freebuf不久前,腾讯安全发布「企业级零信任能力图谱」,受到业内人士的广泛关注。图谱从客户视角出发,结合相关零信任标准和国内外零信任最佳实践,针对企业用户如何构建零信任体系,提供具体的能力清单和指导框架,汇聚成通用性的零信任安全能力谱图,旨在帮助企业进行安全能力转型和升级。
此次,作为零信任能力图谱的延续,腾讯安全正式发布《零信任解决方案白皮书》,将核心能力聚合成解决方案、落地到关键组件,通过典型场景应用结合腾讯最佳实践,帮助企业构建新一代零信任安全网络架构提供帮助。
腾讯基于ZTA架构模型,参考谷歌ByondCorp最佳实践,结合自身十多年来的网络安全管理实践,形成了“腾讯零信任”的解决方案,于2016年在公司内部实践。方案打破传统基于网络区域的特权访问方式,基于可信用户、可信设备和可信应用的访问三要素验证,对访问主体授予最小访问权限,并对全链路访问加密和监控保护。目前已经过6万多员工的实践验证。新冠病毒疫情期间,很好解决了员工远程办公便捷性、稳定性和安全性问题。
以下是《腾讯零信任解决方案白皮书》全文:
1. 背景介绍
目前,绝大多数企业都还是采用传统的网络分区和隔离的安全模型,用边界防护设备划分出企业内网和外网,并以此构建企业安全体系。在传统的安全体系下,内网用户默认享有较高的网络权限,而外网用户如异地办公员工、分支机构接入企业内网都需要通过VPN。不可否认传统的网络安全架构在过去发挥了积极的作用,但是在高级网络攻击肆虐,内部恶意事件频发的今天,传统的网络安全架构需要迭代升级。
同时,随着云计算、大数据、物联网、移动互联网等技术的兴起,加快了很多企业的战略转型升级,企业的业务架构和网络环境随之发生了重大的变化。然而,传统基于边界防护的网络安全架构很难适应新环境,对于一些高级持续性威胁攻击无法有效防御,内网安全事故也频频发生。因此,传统安全架构已不能满足企业的数字化转型需求。
一种基于“零信任框架模型”的网络安全架构由此诞生。最初的零信任框架模型是由著名研究机构Forrester的首席分析师John Kindervag在2010年提出的,并在Google的BeyondCorp项目中得到了应用。Google是业界第一个将零信任架构模型落地实践的公司,ByondCorp项目对外部公共网络和本地网络的设备在默认情况下都不会授予任何特权,用户无论在哪里,无论什么时间,只有使用通过受控设备、通过身份认证,且符合“访问控制引擎”中的策略要求,通过专用访问代理才能访问特定的公司内部资源。
零信任的核心思想可以概括为:网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要基于持续的验证和授权建立动态访问信任,其本质是以身份为中心进行访问控制。
腾讯基于ZTA架构模型,参考谷歌ByondCorp最佳实践,结合自身十多年来的网络安全管理实践,形成了”腾讯零信任“的解决方案,于2016年在公司内部实践,该项目打破传统基于网络区域的特权访问方式,基于可信用户、可信设备和可信应用的可信身份三要素验证,对访问主体授予最小访问权限,并对全链路访问加密和监控。目前已经过6万多员工的实践验证。新冠病毒疫情期间,很好解决了员工远程办公便捷性、稳定性和安全性问题。
在零信任标准制定方面,腾讯基于在零信任的技术积累和实践经验,在业界率先发起零信任技术标准的研制工作。在国内,2019年7月,腾讯联合CNCERT、奇虎科技、数据通信科学技术研究所、中国移动通信集团设计院、奇安信、天融信、上海观安、恒安嘉新、深信服、北京微智信业、西安邮电大学等产学研机构,发起《零信任安全技术参考框架》行业标准立项,推进国内的零信任标准研制工作。在国外,2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上,由腾讯、CNCERT、中国移动主导的“服务访问过程持续保护参考框架”国际标准成功立项。该框架提供有关持续身份安全和访问控制管理的标准化指导,成为国际标准组织中首个零信任安全相关的技术标准,表明中国力量在国际网络安全领域逐步在增强技术领导力和话语权,对推动零信任安全技术在全球范围规模商用的进程,加快零信任技术和服务快速发展与普及具有重要深远的意义。2020年3月,“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T,也在SG17安全研究组全体会议中得到普遍认可并获通过,后续将联动国内外相关机构持续推动。
产业互联网时代正面临前所未有的安全挑战。市场亟需新一代安全技术标准的指导准则和参考框架,腾讯将与各方合作伙伴一起,携手推动零信任安全技术标准建设和技术应用落地,为用户新一代网络安全体系构建、为全球网络安全的健康发展做出贡献。
2. 核心能力
(腾讯安全零信任能力图谱)
腾讯安全零信任能力图谱包含五大能力:可信识别能力是零信任的基础能力,包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信的用户在可信的受控设备上使用可信的应用,对受保护资源进行可信的访问。在此能力基础上,依托持续信任评估能力,对访问主体的整个访问过程进行监控分析,对用户、受控设备和应用的可信度进行持续的信任评估,根据评估结果通过无边界应用访问控制能力和无边界网络访问控制能力进行动态的权限控制,并通过安全可视化能力将访问流量、路径和效果等直观呈现,为企业安全运营提供有力的决策支撑。
- 可信识别能力
零信任架构体系下,基于数字身份,实现用户的可信识别,完成身份认证和单点登录。实现受控设备可信识别,完成受控设备的合规和安全管理。实现应用的可信识别,实现应用和进程的黑白名单管理。最终形成一整套零信任可信识别能力,保证合法的用户基于合法的受控制终端通过合法的应用和进程,发起对客体合法的访问。
- 无边界的访问控制能力
零信任架构下基于身份而非网络位置来构建访问控制体系,即无边界的访问控制。将控制平面和数据平面解耦,通过控制平面接收来自动态信任评估的用户信任评估和设备风险评估结果,设置访问控制策略并下发到数据平面策略执行点执行访问控制策略。
通过零信任架构中的无边界访问控制能力构建核心业务资产保护屏障。将核心业务资产暴露面隐藏,保证核心资产对未经认证的访问主体不可见。只有访问权限和访问信任等级符合要求的访问主体才被允许对业务资产进行访问。通过对访问主体的逐层访问控制,不仅满足动态授权最小化原则,同时可以抵御攻击链各阶段攻击威胁。
- 持续信任评估能力
在零信任架构下,持续信任评估能力是可信识别能力和访问控制能力的重要输入。通过对访问主体的持续信任评估,实现对访问主体的访问权限动态调整和访问身份认证动态调整。
访问主体信任评估包括对用户访问上下文行为分析的信任评估,对受控设备和访问网关基于环境因素的风险评估,通过信任评估模型和算法,实现基于身份的持续信任评估能力,识别异常访问行为和风险访问环境,并对信任评估结果进行调整,为动态访问控制提供有效输入。
- 安全可视化能力
通过可视化技术将访问路径、访问流量、用户异常访问行为直观展示,也可以将在线设备状态、统计情况、策略执行情况、执行路径等可视化呈现,帮助安全运营人员更为直观、更为全面的了解访问主体的安全状态和行为,从而更快速、更精准的找到风险点,触发安全响应,支撑安全决策。
3. 方案概述
腾讯零信任解决方案,充分利用五大安全能力,构建基于可信用户、可信设备和可信应用的访问主体,并对其访问行为进行持续信任评估和动态授权,以达到无边界的最小权限访问控制。
身份可信作为“零信任”架构的第一关,包括用户可信、设备可信和应用可信。有多种认证方式来确保用户可信:如企业微信扫码、token双因子认证、生物认证等。用户身份可与企业本地身份、域身份以及自定义帐号体系灵活适配。在用户体验上,通过应用系统单点登录(SSO),让应用使用更加便捷。设备可信则通过对设备进行合规管理、病毒查杀、安全加固和设备认证来实现。应用可信通过对应用和进程识别、黑白名单管理、远程分发和应用白名单发起来确保。
无边界动态访问控制是零信任架构的战略指挥核心,访问主体的访问鉴权依赖动态信任评估结果,且信任评估是持续的,伴随整个访问过程。一旦访问过程发生行为异常或环境异常,动态自动调整访问权限,保证业务访问的最小权限。访问控制策略可通过受控终端代理和访问网关双向执行。受控终端访问控制策略直接控制终端发起的应用进程,访问网关根据访问控制策略对访问流量进行二次校验,确保人-应用-访问目标合法,确保访问主体行为合法。
为了保证访问链路安全,采用独有的访问链路加密/解密网关,可针对设备指定WEB或应用程序流量层层加密,对不稳定网络做网络传输协议优化。同时,通过链路加速解决访问速度的问题。并且支持访问控制管理、单链接请求授权,及时阻断违规访问与网络风险。
通过零信任解决方案,为用户打造基于可信身份的无边界动态访问控制闭环,为企业构建全方位、一站式的零信任安全体系,为企业业务安全和业务上云提供安全保障。
4. 关键组件
腾讯零信任解决方案提供零信任架构中无边界可**问的核心能力,为企业构建基于零信任的新一代安全架构。
关键组件包括:终端访问代理、可信识别、动态信任评估引擎、访问控制引擎和访问网关。
(关键组件结构图)
4.1 终端访问代理
终端访问代理是部署于受控设备的发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,验证身份可信,即可与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。
终端访问代理部署于受控设备,访问主体发起访问时,需要校验主体身份状态是否可信、身份访问的目标资源是否有权限。同时检查发起访问的应用是否是可信应用,通过可信识别校验的访问主体授权建立对应的加密连接,并将相应的网络连接数据发送到访问网关。访问主体发起访问时建立人身份-应用-目标业务系统的组合策略控制,为了保障低风险访问,进行流量过滤,大大减少访问网关的访问流量压力。
4.2 可信识别
零信任架构体系下的可信识别包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信识别模块对用户进行多因子身份认证(MFA)并验证该用户名下受控设备和受控应用的安全性和可信度,认证通过之后,自动评估访问主体的初始信任等级并根据等级进行授权。
用户可信识别提供用户全生命周期的身份管理和多因素身份认证能力。针对用户/用户组制定网络访问权限策略。在设备接入前,对用户进行业务权限的授权,非授权的业务资源完全不可见,做到最小特权的需求。在设备接入后,持续验证所有用户的身份,提供包括企业微信扫码、LDAP认证、域身份、Token 双因子认证在内的多种身份验证方式。通过身份可信识别能力实现合法的用户使用合法的终端,使用合法的应用对被保护资产进行合法的访问。
受控设备可信识别支持病毒查杀、漏洞修复、安全加固、合规检测、数据保护、EDR等全方位的终端管控功能模块。其中,病毒查杀采用了新一代的AI动态杀毒引擎,海量样本可实时发现最威胁;EDR入侵检测基于腾讯多年来成熟的实战经验,通过云端联动最新威胁情报,定时推送预警检测模型及专家策略,秒级发现入侵隐患,为用户及时应对热点安全事件提供决策支持。在设备接入内网之前以及接入运行后,iOA持续检查设备安全状态,更好地透视与管控企业内网环境,限制任何不符合安全要求的设备对企业网络的访问。
受控应用可信识别支持细粒度识别应用和进程,包括名称/版本/程名/MD5/Hash/签名。支持远程下发进程黑名单,阻止恶意进程在终端中运行。对访问发起方采用白名单模式,发现恶意程序即拦**问,无法建立连接和接入,同时针对企业指定软件,支持远程强制卸载或分发。
4.3 动态信任评估引擎
动态信任评估引擎是零信任整体架构的策略指挥中心,为访问主体对核心业务资产的访问鉴权提供信任评估依据,并将信任评估结果下发到访问控制引擎,为访问控制引擎基于动态信任评分授权提供依据。
动态信任评估引擎具有解析、评估、决策三部分能力:
(动态信任评估引擎组件架构)
1)访问解析
访问解析旨在解析访问主体对资源的访问请求,从访问请求中提取出涉及的用户实体、设备实体、数据资源、应用资源等信息,并对访问请求进行字段标准化,转化为信任引擎可以处理的格式。然后将这些实体、资源信息传递给动态信任评估引擎和静态信任评估引擎,进入信任评估。
2)信任评估
信任评估包括访问评估引擎、持续信任评估引擎和静态场景评估引擎。
访问实体评估引擎:对所有的用户和设备等实体进行周期性的信任评估。系统按照一定周期,根据用户和设备的认证记录、历史行为记录、当前各项属性情况以及历史的异常风险记录,最终对实体进行综合信任量化评分,输出当前周期每个实体的信任级别。动态信任评估引擎接收实体的资源访问请求,对资源访问请求进行信任评估。根据实体请求资源的行为特征,结合上下文行为信息,检测当前实体行为的异常风险,并最终对实体行为进行信任量化评分,输出当前实体访问资源行为的信任级别。静态信任评估引擎为信任评估中重要的组成部分。静态信任评估引擎根据确定的评估规则对请求中,较稳定的静态属性(如用户身份、部门、岗位、权限、账号;设备归属;资产权重;应用权重等)进行评估。静态信任策略由于判断规则明确,往往能较快完成评估动作,适用于明确的规则型判断场景。3)决策算法
决策算法以访问实体评分作为访问鉴权基线值,后续依赖动态信任评估引擎和静态信任评估引擎,持续对访问主体行为进行信任评估,并依据实时信任评分动态调整访问授权范围,以满足最小授权原则。从某种意义上说,决策算法是一种融合规则及评分的复合决策机制(criteria font-family:inherit;font-size:24px;background-color:transparent">
7. 结束语
传统的边界网络安全架构将逐步退出历史舞台,一种新的网络安全架构应运而生。零信任网络安全架构对网络安全进行了重构,无边界的网络、基于可信的身份、动态的授权和持续的信任评估成为新的理念。在零信任架构下,访问主体身份管控更为全面,不仅仅是人的身份,还有设备和应用、系统身份。访问鉴权更为精准,不再基于角色的静态鉴权,而是基于信任评估的动态鉴权。访问链路的安全性、稳定性和访问速度也被全面考虑,最终形成一整套适用企业数字化转型的新型安全机制。
转载请注明来自网盾网络安全培训,本文标题:《腾讯安全发布《零信任解决方案白皮书》》
