freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

打工人眼中攻防演练蓝军那些人那些事儿(四)
2021-01-21 17:41:32

系列文章

由于本系列文章较长,故分为五个部分,如需回顾前文,可点击下方链接:

打工人眼中攻防演练蓝军那些人那些事儿(一)

打工人眼中攻防演练蓝军那些人那些事儿(二)

打工人眼中攻防演练蓝军那些人那些事儿(三)

打工人眼中攻防演练蓝军那些人那些事儿(四)

打工人眼中攻防演练蓝军那些人那些事儿(五)

六、新型攻防视角看防守体系-零信任

6.1 零信任的基本认知

6.1.1 零信任:Zero trust architecture(信任是随时变化的,没有永久的信任)

1.零信任的本质是基于身份的访问控制,是进行统一管理的基础和起点

2.“一个都不信”,于是进行严格的身份认证和状态确认;仔细检查各种权限要素,以确定“是否得到许可”;即使一切都没有异常,也“只信这一次”;“仔细记录在案”,以便及时发现/追溯不当行为和改进管理措施。在这个主体管控链条之外,还有诸如防止披露过多信息、建立动态交流通道等各种有效的辅助措施,以保证资源访问的安全性。

3.零信任要解决的核心问题只有一个:在无边界网络环境下,确保所有的业务访问都是由可信的人、终端或系统用可信的方式访问可信的资源和数据。

6.1.2零信任的基本实现:

1)摒弃内外网概念,尽量将安全关口向两边前移,缩小信任边界

image.png

2)确认四个可信:人可信、终端可信、资源可信、行为可信

3)持续验证,动态调整授权

零信任概念里信任是随时变化的,没有永久的信任。

6.1.3零信任会改变什么:

1)摒弃内外网的概念

所有连接都是端到端的,中间网络不可信。

2)改变了认证授权和接入的顺序

传统认证模式是先接入再认证。在零信任网络里是先****认证授权,再按最小授权接入。通过这种方式可以将业务资源隐藏起来,未认证授权的访问者根本看不到业务资源。

3)身份成为安全策略的核心要素

企业需要一套权威的认证授权和策略管理平台,集中对用户、终端、资源进行管理,所有的安全策略需要以这些身份为基本要素进行设置,不再完全依赖IP地址进行设置

4)安全能力边缘化

在零信任网络中,端到端之间的网络全程加密,因此原本在内外网边界部署的安全设备会失效,比如NIPS、DLP、WAF等

5)将监测与管控融为一体

6.1.4 零信任的挑战:

1)涉及的安全能力太多

image.png

2)超大规模带来的问题

3)建设成本

6.1.5 零信任优点

安全是建立在信任链之上,如果信任链被打破,那么对资源的访问权限则被自动取消。在这个模型下,有几个显著的优点:

1. 安全可靠性更高:因为链条的信任关系是环环相扣,因此中间发生任何异常变化,会更容易被发现被检测到;

2. 攻击难度大:信任链条是多维度组成,例如对用户的信任是通过生物校验和多因素认证,对设备的信任是通过主机准人关系,基线状态,运行状态判断,而维度越多,黑客要攻击的成本就越高,从而入侵的难度也就越大;

3. 持续校验,从不信任:每一次对资源的请求,都是一次重新校验的过程,安全的状态是动态,因此检测也是动态持续发生,这样如果产生了异常,可以迅速感知并阻断;

4. 除此外还有一些全链路分析、集中管控,资产容易管理,包括远程办公等等优点,但这些并不是架构核心优点,因此不再过多描述。

6.1.5 零信任缺点

听起来挺美好的,那么零信任架构是不是完美的?

一直以来我有一个观点,即试图用一个方案解决安全风险时,一定会带来新的风险,这个方案的好坏,很大程度是依赖这个新风险是否可接受。

用人话来说,就是你引入一个新的安全方案的时候,一定会带来新的风险,而对新的风险是否能接受,它是否可控,是决定你这个方案是否可行的关键因素。

所以零信任架构必然也是有它的风险,并且风险不能有效管理,可能会带来更大的问题。在我看来零信任架构有几个缺点:

1. 单点风险:因为对资源的控制都集中在网关上了,因此一旦单点故障会导致整个业务中断;

2. 集中化权限风险:零信任架构实时上是把很多风险收敛给集中起来了,但并非这个风险就不存在了,比如集中化管理中,如果管理失控了会带更大风险;

3. 复杂化风险:因为整个架构涉及多个组件,足够复杂,容易出现业务异常后问题不能及时发现和处理,以及出现业务有任何问题,都是你的责任的情况;

4. 凭证风险:为了平衡用户体验,一般零信任架构都会内置SSO功能,这样对于身份的凭证安全、或是注册设备的凭证安全问题、这些凭证的风险都可能会破坏信任体系;

5. 投资风险:从我们整个周期来看,零信任架构建设周期比一般架构体系要来的长,这样可能会出现项目未完工,人已经走了的情况,后续接手的人是否还认可这个理念,是否要会从头来过,这些都是建设过程的风险。

6.1.6 零信任架构的选择

(1)建议上的场景

1. 有高价值资产:这个应该是所有选择零信任架构的前提,只有资产有价值,需要保护才需要安全的大力投入;

2. 业务严重依赖网络:如果你的业务严重依赖网络,有从内部被恶意破坏的可能,内部控制又很混乱,这种需求可以通过零信任来收敛权限降低风险;

3. 需要防范内部:如果内部是要作为不可信源来进行防护,那么可以考虑零信任架构,因为它对内部权限,身份的识别以及管控会更加严格,可以全程回溯;

4. 是APT的目标:如果有被针对性的长期攻击风险,可以考虑上零信任来加强安全防护能力,抵御攻击;

5. 有钱有资源:土豪还有什么好说的,高大上的统统来就好,这样的公司让我们做朋友吧!

(2)可以不用上的场景

1. 为了远程办公:第一篇零信任远程办公文章发出去后,很多人找我咨询,因为疫情,公司需要远程办公,看了我的文章后考虑上零信任来解决远程办公需求,这里面其实有两个误区:

疫情不是常态,社会秩序必然会尽快恢复正常,为了一次性偶发场景是否要大成本投入需要衡量;

很多公司并没有很强的安全需求,用VPN已经可以很好的解决办公需求了,有安全需求的通过VPN+云桌面等扩展方案,同样兼顾安全,如果是这类需求其实也可以衡量下成本;

2. 追寻零信任的趋势:好的安全方案应该是贴合自己的场景去设计,新的不一定适合自己,追寻新趋势同时也意味着会引入不可预料的风险;

(3)不要去上的场景

1. 成本投入不足:零信任架构会需要改变公司的IT基础架构,改变业务,不管是技术还是管理都需要很大的改变,如果不能坚持长期投入,比如自研方式可能做到一半人走了,商采部署的方案到一半预算就被砍了,到时都会让公司利益受损;

2. 运营能力不足:如上个章节所说,零信任其实会引入一些新的风险,比如集中化管控带来的安全内部的风险,单点故障风险,运营人员被入侵控制的风险,都会因为零信任架构的集中化模式,大大方便了黑客,所以缺乏好的运营和管理会导致更大的风险,而安全运营能力的建设,悲观的看很多公司并不具备好的运营能力。

6.2 基于SDP的零信任

6.21零信任架构的五个核心思想

网络总是被认为是怀有敌意的;

网络外部和内部威胁始终存在;

网络位置不足以决定网络中的信任;

每个设备、用户和网络流都经过认证和授权;

策略必须是动态的,并根据尽可能多的数据来源进行修订。

6.2.2 SDP的零信任依据

零信任产品仅是理论模型,实现方式有多种,但事实证明SDP是零信任的最佳实践。依据如下:

CSA:《SDP标准规范1.0》《 SDP架构指南》 《 SDP实现等保2.0合规技术指南v3.20 》;

NIST:《零信任架构》,提出基于软件定义边界SDP 的ZTA、基于微隔离的ZTA、基于增强身份治理的ZTA;

Garter:零信任网络接入技术开始取代 VPN,零信任网络接入(ZTNA)使企业控制对特定应用的远程访问;

GB:《信息安全技术 零信任架构 参考体系架构》 《零信任参考架构及通用安全指引》

6.2.3 SDP设计的产品

SDP客户端:安卓苹果、信创微软、认证加密、环境感知

SDP控制器:认证授权、信任评估、策略下发、全网可视

SDP网关:网络隐身、动态链接、传输加密、访问控制

image.png

首先经过SDP客户端的可信环境验证,然后加密连接SDP控制器进行可信身份验证,然后告知SDP网关用户可信,SDP网关向客户端开放可信通道,最后SDP客户端才能连接SDP网关,动态控制对业务数据的访问,全程动态可信验证,给予最小权限。

6.3 SDP主要功能

九大功能:

  1. 可信用户

  2. 可信设备

  3. 可信环境

  4. 可信网络

  5. 信任评估

  6. 动态访控

  7. 可信通道

  8. 可信应用

  9. 信任支撑

可信用户 (用户名口令、证书认证、短信认证、动态令牌、单点登录)

可信设备(设备指纹、IP/MAC、设备注册、设备审批、移动管控)

可信环境(关键进程、注册表项、关键文件、系统版本、补丁版本)

可信网络(SPA单包授权、默认drop、抗端口扫描、抗重放、抗DDOS、防中间人)先认证后接入的机制导致

信任评估(  合规检测、数据保护、威胁发现、安全加固、风险汇聚、信任评分、数据上报、状态监控、行为基线、行为检测、关联分析、多维画像)

动态防控(策略基线配置、动态策略生成、动态策略下发、二次认证策略、强制下线策略、升权降权策略、口令安全策略、用户安全策略、角色安全策略)

可信通道(    国密算法、国际算法、SSLVPN、IPSecVPN、国密证书、密钥周期)

可信应用(地址隐藏、单点登录、应用代理、域名解析、资源映射、主从账号)

信任支撑(身份认证:Radius、AD/LDAP、SAML

# 攻防 # 零信任
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录