安全运营视角 | 安全思维模型解读谷歌零信任安全架构

2019-01-07 55915人围观 ,发现 3 个不明物体 网络安全

前言

本篇是安全思维模型解读谷歌零信任安全架构系列文章的第二篇,最后一篇也将尽快推出。

第一篇:安全设计视角解读 BeyondCorp项目

本篇:安全运营视角解读 BeyondCorp项目;

第三篇:安全产业视角解读零信任安全体系的落地。

BeyondCorp项目的迁移部署

Google公司BeyondCorp项目迁移部署过程,整个工作大概分为这六个部分,包括认同与沟通,项目团队组建,切确定迁移策略,业务和访问数据的收集,自动化迁移以及特殊用户场景的处理。因为整个迁移部署过程是迭代、增量和不断优化调整的过程。下面我们对于这六大部分逐一来看。

图片1.png

1.认同与沟通

BeyondCorp项目,它涉及到旧有安全体系转移到一个全新的安全体系,涉及到的层面多,动静大,时间长,因此得到企业管理高层的认同和许可特别重要。

项目的动机:减少成功网络攻击所造成的危害,同时保持生产力,就这一点要与公司的高层以及其他干系人保持充分的理解一致,才能保证这个项目顺利进行,这是整个项目执行过程当中的关键。

2.项目团队的组建

在整个项目过程当中,必须要争取到关键领域负责人的支持,包括安全、身份管理、网络、访问控制、客户端和服务平台软件,关键业务应用程序,以及任何第三方合作伙伴,或者it外包项目的负责人。应该梳理和确定各个领域专家,获得其承诺,确保他们的投入时间和精力。有了这样的一个虚拟的项目团队,那才能保证项目协调落地执行。

3.确定迁移策略

BeyondCorp项目迁移策略其实是经历了一个变化的一个过程,之前的一个迁移策略是从特权网络逐渐的阻止或限制服务特权来完成。但是最终没有选择这样一个策略,而是在整个网络当中新建一个非特权网络(MNP-VLAN)。然后把特权网络的终端逐步的向非特权网络迁移。这已经好比城市搬迁改造,这次是建一个新城,然后把居民、企业、相关机构等逐步迁入新城,而不是在原有的老城进行改造,这样搬迁改造的难度就会低很多。

4.业务和访问数据的收集

业务和访问数据的收集是事关整个这个项目迁移当中的一个重中之重,也是迁移能否成功的关键。只有识别用户访问的业务需求,才能够去确定这个用户到底如何进行迁移,使用了网络访问控制。使用网络ACL仿真器识别和收集用户的访问信息以及识别应用程序,确定哪些应用程序不符合迁移的要求,需进行必要的改造。

14.png

5.自动化的迁移

有了前一个阶段业务和访问数据收集这样的一个基础性的一个工作,使得整个迁移工作使得整个自动化的迁移就有了依据。并且用户通过网络ACL仿真器的测试验证,达到以成功为目标的迁移。另外,良好的用户体验设计,包括失败的反馈和自助服务能够快速帮助用户在迁移过程碰到的问题,而且也大大降低的迁移小组的技术支持工作量。下图是Google大楼特权网络用户的自动化迁移过程:

11.png

出差在外的vpn用户的自动化迁移也基本类似,如下图所示:

1.png

6.特殊用户场景

针对一些强制的门户验证、访问家庭本地的网络设备等等这样的一些用户场景,进行特殊的处理。另外一个针对一些非http协议的一些应用进行改造,通过使用http协议进行封装改造原有的应用。比方说SSH,远程桌面访问等。

几个相关安全思维模型

思维模型一:安全是一把手工程,网络安全应保证核心业务需求

这样一个思维模型,其本质要求企业网络安全唯有自上而下才能保障企业的每个人都参与进来,保证安全的相关的资源能够得以到位。

2.png

公司高层以及其他干系人,就企业网络安全的动机:减少成功攻击所带来的危害,同时保障生产力都已达成相对广泛的共识。并且企业的安全团队已在重点参与、理解并持续输出安全能力,保障企业核心业务的安全需求。

思维模型二:安全分层模型

安全分层要求层内紧内聚,层间松耦合,某层的改变不影响其他层。分层思维是广泛使用的一种基本方法论,我们熟知的iso网络参考七层模型就是典型的分层思维模型。通过分层,分解了复杂问题,同时又保障问题之间的相对独立。

思维模型三:自适应信任访问与风险防护安全模型

自适应信任访问与风险防护,出自自适应安全框架(ASA,Adaptive Security Architecture),自适应安全框架(ASA)是Gartner于2014年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。

3.png

2017年的时候,Gartner又提出了一个全新的安全战略方法:CARTA(Continuous Adaptive Risk and Trust Assessment)持续自适应风险与信任评估,强调要持续地和自适应地对风险和信任两个要素进行评估:

1.信任是企业访问授权评判的新依据,持续的信任评估意味着动态授权;

2.风险是企业安全防御的出发点,持续的风险评估意味着安全默认非信任;

并且,Gartner在CARTA安全战略方法中提出自适应的访问架构和纵深安全分析这两点。可以看得出来,Google BeyondCorp项目的成功影响了Gartner这个方法论的提出。Google那5篇文章BeyondCorp项目论文,估计Gartner 的分析师也是好好拜读过。自适应信任访问与风险防护模型,仍然是包括预测、防御、检测和响应四块循环内容,中心点仍持续的监控与分析。

这个思维模型概括起来

1.访问是基于信任的动态访问;

2.防御是基于风险的纵深防御;

3.检测是基于数据的纵深安全分析;

4.响应是基于自动化手段的快速响应;

5.预测是基于威胁情报的攻击预测。

我们可以看到在整个模型当中有两点特别需要强调的:

1.自适应的访问架构;

2.纵深安全分析;

自适应访问的架构,指对企业内部应用资源的访问应当根据访问者自身的信任状况,所用访问终端(笔记本电脑或智能手机)的安全状况等能够根据策略自动调整访问路径以及访问等级, 这种访问需要一些新的网络基础设施的支持。

纵深安全分析,Gartner的一种非常响亮的提法,可以想象这个提法应该对应与纵深防御。纵深安全分析要对IT设施包括终端、应用、网络、存储,操作系统,数据库等等每个纵深所产生的大量数据进行分析研判,动态的去进行风险和信任评估,同时还要将不同纵深的数据进行融合关联分析。

思维模型四:PDR模型

本篇中最后一个安全思维模型,PDR(Prevent,Detect,Response)模型,实际上是网络安全非常早的一个经典模型,也是一个非常典型和经典的这样一个模型。

Gartner提出的自适应防御的安全模型也是在PDR模型基础上不断演化出来的。

4.png

我们来看PDR模型,其核心思想:网络安全是一个时间问题,Et = Dt + Rt –Pt,其中:

1.Et是暴露在攻击下的时间;

2.Pt使系统扛住外部攻击的时间,或者说攻击者成功渗透的整个的时间;

3.Dt是检测时间,也就是安全检测系统发现攻击的所需要的时间;

4.Rt是响应时间是攻击发现了到攻击路径被切断,攻击被中止,整个这样的一个这个时间。

看这个模型给我们带来的启示是什么呢?为了减少成功攻击的危害,同时保障生产力,需要最小化的暴露时间。这意味着:

1.防御强度既定,且攻击能力未知的情况下面,为了减少成功攻击的危害,需不断提升响应的速度和减少威胁的检测时间;

2.在检测和响应能力既定的条件下面,为减少成功攻击的危害,意味着把核心资产要置于防护的最里层,用空间换取更长的防护时间。

安全思维模型解读BeyondCorp项目的运营

先看“安全是一把手工程,网络安全应保证核心业务需求”这个思维已在Google公司被广泛接受并理解一致。公司高层的支持对BeyondCorp项目的最终成功起到了至关重要的重要。就项目动机“减少成功网络攻击所造成的危害,同时保持生产力”,我们可以看到,Google公司高层对网络安全理解已经完全认同成功对网络攻击一定会发生,能做的就是尽量减少攻击所带来的危害,并且业务正常进行。这相比国内很多企业仍在固守“做安全是为了阻止攻击者入侵”这个不可能达成的虚幻目标上。

接下来用安全分层思维模型解读BeyondCorp的迁移改造过程。过程涉及到在业务/技术栈中的多层、甚至所有层上进行更改:网络、 安全网关、客户端平台和后端服务。如果多层必须同时改变的话,势必可能就是灾难,因此迁移目标必须达成:

为了保证不同层面工作进展相互独立,确保多线并行且易于管理和实现

为达成这个目标,我们仍然从系列文章第一篇《安全设计视角解读 BeyondCorp 项目》提出的访问控制思维模型的个基本要素出发:访问主体、信息流控制(验证与授权)、访问客体是如何解耦并独立开展工作:

1.访问主体认证,解耦客户端平台升级:证书生成和安装,用户认证工具(包括单点登录),后应用系统自身验证系统相互独立;

2.解耦网络层:采用基于802.1x网络准入技术,为之前的特权静态vlan过渡到动态新vlan;

3.访问控制器(完成认证和授权)设计,应用代理对后端服务透明,应用代理完成粗粒度集中式授权,后端应用服务仍可保持自身的业务认证逻辑,实现细粒度的授权;

4.访问客体改造,完成不符合迁移要求的服务和工作流的修复,逐步地迁移设备。

然后,我们用自适应信任访问与风险防护安全模型和PDR模型来分析零信任安全体系的日常维护工作。任何一项高大上的项目,到后面都会回归日复一日的例行工作,而且例行工作的好坏,直接关系到安全的有效性。

整个体系运营达成以下目标:

5.png

1.持续保障安全体系有效运行;

2.持续基于内外安全风险状况,调整信任状况,持续防御和动态的访问控制;

3.不断提升安全能力,不断降低安全时间的平均检测时间(MMTD)和平均响应时间(ATT)。

在安全思维模型解读谷歌零信任安全架构系列文章的第一篇文章中提到,零信任安全架构体系可以拆解为以下三个主要问题:

1.设备与用户的身份定义以及安全状态感知;

2.业务系统访问(层级/角色)分解;

3.访问控制引擎不过绕过。

以上三个问题同样对应维护时的三个例行工作:

1.维护设备资产清单和用户账号清单,持续收集并分析安全观察数据;

2.应用服务的访问控制列表的创建、更新和维护等;

3.新建应用在发布时需要设置CNAME指向访问代理,并且通过BeyondCorp扩展(也即Chrome扩展)作为唯一入口封装所有的访问需求,持续维护代理自动配置(Proxy_Auto_Config,PAC)文件。

例行1

第一个例行维护工作其内容核心是广泛纵深采集各种数据,维持数据的质量,进行纵深安全分析。数据包括观察数据和预设数据,观察数据是动态数据,由各种系统和程序产生,包括安全漏洞扫描结果、已安装软件、操作系统版本补丁、用户行为记录等等。预设数据包括为设备分配的所有者,允许访问该设备的用户和组,分配的dns和dhcp以及对特定vlan的明确访问等。数据格式的转行与统一以及数据关联是在做纵深数据分析时所面临的挑战,也是着手需重点解决的问题。

纵深安全分析的结果作为访问主体(设备和用户)的信任等级,输出给访问控制引擎,作为访问控制引擎授权用户访问的参数之一。纵深安全分析的信任评估结果,天然的满足了快速检测的要求。

例行2

第二个例行维护工作其内容核心是维护访问授权规则:

1.访问代理的集中授权机制的实施依赖:

- 一个可通过远程过程调用(RPC)查询的集中访问控制列表(ACL)。

- 采用领域特定语言(DSL)表达访问控制列表(ACL),使其同时兼顾可读性和可扩展性。 

2.当前采用的ACL结构包括两大部分:

- 全局规则:通常是粗粒度的,影响所有服务和资源。例如,“安全等级低的设备不允许提交源代码”。

- 针对特定服务的规则:专属于某个服务或主机,通常包括和用户有关的断言。例如,“群组G中的所有厂商允许访问Web应用 A”。

3.因此,ACL的运维具有较大的伸缩性,提升应用授权的符合业务需求:

- 为企业应用的开发人员和所有者保留了他们自己应用的特定服务规则配置的所有权;

- 用户可以便利地使用自助服务,编制其应用服务的ACL;

- 而应用代理团队保留构建配置系统的所有权,可以校对、测试、灰度发布(金丝雀发布)和更新配置;

例行3

第三个例行维护工作其内容核心是维护自适应的访问架构。经过对非http协议以及不支持通信加密和证书的应用的改造,google所有应用都可以通过浏览器访问。所以,无论是远程访问还是本地访问需求,都通过Chrome扩展这个但一入口封装几乎所有的访问需求。并且根据场景在客户端Chrome浏览器自动下载PAC(Proxy_Auto_Config)文件。Chrome扩展会自动管理PAC文件,并且会明确路由一些特定访问场景到访问代理。这样在技术上持续维护访问控制引擎不被绕过的要求。

另外,在此要特别强调的是,在遭遇终端突发重大安全漏洞时,自适应的访问架构能够天然的快速响应。Google曾经遭遇Chrome插件的0day漏洞,就是快速推送ACL到访问控制引擎,强制所有终端在应用访问之前,先转入一个VLAN完成漏洞补丁之后才可正常访问业务应用。

运用模块化思维,Google零信任安全体系从运营层面上来看,也还是比较简单。运用安全是一把手工程、安全分层模型、自适应信任访问与风险防护以及PDR模型,从原理上解构了零信任安全体系。

*本文作者:夏石信息安全,转载请注明来自FreeBuf.COM

发表评论

已有 3 条评论

取消
Loading...
css.php