以零信任技术为指导的数据安全体系研究
2020-11-06吕波
摘 要:随着社会信息化水平的提高,数据呈爆炸式增长,数据已成为重要的生产要素,是企业的核心生产力,但数据时刻被黑客所觊觎,随之而来的数据泄露风险也日益提升,严守数据安全是企业的底线。文章对当今数据面临的威胁进行了多维度分析,基于零信任先进安全理念和技术,结合国外数据安全治理框架,以零信任的视角针对性地设计了数据安全防护体系,不仅能解决数据流动关键路径存在的安全风险,而且能有效地提升数据安全防护水平。
关键词:数据安全;零信任;身份安全;网络安全
中图分类号:TP309 文献标识码:A 文章编号:2096-4706(2020)12-0126-06
Abstract:With the development of social informatization,data shows explosive growth. Data has become an important factor of production and the core productivity of enterprises. However,data is coveted by hackers all the time,and the risk of data leakage is also increasing,data security is the bottom line of enterprises. This paper analyzes the threats faced by data in multiple dimensions,based on the advanced security concept and technology of zero trust,combined with the foreign data security governance framework,the data security protection system is designed from the perspective of zero trust,which can not only solve the security risks of the key path of data flow,but also effectively improve the level of data security protection.
Keywords:data security;zero trust;identity security;network security
0 引 言
随着政府与企业的信息化程度不断加深,信息系统的复杂度与开放度随之提升,伴随云计算、大数据、物联网、移动互联网、人工智能等新兴技术的飞速发展,带来了数据的爆炸式增长,数据呈现出规模大,具有多样性、复杂性和价值高的特点,包含用户个人隐私数据、具有重大商业价值的企业数据和涉及国家政府安全的重要数据。数据已经成为数字经济的核心生产要素,是国家基础性资源和战略性资源,是社会治理的有效工具。
过去几年间,大型数据泄露事件层出不穷,如Facebook数据泄露事件、电商删库事件,视频泄露事件、考生信息泄露、公民医疗信息泄露等,这其中不免存在媒体聚焦度提升带来的舆论转移,但究其根本是社会各界对于数据安全的关注度与日俱增,数据泄露事件正在“倒逼”政府主管机构对数据安全问题引起重视,推动相关法律法规的落地。数据安全正受到前所未有的挑战,该问题已成为企业资产安全性、个人隐私安全性、国家和社会安全的核心问题。
笔者在专业网络安全公司长期从事运营商行业的网络安全咨询工作,运营商非常重视所运行、管理的网络设施和信息系统的数据安全,在应对数据泄露风险方面,通常采用传统安全产品组合的方式进行,虽然安全响应能力在不断提升,但仍然不能有效遏制数据泄露,归根结底在于缺乏将核心指导思想融入数据安全体系化建设中的意识,将安全组件的能力映射到各个阶段,因此,我们要以一种全新的技术视角去指导、规划数据安全體系,推动更先进的企业数据安全理念的落地。
1 数据面临的安全威胁分析
数据技术及其应用正深刻而广泛的影响和改变着人类社会,甚至将重构人类社会,数据成为新的生产要素,其背后蕴藏了巨大经济价值,同时也引起了大量不法分子的觊觎。2020年全球新冠病毒(COVID-19)[1]疫情的蔓延,带来了线上化办公和线上娱乐用户数量的显著增长,也使得个人隐私保护面临的形势越来越严峻,数据泄露问题变得越来越严重,主要表现为以下3个方面。
1.1 人的威胁
数据的巨大体量导致信息管理成本增加,数据的汇集会引来潜在的攻击者,因为他们看到了数据变现的直接价值,无论是内部员工,还是外部访客,据2020年度Verizon数据泄露调查报告[2],报告指出全球数据泄露事件主要的威胁是犯罪团体,86%都是经济利益类动机,攻击行为逐渐转向到窃取凭证来作案,这些犯罪团队大多数由内部员工、外部供应商员工组成,通常没有接受过网络安全风险管理、安全意识、安全法规培训,通过自身的访问权限或者利用系统漏洞获取企业数据来谋取经济利益,因此引出一个名词,即“信任”,信任本质上不是一件好事,信任不是绝对的,信任级别是动态的,并且会随着时间而变化,属于非显性的,所以人是数据安全的主要威胁。
1.2 传统架构的短板
传统的信息安全防护思路是基于纵深防御思想的“信任但验证(Trust but Verify)”的旧模型。假定自身存在“内网”,再确立管理边界,在边界部署防火墙、入侵检测等设备进行安全防御,一般会做以下几点假设:
(1)访问企业信息资源的终端设备,其所有权、配给权和管理权均归企业所有。
(2)所有用户、设备和应用程序的位置均是固定且可预测的,通常由网络防火墙提供防护。
(3)初始访问只需一种验证方法。
(4)同一类别的企业管理系统从本质上可以相互信任。
但随着企业数据化转型过程中对云计算、移动技术、自备终端(Bring Your Own Device,BYOD)的广泛应用,以及合作伙伴间协作关系的日益密切,以上假设已经不再适用。当下数据的授权访问不仅涵盖基础设施、数据库和网络设备,授权访问的范围已经扩展到云环境、大数据,随之而来的是数据的访问场景增多,而攻击者在成功突破一个防御点(例如防火墙或用户登录名)之后便能利用信息系统固有的信任弱点,通过在网络、应用环境中横向移动来锁定敏感数据目标。在受信任区域内发起攻击的内部威胁则可以获得更高的权限,所以再也不应认为“内部”实体都是可信任的,从而企业边界瓦解,难以继续基于网络边界构筑企业的安全防线,内外网攻击层出不穷,数据泄露事件频繁出现。
1.3 数据流动关键路径的威胁
数据生命周期分为采集、传输、存储、使用、共享和销毁六个阶段,数据是在多个系统和网络间流转的,所面临的威胁一方面来自数据安全合规及监管手段是否完善,另一方面在于对数据流动的关键路径是否进行有效的识别、分析和控制,分析如图1所示。
(1)关键路径1——运维通道:使用人员通过该路径访问系统资源操作数据,运维、分析人员越权、违规操作数据,当使用数据高风险操作指令(如rm、drop等),下载数据到本地计算机,都容易造成数据主动或者被动丢失现象。
(2)关键路径2——业务通道:使用人员通过该路径访问应用资源,查询数据(如客户资料,合同等),会出现违规使用数据现象。
(3)关键路径3——接口通道:应用或者设备通过该通道访问数据库,容易出现假冒应用服务访问数据服务、应用服务越权访问数据服务的现象。
(4)關键路径4——开发通道:开发人员通过该通道访问开发平台代码库,可导出源代码信息,出现源代码外泄现象。
(5)关键路径5——测试通道:分析人员通过该通道从生产环境导出数据给测试环境,进行数据测试、开发等工作,产生真实数据未进行数据脱敏导致真实数据外泄现象。
(6)关键路径6——共享通道:传输共享链路未被加密,容易被监听或拦截,导致数据被中间人攻击,骗取数据共享对象信任从而获取数据。
(7)关键路径7——管理通道:管理人员没有进行权限和职责分离,对数据使用者的数据授权粒度过粗,信任度过高,缺乏风险审计策略,容易导致内部人员泄露核心数据。
2 零信任技术介绍
2.1 背景介绍
网络安全先驱者一直为推进去边界化而努力,最早在2003年的杰里科论坛(Jericho Forum)就提出了去边界化的网络安全概念,指出大型网络中单一静态防御的局限性以及应该去除基于网络位置的隐式信任。
谷歌公司内部在2009年经历高度复杂的高级持续性攻击后,开始设计并在公司内部实施名称为BeyondCorp的远程访问解决方案,这种全新的网络访问模式抛弃了对本地内网信任的思想,平等对待内外连接请求。在默认情况下所有设备、用户都不授予访问特权,必须通过管理器的评估获取信任后,通过专用加密代理的方式,访问特定的内部资源,该方案已经取代基于网络边界构筑安全体系的传统做法,为零信任的诞生提供了理论与实践基础。
2010年由Forrester的分析师约翰·金德维格(John Kindervag)指出被认为“可信”的内部网络充满着威胁,“信任”被过度滥用,并指出“信任是安全的致命弱点”,因此正式提出零信任[3]术语,并对其设计了一个特殊的安全框架,其核心思想要求从网络内部或外部对访问请求采用“Never Trust、Always Verify、Enforce Least Privilege(从不信任、始终验证、强制使用最小权限)”。
2.2 架构思路
零信任原则不是在消除边界,而是要借助基于零信任的设计思路来强化企业的内部安全,让网络边界不再是阻挡恶意攻击的唯一途径。下文论述了依据零信任基本原则的设计架构思路[4]。
2.2.1 平面分离
将系统分为控制平面和数据平面,支撑系统称为控制平面,其他部分称为数据平面,数据平面由控制平面指挥和配置,访问请求首先经过控制平面处理,包括身份认证与授权,控制策略,控制平面可以基于角色、时间或设备类型进行授权。授权的主体必须是网络代理,所有的访问控制策略都是针对网络代理,动态授权决策时按需临时生成,网络流需要进行加密处理,应对流量攻击。
2.2.2 威胁建模
零信任需要保证用于认证和授权操作的信息的机密性,减少攻击面,需要基于访问攻击者的视角,按照能力、岗位、类别、操作,权限等,依据造成的损害风险,进行威胁建模。
2.2.3 动态验证
对所有的访问主体、客体需要进行身份化,除了人,身份的概念需要扩大到应用程序、服务和资源,所有数据源和计算服务都被视为资源,需要对访问主体和资源进行身份管理,区别于传统网络连接的是零信任网络是先验证用户、设备和应用程序身份,再连接业务系统,是一个依据策略不断地访问、扫描和威胁评估、调整、持续验证的循环,策略可以是基于时间、地理位置、新请求、特权访问等属性进行定义,在访问交互过程中持续监控与重新验证(包括提高验证级别),在使用性、效率、安全性之间达到平衡。
2.2.4 最小化授权
对访问主体、客体以及网络数据包加密都应该被授予完成连接所必要的授权。
2.2.5 自适应控制
信任不是一次性的,也不是恒久不变的,需要不断地对访问主体的属性、行为和上下文进行反复评估,并调整相应的信任等级。通过遏制新发现的威胁和漏洞,应对高风险的安全事件,形成自动安全闭环。需要结合实际的业务场景和需求进行裁剪或扩展,即使用户输入了正确凭证,也并不意味着控制平面组件能信任该用户,比如该用户是在大陆境内办公的员工,突然从国外登录公司内部系统,因此就需要更高级别的验证措施,自适应控制不仅要实时通知危险的访问行为,而且能够通过阻断会话、审计取证等控制手段来积极应对网络安全事件。
2.3 核心逻辑
在企业中,构成零信任网络部署的逻辑组件可以作为服务,其逻辑组件参考框架如图2所示,显示了组件及其相互作用的基本关系。
2.3.1 策略判定点
策略判定点(Policy Decide Point,PDP)分为两个逻辑组件,即策略引擎(Policy Engine,PE)和策略管理器(Policy Administrator,PA)。
2.3.1.1 策略引擎
策略引擎负责最终决定是否授予指定访问主体对客体的访问权限。策略引擎使用企业安全策略以及来自外部源(例如:黑名单、威胁情报服务、可信环境感知服务等)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问。策略引擎与策略管理器组件配对使用。策略引擎做出决策,策略管理器执行决策(包括批准、拒绝、审批等)。
2.3.1.2 策略管理器
策略管理器和策略执行点(Policy Enforcement Point,PEP)联动,负责建立客户端与资源之间的逻辑连接,生成客户端用于访问企业资源的任何身份验证令牌或凭证,是零信任架构控制平面的策略判定点,权限判定不再基于简单的静态规则,而是基于上下文属性、信任等级和安全策略進行动态判定。
它与策略引擎紧密相关,并依赖于其决定最终允许或拒绝主体的连接请求。PA在创建连接时与策略执行点通信。这种通信是通过控制平面完成的。
2.3.2 策略执行点
策略执行点是零信任架构的数据平面组件,可分为两个不同的程序形式,分别为客户端(工作在主体上的代理程序)和资源端(在主体和客体之间控制访问的网关程序)。每个企业发布的系统(属于客体),主体上都有一个已安装的客户端来协调连接,而每个客体都有一个网关程序直接放在前面,以便客体只与网关通信,充当客体的反向代理,负责启用、监视并最终终止主体和客体之间的连接,是确保安全访问的关口,是动态访问控制能力的策略执行点。
2.3.3 身份管理系统
身份管理系统(ID Management System)负责创建、存储和管理企业用户账户和身份记录。该系统包含必要的用户信息(如姓名、电子邮件地址、证书等)和其他企业特征,如角色、访问属性或分配的系统。
3 数据安全体系设计
3.1 设计思路
零信任技术从本质可概括为以身份为中心的访问控制,是在不可信的现代网络环境下,以细粒度的应用、接口、数据为核心保护对象,遵循最小授权原则,打破物理边界的局限性,从基于传统的静态边界的被动防御转化为基于动态边界的主动防御模式。
数据安全体系核心思想是以业务数据为核心,保护数据的保密性、完整性和可用性,两者的思路不谋而合,随着零信任技术的发展成熟,所以借鉴Garnter提出的数据安全治理框架[5]和CARTA(持续自适应风险与信任评估)模型[6],将零信任技术作为数据安全体系的指导思想,以业务为使命,数据为核心,身份为中心,运营为支撑,合规为依据,对传统安全的理念升级和策略改进,结合数据流动关键路径的安全能力叠加,强调持续性风险评估和改进,来构建数据安全体系,全方位的保护企业的数据资产。
3.2 数据安全目标
为了达到数据安全的使用,下文将目标归纳为了三个方向。
3.2.1 身份可信
企业网络及信息化系统规模不断增大,业务快速发展,应用融合增大,但同时信息系统及其用户处在一个非常复杂且充满不确定性的网络中,需做到整体身份可信,建立动态的信任机制,包括基础设施与计算环境可信,用户的身份可信等。
3.2.2 路径可控
数据安全的核心目的是保护数据免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最目标大化。在当前复杂的国内外网络安全形势下,面对各种复杂的网络攻击手法,应该将目标集中到数据流动关键路径上,对其做安全能力叠加。
3.2.3 流程可管
以零信任技术为指导,构建一个可信的业务运维流程,实现主体对客体的受控访问,保证所有的访问行为均在可管理范围之内进行,在访问过程中持续性地进行风险评估并动态优化的调整授权策略,最终通过自动化的管理方式实现对安全访问的控制目标。
3.3 数据安全架构
数据在整个生命周期内会涉及不同的阶段,每个阶段又会面临不同的安全风险,如数据采集阶段涉及隐私保护和数据所属权归属,数据的分类分级和归一化问题,数据存储、使用、共享阶段又面临数据泄露、使用不当、越权访问等问题,同时还会存在更多的安全风险,所以我们将重点围绕数据全生命周期,从组织建设、人员能力、技术支撑三个层面,围绕安全三同步原则(同步规划、同步建设、同步运营)构建数据安全体系总体构架,如图3所示。
3.3.1 组织体系
组织体系用于建立数据安全组织架构、职责分配和沟通协调。组织可以分为决策层、管理层、操作层、监督层。其中决策层由参与业务发展决策的最高领导和技术部门领导组成数据安全管理小组,制定数据安全的目标和发展愿景,在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心部门及业余部门管理层组成,负责制定数据安全策略和规划及具体管理规范;执行层有数据安全运营、技术和各业务部门接口人组成,负责保证数据安全工作推进落地;监督层由审计部门人员组成,负责关键节点的督查和审计。
3.3.2 人员体系
人员体系为实现组织、制度和技术支撑工具的建设和执行其他人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。
3.3.3 技术体系
数据生命周期的安全支撑技术多种多样,将零信任技术作为安全技术支撑指导,应用到数据各个生命阶段,起到安全预测、安全防护、安全检测、安全响应的作用。
3.3.3.1 数据采集阶段
在数据规划和创建、采集阶段,重点考虑数据分类分级的管理,明确数据敏感性和重要程度,在统一的数据安全策略下实现分类分级的数据防护,将采集接口全面身份化,进行双向可信身份动态验证,防止中间人攻击。
3.3.3.2 数据传输阶段
考虑到敏感数据被越权、提权访问等极端风险,采用零信任可信代理通道技术,应用层和网络层链路加密的方式确保数据传输的机密性和完整性。
3.3.3.3 数据存储阶段
依据数据分类分级的安全管控策略,针对数据敏感性和重要程度进行有差别的数据存储管理:
(1)针对非结构化数据,制定文件级的加密策略,选择国际算法(如DES、3DES、RSA、HASH等)或者商用密码算法(SM3、SM4等),保证数据的安全存储。
(2)对于结构化数据,支持以数据库字段等采取细粒度的加密存储策略,针对某一敏感字段进行灵活的加密存储。
3.3.3.4 数据使用阶段
数据使用阶段是数据安全防护体系中最核心的部分,对数据流动关键路径进行保护,以零信任的技术为指导,进行身份认证中心、动态授权中心、访问控制中心以及环境感知中心的设计,从而实现数据使用阶段的用户、系统、设备、接口的全面身份化识别,在访问过程中不间断地进行风险评估,动态调整授权策略,最终通过自动化的管理方式实现对数据安全访问控制的目标。
通过在主体和客体之间的访问路径上建立完整信任链路,实现访问过程可控。控制流程概述如下:
(1)主体包括人(用户)、设备(终端设备、主机设备、移动办公设备等)、应用,统一身份源,为主体提供唯一标识,主体具备感知环境的能力并作授权的输入侧。
(2)客体由应用、服务接口、应用功能、数据组成,统一身份源为客体提供唯一标识。
(3)主体只有在通过身份认证系统的认证后才能访问客体资源。主体对客体的访问将采用特定算法生成高强度密码进行加密,形成加密数据传输链路。
(4)由身份认证系统对身份进行统一认证,提供单点登录、动态认证、动态身份分析能力。
(5)按照最小化授权原则,对系统资源、应用资源、应用功能、服务接口、数据服务进行自适应的细粒度访问控制授权。
(6)为用户提供基于环境因素(用户行为、设备基线、地理位置、时间等)的风险识别,同时根据风险等级进行动态访问控制。访问控制模型可采用基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)组合的方式进行,前者属于静态访问控制模型,后者通过动态计算一个或一组属性是否满足某种条件来进行授权判断,控制粒度更细,结合RBAC角色管理的优点和ABAC的灵活性一起使用效果更好。
(7)主体所有连接到数据库的操作,将数据中的敏感信息,遵循数据抽取、脱敏和装载的思路进行数据脱敏,按照脱敏规则进行脱敏数据处理后,再把数据返回给主体。
3.3.3.5 数据共享阶段
数据共享安全与网络边界密不可分,采用零信任技術,将能够实施访问控制决策的任何位置看成网络边界,这道边界可以是由传统防火墙或交换机划分,也可以是个人身份访问应用程序,应用程序访问数据库层面。如在登录第三方应用程序时,使用个人身份与使用企业身份之间的区别不仅决定了哪些安全决策适用,还决定了这些决策由谁来制定。应用程序访问数据库的地方,可以看作边界;用户为执行敏感操作而提高权限时,也可以看作边界。
采用零信任技术后,在每一次共享访问请求时都要对用户、设备、网络和应用程序的安全状态、合法身份进行验证,以便确认信任连接,可通过细分资源以及仅批准必要权限和流量的方式来缩小企业的受攻击面,同时采用更多身份验证因素、加密措施并对已知和受信任设备进行标记,就能有效增大恶意攻击者收集所需资料(如用户凭证、网络访问权限和横向移动能力等)的难度。
3.3.3.6 数据销毁阶段
通过对删除的数据多次覆盖重写,避免敏感文件通过介质被非法恢复导致的数据泄露。对于已经处理的存储介质,需要对存储介质的数据进行安全销毁,采用“不可信”管理策略,使用消磁的手段,完成敏感数据销毁存储介质的销毁。
4 结 论
零信任是一种全新的安全技术理念,在数据成为新的生产要素的环境下,传统基于网络边界构筑安全体系无法满足对数据的保护要求,本文在分析了当前零信任技术理论,在零信任技术实践已经成熟的前提下,提出了一种以零信任技术为指导的数据安全体系,将零信任技术思路融入数据生命周期安全支撑技术中,重点强调数据流动关键路径上运用零信任技术进行安全能力叠加,以提高数据安全使用的安全性。
零信任放宽了大家对网络安全关注的视角,与此同时也提高了使用此项技术的门槛,如何在企业数据安全建设和零信任技术运用上从风险评估、技术投入和资源投资成本中达到平衡,这是今后以零信任技术为指导的数据安全体系需要更加深入研究的一个问题。
参考文献:
[1] SUNDRA E. COVID-19 Should Prompt Enterprises to Move Quickly to Zero Trust [J].Nextgov.com(Online),2020:1-3.
[2] Verizons. 2020 Data Breach Investigations Report Energy and Utilities [R/OL].[2020-06-13].https://enterprise.verizon.com/resources/reports/2020/2020-data-breach-investigations-report-energy-utilities.pdf.
[3] 埃文·吉尔曼,道格·巴斯.零信任网络:在不可信网络中构建安全系统 [M].奇安信身份安全实验室,译.北京:人民邮电出版社,2019:1-2.
[4] 左英男.零信任架构在关键信息基础设施安全保护中的应用研究 [J].保密科学技术,2019(11):33-38.
[5] LOWANS B. A Data Risk Assessment Is the Foundation of Data Security Governance [EB/OL].(2020-06-03).https://www.gartner.com/en/documents/3985917.
[6] MACDONALD N.Zero Trust Is an Initial Step on the Roadmap to CARTA [EB/OL].(2018-12-10).https://www.gartner.com/en/documents/3895267.
作者简介:吕波(1982—),男,汉族,四川成都人,安全咨询顾问,工学学士,研究方向:网络安全、数据安全、身份安全。