前言
在之前的一段时间里,博主主要从事云上零信任架构、IAM以及Landing Zone的设计及开发工作。这里通过专栏进行总结分享,同时也在此基础上继续进行探索及学习。
本文是系列文章的第二篇。系列文章结构如下:
正篇
零信任是一种以资源保护为核心的网络安全范式,其前提是信任从来不应该被隐身授予(换种角度看,基于默认安全原则),而上必须进行持续地评估。零信任体系架构上一种针对企业资源和数据安全的端到端方案,其中包括:
- 身份(人和非人的实体)
- 凭证
- 访问管理
- 操作
- 终端
- 主机环境
- 互联基础设施
初始的重点应该是将资源访问限制在有实际访问需求的主体并仅授予执行任务所需的最小权限(如读取、修改、删除)。比如云上,一个非管理员用户可能仅能读取自身租户内的桶对象,其无法向桶内写入数据(纵向越权),也无法读取别的租户的桶对象(横向越权)。
零信任的定义
零信任:提供一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。
零信任架构:一种企业网络安全的规划,基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
NIST的定义相对抽象,不妨看看AWS对其的理解:零信任是一种概念性安全模型及其相关机制,专注于提供围绕数字资产的安全控制,而不仅仅或从根本上依赖于传统的网络控制或网络边界。
此定义聚焦的问题,即消除对数据和服务的非授权访问,以及使访问控制的执行尽可能精细化。也就是说,授权过的主体(用户、应用、和设备的组合)可以访问数据,同时排除其它所有主体。进一步地,可以用资源一词代替数据,从而明确问题不仅仅聚焦在数据访问之上,同时包含应用以及硬件设备。这个定义非常关键,可以说明,零信任关注的问题,即访问中,合法认证的主体是否有权限对某一资源进行某一操作的问题。
零信任的原则
关于零信任的许多定义和讨论都在强调去除广域边界防御(如企业防火墙等)为因素的概念。然而,大多数的概念仍然以某种方式定义自己与边界的关系,并把边界作为零信任架构的一部分(个人认为是因为边界易于抽象及理解)。
以下零信任原则是理想化的目标,同时必须承认的是——并非所有的原则都能够以最纯粹的形式充分实践。
- 所有数据源和计算服务均被视为资源。
- 无论网络位置如何,所有通信都必须是安全的。 来自内网的访问请求必须与来自其它非自有网络的访问请求采用相同的安全要求。所有的通信应以最安全的方式进行,保证机密性和完整性,并提供源身份认证。
- 对企业资源的访问授权是基于每个连接的。
- 对资源的访问权限由动态策略(包括客户身份、应用和请求资产的可观测状态)决定,也可能包含其它行为属性。
- 企业应该监控并测量其所有自由的或关联的资产的完整性和安全态势。 被攻陷、具有已知漏洞和不受企业管理的设备,与被认为处于最安全状态的设备应该被区别对待。因此需要一个强大的监控和报告系统来提供当前企业资源状态的可操作数据。
- 所有资源的身份认证和授权是动态的,并且在资源访问被允许之前严格强制实施。
- 企业应该尽可能收集关于资产、网络基础设施和通信的当前状态信息,并将其应用于改善网络安全态势。
Ref
NIST.800-207中文翻译可至云安全联盟中华区查看。
