从零信任技术角度探索数据安全的新思路.docx

《从零信任技术角度探索数据安全的新思路.docx》由会员分享，可在线阅读，更多相关《从零信任技术角度探索数据安全的新思路.docx（11页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、从零信任技术角度探索数据平安的新思路目录刖1.零信任平安模型11 . OMB发布M-22-09号备忘录美国政府向零信任网络平安原那么迈进22. 1.愿景22. 2.零信任推进策略与规范图谱32. 3.零信任架构推进路线及具体要求52. 3. 1.身份62. 3. 2.设备62. 3. 3.网络72. 3. 4.应用和工作负载72. 3. 5.数据8.零信任技术架构与数据平安93 .总结10刖S现有的所有身份与授权管理技术，如单点登录、多因素认证以及网络流量 监测、数据分级分类等，都可以被应用于实际的零信任架构体系中，而这些都 为数据平安拓展了新的思路。为应对网络边界日益模糊、远程访问增多、内部

2、威胁增多等网络平安问 题，全球权威分析机构Forrester Research的分析师John Kindervag在2010 年正式提出零信任一词。随着云计算、移动互联等技术开展，零信任越来越为 产业界所接受。1 .零信任平安模型原那么是“从不信任，始终验证”。因此，它具有如下基本假设：(1)平安与网络位置无关：不管流量是来自于内网还是外网，网络都不会使 用网络位置来作为判断平安与否的标准；(2)最小特权访问：进行严格的访问控制，只让用户访问他们确实需要访问的资源，防止横向移动;第1页共11页网络基础设施组件等。核心组件主要包括策略引擎、策略管理和策略执行点。策略引擎计算信任 评分/置信度级别

3、，并做出最终访问决策，授予、拒绝或撤销对特定主体的资 源访问。策略管理负责建立或废止主体和资源之间的策略，它与策略引擎紧密 关联，并依赖于策略引擎决定最终允许或拒绝访问请求。策略实施点负责启 用、监视和终止主体与企业资源之间的连接。功能组件为策略引擎提供平安能力支撑，可以包括但不限于身份和访问管 理组件、终端平安组件、数据平安组件、平安分析组件等。身份和访问管理 (IAM)组件包括创立、存储和管理用户帐户和身份记录，及其对企业资源的访 问策略、技术和治理手段。终端平安组件保护终端(如服务器、桌面、移动电 话、物联网设备)免受威胁和攻击，并保护企业免受托管和非托管设备的威 胁。数据平安组件包括企

4、业为保护其信息而开发的所有数据访问策略和规那么， 以及保护静止和传输中的数据的方法。平安分析组件包含IT企业的所有威胁 情报摘要和流量/活动监视，收集有关企业资产当前状态的平安和行为分析， 并持续监控这些资产，以积极响应威胁或恶意活动，这些信息可以提供给策略 引擎，以帮助制定动态访问决策。这四项功能组件对应着零信任推进路线中的 身份领域、设备领域、数据领域、网络领域及应用和工作负载领域的具体实施 技术模块，同时也与零信任成熟度模型保持一致。这些组件共同协作，集成应 用至零信任架构中，以实现零信任的原那么与愿景。设备和网络基础设施组件主要实现零信任推进路线中网络领域的技术与能 力要求，其中资产包

5、括连接企业的设备/端点，如笔记本电脑、平板电脑、其 他移动设备、物联网设备和自带设备。企业资源包括数据和计算资源，以及在 本地、云、边缘或这些组合中托管和管理的应用/服务。网络基础设施组件包 含中型或大型机构通常可能在其环境中部署的网络资源。零信任架构的核心组 件和功能组件应通过设备和网络基础设施连接或集成到开放的网络环境中。从零信任技术架构出发，从中可以看出，其所关注的动态访问决策与如今 数据在使用、流动中的平安需求契合度较高，数据平安往往是一种动态的安 全，其平安策略如果一成不变，那很难让数据能够真正发挥其价值。4.总结第10页共11页零信任平安针对传统边界平安架构思想进行了重新评估和审视

6、，以“持续 信任评估，动态访问控制”为核心原那么。当前，多种平安技术正逐步向零信任 架构靠拢，例如基于“软件定义边界(SDP)”、“身份与访问管理(IAM)”和“微隔离”等：1)SDP技术是用于实现用户访问服务器过程的访问平安，保证“南北向” 平安；2)微隔离技术解决服务器之间的权限漂移问题，保证“东西向”平安；3)IAM技术那么将主客体身份进行统一集成管理，以身份深入标识全流量， 并基于身份进行访问行为的链条化整合，是实施零信任架构可视化分析、自动 化编排和治理的基础与手段。随着布局零信任架构的企业、机构增多，将会有更多的技术方案在实践中 不断协同推进，零信任解决方案将不断完善，这就为网络平

7、安和数据平安的创 新开展增添了更多的可能性。第11页共11页(3)动态访问控制：对用户的访问控制是动态的，即会实时地根据用户的行 为、设备情况、所安装的证书等多种情况综合考虑，动态地决定用户此时的权 限；(4)检查和记录所有访问的网络流量。零信任架构不是单一的技术，而是构建平安环境的一系列原那么，保证资源 访问控制平安的一系列技术措施。现有的所有身份与授权管理技术，如单点登 录、多因素认证以及网络流量监测、数据分级分类等，都可以被应用于实际的 零信任架构体系中，而这些都为数据平安拓展了新的思路。2. OMB发布M-22-09号备忘录美国政府向零信任网络平安原那么迈进2. 1.愿景基于当前的网络

8、威胁环境，美国政府管理预算局(OBM)于2022年1月发 布M-22-09号备忘录美国政府向零信任网络平安原那么迈进。该备忘录说明 美国正在进行大胆的改革和投资，不再依靠传统的基于边界的防御来保护关键 系统和数据。拟建立基于零信任架构的政府部门信息系统，用以维护基础设 施、网络和数据的平安。最终达成的政府部门信息系统能到达以下愿景：联邦工作人员拥有企业管理的帐户，允许他们访问他们工作所需的一 切，同时还能可靠地保护他们免受一般的和有针对性的、复杂的网络钓鱼攻 击。联邦工作人员用于工作的设备被持续跟踪和监控，在授予内部资源访问 权时，这些设备的平安状态被考虑在内。各政府机构信息系统之间彼此隔离，

9、并且各系统之间和系统内部的网络 流量都是可靠加密的。企业应用程序可以在内部和外部进行测试，并且可以通过互联网平安地 提供给员工使用。国家平安团队和数据团队共同开发数据类别和平安规那么，以自动检测并 最终阻止对敏感信息的未经授权的访问。该备忘录要求各机构在2024财年结束前实现特定的零信任平安目标。建第2页共11页立新的访问控制基线：整合身份系统，防范钓鱼攻击实现持续保护及监控；利用数据的智能决策加强访问控制方法。这些目标使用网络平安和基础设 施平安局(CISA)开发的零信任成熟度模型进行组织。CISA的零信任模型描述了 五个互补的工作领域/支柱：身份、设备、网络、应用程序和工作负载、数 据，以

10、及三个跨越这些领域的主题：可见性和分析、自动化和编目、治理。这 与零信任成熟度模型相呼应。2. 2.零信任推进策略与规范图谱美国已围绕零信任架构技术推出多类工程、标准规范、技术指南等。图1 中总结分类了在各个零信任推进领域可参考或应符合的标准规范、技术指南 等，在实施零信任过程中可进行参考。第3页共11页构缘力-100 计tlVMAJtlQlfttMitQ第4页共11页图1在各个零信任推进领域可参考或应符合的标准规范、技术指南2. 3.零信任架构推进路线及具体要求围绕这五个领域，该备忘录中提出了具体的推进路线及具体要求。提出的 战略目标与CISA的五大支柱相一致：身份：机构员工使用企业管理的身

11、份访问他们在工作中使用的应用程序。防网络钓鱼MFA保护这些人员免受复杂的在线攻击。设备：联邦政府对其操作和授权政府使用的每一个设备都有一个完整的清 单，并且可以预防、检测和应对这些设备上的事件。网络：代理机构加密其环境中的所有DNS请求和 通信，并开始执行 一项计划，将它们的边界分解为独立的环境。应用程序和工作负载：代理机构将所有应用程序视为联网的，定期对其应 用程序进行严格的实证测试，并欢迎外部漏洞报告。数据：各机构在部署保护措施时采用了清晰、共享的方式，这些措施利用第5页共11页了彻底的数据分类。各机构正在利用云平安服务来监控对其敏感数据的访问， 并实现了企业范围内的日志记录和信息共享。2

12、. 3.1.身份身份是指唯一描述一个机构、用户或实体的属性或属性集。零信任主体应 确保和执行：正确的用户和实体在正确的时间有权访问正确的资源。身份要素 主要关注用户识别、身份验证和访问控制策略，这些策略使用动态和上下文数 据(环境信息)分析、验证用户试图连接到网络的尝试。推进路线和具体要求如 下：(1)建议使用集成进应用和公共平台的集中式身份管理；支持异常行为分析和及时响应，允许留存用户元数据，实施限制访问等统 一平安策略，考虑常用应用、机构间、外部云等的兼容性，提供脚本或命令行 等非图形界面，保障一致性和可审计。(2)多因素鉴别(MFA),鼓励与商用互联网采用同样的技术策略： 身份鉴别必须位

13、于应用层，代替网络层的鉴别； 内部工作人员必须强制使用防钓鱼的MFA,如PIV卡，FID02, CAC, 基于平安密钥的网络鉴别标准等； 面向公众用户时，将防钓鱼的MFA作为可选项提供； 口令策略：不允许要求特殊字符，定期轮换等(尽快删除)，鼓励非口令 多因素，不鼓励单因素的特权访问管理作为日常使用。(3)在授权方面，同时验证身份和设备信息才能授权：持续对所有访问请求进行评估，假设发现风险，及时响应，如采取重鉴 别、限制访问、拒绝访问等措施；推荐采用细粒度、动态的基于属性的访问控制(ABAC)；用于判断权限的要素包括：用户身份、资源属性以及访问时的环境等。2. 3.2.设备设备是指能够连接到网

14、络的任何硬件资产，包括物联网设备、手机、笔记 本电脑、服务器等。设备可以是零信任主体拥有的或自带设备(BYOD)。零信任 主体应对设备进行盘点，确保所有设备的平安，并防止未经授权的设备访问资 源。对用户控制和自带设备录入系统，并进行验证，以确定可接受的网络平安第6页共11页状态和可信度。具体要求如下:(1)资产盘点：支持资产的动态发现和编目；云环境需进一步研发，会参考利用商业云。(2)终端主动检测，使用CISA列表中的EDR工具，终端信息需上报给 CISAo3. 3.网络网络是指用于传输信息的开放通信媒介，包括机构内部网络、无线网络和 Interneto机构应该隔离和控制网络，管理内部和外部的

15、数据流。通过动态定 义网络访问、部署微隔离技术、控制网络流量等方法，在对端到端流量进行加 密的同时，隔离敏感资源以防被未授权的人或设备访问。推进路线及具体要求 如下所示：(1)网络可视化及攻击面监测监测分析所有网络流量日志，关注监测设备可能存在的漏洞；不依赖静态密钥，采用最新的开放标准TLS1.3；可视化及最小化授权原那么(未解密流量也可进行可视分析等)。(2JDNS 力口密应支持操作系统级DNS加密/解析，以及应用级(浏览器)DNS加密/解 析；支持标准 DNS 加密协议，如 DNS-over- S 或 DNS-over-TLSo(3)加密所有 流量在浏览器的预装配置中，将所有政府机构的“.

16、gov”设置为“ s- only”(4)正在评估所有的可行的email加密方案(5)企业级体系结构与隔离策略：防止横向移动加强身份治理、逻辑微隔离、基于网络的隔离；加紧制定隔离方案，方案应适合云的技术架构，集合云的优势。2. 3. 4.应用和工作负载应用程序和工作负载包括系统、计算机程序和在内部以及在云环境中执行 的服务。机构应保护和管理应用层和容器，并提供平安的应用程序交付。持续第7页共11页 集成和持续部署模型将平安测试和验证集成到流程的每个步骤中，有助于为已 部署应用程序提供平安保证。(1)应用平安测试：生成平安评估报告，进行充分的测试：脆弱扫描、代码 分析、其他特定应用的方法等(可参考

17、相关NIST指南)；(2)第三方测试；(3)支持公众测试；(4)平安连接互联网：不依赖VPN；支持基础设施监控，抗DoS攻击，采用强制访问控制策略，并集成身份 管理系统。(5)发现网络可访问的应用确认攻击面：内部记录与外部扫描共同协作(可使用CISA提供网站扫描 工具)；零信任主体治下的“.gov”大局部已被CISA监管，“非.gov”需要上 报，融入监管；(6)恒定的工作负载：可参考云架构提供的接口，实现自动化部署与回滚；支持应用部署自动化，便于集中管理；采用现代软件开发生命周期，促进基于恒定工作负载的可靠、可预测和 可伸缩的应用程序的创立；建议参考云平安技术参考体系结构。2. 3. 5.数

18、据数据应该在设备、应用程序和网络上得到保护。零信任主体应该对数据进 行存储、分类和打标，保护静止和传输中的数据，并部署数据外泄检测机制。 随着各机构转向零信任架构，他们的心态必须转向“以数据为中心”的网络安 全方法。机构应该先开始识别、分类和盘点数据资产。CISA建议各机构优先为 其最关键的数据资产部署数据保护。(1)制定零信任数据平安指南：不限于传统意义的数据，指导数据分类，且需要面向特殊数据类别;第8页共11页(2)数据编制、自动化与响应：采用基于机器学习的启发式方法对数据进行分类，在启用自动化模式 前，要对机器学习算法进行配置并通过人工审核；实现早期预警及异常行为检测，例如出现过多访问或

19、访问之前没访问过 的数据时判定为异常；初级阶段：手工初步分类或按模式分类。(3)审计云中的敏感数据访问：支持云上数据的加解密；支持云上密钥管理，对云上访问日志进行审计；成熟阶段：应结合各种数据综合分析。(4)及时响应和恢复：应对云托管环境或机构运行环境中的日志进行保存和管理，支持平安运 行中心(SOC)的集中访问、可见以及数据共享，以加快响应和调查；前期先建立完整性措施，包括限制访问策略及日志的加密验证(包括 DNS日志)等。3.零信任技术架构与数据平安图2零信任体系结构图 2(出自 NIST implementing a Zero Trust Architecture )展示了零信任 体系架构，该架构所示的技术组件包括但不限于核心组件、功能组件、设备和第9页共11页