杭州美創(chuàng)科技有限公司總經(jīng)理 柳遵梁零信任架構(gòu)是美創(chuàng)數(shù)據(jù)安全實(shí)踐的核心遵循思想。美創(chuàng)從數(shù)據(jù)不應(yīng)該自動(dòng)信任任何人的基本觀點(diǎn)開(kāi)始,從2010年開(kāi)始實(shí)踐,在2015年左右正式形成了零信任架構(gòu)1.0版本,在美創(chuàng)科技的每個(gè)數(shù)據(jù)安全產(chǎn)品中無(wú)縫落地。在經(jīng)過(guò)5年的成熟實(shí)踐之后,近期美創(chuàng)科技零信任架構(gòu)即將升級(jí)為2.0版本,以更好的滿足數(shù)據(jù)安全和網(wǎng)絡(luò)安全的訴求。零信任架構(gòu)1.0包含四大基本原則和六大實(shí)踐原則,具體內(nèi)容如上圖所示。在本文中講六大實(shí)踐原則,六大實(shí)踐原則是四大基本原則的具體落地措施,其中知白守黑已經(jīng)在上篇中做過(guò)講解,不再重復(fù)。1. 從保護(hù)目標(biāo)開(kāi)始當(dāng)你連自己的保護(hù)目標(biāo)是誰(shuí),在哪兒都不清楚的時(shí)候,很難想象施加的保護(hù)措施會(huì)是有效的。保護(hù)和防御總是從理解目標(biāo)、懂得目標(biāo)開(kāi)始,我們需要保護(hù)的目標(biāo)是資產(chǎn)。在數(shù)據(jù)安全中,數(shù)據(jù)或者敏感數(shù)據(jù)就是最顯而易見(jiàn)的資產(chǎn)。我們要知道數(shù)據(jù)在哪里,數(shù)據(jù)是什么,做數(shù)據(jù)認(rèn)責(zé),確定數(shù)據(jù)的責(zé)任人,做敏感數(shù)據(jù)發(fā)現(xiàn)和識(shí)別,做敏感數(shù)據(jù)分級(jí)分類。2. 由內(nèi)而外進(jìn)行保護(hù)而不是由外而內(nèi)防御當(dāng)我們具有明確的保護(hù)目標(biāo)并清晰的認(rèn)知它,我們就開(kāi)始圍繞著資產(chǎn)進(jìn)行保護(hù)。越靠近保護(hù)目標(biāo)的措施就越有力,這是個(gè)人人都懂的常識(shí)。顯然,在零信任架構(gòu)中,首先構(gòu)建緊貼數(shù)據(jù)的保護(hù)措施,然后逐步由內(nèi)而外構(gòu)建防御體系是一種自然選擇。3. 以身份為基礎(chǔ)而不是以賬戶為基礎(chǔ)賬戶可以說(shuō)是IT基礎(chǔ)架構(gòu)的基礎(chǔ),無(wú)論是操作系統(tǒng),數(shù)據(jù)庫(kù)還是各種業(yè)務(wù)系統(tǒng)都依賴于賬戶體系生存。但是賬戶在網(wǎng)絡(luò)環(huán)境中具有高度的不確定性,天生可以被冒名、盜用、碰撞、密碼的管理復(fù)雜度等弱點(diǎn)。特別是賬戶共享機(jī)制直接剝奪了賬戶的私密性,使其完全不具有確定性。從nist宣布實(shí)踐了40多年的復(fù)雜密碼體系破產(chǎn)可以看出賬戶管理體系的復(fù)雜性和高風(fēng)險(xiǎn)度。在零信任架構(gòu)中,網(wǎng)絡(luò)中充滿著不確定性,除了明晃晃的資產(chǎn)可以被信任之外,包括傳統(tǒng)網(wǎng)絡(luò)中的位置和賬戶都存在天生的不可信任性。零信任架構(gòu)或者安全的本質(zhì)就是在不可信任的網(wǎng)絡(luò)環(huán)境掌控可以信任的因素,生活中的人顯然是一個(gè)可以確定的因素。如果可以把生活中的人映射到網(wǎng)絡(luò)中,就可以成為一個(gè)相對(duì)確定性的因素。我們把人在網(wǎng)絡(luò)中的映射表述為身份,人和身份之間的映射確定程度則體現(xiàn)為身份的確定性程度。4. 特權(quán)管理和三權(quán)分立在生活中,大部分情況下每個(gè)人對(duì)于自己擁有的東西具有絕對(duì)的處置權(quán)。我們的信息化系統(tǒng)的訪問(wèn)控制體系也是基本按照這個(gè)體系建立起來(lái)的,這個(gè)體系被表述為自主訪問(wèn)控制體系。操作系統(tǒng),數(shù)據(jù)庫(kù),中間件以及各種業(yè)務(wù)系統(tǒng),基本都遵循這個(gè)體系來(lái)構(gòu)建訪問(wèn)控制。隨著信息化的不斷普及以及數(shù)據(jù)價(jià)值的不斷提高,自主訪問(wèn)控制體系中必然存在的超級(jí)賬戶這個(gè)幽靈的威脅在不斷放大又無(wú)能為力。生活中除了完全自由處置權(quán)之外,事實(shí)上還運(yùn)行著另一套機(jī)制:三權(quán)分立機(jī)制。當(dāng)涉及到大眾利益或者重要權(quán)力的時(shí)候,往往是需要多方?jīng)Q策制衡,一致同意才可以完成。甚至于重要的私人物品,比如文物孤品,收藏家未必具有完全的處置權(quán),比如私有林場(chǎng),林場(chǎng)主未必有自由砍伐權(quán)。非常遺憾的是,生活中的三權(quán)分立機(jī)制并沒(méi)有被廣泛引入到網(wǎng)絡(luò)世界的基礎(chǔ)設(shè)施中。比如操作系統(tǒng),數(shù)據(jù)庫(kù)等基礎(chǔ)設(shè)施都采用自主訪問(wèn)控制體系,充斥著超級(jí)賬戶和特權(quán)賬戶。正是因?yàn)槿绱耍貦?quán)賬戶會(huì)成為網(wǎng)絡(luò)世界中的最大威脅之一。零信任架構(gòu)的保護(hù)目標(biāo)都是高價(jià)值目標(biāo),必須以做到消除特權(quán)賬戶,實(shí)現(xiàn)三權(quán)分立為基礎(chǔ)。如果無(wú)法做到三權(quán)分立,要實(shí)現(xiàn)零信任架構(gòu)是存在悖論的,或者是無(wú)法達(dá)成的。5. 基于訪問(wèn)鏈的動(dòng)態(tài)驗(yàn)證零信任架構(gòu)的高價(jià)值的目標(biāo),比較傳統(tǒng)網(wǎng)絡(luò)安全對(duì)于確定性的要求要高出很多。美創(chuàng)零信任架構(gòu)通過(guò)資產(chǎn)的確認(rèn)和身份的認(rèn)知,建立了在不確定網(wǎng)絡(luò)中兩個(gè)確定性支點(diǎn)。但是客觀來(lái)說(shuō),再確定性的身份都會(huì)存在被脅迫、劫持、冒用和盜用的風(fēng)險(xiǎn),也就是說(shuō)身份的不確定性始終是存在的。為了可以進(jìn)一步提升資產(chǎn)訪問(wèn)的確定性,需要對(duì)身份在訪問(wèn)生命周期進(jìn)行持續(xù)的動(dòng)態(tài)驗(yàn)證,不斷通過(guò)附加因素來(lái)增強(qiáng)其確定性,比如環(huán)境上下文,比如時(shí)空上下文,比如操作上下文,比如路徑依賴等等。我們不僅要看其相貌,還要觀其言,察其行,才可以最終確定是否真正是我想要的那個(gè)人。訪問(wèn)鏈?zhǔn)敲绖?chuàng)零信任架構(gòu)的一個(gè)重要的概念,其承載了兩個(gè)基本事實(shí):一是貫穿全局(訪問(wèn)生命周期)的身份,二是當(dāng)上下文發(fā)生明顯變化的時(shí)候持續(xù)對(duì)身份進(jìn)行驗(yàn)證,動(dòng)態(tài)增加或者降低身份的信任程度。6. 知白守黑知白守黑不僅是美創(chuàng)零信任架構(gòu)的實(shí)踐指南,也是美創(chuàng)零信任架構(gòu)的四大基本原則之一。知白守黑已經(jīng)在前文中做過(guò)詳細(xì)說(shuō)明,這里不再展開(kāi)。工控安全漫談 今天
本文介紹ACT-IAC(美國(guó)技術(shù)委員會(huì)-工業(yè)咨詢委員會(huì))于2019年4月18日發(fā)布的《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》(《Zero Trust Cybersecurity Current Trends》)報(bào)告的主要內(nèi)容。該報(bào)告的目錄如下:執(zhí)行摘要項(xiàng)目背景何為零信任建立信任是基礎(chǔ)零信任的好處部署零信任的建議步驟聯(lián)邦政府中對(duì)零信任的挑戰(zhàn)最后結(jié)論筆者之前介紹了美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)和美國(guó)國(guó)防部國(guó)防創(chuàng)新委員會(huì)(DIB)對(duì)零信任的認(rèn)識(shí)。DIB可以視為美國(guó)軍方的代表;NIST可以視為美國(guó)標(biāo)準(zhǔn)(或美國(guó)民間)的代表;ACT-IAC這一篇可以視為美國(guó)聯(lián)邦政府的代表。從不同的角度看看,也是蠻有意義的。筆者計(jì)劃,在介紹完《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》這個(gè)報(bào)告之后,再次放出對(duì)NIST《零信任架構(gòu)》草案的詳細(xì)介紹(之前的介紹只是非常概要的)。原本是想等到NIST放出正式標(biāo)準(zhǔn)后,再全文翻譯的。可是,日子只會(huì)溜走,等待只會(huì)遺憾。相比《零信任網(wǎng)絡(luò)》一書(shū),上述這些材料雖然薄了點(diǎn),但也算是美國(guó)比較官方的零信任材料,還是非常值得學(xué)習(xí)借鑒的。若不細(xì)看上幾遍,不那么容易領(lǐng)會(huì)精髓。項(xiàng)目背景美國(guó)技術(shù)委員會(huì)(ACT)是一個(gè)非營(yíng)利性的教育組織,旨在建立一個(gè)更加高效和創(chuàng)新的政府。ACT-IAC(美國(guó)技術(shù)委員會(huì)-工業(yè)咨詢委員會(huì))提供了一個(gè)獨(dú)特的、客觀的、值得信賴的論壇,政府和行業(yè)高管正在共同努力,通過(guò)使用技術(shù)來(lái)改進(jìn)公共服務(wù)和代理業(yè)務(wù)。本報(bào)告所載的調(diào)查結(jié)果和建議是以協(xié)商一致為基礎(chǔ)的,并不代表任何特定個(gè)人或組織的意見(jiàn)。為了保持其合作過(guò)程的客觀性和完整性,ACT-IAC不接受政府資助。2017年5月,總統(tǒng)成立了美國(guó)技術(shù)委員會(huì)(ATC),以促進(jìn)聯(lián)邦政府安全有效地使用IT,并指示它編寫(xiě)一份關(guān)于聯(lián)邦I(lǐng)T現(xiàn)代化的報(bào)告。2017年晚些時(shí)候發(fā)布的IT現(xiàn)代化報(bào)告和相關(guān)的行政命令2,將使機(jī)構(gòu)“……從保護(hù)他們的網(wǎng)絡(luò)邊界和管理傳統(tǒng)的物理部署,到保護(hù)聯(lián)邦數(shù)據(jù)和云優(yōu)化部署”。它承認(rèn),這項(xiàng)工作的成功需要新的方法和戰(zhàn)略。2018年5月,聯(lián)邦首席信息官理事會(huì)服務(wù)、戰(zhàn)略和基礎(chǔ)設(shè)施委員會(huì)要求ACT-IAC承擔(dān)一項(xiàng)與零信任(ZT)和潛在聯(lián)邦機(jī)構(gòu)采用有關(guān)的項(xiàng)目。與此同時(shí),聯(lián)邦機(jī)構(gòu)將從2023年3月開(kāi)始,將網(wǎng)絡(luò)服務(wù)從目前的總務(wù)管理局(GSA)合同轉(zhuǎn)到新的企業(yè)基礎(chǔ)設(shè)施解決方案(EIS)合同。聯(lián)邦政府有一個(gè)獨(dú)特的機(jī)會(huì),來(lái)利用IT現(xiàn)代化和EIS過(guò)渡的匯合,以深刻變革機(jī)構(gòu)的網(wǎng)絡(luò)服務(wù)交付和數(shù)據(jù)保護(hù)。ACT-IAC建立了政府和工業(yè)志愿者的項(xiàng)目團(tuán)隊(duì),主要來(lái)自其網(wǎng)絡(luò)、電信和網(wǎng)絡(luò)安全社區(qū)。他們的工作被設(shè)計(jì)為評(píng)估ZT技術(shù)和服務(wù)的技術(shù)成熟度和可用性,并識(shí)別和解決與潛在的聯(lián)邦機(jī)構(gòu)采用相關(guān)的其他重要問(wèn)題。該項(xiàng)目側(cè)重于兩個(gè)工作流程:第一個(gè)工作流程:評(píng)估了市場(chǎng)上支持ZT的實(shí)際工具,并確定了尚未實(shí)現(xiàn)的概念化能力。市場(chǎng)研究側(cè)重于評(píng)估技術(shù)成熟度和準(zhǔn)備度、適合性、可擴(kuò)展性和基于實(shí)際實(shí)現(xiàn)的可承受性。這包括六家公司(Cisco, Duo, Palo Alto, Zscaler, Fortinet, Cyxtera)的展示和演示,他們已經(jīng)向商業(yè)和公共部門(mén)提供了其產(chǎn)品和服務(wù)中的ZT元素。第二個(gè)工作流程:主要集中在信任算法上。這些動(dòng)態(tài)算法用于生成信任分?jǐn)?shù),這對(duì)于全面的ZT解決方案是必不可少的。信任分?jǐn)?shù)用于根據(jù)定義的標(biāo)準(zhǔn)授予、限制或拒絕訪問(wèn)。項(xiàng)目團(tuán)隊(duì)開(kāi)發(fā)了對(duì)現(xiàn)有信任算法工作的理解,以向聯(lián)邦機(jī)構(gòu)提供關(guān)于這個(gè)主題的建議。執(zhí)行摘要今天的系統(tǒng)正在擴(kuò)展和演變?yōu)橐苿?dòng)和云的環(huán)境,將傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全方法擴(kuò)展到了臨界點(diǎn)。一種稱為“零信任(ZT)”的新方法,可能大幅改變和提高機(jī)構(gòu)保護(hù)他們的系統(tǒng)和數(shù)據(jù)的能力。ZT是一個(gè)安全概念,其基礎(chǔ)是組織需要主動(dòng)控制人員、數(shù)據(jù)和信息系統(tǒng)之間的所有交互,以將安全風(fēng)險(xiǎn)降低到可接受的水平。ACT-IAC被聯(lián)邦CIO理事會(huì)要求評(píng)估ZT技術(shù)的成熟度,它們的準(zhǔn)備性和在政府中的適用性,以及如果他們選擇使用ZT,機(jī)構(gòu)將面臨的問(wèn)題。本報(bào)告提供了該評(píng)估的結(jié)果。現(xiàn)代IT安全解決方案需要結(jié)合幾個(gè)最小特性:在信任框架內(nèi)隔離用戶、設(shè)備、數(shù)據(jù)和服務(wù),以確保每一個(gè)訪問(wèn)請(qǐng)求都被驗(yàn)證并故意允許或不批準(zhǔn);能抵抗攻擊和對(duì)攻擊有彈性,而沒(méi)有大的管理負(fù)擔(dān);能夠容易、快速地(如果不是自動(dòng)地)適應(yīng)不斷變化的服務(wù)環(huán)境,也沒(méi)有很大的管理負(fù)擔(dān)。ZT通過(guò)處理所有用戶、設(shè)備、數(shù)據(jù)和服務(wù)請(qǐng)求,來(lái)滿足這些特性。ZT本質(zhì):它從一個(gè)組織中所有資產(chǎn)都是開(kāi)放和可訪問(wèn)的傳統(tǒng)安全策略,轉(zhuǎn)變?yōu)樾枰掷m(xù)的身份驗(yàn)證和授權(quán)才能訪問(wèn)任何資產(chǎn)。這個(gè)根本的變化是ZT的本質(zhì)。ZT不是你要買(mǎi)的東西,它是一個(gè)安全概念、策略和架構(gòu)設(shè)計(jì)方法。ZT解決方案現(xiàn)狀:ZT解決方案是廣泛可用的,目前正在私營(yíng)部門(mén)使用。市場(chǎng)上也存在著良性競(jìng)爭(zhēng)。目前沒(méi)有一家供應(yīng)商提供單一的、整體的ZT解決方案。要獲得一個(gè)全面的解決方案,需要集成多個(gè)供應(yīng)商的產(chǎn)品和服務(wù)。一些不同的ZT架構(gòu)方法可供機(jī)構(gòu)選擇。實(shí)施ZT的條件:實(shí)施ZT不需要大規(guī)模更換現(xiàn)有網(wǎng)絡(luò)或大量獲取新技術(shù)。ZT應(yīng)該增加其他現(xiàn)有的網(wǎng)絡(luò)安全實(shí)踐和工具。許多聯(lián)邦機(jī)構(gòu)已經(jīng)在其基礎(chǔ)設(shè)施中擁有ZT的元素,并遵循在日常運(yùn)作中支持它的實(shí)踐。諸如身份憑證和訪問(wèn)管理(ICAM)、基于信任算法的訪問(wèn)標(biāo)準(zhǔn)、自動(dòng)策略決策和連續(xù)監(jiān)視等元素,是成功的ZT的關(guān)鍵補(bǔ)充。ZT采用的是漸進(jìn)式方法。它在規(guī)模、步調(diào)、風(fēng)險(xiǎn)偏好和最終實(shí)現(xiàn)程度上給機(jī)構(gòu)提供了很大的自由度。然而,在開(kāi)始實(shí)施ZT之前,組織必須牢牢把握他們的用戶和他們的角色、他們的數(shù)據(jù)和他們的技術(shù)資產(chǎn)。實(shí)施ZT需要“整個(gè)機(jī)構(gòu)”的努力。由于ZT可以影響任務(wù)計(jì)劃系統(tǒng)的安全性、風(fēng)險(xiǎn)性和性能,機(jī)構(gòu)負(fù)責(zé)人和受影響的項(xiàng)目負(fù)責(zé)人必須與IT人員一起合作設(shè)計(jì)和實(shí)施ZT。ZT需要由任務(wù)驅(qū)動(dòng),而不是只為了自己的利益而由IT驅(qū)動(dòng)。何為零信任2004年,零信任作為一個(gè)安全設(shè)計(jì)的概念,由Jericho論壇引入, Jericho論壇是一個(gè)總部設(shè)在英國(guó)的首席信息安全官(CISO)群體。他們看到由于云和移動(dòng)計(jì)算的加速使用,導(dǎo)致訪問(wèn)和授權(quán)的方式改變之后,這個(gè)有遠(yuǎn)見(jiàn)的團(tuán)體假設(shè)了一個(gè)安全模型,這個(gè)模型對(duì)于傳統(tǒng)的邊界正在消失或變得不相關(guān)的世界是正確的,工作流正在移動(dòng)到云,而移動(dòng)端點(diǎn)對(duì)于應(yīng)用程序訪問(wèn)正成為規(guī)范。近年來(lái),我們看到了這一加速,因?yàn)橄蚪选⒖焖俚?G網(wǎng)絡(luò)移動(dòng),導(dǎo)致一些組織懷疑他們是否應(yīng)該提供網(wǎng)絡(luò)服務(wù)。2010年, John Kindervag(約翰德金瓦格)在Forrester進(jìn)行研究時(shí),創(chuàng)造了“零信任”或“零信任網(wǎng)絡(luò)”這一術(shù)語(yǔ),以解決Jericho論壇提出的問(wèn)題。從那時(shí)起,零信任的興趣增加,作為解決溶解或不斷移動(dòng)邊界的潛在安全方法。大多數(shù)現(xiàn)有的企業(yè)網(wǎng)絡(luò)都是扁平的,即數(shù)據(jù)和用戶網(wǎng)絡(luò)之間幾乎沒(méi)有分離。傳統(tǒng)的中心輻射網(wǎng)絡(luò)模型的弱點(diǎn)在于其架構(gòu)。通過(guò)防火墻跨越信任與不信任之間的鴻溝,從本質(zhì)上說(shuō)是危險(xiǎn)的。相反,零信任不再區(qū)分“內(nèi)部”和“外部”網(wǎng)絡(luò)周邊。一般來(lái)說(shuō),零信任:提供用戶從任何地方以任何方式訪問(wèn)任何地方的數(shù)據(jù)的一致性安全策略;在訪問(wèn)服務(wù)和/或數(shù)據(jù)時(shí),采取“從不信任并始終驗(yàn)證”的立場(chǎng);無(wú)論源于何處的請(qǐng)求位置,都需要持續(xù)授權(quán);增加整網(wǎng)可視性和分析性。此外,零信任依賴于五個(gè)基本斷言:網(wǎng)絡(luò)總是被認(rèn)為是懷有敵意的;網(wǎng)絡(luò)外部和內(nèi)部威脅始終存在;網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)中的信任;每個(gè)設(shè)備、用戶和網(wǎng)絡(luò)流都經(jīng)過(guò)認(rèn)證和授權(quán);策略必須是動(dòng)態(tài)的,并根據(jù)盡可能多的數(shù)據(jù)來(lái)源進(jìn)行計(jì)算。零信任概念安全模型的六大支柱零信任可以被認(rèn)為是一項(xiàng)戰(zhàn)略舉措,與組織框架一起,使決策者和安全領(lǐng)導(dǎo)人能夠達(dá)成務(wù)實(shí)和有效的安全實(shí)現(xiàn)。( 1 )零信任的支柱概念安全模型有助于理解和組織這些組件。零信任安全模型見(jiàn)下圖:任務(wù)焦點(diǎn)IT能力存在于組織內(nèi),是為了使任務(wù)得以實(shí)現(xiàn),而不是為了自身目的而存在。這種邏輯可以擴(kuò)展到零信任。信息保護(hù)的需求應(yīng)該由任務(wù)驅(qū)動(dòng),由IT組織來(lái)完成。IT組織應(yīng)該與任務(wù)和高層領(lǐng)導(dǎo)一起工作以獲得支持,并為創(chuàng)建對(duì)于零信任的組織需求而奮斗。數(shù)據(jù)基礎(chǔ)零信任架構(gòu)的目的是保護(hù)數(shù)據(jù)。對(duì)一個(gè)組織的數(shù)據(jù)資產(chǎn)的清晰理解,是成功實(shí)現(xiàn)零信任架構(gòu)的關(guān)鍵。組織需要根據(jù)任務(wù)關(guān)鍵性,來(lái)分類他們的數(shù)據(jù)資產(chǎn),并使用這些信息來(lái)開(kāi)發(fā)數(shù)據(jù)管理策略作為其整體ZT方法的一部分。支柱1-用戶:人員/身份安全可信用戶的持續(xù)身份驗(yàn)證對(duì)ZT至關(guān)重要。這包括使用身份、憑證和訪問(wèn)管理(ICAM)和多因素認(rèn)證(MFA)等技術(shù),并持續(xù)監(jiān)測(cè)和驗(yàn)證用戶可信度,以管理其訪問(wèn)和權(quán)限。防護(hù)和保護(hù)用戶交互的技術(shù),如傳統(tǒng)的Web網(wǎng)關(guān)解決方案,也很重要。支柱2-設(shè)備:設(shè)備安全實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)和設(shè)備的可信性是ZT方法的基本屬性。一些“記錄系統(tǒng)”解決方案(如移動(dòng)設(shè)備管理器)提供可用于設(shè)備信任評(píng)估的數(shù)據(jù)。此外,對(duì)每個(gè)訪問(wèn)請(qǐng)求應(yīng)進(jìn)行其他評(píng)估(例如,入侵狀態(tài)的檢查、軟件版本、保護(hù)狀態(tài)、加密啟用等) 。支柱3-網(wǎng)絡(luò):網(wǎng)絡(luò)安全有人認(rèn)為,邊界保護(hù)對(duì)于網(wǎng)絡(luò)、工作流、工具和操作變得越來(lái)越不重要。這不是由于單一的技術(shù)或用例,而是許多新技術(shù)和服務(wù)的匯聚,允許用戶以新的方式工作和通信。零信任網(wǎng)絡(luò)有時(shí)被描述為“無(wú)邊界”,這有點(diǎn)誤入歧途。零信任網(wǎng)絡(luò)實(shí)際上試圖從網(wǎng)絡(luò)邊緣和片段中移動(dòng)邊界,并將關(guān)鍵數(shù)據(jù)與其他數(shù)據(jù)隔離。周界仍然是一個(gè)現(xiàn)實(shí),盡管是以更細(xì)粒度的方式。傳統(tǒng)的基礎(chǔ)設(shè)施防火墻邊界“城堡和護(hù)城河”的做法是不夠的。邊界必須更接近于數(shù)據(jù)與微分段,以加強(qiáng)保護(hù)和控制。隨著代理將其網(wǎng)絡(luò)部分或完全過(guò)渡到軟件定義網(wǎng)絡(luò)(SDN)、軟件定義的廣域網(wǎng)(SD-WAN)和基于Internet的技術(shù),網(wǎng)絡(luò)安全正在擴(kuò)展。關(guān)鍵是:(a)控制特權(quán)網(wǎng)絡(luò)訪問(wèn);(b)管理內(nèi)部和外部數(shù)據(jù)流;(c)防止網(wǎng)絡(luò)中的橫向移動(dòng);(d)具有可視性,以便對(duì)網(wǎng)絡(luò)和數(shù)據(jù)流量進(jìn)行動(dòng)態(tài)策略和信任決策。分段、隔離和控制網(wǎng)絡(luò)的能力,仍然是零信任網(wǎng)絡(luò)安全的關(guān)鍵點(diǎn)。支柱4-應(yīng)用:應(yīng)用程序和工作負(fù)載安全確保和適當(dāng)?shù)毓芾響?yīng)用層以及計(jì)算容器和虛擬機(jī)是ZT采用的核心。具有識(shí)別和控制技術(shù)堆棧的能力,有助于更細(xì)粒度和準(zhǔn)確的訪問(wèn)決策。毫無(wú)疑問(wèn),多因素身份驗(yàn)證(MFA)是在ZT環(huán)境中為應(yīng)用程序提供適當(dāng)訪問(wèn)控制的一個(gè)日益關(guān)鍵的部分。支柱5-自動(dòng)化:安全自動(dòng)化和編排和諧、成本高效的ZT充分利用安全自動(dòng)化響應(yīng)工具,通過(guò)工作流自動(dòng)化跨產(chǎn)品的任務(wù),同時(shí)允許最終用戶的監(jiān)督和交互。安全操作中心(SOC)通常使用其他自動(dòng)化工具進(jìn)行安全信息和事件管理(SIEM)以及用戶和實(shí)體行為分析(UEBA)。安全編排連接這些安全工具,并協(xié)助管理不同的安全系統(tǒng)。這些工具可以以集成的方式工作,大大減少體力勞動(dòng)和事件反應(yīng)時(shí)間,并降低成本。支柱6-分析:安全可見(jiàn)性和分析你不能對(duì)抗一個(gè)你看不見(jiàn)或無(wú)法理解的威脅。ZT利用諸如安全信息管理、高級(jí)安全分析平臺(tái)、安全用戶行為分析和其他分析系統(tǒng)這樣的工具,使安全專家能夠?qū)崟r(shí)地觀察正在發(fā)生的事情和更智能地定向防御。對(duì)網(wǎng)絡(luò)相關(guān)事件數(shù)據(jù)的分析,有助于在實(shí)際事件發(fā)生之前制定主動(dòng)安全措施。( 2 )其他零信任安全模型其它幾種模型可用于幫助組織理解概念并指導(dǎo)他們?cè)谄洵h(huán)境中引入零信任的努力:零信任擴(kuò)展( ZTX )生態(tài)系統(tǒng)框架:由Forrester開(kāi)發(fā),該框架被描述為一個(gè)安全架構(gòu)和運(yùn)行手冊(cè)。持續(xù)適應(yīng)性風(fēng)險(xiǎn)和信任評(píng)估(CARTA)模型:來(lái)自Gartner,CARTA被描述為一種在高級(jí)威脅環(huán)境中支持?jǐn)?shù)字業(yè)務(wù)轉(zhuǎn)型的方法,這種環(huán)境需要一種新的安全方法。零信任可以是整個(gè)CARTA安全方法的子組件。( 3 )隱私關(guān)注將隱私集成到ZT架構(gòu)設(shè)計(jì)和生命周期過(guò)程中是非常重要的。隨著我們將計(jì)算推向“邊緣”,導(dǎo)致日益復(fù)雜的IT信息系統(tǒng)和設(shè)備的世界,圍繞IT投資的隱私問(wèn)題也在增加。將隱私控制到安全控制目錄的完全集成,是下一代NIST SP 800-53(Rev 5)安全和隱私控制標(biāo)準(zhǔn)的主要目標(biāo)。ZT實(shí)施可能有新的和不同的方法,來(lái)監(jiān)視用戶行為和/或跟蹤用戶身份。ZT從業(yè)者需要確保他們遵守適用的隱私法律、法規(guī)、標(biāo)準(zhǔn)和政策。通過(guò)與機(jī)構(gòu)隱私官員密切協(xié)調(diào)設(shè)計(jì)和開(kāi)發(fā)工作,這一領(lǐng)域的成功是可以實(shí)現(xiàn)的。特別重要的是,根據(jù)20026電子政務(wù)法第208條的要求,確保所有的ZT實(shí)施在機(jī)構(gòu)隱私影響評(píng)估(PIA)中有適當(dāng)?shù)呐丁? 4 )谷歌“BeyondCorp”模型谷歌“BeyondCorp”模型是關(guān)于零信任實(shí)現(xiàn)的最早討論和文檔化的例子。BeyondCorp提供了一個(gè)實(shí)際的零信任實(shí)現(xiàn)的例子。雖然Google是一家商業(yè)企業(yè),但其許多內(nèi)部組件應(yīng)該是任何企業(yè)都熟悉的。BeyondCorp基于原始零信任前提:傳統(tǒng)的基于邊界的安全不足以保護(hù)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)。此外,谷歌認(rèn)識(shí)并促進(jìn)云技術(shù)的發(fā)展,并將應(yīng)用程序從本地?cái)?shù)據(jù)中心移動(dòng)到云提供的應(yīng)用程序和服務(wù)。BeyondCorp零信任支柱:從特定網(wǎng)絡(luò)的連接,不得確定您可以訪問(wèn)哪些服務(wù);到服務(wù)的訪問(wèn)權(quán)限,基于我們對(duì)您和您的設(shè)備的了解授予。所有到服務(wù)的訪問(wèn),必須經(jīng)過(guò)認(rèn)證、授權(quán)、加密。BeyondCorp組件:可以映射到上述零信任支柱的以下組件:?jiǎn)吸c(diǎn)登錄訪問(wèn)代理訪問(wèn)控制引擎用戶清單設(shè)備清單安全策略信任知識(shí)庫(kù)組件交付方式:這些組件是作為Google云平臺(tái)的一部分交付的,許多組件是由Google集成訪問(wèn)代理交付的。由于這是一個(gè)只通過(guò)云的交付策略,所以使用基于虛擬軟件的解決方案,來(lái)配合軟件定義邊界的使用是必要的。應(yīng)用程序被遷移到云中,在云中可以交付細(xì)粒度的訪問(wèn)控制。這消除了授權(quán)應(yīng)用程序訪問(wèn)谷歌Intranet的必要性。Google使用一種基于代理的方法作為強(qiáng)制點(diǎn),來(lái)控制對(duì)在Google云平臺(tái)上交付的托管應(yīng)用程序的訪問(wèn)。該代理方法已被改進(jìn),并作為云身份感知代理產(chǎn)品交付,它控制了零信任的基本支柱。建立信任是基礎(chǔ)作為一個(gè)框架,零信任意味著天生的不信任(“ 默認(rèn)拒絕”),需要一種強(qiáng)調(diào) 持續(xù)監(jiān)測(cè)和評(píng)估的 自適應(yīng)部署模型。問(wèn)題一:在這種 以信任為中心的轉(zhuǎn)變中,首要的問(wèn)題之一是“我們?nèi)绾未_定某事物的 可信度?”許多安全組織很難回答這個(gè)問(wèn)題。傳統(tǒng)程序:假定所有數(shù)據(jù)和事務(wù)都是可信的,而實(shí)際上,入侵、數(shù)據(jù)丟失、惡意參與者等都會(huì)降低信任。零信任:則是按動(dòng)了 信任計(jì)算,通過(guò)假設(shè)所有數(shù)據(jù)和事務(wù)從一開(kāi)始就不受信任。問(wèn)題二:新的問(wèn)題是“我們?nèi)绾潍@得 足夠的信任?“雖然一些關(guān)鍵概念和組件可以應(yīng)用于所有部署,但沒(méi)有可應(yīng)用于每個(gè)組織的 固定公式。信任會(huì)隨著組織的需要和關(guān)注而改變。( 1 )零信任三角零信任環(huán)境集成了數(shù)據(jù)、用戶、設(shè)備、應(yīng)用程序的控制,以管理所有事務(wù)的可信性。信任引擎:是一種用于通過(guò)賦予 信任分?jǐn)?shù)來(lái)動(dòng)態(tài)評(píng)估網(wǎng)絡(luò)中的用戶、設(shè)備或應(yīng)用程序的總體信任的技術(shù)。信任引擎使用計(jì)算出的信任分?jǐn)?shù),為每個(gè)事務(wù)請(qǐng)求做出基于策略的授權(quán)決策。信任分?jǐn)?shù):是由組織預(yù)先定義或選擇的因素和條件計(jì)算出的值,用于確定給定用戶、設(shè)備或應(yīng)用程序的可信性。諸如位置、時(shí)間、訪問(wèn)時(shí)長(zhǎng)和采取的行動(dòng)等信息,是確定信任分?jǐn)?shù)的潛在因素的例子。微分段:是一種安全技術(shù),能夠?qū)⒓?xì)粒度安全策略分配給數(shù)據(jù)中心應(yīng)用程序, 粒度可以降到工作負(fù)載級(jí)別和設(shè)備層面。這意味著安全策略可以與虛擬網(wǎng)絡(luò)、虛擬機(jī)、操作系統(tǒng)或其他虛擬安全目標(biāo)進(jìn)行同步。在零信任三角內(nèi),信任引擎通過(guò)使用信任分?jǐn)?shù)來(lái)評(píng)估進(jìn)入網(wǎng)絡(luò)的任何代理的可信性。代理(或“網(wǎng)絡(luò)代理” ):是指在網(wǎng)絡(luò)請(qǐng)求中已知的關(guān)于參與者的 數(shù)據(jù)組合的術(shù)語(yǔ),通常包含用戶、應(yīng)用程序、設(shè)備。該數(shù)據(jù)組合,根據(jù)需求實(shí)時(shí)地查詢,以提供情境上下文以使最佳授權(quán)決策成為可能。在計(jì)算出信任分?jǐn)?shù)之后, 用戶、應(yīng)用、設(shè)備、分?jǐn)?shù)被綁定以形成代理。然后, 策略可以應(yīng)用到代理上,以授權(quán)請(qǐng)求。( 2 )零信任架構(gòu)中的控制和數(shù)據(jù)平面零信任架構(gòu)基于控制平面/數(shù)據(jù)平面模型(見(jiàn)下圖):控制平面:由 接收和處理來(lái)自希望訪問(wèn)(或準(zhǔn)許訪問(wèn))網(wǎng)絡(luò)資源的 數(shù)據(jù)平面設(shè)備請(qǐng)求的組件組成。控制平面協(xié)調(diào)和配置數(shù)據(jù)平面。數(shù)據(jù)平面:零信任架構(gòu)中的幾乎所有其他事物都被稱為數(shù)據(jù)平面。數(shù)據(jù)平面包含所有應(yīng)用程序、防火墻、代理、路由器,它們直接處理網(wǎng)絡(luò)上的所有流量。圖中所示的架構(gòu),支持訪問(wèn)受保護(hù)資源的請(qǐng)求,該請(qǐng)求首先通過(guò)控制平面發(fā)出,其中設(shè)備和用戶都必須經(jīng)過(guò)身份認(rèn)證和授權(quán)。細(xì)粒度策略可以應(yīng)用于該層,可能基于組織中的角色、一天中的時(shí)間、或設(shè)備類型。訪問(wèn)更安全的資源,還可以要求更強(qiáng)的身份驗(yàn)證。一旦控制平面決定允許請(qǐng)求,它將 動(dòng)態(tài)配置數(shù)據(jù)平面,以接受來(lái)自該客戶端(并且僅限于該客戶端)的流量。此外,它還可以協(xié)調(diào)請(qǐng)求者和資源之間 加密隧道的細(xì)節(jié)。這可以包括臨時(shí)的一次性使用憑據(jù)、密鑰和短暫端口號(hào)。雖然可以在這些措施的強(qiáng)度上做出一些折衷,但 基本思想是:一個(gè)權(quán)威的來(lái)源或可信的第三方,被授予一種能力,即 基于各種輸入,能夠?qū)崟r(shí)地認(rèn)證、授權(quán)和協(xié)調(diào)訪問(wèn)。代理中包含的 富化信息,允許非常靈活但細(xì)粒度的訪問(wèn)控制,它可以通過(guò)在策略中包括評(píng)分組件來(lái)適應(yīng)不同的條件。如果請(qǐng)求被授權(quán),則控制平面向數(shù)據(jù)平面發(fā)送信號(hào)以接受傳入的請(qǐng)求。此操作還可以配置加密詳細(xì)信息。加密可以應(yīng)用于在設(shè)備級(jí)、應(yīng)用級(jí)或兩者之上的靜止數(shù)據(jù)和移動(dòng)數(shù)據(jù)。至少需要一個(gè)用于保密性。利用這些認(rèn)證和授權(quán)組件,以及在協(xié)調(diào)加密信道的控制平面的幫助下,零信任模型可以 斷言網(wǎng)絡(luò)上的每一個(gè)流,都是經(jīng)過(guò)認(rèn)證和預(yù)期的。主機(jī)和網(wǎng)絡(luò)設(shè)備可以丟棄尚未應(yīng)用所有這些組件的流量,從而顯著降低敏感數(shù)據(jù)泄漏的可能性。此外,通過(guò)記錄每一個(gè)控制平面的事件和動(dòng)作,網(wǎng)絡(luò)流量可以容易地在 逐個(gè)流量或 逐個(gè)請(qǐng)求的基礎(chǔ)上進(jìn)行審計(jì)。零信任的益處當(dāng)對(duì)遷移到零信任架構(gòu)進(jìn)行評(píng)估時(shí),組織內(nèi)的技術(shù)和業(yè)務(wù)領(lǐng)導(dǎo)者都必須看到潛在的好處。核心ZT成果應(yīng)集中于:創(chuàng)建更安全的網(wǎng)絡(luò),使數(shù)據(jù)更安全,減少違規(guī)帶來(lái)的負(fù)面影響,提高合規(guī)性和可視性,實(shí)現(xiàn)更低的網(wǎng)絡(luò)安全成本,并提高組織的整體風(fēng)險(xiǎn)態(tài)勢(shì)。實(shí)施的好處 取決于部署ZT原則的程度和所使用的操作模型。丟失的或被盜的數(shù)據(jù)、外泄的知識(shí)產(chǎn)權(quán)和其他類型的違規(guī)行為,會(huì)損害組織的資金和聲譽(yù)。避免這種情況是成功采用ZT的關(guān)鍵。( 1 )更加安全的網(wǎng)絡(luò)實(shí)施一個(gè)“從不信任,永遠(yuǎn)驗(yàn)證”的方法,應(yīng)該加強(qiáng)對(duì)網(wǎng)絡(luò)中正在發(fā)生的事情的可見(jiàn)度。新工具可以提供對(duì)訪問(wèn)請(qǐng)求的任何人的用戶、設(shè)備、位置、信譽(yù)的更高可見(jiàn)性。運(yùn)營(yíng)者很難防止或修復(fù)他們看不見(jiàn)的東西,所以可見(jiàn)性是關(guān)鍵。如果用戶、設(shè)備或行為未被識(shí)別或超出用戶基線風(fēng)險(xiǎn)評(píng)分,它們將被丟棄。ZT還 細(xì)分了內(nèi)部架構(gòu),以限制常與系統(tǒng)滲透漏洞相關(guān)的 用戶“漫游”。傳統(tǒng)上,企業(yè)已經(jīng)部署“內(nèi)部防火墻”作為一種分段方法,但是現(xiàn)在可以使用增強(qiáng)的方法來(lái)實(shí)現(xiàn) 微邊界。有了ZT,用戶就不能再登錄并擁有“網(wǎng)絡(luò)旅行”。相反,它們被授權(quán)只能使用與預(yù)先確定的信任級(jí)別和訪問(wèn)相關(guān)聯(lián)的特定的微邊界。( 2 )關(guān)注更安全的數(shù)據(jù)保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和存儲(chǔ),是任何網(wǎng)絡(luò)價(jià)值的主要部分。保護(hù)所有數(shù)據(jù),無(wú)論是靜止的還是運(yùn)動(dòng)的,都是ZT架構(gòu)的主要支柱。有助于這種保護(hù)的關(guān)鍵技術(shù)包括加密、虛擬專用網(wǎng)絡(luò)(VPN)和數(shù)據(jù)防泄漏功能。網(wǎng)絡(luò)運(yùn)營(yíng)商可以為每種類型的保護(hù)選擇單獨(dú)的工具,也可以選擇提供多種功能的整合工具。與云計(jì)算和“物聯(lián)網(wǎng)”設(shè)備的增加相關(guān)的最近趨勢(shì),已經(jīng)拓寬了網(wǎng)絡(luò)的邊緣。這可能為數(shù)據(jù)的操作創(chuàng)造了機(jī)會(huì)。因此,當(dāng)數(shù)據(jù)在互連網(wǎng)絡(luò)周?chē)苿?dòng)時(shí),對(duì)數(shù)據(jù)進(jìn)行保護(hù)是很重要的。ZT方法強(qiáng)調(diào)識(shí)別高價(jià)值數(shù)據(jù)并優(yōu)先保護(hù)它。通過(guò)網(wǎng)絡(luò)分段來(lái)保護(hù)數(shù)據(jù),可以幫助避免“磚塊”攻擊(刪除數(shù)據(jù)),并且反過(guò)來(lái),可以保持?jǐn)?shù)據(jù)完整性更高,并減少代價(jià)昂貴的補(bǔ)救訴訟的可能性。( 3 )改進(jìn)對(duì)現(xiàn)有和演化的威脅的保護(hù)傳統(tǒng)上,威脅的演變速度與安全研究人員發(fā)布漏洞修補(bǔ)程序的速度一樣快。隨著時(shí)間的推移,前沿企業(yè)了解到,以“漏洞賞金”的形式支付漏洞研究,是一種非常有效的(盈利的)方法,在漏洞被利用之前識(shí)別脆弱的系統(tǒng)。事實(shí)上,這會(huì)使合法的安全研究人員對(duì)抗敵對(duì)的“黑客”:他們之間的競(jìng)爭(zhēng),繼續(xù)演變?yōu)橥{景觀。然而,盡管漏洞市場(chǎng)對(duì)組織是有利的,但國(guó)家敵對(duì)行為體也發(fā)展了。國(guó)家資助的黑客訓(xùn)練有素,資源充足,堅(jiān)持不懈。有足夠的證據(jù)表明,許多國(guó)家有攻擊性的網(wǎng)絡(luò)能力,這是全職工作。使用新的戰(zhàn)術(shù)、技術(shù)和程序,如人工智能和機(jī)器學(xué)習(xí)結(jié)合國(guó)家級(jí)開(kāi)發(fā)代碼(例如,永恒之藍(lán)),正在呈指數(shù)增長(zhǎng)。這可能會(huì)使易受攻擊的組織的安全操作團(tuán)隊(duì)無(wú)法處理更多的事件。它還可以使攻擊者橫向移動(dòng),在一個(gè)受損的組織中,以前看不見(jiàn)的速度和準(zhǔn)確性。任何新的安全能力必須適應(yīng)新的現(xiàn)實(shí),并有效地降低外部(互聯(lián)網(wǎng)可發(fā)現(xiàn))和內(nèi)部(內(nèi)部威脅)攻擊面。零信任以類似的、不折不撓的方式解決這兩個(gè)問(wèn)題:未經(jīng)充分認(rèn)證則拒絕對(duì)任何服務(wù)或數(shù)據(jù)的訪問(wèn)。在標(biāo)準(zhǔn)的當(dāng)前網(wǎng)絡(luò)設(shè)計(jì)中,網(wǎng)絡(luò)代理通常通過(guò)產(chǎn)生一個(gè)記憶口令和令牌碼或硬件認(rèn)證器的兩個(gè)因素的過(guò)程,而被授予訪問(wèn)權(quán)限。添加ZT組件,與行為信任評(píng)分、位置ID和微分段相關(guān)聯(lián),將增強(qiáng)是否允許代理進(jìn)入網(wǎng)絡(luò)的決定。一旦進(jìn)入網(wǎng)絡(luò),它將 阻止漫游到未經(jīng)授權(quán)的區(qū)域。將ZT能力與傳統(tǒng)工具(如下一代防火墻、數(shù)據(jù)防泄露、行為啟發(fā))結(jié)合起來(lái),可以進(jìn)一步加強(qiáng)網(wǎng)絡(luò)。( 4 )減少違規(guī)行為的影響實(shí)施ZT架構(gòu)時(shí),由于網(wǎng)絡(luò)分段以及用戶獲得有限訪問(wèn)權(quán)限,將減少違規(guī)造成的影響。違規(guī)造成的更小影響,將減少業(yè)務(wù)中斷并保持較低的補(bǔ)救成本。違規(guī)造成的更小影響,可以幫助維持組織的聲譽(yù)和客戶和干系人的信任。分段是限制受到漏洞影響的區(qū)域的關(guān)鍵技術(shù)。將訪問(wèn)權(quán)限限制為僅允許單個(gè)用戶訪問(wèn)的網(wǎng)絡(luò)區(qū)域,有助于減少違規(guī)的影響。( 5 )提高合規(guī)性和可見(jiàn)度聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)不缺少現(xiàn)有或未決的合規(guī)要求,包括:聯(lián)邦信息安全管理法案、聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理程序(FedRAMP)、可信互聯(lián)網(wǎng)連接(TIC)3.0、國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)出版物。在整個(gè)網(wǎng)絡(luò)中應(yīng)用這些要求,可能是一項(xiàng)挑戰(zhàn);但是,通過(guò) 分段的方法,合規(guī)性通常可以通過(guò)更小、更相關(guān)的審計(jì)來(lái)解決,從而使機(jī)構(gòu)能夠更快地滿足合規(guī)性要求。可重用模板方法可用于具有類似特征的網(wǎng)絡(luò)分段。關(guān)鍵的好處是合規(guī)的速度。在ZT架構(gòu)中提高可見(jiàn)性也有好處。提高了誰(shuí)、什么和哪里的可見(jiàn)性,使網(wǎng)絡(luò)運(yùn)營(yíng)者能夠更密切地記錄行為和活動(dòng)。從改進(jìn)的可視性處理的分析,進(jìn)一步有利于網(wǎng)絡(luò)運(yùn)營(yíng)者。( 6 )提高潛在成本縮減更低的成本,可以從更好的集成工具、減少VPN使用、簡(jiǎn)化運(yùn)營(yíng)模式、避免丟失數(shù)據(jù)、訴訟和損壞聲譽(yù)來(lái)產(chǎn)生。當(dāng)與ZT架構(gòu)相結(jié)合時(shí),政府組織可能會(huì)尋求使用低成本的 商品線路(就風(fēng)險(xiǎn)而言)來(lái)更新基礎(chǔ)設(shè)施。這些較低成本的直接互聯(lián)網(wǎng)接入線路,也促進(jìn)了更安全的軟件定義廣域網(wǎng)( SD-WAN)連接的附加好處。評(píng)估一個(gè)機(jī)構(gòu)已經(jīng)部署的(或即將部署的)零信任的各種支柱的組件/元素。這些是沉沒(méi)成本,可能不需要包括在新的投資回報(bào)率計(jì)算或討論中。此外,與現(xiàn)有工具的集成,可以極大地降低操作ZT所需的投資。底線—— 零信任必須簡(jiǎn)化而不是復(fù)雜化您的安全策略,以節(jié)省資金部署零信任的建議步驟( 1 )部署零信任的考慮如果計(jì)劃在安全策略中包含零信任,則當(dāng)前環(huán)境可能已經(jīng)包含可以利用的ZT工具和組件。例如,一個(gè)機(jī)構(gòu)已經(jīng)擁有強(qiáng)大的 ICAM實(shí)現(xiàn),具有 多因素認(rèn)證,則可以利用它來(lái)支持零信任“ 用戶支柱”能力。類似地,如果一個(gè)機(jī)構(gòu)擁有 移動(dòng)設(shè)備管理或 系統(tǒng)清單工具,它們可以被用于“ 設(shè)備支柱”組件。在安全架構(gòu)的任何變化中,重要的是考慮已有的投資可以被利用以及新模型如何以及在哪里快速實(shí)現(xiàn)。重要的是要確保在規(guī)劃階段盡早選擇正確的方法。在選擇特定的ZT解決方案時(shí),決策必須平衡安全和成本,并能夠解決 今天和明天的挑戰(zhàn)。零信任可以提供一種成熟的解決方案, 它不需要增加運(yùn)營(yíng)復(fù)雜性或要求主要的架構(gòu)改變。事實(shí)上,它可以 簡(jiǎn)化運(yùn)營(yíng),同時(shí)提高安全性并保護(hù)關(guān)鍵的高價(jià)值資產(chǎn)。查看和驗(yàn)證誰(shuí)有權(quán)訪問(wèn)應(yīng)用程序和數(shù)據(jù),并確保受信任的流量沒(méi)有受到損害的能力,至關(guān)重要。解決方案應(yīng)能夠分析活動(dòng)威脅、惡意軟件、病毒、受損憑據(jù)和受限敏感數(shù)據(jù)的允許通信量。行為分析和自動(dòng)化可以應(yīng)用于整合日志記錄,以阻止隱藏的不良行為體看起來(lái)可信。零信任是一種使用支柱進(jìn)行粒度、受限和驗(yàn)證的訪問(wèn)控制。一個(gè)共同的框架,將允許這些支柱協(xié)同工作,同時(shí)通過(guò)整合和戰(zhàn)略伙伴關(guān)系來(lái)降低復(fù)雜性。( 2 )零信任成熟度模型零信任網(wǎng)絡(luò)轉(zhuǎn)換不必一次完成。ZT成熟度模型可以幫助指導(dǎo)組織 踏上零信任之旅。該模型可以幫助組織、跟蹤和溝通正在進(jìn)行的工作。這些模型可以定制,以說(shuō)明工作從哪里開(kāi)始和跟蹤進(jìn)展的主要里程碑。下圖包含了一個(gè)成熟度模型的示例:您的組織是否有一個(gè)明確的與業(yè)務(wù)需求相一致的 ICAM戰(zhàn)略,導(dǎo)致了由 基于風(fēng)險(xiǎn)的策略所支持的 MFA解決方案的全面實(shí)施和集成?階段2:獲得設(shè)備和活動(dòng)的可視性。您的組織是否有一個(gè)最新的 資產(chǎn)清單,可區(qū)分 托管和非托管設(shè)備,作為集成IT和安全功能的一部分,對(duì)它們進(jìn)行健康檢查?您的組織是否有一個(gè)受信任的 設(shè)備策略,提示用戶在管理的過(guò)程中針對(duì)已度量的 漏洞更新其設(shè)備,并報(bào)告 策略外設(shè)備?您的組織是否通過(guò)一個(gè) 集中管理的策略來(lái) 控制用戶訪問(wèn),該策略能識(shí)別異常并根據(jù)異常采取行動(dòng)?您的組織是否有一個(gè)由 架構(gòu)和一組 過(guò)程支持的 與業(yè)務(wù)對(duì)齊的零信任策略,使用戶能夠無(wú)縫訪問(wèn) 內(nèi)部和云應(yīng)用程序?零信任是Gartner CARTA發(fā)展路線圖上的第一步。大多數(shù)企業(yè)數(shù)據(jù)中心都與公共網(wǎng)絡(luò)隔離,并與最終用戶硬件分離。與最終用戶訪問(wèn)公共互聯(lián)網(wǎng)一樣,對(duì)數(shù)據(jù)中心的訪問(wèn)是基于信任的,信任通常是通過(guò)驗(yàn)證IP地址建立的。在數(shù)據(jù)中心,專有的企業(yè)信息和應(yīng)用是 橫向存儲(chǔ)的。這種 扁平的層次結(jié)構(gòu)意味著,如果一個(gè)壞角色滲透到數(shù)據(jù)中心,所有信息都有風(fēng)險(xiǎn)。攻擊者在一個(gè)服務(wù)器上獲得立足點(diǎn),可以很容易地橫向傳播(東/西)到其他系統(tǒng)。“這種 橫向移動(dòng)是威脅傳播的通用向量——想想近期的Cryptolocker和Petya惡意軟件感染。另一種選擇是使用SDP來(lái)實(shí)現(xiàn)訪問(wèn)而不犧牲安全性。
有了SDP,用戶無(wú)論是在網(wǎng)絡(luò)內(nèi)部還是外部,都可以 直接連接到資源,無(wú)論資源位于云中、數(shù)據(jù)中心、互聯(lián)網(wǎng);所有這些都 不需要連接到公司網(wǎng)絡(luò)。SDP安全軟件在每個(gè)用戶的網(wǎng)絡(luò)流量周?chē)⒁粋€(gè)安全的周界,可以說(shuō),創(chuàng)建了 一個(gè)人的網(wǎng)絡(luò)。例如,谷歌為自己的員工開(kāi)發(fā)了名為 BeyondCorp的SDP。用戶(或SDP主機(jī))不能發(fā)起或接受與另一個(gè)SDP主機(jī)的通信,只有在連接到對(duì)事務(wù)進(jìn)行授權(quán)的SDP控制器之后才可以。SDP方法中的一個(gè)關(guān)鍵概念:SDP控制器對(duì)SDP主機(jī)的指令,消除了DNS信息和端口對(duì)“外部”的可見(jiàn)性需求,實(shí)現(xiàn)了有效“隱身”或?qū)ν獠咳藛T創(chuàng)建了一個(gè)不可見(jiàn)的“黑暗”網(wǎng)絡(luò)。SDP代表了一種網(wǎng)絡(luò)安全方法,它圍繞高價(jià)值企業(yè)應(yīng)用程序和數(shù)據(jù)訪問(wèn),創(chuàng)建了一個(gè)保護(hù)屏障。這種技術(shù),以及其他類似的技術(shù),可以保護(hù)應(yīng)用基礎(chǔ)設(shè)施免受現(xiàn)有和新出現(xiàn)的網(wǎng)絡(luò)威脅。例如,現(xiàn)有的攻擊(如憑據(jù)竊取和服務(wù)器利用被動(dòng)態(tài)地阻止,因?yàn)檫@些技術(shù)只允許從已注冊(cè)到認(rèn)證用戶的設(shè)備訪問(wèn),這是一個(gè) 關(guān)鍵的零信任元素。SDP能力可以以不同的方式成功交付,例如通過(guò)代理、在線軟件、云服務(wù),甚至場(chǎng)內(nèi)方式。SDP通過(guò)維護(hù)每個(gè)事務(wù)的默認(rèn)拒絕狀態(tài),來(lái)實(shí)現(xiàn)零信任。策略是由用戶和上下文(通常包括行為分析)定義的,比單獨(dú)的微分段降低了風(fēng)險(xiǎn)。未經(jīng)授權(quán)的橫向移動(dòng)風(fēng)險(xiǎn)也被消除,因?yàn)樗惺聞?wù)都以與企業(yè)防火墻內(nèi)部或外部相同的方式進(jìn)行評(píng)估。致力于采用 基于軟件的安全模型,是SDP成功的關(guān)鍵。評(píng)估SDP選項(xiàng)的政府機(jī)構(gòu)必須考慮:SDP允許經(jīng)過(guò)身份驗(yàn)證的用戶,訪問(wèn)在任何環(huán)境中運(yùn)行的授權(quán)應(yīng)用程序和數(shù)據(jù),而無(wú)需將用戶放進(jìn)網(wǎng)絡(luò)或?qū)⑺接袘?yīng)用程序暴露給互聯(lián)網(wǎng)。聯(lián)邦政府中應(yīng)用零信任的挑戰(zhàn)如前所述,零信任是一種安全策略,由當(dāng)今在聯(lián)邦空間中 非常常用的元素組成。然而,在部署和運(yùn)行任何新技術(shù)方面都存在挑戰(zhàn)。還有一些挑戰(zhàn)是特定操作環(huán)境所特有的。( 1 )網(wǎng)絡(luò)安全成熟度差異很大在聯(lián)邦政府部署成功的ZT解決方案面臨的最大挑戰(zhàn)是網(wǎng)絡(luò)安全成熟度的普遍缺乏。其中包括普遍缺乏標(biāo)準(zhǔn)化的IT能力和網(wǎng)絡(luò)可見(jiàn)性。采用ZT成熟度模型的方法,可以幫助解決關(guān)鍵能力,以成功和更快速地解決路障,并將機(jī)構(gòu)移入日益成熟的網(wǎng)絡(luò)安全態(tài)勢(shì)。( 2 )共享的系統(tǒng)和網(wǎng)絡(luò)鏈接成功的零信任部署的另一個(gè)挑戰(zhàn)是聯(lián)邦I(lǐng)T中廣泛的系統(tǒng)相互依賴性。幾乎每個(gè)聯(lián)邦機(jī)構(gòu)都從其他聯(lián)邦機(jī)構(gòu)接收或提供服務(wù)(例如,計(jì)費(fèi)、時(shí)間和出勤、旅行、人力資源等)。這可能對(duì)大規(guī)模的超級(jí)機(jī)構(gòu)的依賴性特別有影響,它們受到高度管制(例如,金融和衛(wèi)生部門(mén))。最后,這些依賴性是雙向的:當(dāng)私營(yíng)部門(mén)的合作伙伴轉(zhuǎn)移到ZT解決方案時(shí),聯(lián)邦機(jī)構(gòu)可能期望支持需求。在所有情況下,及早和經(jīng)常與服務(wù)提供商、合作伙伴和客戶進(jìn)行溝通,將有助于克服這些挑戰(zhàn)。( 3 )遠(yuǎn)離合規(guī)驅(qū)動(dòng)網(wǎng)絡(luò)安全需求的增長(zhǎng)速度超過(guò)了解決這些問(wèn)題的預(yù)算。這導(dǎo)致:關(guān)注于管理風(fēng)險(xiǎn)的較少,更多關(guān)注于從鏈條上看到的可報(bào)告元素。例如,連續(xù)監(jiān)測(cè)是任何有效的網(wǎng)絡(luò)安全計(jì)劃的關(guān)鍵方面,但威脅情報(bào)和紅隊(duì)演習(xí)也是如此:但只有一個(gè)報(bào)告。將零信任指定為政府范圍內(nèi)的 優(yōu)先事項(xiàng),可以促進(jìn)更廣泛和更快的采用。( 4 )納入TIC 3.0要求ZT的另一個(gè)挑戰(zhàn),是它如何工作或支持新的可信互聯(lián)網(wǎng)連接(TIC)3.0指南。以下是TIC用例表,與TIC 3.0備忘錄一致。DHS計(jì)劃這項(xiàng)工作將導(dǎo)致不斷改進(jìn)和發(fā)展更新的TIC用例,用例展示了新興技術(shù)和不斷演變的網(wǎng)絡(luò)威脅。DHS已經(jīng)定義了四個(gè)不同的用例,以覆蓋諸如 云應(yīng)用(用例1)、位于機(jī)構(gòu)定義的安全邊界之外的 機(jī)構(gòu)分支辦公室(用例2)、位于機(jī)構(gòu)定義的安全邊界之外的 遠(yuǎn)程用戶(用例3)、未在其它DHS TIC用例中覆蓋的 傳統(tǒng)TIC安全(用例4)。以下DHS定義的TIC用例最適合ZT解決方案方法:用例1:云。這些TIC用例覆蓋了當(dāng)今機(jī)構(gòu)使用的一些最流行的云模型。其中包括:a.基礎(chǔ)設(shè)施即服務(wù)(IaaS)b.軟件即服務(wù)(SaaS)c.電子郵件即服務(wù)(EaaS)d.平臺(tái)即服務(wù)(PaaS)用例2:機(jī)構(gòu)分支辦公室。這個(gè)用例假設(shè)有一個(gè)機(jī)構(gòu)的分支機(jī)構(gòu),與總部分開(kāi),但分支機(jī)構(gòu)利用總部的大部分服務(wù)(包括一般的web流量)。這個(gè)用例支持那些想要啟用 SD-WAN技術(shù)的機(jī)構(gòu)。到ZT FedRAMP批準(zhǔn)的SaaS云應(yīng)用程序的SD-WAN連接,非常適合這個(gè)定義的TIC 3.0用例。用例3:遠(yuǎn)程用戶。這個(gè)用例是原始FTO(FedRAMP TIC Overlay )活動(dòng)的演變。用例演示了遠(yuǎn)程用戶如何使用GFE(政府供應(yīng)設(shè)備)連接到該機(jī)構(gòu)的傳統(tǒng)網(wǎng)絡(luò)、云和因特網(wǎng)。FedRAMP ZT解決方案非常適合這種DHS定義的TIC 3.0情況。( 5 )在聯(lián)邦市場(chǎng)中獲取零信任網(wǎng)絡(luò)的能力現(xiàn)在已經(jīng)了解到 ZT是一個(gè)“框架和架構(gòu)”,有很多選擇來(lái)采購(gòu)使能技術(shù)產(chǎn)品和服務(wù)組件。ZT項(xiàng)目很可能涉及服務(wù)和產(chǎn)品,因此建議機(jī)構(gòu)尋求能同時(shí)滿足這兩種需求的合同工具。關(guān)于ZT如何融入一些使用最廣泛的聯(lián)邦合同工具的例子包括:GSA SCHEDULE 70、DHS持續(xù)診斷和緩解(CDM)、GSA企業(yè)基礎(chǔ)設(shè)施解決方案(EIS)等。
零信任是一個(gè)演進(jìn)式的框架,而不是革命性的方法。它建立在現(xiàn)有的安全概念之上,并沒(méi)有引入一種全新的網(wǎng)絡(luò)安全方法。與大多數(shù)安全概念一樣,零信任依賴于對(duì)組織的服務(wù)、數(shù)據(jù)、用戶、端點(diǎn)的基本理解。關(guān)于前期資源投資, 沒(méi)有“免費(fèi)午餐”。策略定義、部署概念、信任確定(和衰退)、執(zhí)行機(jī)制、日志聚合等,都需要在部署解決方案之前考慮。也就是說(shuō),許多大型機(jī)構(gòu)(如谷歌、Akamai和Purdue)都已進(jìn)行了投資,顯示出安全投資的真正回報(bào)。ZT本身并不是一項(xiàng)技術(shù),而是網(wǎng)絡(luò)安全設(shè)計(jì)方法的轉(zhuǎn)變。當(dāng)網(wǎng)絡(luò)設(shè)計(jì)將多個(gè)供應(yīng)商的產(chǎn)品集成到一個(gè)全面的解決方案中時(shí),當(dāng)前的解決方案領(lǐng)域顯示出非常成熟且經(jīng)過(guò)驗(yàn)證的解決方案。無(wú)論是尋求零信任網(wǎng)絡(luò)的解決方案是什么,諸如軟件定義的網(wǎng)絡(luò)和身份、憑證和訪問(wèn)管理(ICAM)等要素,都是成功的長(zhǎng)期ZT策略的重要組成部分。ZT可以增強(qiáng)和補(bǔ)充其他網(wǎng)絡(luò)安全工具和實(shí)踐,而不是取代它們。威脅情報(bào)、持續(xù)監(jiān)視、紅隊(duì)演習(xí)仍然是零信任網(wǎng)絡(luò)環(huán)境和全面安全方法的重要組成部分。毫無(wú)疑問(wèn),有效的零信任網(wǎng)絡(luò)部署可以顯著改善組織的網(wǎng)絡(luò)安全態(tài)勢(shì)。然而,許多聯(lián)邦機(jī)構(gòu)面臨挑戰(zhàn),包括復(fù)雜的數(shù)據(jù)和服務(wù)與其他組織的相互依賴性。在將ZT擴(kuò)展到關(guān)鍵任務(wù)、多組織的工作流之前,必須仔細(xì)考慮這些依賴關(guān)系。ZT是一個(gè)成熟的策略,可以提供積極的網(wǎng)絡(luò)安全投資回報(bào),但它可能需要前期投資,這取決于機(jī)構(gòu)有哪些已經(jīng)到位。關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 今天
Wi-Fi是大家熟悉的一個(gè)名詞,但是Wi-Fi6似乎就讓人有些熟悉又陌生了。
2020年3月,中國(guó)聯(lián)通聯(lián)合中興通訊正式發(fā)布Wi-Fi6技術(shù)白皮書(shū)。Wi-Fi6這一術(shù)語(yǔ)開(kāi)始進(jìn)入大眾視野。
實(shí)際上,Wi-Fi6是Wi-Fi協(xié)議的一次更新,目前更新到了第六代。既然是代代相傳,這就意味著Wi-Fi協(xié)議背后實(shí)則有一個(gè)龐大的家族。
Wi-Fi6全稱叫802.11ax,可以追溯至1997年,當(dāng)時(shí)最早的Wi-Fi 標(biāo)準(zhǔn)是802.11,由IEEE(電氣和電子工程師協(xié)會(huì))提出。發(fā)展至今,每一次更新都以末尾的字母來(lái)相區(qū)別。因此,經(jīng)過(guò)了b(二代)、a/g(三代)、n(四代)、ac(五代),而最新的ax就是第六代。
就好比移動(dòng)網(wǎng)絡(luò)中的2G、3G、4G、5G一樣,Wi-Fi網(wǎng)絡(luò)也有其自身的更迭,但更快和更穩(wěn)定的傳輸速度是無(wú)線網(wǎng)絡(luò)追求的終極目標(biāo),而影響網(wǎng)速快慢、穩(wěn)定程度的因素則是距離、網(wǎng)速和配置。Wi-Fi6相比前幾代,增加一些特性,比如利用OFDMA頻分復(fù)用技術(shù)、DL/UL MU-MIMO技術(shù)、更高階的調(diào)制技術(shù)等。
如下圖所示,Wi-Fi6能夠承載更多設(shè)備,提高數(shù)據(jù)傳輸速度和穩(wěn)定程度。那么其中的幾個(gè)大功臣當(dāng)屬OFDMA、MU-MIMO以及更高階的調(diào)制技術(shù)。
在此之前使用的技術(shù)是OFDM,一種將傳輸信道分流的技術(shù)。簡(jiǎn)單來(lái)說(shuō),就好像沒(méi)有車(chē)道且擁擠的道路,車(chē)輛多、雜,還容易碰撞,使用了OFDM技術(shù)后,可以劃分車(chē)道來(lái)讓車(chē)輛有序而行。
Wi-Fi6引入的一種新型數(shù)據(jù)傳輸模式為OFDMA,支持上下行多用戶模式,因此可以稱為MU-OFDMA。思路轉(zhuǎn)變其實(shí)并不復(fù)雜,之前一條子信道只能允許一個(gè)用戶傳輸數(shù)據(jù),但是現(xiàn)在允許多個(gè)用戶同時(shí)進(jìn)行數(shù)據(jù)傳輸。
802.11ax又被稱為“高效率無(wú)線標(biāo)準(zhǔn)”,即使在很多用戶使用網(wǎng)絡(luò)的情況下也能保證網(wǎng)絡(luò)流暢,首要解決的是網(wǎng)絡(luò)容量問(wèn)題,因?yàn)殡S著公共Wi-Fi的普及,網(wǎng)絡(luò)容量問(wèn)題已成為機(jī)場(chǎng)、體育賽事和校園等密集環(huán)境中的一個(gè)大問(wèn)題。
在802.11ac中使用了下行MU-MIMO,一種用戶從網(wǎng)上下載數(shù)據(jù)的傳輸技術(shù)。而在第六代中,則新增了上行MU-MIMO技術(shù),允許用戶快速地上傳數(shù)據(jù)資源。
當(dāng)車(chē)流量增大、車(chē)道變多時(shí),可能需要一名“交警”來(lái)管理指揮,更好地保證車(chē)輛的順利通行。Wi-Fi6的主要目標(biāo)是增加系統(tǒng)容量,降低延時(shí),提高多用戶高密度場(chǎng)景下的效率,更高階的調(diào)制技術(shù)讓更好的效率和更快的速度并不互斥。
總體而言,多種新技術(shù)的加入都是為了最大程度地提高人們?cè)诓煌瑘?chǎng)景下的“沖浪”速度。而Wi-Fi6也是應(yīng)需而生。有了Wi-Fi6,演唱會(huì)現(xiàn)場(chǎng)也不怕“斷網(wǎng)”了。
從技術(shù)上來(lái)說(shuō),Wi-Fi6的更新很大程度上提升了數(shù)據(jù)傳輸速度,改善了穩(wěn)定程度,但是從網(wǎng)絡(luò)安全的視角來(lái)看,技術(shù)的進(jìn)步,安全也跟上步伐了嗎?
無(wú)線網(wǎng)絡(luò)覆蓋人們生活的方方面面,各類Wi-Fi風(fēng)險(xiǎn)也值得關(guān)注。比如虛假Wi-Fi釣魚(yú),攻擊者搭建虛假Wi-Fi,設(shè)置空密碼或相同密碼引誘用戶連接。一旦用戶連接攻擊者搭建的虛假Wi-Fi,那么傳輸數(shù)據(jù)就會(huì)容易遭到劫持和竊聽(tīng),用戶的個(gè)人敏感信息都容易泄露。
又或是無(wú)線協(xié)議安全漏洞,比如之前曝出的協(xié)議漏洞導(dǎo)致黑客入侵獲取用戶數(shù)據(jù)問(wèn)題,直擊Wi-Fi核心的安全保護(hù)標(biāo)準(zhǔn),這容易導(dǎo)致攻擊者劫持用戶流量,竊聽(tīng)用戶通信信息。在搜索到不是同一個(gè)wif熱點(diǎn)但名稱相同時(shí),自動(dòng)使用已保存的密碼連接,這對(duì)于攻擊者而言,也是可乘之機(jī)。
這些只是一些較為常見(jiàn)的Wi-Fi安全風(fēng)險(xiǎn)。涉及群體基數(shù)大,攻擊者早已將目光鎖定無(wú)線網(wǎng)絡(luò)這塊“香餑餑”。數(shù)據(jù)顯示,全球技術(shù)市場(chǎng)咨詢公司ABI Research指出,在新冠疫情期間,Wi-Fi上傳流量激增了80%,這證明了對(duì)Wi-Fi應(yīng)用的需求。萬(wàn)物互聯(lián)的時(shí)代,未來(lái)這一數(shù)字只會(huì)不斷攀升。
如今市場(chǎng)上,各大廠商開(kāi)始出售支持Wi-Fi6功能的路由器,以其速度、穩(wěn)定、安全為賣(mài)點(diǎn)。2018年,Wi-Fi 技術(shù)獲得了十年來(lái)最大的一次安全更新,開(kāi)始支持新的安全協(xié)議WPA3。
眾所周知,WPA3為支持Wi-Fi的設(shè)備帶來(lái)重要改進(jìn),增強(qiáng)配置、加強(qiáng)身份驗(yàn)證和加密等問(wèn)題,主要包括防范暴力攻擊、WAP3正向保密、加強(qiáng)公共和開(kāi)放Wi-Fi網(wǎng)絡(luò)中的用戶隱私、增強(qiáng)對(duì)關(guān)鍵網(wǎng)絡(luò)的保護(hù)。Wi-Fi6支持WPA3意味著其有著更高的安全性。
長(zhǎng)期來(lái)看,物聯(lián)網(wǎng)設(shè)備的接入增多才是讓網(wǎng)絡(luò)流量激增的主因,所以協(xié)議的不斷更新也是為了滿足未來(lái)人們的多設(shè)備、多場(chǎng)景上網(wǎng)需求。雖然技術(shù)不斷更新,但是攻擊者通過(guò)協(xié)議入侵物聯(lián)設(shè)備仍時(shí)常發(fā)生,用戶在使用公共Wi-Fi時(shí)還是需要警惕。新一代協(xié)議的更新也會(huì)吸引攻擊者的注意,因此個(gè)人用戶在迎接這波新技術(shù)浪潮時(shí),也要注意:
當(dāng)然,雖然Wi-Fi6迅速火熱,但是尚且還存在不足,比如支持設(shè)備少、成本高,在特定場(chǎng)合優(yōu)勢(shì)才能突顯等問(wèn)題。
總而言之,Wi-Fi6步入人們的生活是大勢(shì)所趨,未來(lái)也會(huì)看到越來(lái)越多的承載設(shè)備推出,安全風(fēng)險(xiǎn)也是相伴而生,人們不僅要享受技術(shù)福利,也要積極應(yīng)對(duì)技術(shù)帶來(lái)的風(fēng)險(xiǎn)挑戰(zhàn)。
關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 今天
以下文章來(lái)源于Tide安全團(tuán)隊(duì) ,作者VIITomFord
Tide安全團(tuán)隊(duì)
Tide安全團(tuán)隊(duì)以信安技術(shù)研究為目標(biāo),致力于分享高質(zhì)量原創(chuàng)文章、開(kāi)源安全工具、交流安全技術(shù),研究方向覆蓋網(wǎng)絡(luò)攻防、Web安全、移動(dòng)終端、安全開(kāi)發(fā)、物聯(lián)網(wǎng)/工控安全/AI安全等多個(gè)領(lǐng)域,對(duì)安全感興趣的小伙伴可以關(guān)注我們。
近幾年來(lái),由網(wǎng)絡(luò)安全問(wèn)題引發(fā)的工控事件時(shí)有發(fā)生,在國(guó)外電力系統(tǒng)中因?yàn)榫W(wǎng)絡(luò)安全而引發(fā)的事故屢見(jiàn)不鮮,造成了巨大的經(jīng)濟(jì)損失。我國(guó)雖未發(fā)生重大事故,但電力系統(tǒng)作為了重要的關(guān)鍵信息基礎(chǔ)設(shè)施,關(guān)系到老百姓的切身利益,這不得不引起我們的重視。智能變電站系統(tǒng)作為電力系統(tǒng)重要的組成部分,它的安全問(wèn)題直接影響到了電力系統(tǒng)整體的安全,因此如何做好變電站系統(tǒng)的安全成為了重中之重,本文就IEC 61850通信協(xié)議體系、智能變電站的安全性做了簡(jiǎn)要分析。
IEC 61850標(biāo)準(zhǔn)是電力系統(tǒng)自動(dòng)化領(lǐng)域唯一的全球通用標(biāo)準(zhǔn)。它通過(guò)標(biāo)準(zhǔn)的實(shí)現(xiàn),實(shí)現(xiàn)了智能變電站的工程運(yùn)作標(biāo)準(zhǔn)化。使得智能變電站的工程實(shí)施變得規(guī)范、統(tǒng)一和透明。不論是哪個(gè)系統(tǒng)集成商建立的智能變電站工程都可以通過(guò)SCD(系統(tǒng)配置)文件了解整個(gè)變電站的結(jié)構(gòu)和布局,對(duì)于智能化變電站發(fā)展具有不可替代的作用。
IEC 61850通信協(xié)議體系特點(diǎn)( 1 ) 定義了變電站的信息分層結(jié)構(gòu)
變電站通信網(wǎng)絡(luò)和系統(tǒng)協(xié)議IEC 61850標(biāo)準(zhǔn)草案提出了變電站內(nèi)信息分層的概念,將變電站的通信體系分為3個(gè)層次,即變電站層、間隔層和過(guò)程層,并且定義了層和層之間的通信接口。
( 2 ) 采用了面向?qū)ο蟮臄?shù)據(jù)建模技術(shù)
IEC 61850標(biāo)準(zhǔn)采用面向?qū)ο蟮慕<夹g(shù),定義了基于客戶機(jī)/服務(wù)器結(jié)構(gòu)數(shù)據(jù)模型。
( 3 ) 數(shù)據(jù)自描述
該標(biāo)準(zhǔn)定義了采用設(shè)備名、邏輯節(jié)點(diǎn)名、實(shí)例編號(hào)和數(shù)據(jù)類名建立對(duì)象名的命名規(guī)則;采用面向?qū)ο蟮姆椒ǎx了對(duì)象之間的通信服務(wù)。
( 4 ) 網(wǎng)絡(luò)獨(dú)立性
IEC 61850標(biāo)準(zhǔn)總結(jié)了變電站內(nèi)信息傳輸所必需的通信服務(wù),設(shè)計(jì)了獨(dú)立于所采用網(wǎng)絡(luò)和應(yīng)用層協(xié)議的抽象通信服務(wù)接口(ACSI)。
智能化變電站是由智能化一次設(shè)備(電子式互感器、智能化開(kāi)關(guān)等)和網(wǎng)絡(luò)化二次設(shè)備分層(過(guò)程層、間隔層、站控層)構(gòu)建,建立在IEC61850標(biāo)準(zhǔn)和通信規(guī)范基礎(chǔ)上,能夠?qū)崿F(xiàn)變電站內(nèi)智能電氣設(shè)備間信息共享和互操作的現(xiàn)代化變電站。在此基礎(chǔ)上實(shí)現(xiàn)變電站運(yùn)行操作自動(dòng)化、變電站信息共享化、變電站分區(qū)統(tǒng)一管理、利用計(jì)算機(jī)仿真技術(shù)實(shí)現(xiàn)智能化電網(wǎng)調(diào)度和控制的基礎(chǔ)單元。
智能變電站是采用先進(jìn)、可靠、集成和環(huán)保的智能設(shè)備,以全站信息數(shù)字化、通信平臺(tái)網(wǎng)絡(luò)化、信息共享標(biāo)準(zhǔn)化為基本要求,自動(dòng)完成信息采集、測(cè)量、控制、保護(hù)、計(jì)量和檢測(cè)等基本功能,同時(shí),具備支持電網(wǎng)實(shí)時(shí)自動(dòng)控制、智能調(diào)節(jié)、在線分析決策和協(xié)同互動(dòng)等高級(jí)功能的變電站。
如圖所示,IEC 61850從邏輯上將智能變電 站劃分為站控層、間隔層和過(guò)程層的三層體系結(jié)構(gòu)。
1)站控層:站控層設(shè)備負(fù)責(zé)匯總?cè)镜膶?shí)時(shí)數(shù)據(jù)信息,將相關(guān)數(shù)據(jù)發(fā)送至調(diào)度或遠(yuǎn)方控制中心,同時(shí),也要對(duì)過(guò)程層和間隔層設(shè)備執(zhí)行接收到的調(diào)度或控制中心命令,具有人機(jī)系統(tǒng)功能。
2)間隔層:間隔層設(shè)備包括保護(hù)測(cè)控裝置、故障錄波裝置和計(jì)量裝置,主要功能是:收集本間隔的過(guò)程層實(shí)時(shí)數(shù)據(jù),保護(hù)和控制一次設(shè)備,完成本間隔操作閉鎖、操作同期等控制功能。
3)過(guò)程層:過(guò)程層是一、二次設(shè)備的交匯處,主要完成電氣量測(cè)量、設(shè)備狀態(tài)檢測(cè)和操作控制命令執(zhí)行這三大功能。
由于計(jì)算機(jī)網(wǎng)絡(luò)具有互聯(lián)性、開(kāi)放性、連接方式的多樣性及終端分布的不均勻性等特點(diǎn),再加上計(jì)算機(jī)網(wǎng)絡(luò)具有難以克服的自身脆弱性和人為的疏忽,導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多網(wǎng)絡(luò)安全問(wèn)題。IEC 61850作為一個(gè)基于通用網(wǎng)絡(luò)通信平臺(tái)的國(guó)際標(biāo)準(zhǔn),很多計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅,基于IEC 61850變電站計(jì)算機(jī)網(wǎng)絡(luò)也會(huì)面臨同樣的威脅。
變電站計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下的四種威脅:
攻擊者從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容。信息在傳輸過(guò)程中被直接或是間接地竊聽(tīng),攻擊者通過(guò)對(duì)其進(jìn)行分析得到所需的重要信息。并且數(shù)據(jù)包仍然能夠到到目的結(jié)點(diǎn),其數(shù)據(jù)并沒(méi)有丟失,如圖所示:
攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。信息在傳輸過(guò)程中被非法中斷,并且目的結(jié)點(diǎn)不能收到該信息,即信息在傳輸過(guò)程中丟失了,如圖所示:
攻擊者偽造信息在網(wǎng)絡(luò)上傳送。源節(jié)點(diǎn)并沒(méi)有發(fā)出任何信息,但攻擊者偽造出信息并偽裝成源結(jié)點(diǎn)發(fā)出信息,目的結(jié)點(diǎn)將收到這個(gè)偽造信息,如圖所示:
攻擊者故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。信息在傳輸過(guò)程中被攻擊者截獲,并且修改其截獲的特定數(shù)據(jù)包,從而破壞了數(shù)據(jù)的完整性,然后攻擊者再將篡改后的數(shù)據(jù)包發(fā)送到目的結(jié)點(diǎn)。在目的結(jié)點(diǎn)的接收者看來(lái),數(shù)據(jù)似乎是完整的,但其實(shí)已經(jīng)被攻擊者惡意篡改過(guò),如圖所示:
四、智能變電站通信網(wǎng)絡(luò)的組建方案目前我國(guó)的智能變電站都是采用“三層兩網(wǎng)”結(jié)構(gòu),即過(guò)程層、間隔層和站控層,這三層的設(shè)備之間是通過(guò)站控層網(wǎng)絡(luò)和過(guò)程層網(wǎng)絡(luò)進(jìn)行通信。
站控層網(wǎng)絡(luò)和過(guò)程層網(wǎng)絡(luò)通常有兩種組建方案:
( 1 ) 獨(dú)立過(guò)程層網(wǎng)絡(luò),站控層網(wǎng)絡(luò)與過(guò)程層網(wǎng)絡(luò)不聯(lián)通,智能變電站的通信網(wǎng)絡(luò)是一個(gè)兩層物理網(wǎng)絡(luò);
( 2 ) 全站唯一網(wǎng)絡(luò),站控層網(wǎng)絡(luò)與過(guò)程層網(wǎng)絡(luò)相互聯(lián)通,智能變電站的通信網(wǎng)絡(luò)是一個(gè)物理網(wǎng)絡(luò)。
獨(dú)立過(guò)程層網(wǎng)絡(luò):獨(dú)立過(guò)程層組網(wǎng)方式,該方式中站控層設(shè)備不能直接訪問(wèn)過(guò)程層,站控層網(wǎng)絡(luò)和過(guò)程層網(wǎng)絡(luò)是兩個(gè)獨(dú)立的網(wǎng)絡(luò)。間隔層保護(hù)測(cè)控智能電子設(shè)備(IED)通過(guò)交換機(jī)與站控層設(shè)備相連,調(diào)度或遠(yuǎn)方控制中心通過(guò)路由器接入站控層網(wǎng)絡(luò),并可直接訪問(wèn)間隔層IED。
全站唯一網(wǎng)絡(luò):即智能變電站內(nèi)的所有智能設(shè)備(包括ETC和EVC)都需要接入同一個(gè)網(wǎng)絡(luò),且任意智能設(shè)備之間,特別是過(guò)程層設(shè)備與站控層設(shè)備之間,都能夠直接通過(guò)唯一網(wǎng)絡(luò)完成信息交換。
目前,我國(guó)智能變電站的網(wǎng)絡(luò)建設(shè)都遵循“橫向隔離”安全策略,即變電站內(nèi)網(wǎng)與外部Internet從物理上完全隔離,包括許多電力部門(mén)人員在內(nèi)都認(rèn)為變電站網(wǎng)絡(luò)是非常安全的,他們也不理解系統(tǒng)中增加安全措施的道理。事實(shí)上,網(wǎng)絡(luò)化的普遍和額外信息訪問(wèn)需求的增長(zhǎng)使得智能變電站通信網(wǎng)絡(luò)遠(yuǎn)不是我們想象中的那樣安全。
一方面,智能變電站的通信基于TCP/IP網(wǎng)絡(luò),有可能會(huì)受到以網(wǎng)絡(luò)為主要傳播途徑的病毒和黑客的攻擊,且電力信息工作站的應(yīng)用系統(tǒng)大多采用Windows平臺(tái),站內(nèi)IED也沒(méi)有安全內(nèi)核,存在不少安全隱患;另一方面,人機(jī)接口(HMI)、控制、維護(hù)、規(guī)劃和施工等應(yīng)用系統(tǒng)可通過(guò)網(wǎng)關(guān)直接接入智能變電站站控層網(wǎng)絡(luò),直接訪問(wèn)站內(nèi)相關(guān)信息。所以,無(wú)論是智能變電站站內(nèi)通信還是外部通信,都面臨著安全威脅。
因此,結(jié)合實(shí)際業(yè)務(wù)解決電力變電系統(tǒng)高風(fēng)險(xiǎn)項(xiàng),為系統(tǒng)提供全方位的安全保障,通過(guò)技術(shù)手段輔助管理執(zhí)行,降低安全運(yùn)營(yíng)風(fēng)險(xiǎn);
關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 今天
如今,移動(dòng)安全的防護(hù)不再是一種可有可無(wú)的東西,而是必不可少的安全防護(hù)之一。在過(guò)去的十年中,采用自帶設(shè)備辦公(BYOD)的人數(shù)一直不斷激增,他們經(jīng)常會(huì)使用自己的個(gè)人設(shè)備進(jìn)行工作。更何況目前冠狀病毒在全球范圍內(nèi)蔓延的情況下,在家工作的要求更是水漲船高,大多數(shù)的人不得不選擇在家辦公的方式。但是,移動(dòng)設(shè)備使用量的迅速增加,加上較低的安全級(jí)別,使其成為網(wǎng)絡(luò)犯罪分子試圖突破公司數(shù)據(jù)安全性的最常見(jiàn)突破口之一。根據(jù)我們的2020網(wǎng)絡(luò)安全報(bào)告,全球近三分之一的組織遭受過(guò)針對(duì)移動(dòng)設(shè)備的攻擊,并且60%的IT安全專業(yè)人員對(duì)其公司是否能夠避免移動(dòng)安全漏洞產(chǎn)生懷疑。考慮到目前的趨勢(shì)所迫,這些數(shù)字可能還會(huì)上升。因此,現(xiàn)在必須對(duì)移動(dòng)設(shè)備的保護(hù)加以重視。在這里,我們分享了五種主要威脅,以及提供有關(guān)如何優(yōu)化其保護(hù)的建議,這些威脅使移動(dòng)設(shè)備的安全性面臨風(fēng)險(xiǎn)。安裝應(yīng)用程序會(huì)帶來(lái)多種安全風(fēng)險(xiǎn),例如數(shù)據(jù)泄漏。使用此類程序可以使設(shè)備容易感染移動(dòng)惡意軟件(在《 2020網(wǎng)絡(luò)安全報(bào)告》中看到的主要網(wǎng)絡(luò)威脅之一),例如憑據(jù)竊賊,鍵盤(pán)記錄程序和遠(yuǎn)程訪問(wèn)木馬。這樣的威脅為網(wǎng)絡(luò)犯罪分子提供了一種簡(jiǎn)單有效的方法,可以直接發(fā)起攻擊,并可以利用移動(dòng)設(shè)備傳播到網(wǎng)絡(luò)。與此同時(shí),產(chǎn)生的其他威脅將取決于用戶是否會(huì)接受允許應(yīng)用程序訪問(wèn)設(shè)備中存儲(chǔ)的信息的條款。
2. 設(shè)備的漏洞
正如我們的報(bào)告中所強(qiáng)調(diào)的那樣,全球27%的公司已成為網(wǎng)絡(luò)攻擊的受害者,這些攻擊破壞了移動(dòng)設(shè)備的安全性。因此,無(wú)論是Android還是iOS,各個(gè)組件或操作系統(tǒng)中的漏洞都會(huì)對(duì)數(shù)據(jù)安全性造成嚴(yán)重威脅。此外,除了安全漏洞外,這些設(shè)備的“弱”安全設(shè)置也是網(wǎng)絡(luò)犯罪分子的潛在攻擊目標(biāo),因?yàn)樗鼈兛梢栽L問(wèn)所有存儲(chǔ)的信息,從而使數(shù)據(jù)安全面臨巨大風(fēng)險(xiǎn)。
3. 網(wǎng)絡(luò)釣魚(yú)
網(wǎng)絡(luò)釣魚(yú)仍然是成功率最高的威脅之一。實(shí)際上,根據(jù)Verizon的一項(xiàng)研究,所有網(wǎng)絡(luò)攻擊中有90%是從網(wǎng)絡(luò)釣魚(yú)活動(dòng)開(kāi)始的。因此,網(wǎng)絡(luò)罪犯往往利用移動(dòng)設(shè)備上的一些消息來(lái)傳遞應(yīng)用程序,從而將用戶定向到虛假網(wǎng)站。通常,網(wǎng)絡(luò)釣魚(yú)通過(guò)私人或公司電子郵件、SMS或信息傳遞應(yīng)用程序(例如Slack,F(xiàn)acebook Messenger和WhatsApp)進(jìn)行。這些使網(wǎng)絡(luò)犯罪分子可以訪問(wèn)大量信息,有時(shí)還能獲得經(jīng)濟(jì)利益。
4. 中間人(MitM)攻擊
移動(dòng)設(shè)備使用戶可以從世界任何地方進(jìn)行連接和通信。每天,都會(huì)發(fā)送數(shù)百萬(wàn)條包含敏感信息的消息,網(wǎng)絡(luò)犯罪分子則會(huì)通過(guò)MitM攻擊來(lái)利用這些信息,MitM攻擊是一種能夠攔截設(shè)備與惡意Wi-Fi接入點(diǎn)之間的數(shù)據(jù)流量的方法。例如,對(duì)在線銀行服務(wù)的這種網(wǎng)絡(luò)攻擊將使攻擊者可以輕松的修改銀行轉(zhuǎn)賬的詳細(xì)信息。
5. 基于網(wǎng)絡(luò)的攻擊
為了避免各種攻擊,分析設(shè)備接收和發(fā)送的通信非常重要。原因是大多數(shù)移動(dòng)惡意軟件變體都需要與設(shè)備的Command and Control服務(wù)器建立連接,才能成功產(chǎn)生數(shù)據(jù)泄漏。因此,檢測(cè)到這些惡意通信渠道可以阻止通信,從而防止多種攻擊。
對(duì)于企業(yè)而言,重要的是要認(rèn)清移動(dòng)設(shè)備的管理和保護(hù)是兩個(gè)不同的措施。有些人錯(cuò)誤的認(rèn)為,根據(jù)安裝的操作系統(tǒng),移動(dòng)設(shè)備的安全性可能會(huì)更好。的確,Android和iOS都提供了自己的工具來(lái)優(yōu)化設(shè)備的安全性,但沒(méi)有操作系統(tǒng)可以獨(dú)立運(yùn)行。兩者都容易遭受安全性破壞。因此,就安全性,風(fēng)險(xiǎn)管理和威脅可見(jiàn)性而言,應(yīng)像對(duì)待企業(yè)網(wǎng)絡(luò)的任何其他連接點(diǎn)一樣對(duì)待移動(dòng)設(shè)備。
因此,為了具有最高的安全標(biāo)準(zhǔn),必須遵守一些策略(例如設(shè)備加密)并實(shí)施解決方案(例如遠(yuǎn)程數(shù)據(jù)刪除)。一些移動(dòng)威脅防御(MTD)解決方案還可以幫助組織保護(hù)公司設(shè)備免受高級(jí)移動(dòng)攻擊。此外,他們還可以保護(hù)員工設(shè)備上未受感染的應(yīng)用程序、通過(guò)Wi-Fi的MitM攻擊、操作系統(tǒng)漏洞、消息傳遞應(yīng)用程序中的惡意鏈接。通過(guò)對(duì)移動(dòng)安全采取更主動(dòng)的方法,組織將為預(yù)防和避免最復(fù)雜的網(wǎng)絡(luò)攻擊做好準(zhǔn)備。
參考及來(lái)源:
https://blog.checkpoint.com/2020/04/24/aimed-at-moving-targets-five-cyber-threats-that-put-mobile-devices-at-risk/
以上圖文均轉(zhuǎn)自互聯(lián)網(wǎng)。關(guān)注我們請(qǐng)掃描或長(zhǎng)按并識(shí)別二維碼,或點(diǎn)擊上端藍(lán)色字體“南國(guó)微聞”
親,常來(lái)看看哦!
商品已成功加入購(gòu)物車(chē)