域，而Trusted與Privileged為信任區(qū)域，其中Privileged是特權(quán)管理賬號(hào)，從信任模型的角度來(lái)說(shuō)，一臺(tái)可信設(shè)備是否是Privileged，不影響對(duì)這臺(tái)設(shè)備是否“完全信任”其安全性。

隨著防火墻技術(shù)的發(fā)展，越來(lái)越多的威脅信息都可以被防火墻直接攔截，這使得邊界信任模型看起來(lái)完美無(wú)缺。但是，邊界信任模型存在一些致命弱點(diǎn)。

1) 如今的網(wǎng)絡(luò)攻擊的花樣層出不窮，攻擊方式變化非?？?。然而，由于將所有的“防護(hù)”都孤注一擲地依賴(lài)于防火墻，一旦有新的威脅形式超出防火墻的防護(hù)范圍，那么防火墻就形同虛設(shè)

2) 如果攻擊者使用了某些方法繞過(guò)了防火墻，比如，利用惡意郵件，直接進(jìn)入內(nèi)網(wǎng)

3) 無(wú)法識(shí)別可信設(shè)備對(duì)其他可信設(shè)備進(jìn)行攻擊的行為

零信任介紹

從邊界信任模型中存在的致命弱點(diǎn)中不難發(fā)現(xiàn)，所有的弱點(diǎn)，歸根到底都是對(duì)可信任設(shè)備與網(wǎng)絡(luò)環(huán)境的“過(guò)度信任”造成的。這種“過(guò)度信任”體現(xiàn)在以下兩個(gè)方面：

1)? 模型假設(shè)所有的可信設(shè)備的可信度都是相同的，即所有設(shè)備無(wú)論功能和狀態(tài)，只要認(rèn)為是可信的，就都是“完全信任”其安全性。

2)? 模型假設(shè)對(duì)所有可信設(shè)備的信任是永久的，全時(shí)段的。

顯然這種“過(guò)度信任”是非常危險(xiǎn)的，是一種對(duì)信任的濫用。基于對(duì)邊界信任的致命弱點(diǎn)的研究，“零信任”模型橫空出世。

相比于邊界信任模型中對(duì)信任設(shè)備及網(wǎng)絡(luò)區(qū)域的“過(guò)度信任”，“零信任”模型提出：在考慮敏感信息時(shí)，默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)中的任何設(shè)備和區(qū)域，而是應(yīng)該通過(guò)基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任體系，對(duì)訪問(wèn)進(jìn)行“信任授權(quán)”，并且這種授權(quán)和信任應(yīng)當(dāng)是動(dòng)態(tài)的，即“信任授權(quán)”應(yīng)當(dāng)基于訪問(wèn)實(shí)時(shí)地進(jìn)行評(píng)估與變換。

在構(gòu)建“零信任”模型的體系時(shí)，網(wǎng)絡(luò)專(zhuān)家們對(duì)該模型做了以下假設(shè)：

1) 網(wǎng)絡(luò)始終是暴露在危險(xiǎn)之中

2)? 無(wú)論外網(wǎng)或者內(nèi)網(wǎng)，危險(xiǎn)始終存在

3)? 不存在可信任的網(wǎng)絡(luò)區(qū)域，網(wǎng)絡(luò)區(qū)域不能作為判斷網(wǎng)絡(luò)可信的決定因素

4)? 所有設(shè)備，用戶和網(wǎng)絡(luò)流量在訪問(wèn)時(shí)都應(yīng)經(jīng)過(guò)認(rèn)證和授權(quán)

5)? 認(rèn)證和授權(quán)的策略必須是基于所有可能數(shù)據(jù)，并加以計(jì)算得到的

原文如下：

根據(jù)“零信任”模型的理念和假設(shè)，網(wǎng)絡(luò)專(zhuān)家們進(jìn)一步的給出了典型的“零信任”模型的架構(gòu)。?

在架構(gòu)中，支持“零信任”模型能正常運(yùn)行的核心是一個(gè)被稱(chēng)為Control Plane，即控制平臺(tái)的組件，在“零信任”模型中，所有訪問(wèn)敏感信息的請(qǐng)求都應(yīng)該先經(jīng)過(guò)控制平臺(tái)，由控制平臺(tái)對(duì)訪問(wèn)進(jìn)行評(píng)估，決定此次訪問(wèn)需要提供什么等級(jí)的認(rèn)證信息，再校驗(yàn)訪問(wèn)所攜帶的認(rèn)證信息是否達(dá)到標(biāo)準(zhǔn)，從而實(shí)現(xiàn)認(rèn)證，當(dāng)認(rèn)證成功后，再對(duì)訪問(wèn)進(jìn)行授權(quán)，若認(rèn)證失敗，則拒絕訪問(wèn)。

從模型設(shè)計(jì)上來(lái)探究邊界信任模型與“零信任”模型的區(qū)別時(shí)，我們不難發(fā)現(xiàn)，“零信任”模型是一種“信任細(xì)化”的設(shè)計(jì)，即摒棄了邊界信任模型“過(guò)度信任”的一刀切做法，采用對(duì)信任在訪問(wèn)維度，設(shè)備維度和時(shí)間維度的細(xì)化處理，再加上認(rèn)證和授權(quán)體系的動(dòng)態(tài)化，使得權(quán)限授權(quán)也是被細(xì)化處理的。

在如今社會(huì)，網(wǎng)絡(luò)攻擊的手段層出不窮的大背景下，“信任細(xì)化”是一種比較符合當(dāng)前安全防范需求的理念，也正是因?yàn)檫@樣，“零信任”模型是當(dāng)今與網(wǎng)絡(luò)訪問(wèn)相關(guān)的產(chǎn)品推薦使用的安全模型。

案例：Google?BeyondCorp

Google的員工規(guī)模龐大，員工和公司資源之間的交互方式多種多樣,Google每天都有幾萬(wàn)名員工在公司辦公區(qū)域之外的地點(diǎn)移動(dòng)辦公，而公司辦公區(qū)隨時(shí)也有成千上萬(wàn)名訪客的參觀。導(dǎo)致原先的邊界安全體系極其不穩(wěn)定。因此需要一種更先進(jìn)的基于用戶身份而非網(wǎng)絡(luò)位置的訪問(wèn)控制體系，用于控制對(duì)應(yīng)用、數(shù)據(jù)和服務(wù)的訪問(wèn)。

基于此，google投入4年多時(shí)間設(shè)計(jì)和迭代實(shí)現(xiàn)了一個(gè)相對(duì)穩(wěn)健的零信任的網(wǎng)絡(luò)模型Google?BeyondCorp，實(shí)現(xiàn)“讓所有Google員工從不受信任的網(wǎng)絡(luò)中不接入VPN就能順利工作”的目標(biāo)。

Google?BeyondCorp建立在以下3條原則下：

• 發(fā)起連接時(shí)所在的網(wǎng)絡(luò)不能決定用戶可以訪問(wèn)的服務(wù)。
• 服務(wù)訪問(wèn)權(quán)限的授予基于對(duì)用戶和用戶的設(shè)備的了解。
• 對(duì)服務(wù)的所有訪問(wèn)都必須通過(guò)身份驗(yàn)證、獲得授權(quán)并經(jīng)過(guò)加密。

下圖是BeyondCorp的核心組件和數(shù)據(jù)訪問(wèn)流。

圖：BeyondCorp的組件和訪問(wèn)流?

如上圖所示，BeyongCorp的整體邏輯是，首先用戶需要進(jìn)行身份認(rèn)證，身份認(rèn)證根據(jù)地點(diǎn)的不同使用不同的認(rèn)證方式。在大樓內(nèi)，用戶使用“RADIUS”進(jìn)行認(rèn)證；在公網(wǎng)，使用“SSO”方式進(jìn)行認(rèn)證。注意，這里的只是身份的認(rèn)證，不代表具有網(wǎng)絡(luò)或者資源的訪問(wèn)權(quán)限，訪問(wèn)權(quán)限的獲取需要授權(quán)，需要“訪問(wèn)控制引擎”賦予“訪問(wèn)代理”授權(quán)信息后獲取。

具體的授權(quán)過(guò)程，首先由“管道”將“用戶的設(shè)備狀況”、“用戶身份信息”、“證書(shū)狀況”、“信任評(píng)估結(jié)果”情況等信息告知“訪問(wèn)控制引擎”?！霸L問(wèn)控制引擎”根據(jù)這些信息進(jìn)行判斷，最終針對(duì)每個(gè)請(qǐng)求提供服務(wù)級(jí)別的授權(quán)，最后由“訪問(wèn)代理”根據(jù)授權(quán)結(jié)果進(jìn)行訪問(wèn)控制。

授權(quán)決策依據(jù)用戶，用戶所屬的組，設(shè)備證書(shū)以及設(shè)備清單數(shù)據(jù)庫(kù)中的信息。如有必要，訪問(wèn)控制引擎還可以實(shí)施基于位置的訪問(wèn)控制。

舉個(gè)例子，可以將bug跟蹤系統(tǒng)訪問(wèn)權(quán)限嚴(yán)格限制為使用受管理工程師設(shè)備的專(zhuān)職工程師，將財(cái)務(wù)應(yīng)用程序的訪問(wèn)權(quán)限限制為財(cái)務(wù)運(yùn)營(yíng)組中的全職和兼職員工，并且訪問(wèn)設(shè)備是受管理的非工程師設(shè)備。訪問(wèn)控制引擎還可以通過(guò)不同方式限制應(yīng)用程序的各個(gè)部分。例如，在bug跟蹤系統(tǒng)中查看條目可能比更新或搜索相同條目所需的訪問(wèn)控制嚴(yán)格。

google BeyondCorp的架構(gòu)如上所示，比較簡(jiǎn)單，實(shí)際在具體的落地和實(shí)施過(guò)程中，還是有很多讓人眼前一亮的細(xì)節(jié)。讀者如有興趣，可以在google reserch上找到BeyondCorp的幾篇文章。

零信任的一些問(wèn)題

最后，說(shuō)了零信任架構(gòu)這么多好。那么零信任模型又有什么缺點(diǎn)呢？要知道，任何一個(gè)新事物的、新概念的誕生總是伴隨著兩面性。

筆者認(rèn)為，零信任架構(gòu)的主要問(wèn)題，或者是實(shí)現(xiàn)中的主要困難、風(fēng)險(xiǎn)有如下幾點(diǎn)：

1、權(quán)限集中問(wèn)題，在零信任的架構(gòu)或者BeyondCorp的實(shí)踐中可以看到，所有的對(duì)訪問(wèn)資源的授權(quán)，均由訪問(wèn)控制引擎完成，一旦訪問(wèn)控制引擎出現(xiàn)問(wèn)題或者風(fēng)險(xiǎn)，無(wú)論是業(yè)務(wù)連續(xù)性（如接入代理的單點(diǎn)故障問(wèn)題）還是數(shù)據(jù)安全問(wèn)題，都會(huì)造成較大的影響。

2、實(shí)時(shí)性與控制精度之間的矛盾較大，因?yàn)樵诹阈湃蔚臋C(jī)構(gòu)中，要求實(shí)時(shí)校驗(yàn)、從不信任，需要實(shí)時(shí)的對(duì)通過(guò)認(rèn)證后的用戶行為進(jìn)行監(jiān)督，并動(dòng)態(tài)調(diào)整授權(quán)的范圍。對(duì)應(yīng)訪問(wèn)控制節(jié)點(diǎn)與訪問(wèn)控制引擎，又要做到實(shí)時(shí)控制，又要做到最小化權(quán)限的精準(zhǔn)度，這對(duì)訪問(wèn)控制節(jié)點(diǎn)和引擎的要求都較高，無(wú)論是算法、性能還是認(rèn)證邏輯方面都面臨比較大的挑戰(zhàn)。

3、數(shù)據(jù)處理的難度大，實(shí)施困難。零信任的成熟度如何，很大程度取決于對(duì)相關(guān)數(shù)據(jù)的收集、分析與處理能力。首先是對(duì)設(shè)備、用戶、應(yīng)用、歷史行為的各類(lèi)數(shù)據(jù)進(jìn)行收集，數(shù)據(jù)的來(lái)源分散，準(zhǔn)確性完整度格式化都是一個(gè)問(wèn)題。解決好數(shù)據(jù)收集、過(guò)濾、歸并、存儲(chǔ)的問(wèn)題后，如何有效的對(duì)這些數(shù)據(jù)進(jìn)行及時(shí)的處理，對(duì)訪問(wèn)控制策略引擎的算法和性能要求非常高。雖然google也提出了在前端進(jìn)行粗略的訪問(wèn)控制，并將精細(xì)化控制留給應(yīng)用。但筆者認(rèn)為即使讓?xiě)?yīng)用來(lái)做精細(xì)化的控制，最終的控制執(zhí)行也是需要讓“訪問(wèn)代理”模塊來(lái)做的，而且統(tǒng)一后端應(yīng)用與前端模塊之間的協(xié)調(diào)性，也是需要集中化的控制模塊的。

另外講一點(diǎn)題外話，感覺(jué)零信任的架構(gòu)思想，特別像之前在安全運(yùn)維中提得比較多的安全運(yùn)營(yíng)中心SOC，在SOC中，對(duì)各種安全設(shè)備、節(jié)點(diǎn)的多源異構(gòu)數(shù)據(jù)源產(chǎn)生的信息進(jìn)行收集、過(guò)濾、格式化、歸并、存儲(chǔ)，并提供了諸如模式匹配、風(fēng)險(xiǎn)分析、異常檢測(cè)等能力，對(duì)各種安全事件進(jìn)行分析、統(tǒng)計(jì)和關(guān)聯(lián)，并及時(shí)發(fā)布預(yù)警，提供快速響應(yīng)能力。

好處是集中化后，統(tǒng)計(jì)、分析、處理確實(shí)更精準(zhǔn)，更全面。問(wèn)題同樣是集中化帶來(lái)的數(shù)據(jù)處理難度、數(shù)據(jù)風(fēng)險(xiǎn)、單點(diǎn)故障、垃圾數(shù)據(jù)告警增多等問(wèn)題。

新人創(chuàng)作打卡挑戰(zhàn)賽發(fā)博客就能抽獎(jiǎng)！定制產(chǎn)品紅包拿不停！

總結(jié)

以上是生活随笔為你收集整理的边界信任模型，零信任模型的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。