freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

從零信任架構1.0的開始:六大實踐原則
2020-06-29 10:57:44

零信任架構是美創數據安全實踐的核心遵循思想。美創從數據不應該自動信任任何人的基本觀點開始,從2010年開始實踐,在2015年左右正式形成了零信任架構1.0版本,在美創科技的每個數據安全產品中無縫落地。在經過5年的成熟實踐之后,近期美創科技零信任架構即將升級為2.0版本,以更好的滿足數據安全和網絡安全的訴求。

????image.png

?????? 零信任架構1.0包含四大基本原則和六大實踐原則,具體內容如上圖所示。在本文中講六大實踐原則,六大實踐原則是四大基本原則的具體落地措施,其中知白守黑已經在上篇中做個講解,不再重復。

1、從保護目標開始

?????? 當你連自己的保護目標是誰,在哪兒都不清楚的時候,很難想象施加的保護措施會是有效的。保護和防御總是從理解目標、懂得目標開始,我們需要保護的目標是資產。在數據安全中,數據或者敏感數據就是最顯而易見的資產。我們要知道數據在哪里,數據是什么,做數據認責,確定數據的責任人,做敏感數據發現和識別,做敏感數據分級分類。

2、由內而外進行保護而不是由外而內防御

?????? 當我們具有明確的保護目標并清晰的認知它,我們就開始圍繞著資產進行保護。越靠近保護目標的措施就越有力,這是個人人都懂的常識。顯然,在零信任架構中,首先構建緊貼數據的保護措施,然后逐步由內而外構建防御體系是一種自然選擇。

3、以身份為基礎而不是以賬戶為基礎

?????? 賬戶可以說是IT基礎架構的基礎,無論是操作系統,數據庫還是各種業務系統都依賴于賬戶體系生存。但是賬戶在網絡環境中具有高度的不確定性,天生可以被冒名、盜用、碰撞、密碼的管理復雜度等弱點。特別是賬戶共享機制直接剝奪了賬戶的私密性,使其完全不具有確定性。從nist宣布實踐了40多年的復雜密碼體系破產可以看出賬戶管理體系的復雜性和高風險度。

? ?????在零信任架構中,網絡中充滿著不確定性,除了明晃晃的資產可以被信任之外,包括傳統網絡中的位置和賬戶都存在天生的不可信任性。零信任架構或者安全的本質就是在不可信任的網絡環境掌控可以信任的因素,生活中的人顯然是一個可以確定的因素。如果可以把生活中的人映射到網絡中,就可以成為一個相對確定性的因素。我們把人在網絡中的映射表述為身份,人和身份之間的映射確定程度則體現為身份的確定性程度。

4、特權管理和三權分立?

?????? 在生活中,大部分情況下每個人對于自己擁有的東西具有絕對的處置權。我們的信息化系統的訪問控制體系也是基本按照這個體系建立起來的,這個體系被表述為自主訪問控制體系。操作系統,數據庫,中間件以及各種業務系統,基本都遵循這個體系來構建訪問控制。隨著信息化的不斷普及以及數據價值的不斷提高,自主訪問控制體系中必然存在的超級賬戶這個幽靈的威脅在不斷放大又無能為力。

?????? 生活中除了完全自由處置權之外,事實上還運行著另一套機制:三權分立機制。當涉及到大眾利益或者重要權力的時候,往往是需要多方決策制衡,一致同意才可以完成。甚至于重要的私人物品,比如文物孤品,收藏家未必具有完全的處置權,比如私有林場,林場主未必有自由砍伐權。非常遺憾的是,生活中的三權分立機制并沒有被廣泛引入到網絡世界的基礎設施中。比如操作系統,數據庫等基礎設施都采用自主訪問控制體系,充斥著超級賬戶和特權賬戶。正是因為如此,特權賬戶會成為網絡世界中的最大威脅之一。零信任架構的保護目標都是高價值目標,必須以做到消除特權賬戶,實現三權分立為基礎。如果無法做到三權分立,要實現零信任架構是存在悖論的,或者是無法達成的。

5、基于訪問鏈的動態驗證

?????? 零信任架構的高價值的目標,比較傳統網絡安全對于確定性的要求要高出很多。美創零信任架構通過資產的確認和身份的認知,建立了在不確定網絡中兩個確定性支點。但是客觀來說,再確定性的身份都會存在被脅迫、劫持、冒用和盜用的風險,也就是說身份的不確定性始終是存在的。為了可以進一步提升資產訪問的確定性,需要對身份在訪問生命周期進行持續的動態驗證,不斷通過附加因素來增強其確定性,比如環境上下文,比如時空上下文,比如操作上下文,比如路徑依賴等等。我們不僅要看其相貌,還要觀其言,察其行,才可以最終確定是否真正是我想要的那個人。

?????? 訪問鏈是美創零信任架構的一個重要的概念,其承載了兩個基本事實:一是貫穿全局(訪問生命周期)的身份,二是當上下文發生明顯變化的時候持續對身份進行驗證,動態增加或者降低身份的信任程度。

6、知白守黑

?????? 知白守黑不僅是美創零信任架構的實踐指南,也是美創零信任架構的四大基本原則之一。知白守黑已經在前文中做過詳細說明,這里不再展開


本文作者:, 轉載請注明來自FreeBuf.COM

# 零信任體系 # 零信任 # 零信任架構
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网