深度解读零信任身份安全—— 全面身份化:零信任安全的基石_手机搜狐网

标签: | 发表时间:2020-03-07 12:15 | 作者:
出处:https://m.sohu.com

传统的基于边界的网络安全架构某种程度上假设、或默认了内网是安全的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品/方案对企业网络出口进行重重防护而忽略企业内网的安全。

在“企业边界正在瓦解,基于边界的安全防护体系正在失效”这一大背景下,零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议,其 核心思想是:默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制。

从技术方案层面来看,零信任安全是借助现代身份管理平台实现对人/设备/系统的全面、动态、智能的访问控制,其核心实践包括:

  • 以身份为中心

通过身份治理平台实现设备、用户、应用等实体的全面身份化,采用设备认证和用户认证两大关键技术手段,从0开始构筑基于身份的信任体系,建立企业全新的身份边界。

  • 业务安全访问

所有的业务都隐藏在零信任可信接入网关之后,只有认证通过的设备和用户,并且具备足够的权限才能访问业务。

  • 动态访问控制

访问控制需要符合最小权限原则进行细粒度授权,基于尽量多的属性进行信任和风险度量,实现动态自适应访问控制。

不难看出,以身份为中心实现设备、用户、应用、系统的全面身份化是零信任安全的根基,缺少了这个根基,动态访问控制将成为无源之水无本之木。

“全面身份化”是零信任安全动态访问控制的基石

传统语境下,身份更多的是“人”的专属术语,是物理世界的人在数字世界的对等物,甚至多数情况下大家将身份等同于应用系统的账号。这不难理解,毕竟在传统的信息系统和网络世界中,人、机是主要的参与实体,机器大多可以通过机器名、网络地址等进行标识,而为了实现记账和访问控制等功能,人也需要一个标识,那就自然而然的为每一个人在系统中创建一个账号,并将这个账号等同于数字身份。

随着如今IT技术的飞速发展,这个狭义的身份范畴已经跟不上时代了,至少包括如下两个方面:

1. 身份的实体范畴不仅仅是人

在万物互联的时代,物已经成为了重要的参与实体,其基数已经远远超出了人。因此,仅仅为人创建身份是远远不够的,正如Gartner所建议的,需要建立全面的“实体”身份空间,这些“实体”包括:人、服务、设备等等。通过全面的身份化,实现对网络参与的各个实体在统一的框架下进行全生命周期管理。

2. 身份不等同于账号

虽然在一个单一的业务系统内,身份和账号存在某种一对一的关系,但是,身份并不等同于账号。一个身份在不同的业务系统内存在不同的账号,身份是唯一的,账号不是唯一的。随着云计算、移动计算的发展,应用越来越碎片化,一个实体的人/数字化的身份对应的账号越来越多,理解身份和账号的差异至关重要。

简单下个定义:身份是物理世界的人/物/系统等实体在数字世界的唯一标识,是物理世界的实体在数字世界的对等物。

事实上,在现代身份治理框架下,核心逻辑之一就是关注身份、账号、权限三个平面及其映射关系:为物理世界的人/物创建数字身份并关联对应的身份生命周期管理流程、梳理关联各业务系统账号和身份的属主关系、控制各个账号的权限分派实现基础授权。如下图所示:

另外,为了实现闭环的全面身份化治理,需要部署智能身份分析系统,对当前系统的权限、策略、角色进行智能分析,发现潜在的策略违规并触发工作流引擎进行自动、或人工干预的策略调整,实现治理闭环。

如上,在零信任安全语境下,身份是为访问控制服务的。因此,需要对参与访问控制的各主体、客体进行全面的身份化,包括:用户、设备、应用和接口等都需要具备唯一的数字身份。

Evan Gilman最新的研究方向就是工作负载的身份化,其目的就是为了基于零信任理念,解决工作负载之间的访问控制问题,建立零信任数据中心网络,是全面身份化在数据中心网络场景的创新实践。

零信任数据中心网络的工作负载身份化实践

接下来整理分享Evan关于零信任数据中心网络的工作负载身份化研究的最新成果。

Evan指出解决零信任网络信任问题最重要的机制就是认证,而认证的基础是通信双方的身份标识。随着数据中心的建立,进程与进程之间通信同样需要认证,而现今使用广泛的标识(IP地址),并不适用于进程与进程之间的通信,如:Kubernets为每个进程指派一个IP地址,但是多个软件服务可能共享同一个IP地址。同时,基于IP地址的标识机制还存在访问控制列表的规模过大、潜在的IP地址伪造等问题。

要实现进程与进程之前的安全通信,需要更细粒度的标识,需要构建工作负载特有的身份标识体系。目前,不同的软件平台对与工作负载标识的方法不同,相互之间不能兼容,且没有一个具有互操作性、能完美的与客户系统兼容的标识。如果能提供一个统一的工作负载标识框架是极具意义的,SPIFFE通用安全身份框架正是这样的框架,也是目前Evan的研究重点,除此之外,Evan还致力于基于SPIFFE的参考实现SPIRE开源项目的研发和推动。

SPIFFE(Secure Product Identity Framework For Everyone,通用安全身份框架)提供了统一的工作负载身份解决方案。SPIFFE主要包括三部分内容:SPIFFE ID规范、SVID身份标识文档标准、API规范及约束,下面简单介绍:

  • 统一工作负载身份标识SPIFFE ID

SPIFFE ID是一串形如URI的字符串,主要由两部分组成:信任域和工作负载路径。信任域和系统的信任根有关,是运行SPIFFE框架的组织、机构环境,也可以理解为工作负载身份的颁发者。工作负载路径可以标识工作负载提供的软件服务、标识服务拥有者,但更多情况下,它只是一个模糊的字符串,不会包含任何上层结构信息,但是可以通过该字符串查询有关工作负载的元数据,如地理位置、逻辑系统分区和服务等。

  • SVID(SPIFFE Validation Identity Document, SPIFFE身份标识文档)

SPIFFE SVID是对SPIFFE ID编码后的一种可加密认证文件,是工作负载向远端系统证明自己身份的文件,主要由三部分组成:SPIFFE ID、公钥和有效签名。许多文件格式都可以满足SVID的要求,但考虑到易用性和广泛性,SPIFFE SVID目前仅采用了X.509加密认证文件格式。

  • 工作负载身份化API

定义了与工作负载通信的标准(本地)接口,为工作负载颁发及获取SVID明确了接口规范和参考流程。SVID和工作负载API的标准化统一了工作负载身份的交互接口,将工作负载与具体运行平台解耦,为系统结构的异构化化发展起到了推动作用。

最后,简单的介绍一下开源项目SPIRE(SPIFFE 运行环境),主要由两部分组成,SPIRE服务器和SPIRE代理。SPIRE服务器主要提供三种服务:身份映射、节点认证和SVID的颁发。SPIRE代理的主要职责是提供工作负载认证和工作负载API接口。

在实际环境中,SPIRE的启动和加载过程也很简单,通过启动SPIRE服务器、启动SPIRE代理、工作负载获取SVID简单的三个步骤,即可建立从SPIRE服务器到SPIRE代理的工作负载信任链,工作负载获得能够适配各种平台的SVID,进而实现工作负载间的认证。

SPIFFE及其参考实现SPIRE是全面身份化在数据中心网络的全新实践,其出发点是构建一套标准、开放、统一的零信任数据中心网络的身份标识体系,虽然要达成这一目标颇具挑战,但是业界在构建零信任安全架构的过程中,仍然可以从这项研究成果中得到启发,在各种场景切合实际,实现能落地的全面身份化方案。

结语

零信任安全的本质是以身份为中心进行动态访问控制,全面身份化是实现零信任安全架构的前提和基石,基于全面身份化,为零信任网络的人、设备、应用、系统等物理实体建立统一的数字身份标识和治理流程,并进一步的构筑动态访问控制体系,将安全边界延伸至身份实体,实现安全架构的关口前移。

文章来源:360身份安全实验室(360 ESG Identity Security 

相关 [深度 信任 身份] 推荐:

深度解读零信任身份安全—— 全面身份化:零信任安全的基石_手机搜狐网

- -
传统的基于边界的网络安全架构某种程度上假设、或默认了内网是安全的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品/方案对企业网络出口进行重重防护而忽略企业内网的安全. 在“企业边界正在瓦解,基于边界的安全防护体系正在失效”这一大背景下,零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议,其.

信任

- tsyung - 不许联想
路上折腾了六七个小时,傍晚终于到了齐齐哈尔. 这个城市很漂亮,比我见到的一些国内城市漂亮一些,而且空气很好,天很蓝. 这次能有机会到齐齐哈尔做光明行义工,实属不易,因为这次.

深度搜索

- - 译言最新精选
译者: HorseHour 原文地址: streamhacker.com. 当我们准备发布 Weotta时,我们已经为如何描述它犯了难. 我们使用了机器学习和自然语言处理吗. 我们最终觉得“深度搜索”是对我们工作最贴切的描述,它是一个超越了基本文本搜索的复杂搜索系统的简洁描述. 无需赘言,不管怎么看,我们都不是这个领域唯一的一家公司;谷歌和很多其他公司都在对深度搜索的各个方面进行研究.

唐骏的身份危机

- 文刀刘 - Solidot
前微软中国区总经理、盛大网络总裁唐骏最近面临诚信危机,知名科普作家方舟子在其微博客上指控他学历造假.

Cookie深度解析

- - CSDN博客互联网推荐文章
       最近在公司做了Web端单点登录(SSO)功能,基于Cookie实现,做完之后感觉有必要总结一下,本文着重讲解Cookie,下文会说明单点登录的实现方案.        众所周知,Web协议(也就是HTTP)是一个无状态的协议. 一个Web应用由很多个Web页面组成,每个页面都有唯一的URL来定义.

Kafka深度解析

- - zzm
原创文章,转载请务必将下面这段话置于文章开头处. 本文转发自Jason’s Blog,原文链接. http://www.jasongj.com/2015/01/02/Kafka深度解析. Kafka是一种分布式的,基于发布/订阅的消息系统. 以时间复杂度为O(1)的方式提供消息持久化能力,即使对TB级以上数据也能保证常数时间的访问性能.

信任是一种信念

- 云飞风起 - 左岸读书_blog
电影《信任》讲安妮相信网上的爱情,直到他约会强奸了她,她仍然心存幻想,引发了一系列的信任危机. 从安妮的14岁生日礼物电脑说起,在聊天室结识了一个16岁的男朋友,交流一段时间后她认定他是灵魂伴侣,一段时间后他坦白说是20岁,虽然有被骗的感觉,并没有动摇安妮对他的信任. 可是又有些时日,男友又变为25岁,有了前4岁垫底这5年好象也说得过去.

象棋大师的身份欺诈

- 见涛 - 科学松鼠会
我弟弟是商场的经理,也是个象棋高手,前阵子迷上了在网上下棋. 一般来说,网游的规则很简单,刚注册时身份是平民,累积赢其他同等级的玩家三把就升一级,反之降级,他靠自身水平升到了知府后就再也升不上去了. 看到他有些沮丧,我决定帮他升级,这个建议着实雷了他,因为我是个臭棋篓子,即使他让我车马炮,我也赢不了他.

怎样去偷别人的身份?

- wycpu1983 - 译言-每日精品译文推荐
译者 liangyuanyuan. 当别人建议我去波特兰俄勒岗州和家人共和度感恩节时,我不由得感到深深的恐惧. 那意味着我要独自一人登上飞机,在空中飞行30000英尺,历经近两个小时……. 你或许会想,我可以克服恐惧,完全自由自在的享受即将到来的旅行. 但是向恐惧投降只是意味着我有买机票和乘坐机票的勇气.

关于身份证号的那些事

- - 标点符
居民身份证号码,根据〖中华人民共和国国家标准 GB 11643-1999〗中有关公民身份号码的规定,公民身份号码是特征组合码,由十七位数字本体码和一位数字校验码组成. 排列顺序从左至右依次为:六位数字地址码,八位数字出生日期码,三位数字顺序码和一位数字校验码. 1、地址码(身份证号码前六位). 表示编码对象常住户口所在县(市、镇、区)的行政区划代码.