零信任是網絡安全中一種不斷發展的技術,它將網絡安全防御從靜態、基于網絡邊界的防護轉移到關注用戶、資產和資源保護。零信任體系采用零信任技術來建設企業基礎設施和規劃企業工作流程。零信任假定企業資產或用戶不存在基于物理和網絡位置的隱式信任。用戶、設備的身份驗證和授權操作是在與企業資源建立會話之前執行的不連續功能。零信任是對企業網絡安全發展趨勢的一種積極響應,它關注于用戶的資源保護,而不是用戶的網段保護,網絡位置不再被視為資源安全狀態的主要因素。美國國家標準與技術研究院給出了零信任和零信任體系的定義、遵循的原則,介紹了零信任體系的邏輯組件和處理方法的變化,分析了零信任體系的安全威脅,可以為我國廣大企事業單位內部網絡的升級改造提供參考,為我國網絡安全事業發展提供支撐。
引 言
當前,各企事業單位的網絡基礎設施已經變得越來越復雜。企業不僅存在多個內部網絡,還存在通過遠程連接本地網絡基礎設施的遠程辦公室、移動用戶以及云服務。這種復雜性已經超越了傳統基于網絡邊界防護的安全方法,因為企業已經沒有簡單、容易識別的網絡邊界。傳統基于邊界的網絡安全防護逐漸被證明是不夠的,局限性正日益凸顯,一旦攻擊者突破企業網絡邊界防護,便可以在內部網絡中進一步橫向移動進行攻擊破壞,不受阻礙和控制。
上述網絡基礎設施的復雜性促進了網絡安全原則和安全模型的創新與發展,“零信任”。
零信任(Zero Trust,ZT)技術應運而生。零信任技術從重點關注企業數據資源的保護,逐漸擴展到對企業的設備、基礎設施和用戶等所有網絡資源的保護。零信任安全模型假設攻擊者可能出現在企業內部網絡,企業內部網絡基礎設施與其它外部網絡一樣,面臨同樣的安全威脅,也容易受到攻擊破壞,并不具有更高的可信度。在這種情況下,企業必須不斷地分析和評估其內部網絡和業務功能面臨的安全風險,提升網絡安全防護能力來降低風險。在零信任中,通常涉及將數據、計算和應用程序等網絡資源的訪問權限最小化,只對那些必須用戶和資產開啟訪問權限進行授權訪問,并持續對每個訪問請求者的身份和安全狀態進行身份驗證和授權。
零信任體系(Zero Trust System,ZTS)是一種基于零信任原則建立的企業網絡安全策略,旨在防止企業內部數據泄露,限制內部攻擊者橫向移動和攻擊破壞。本文將給出零信任和零信任體系的定義,遵循的原則,討論零信任體系的組成,分析處理方法的變化和面臨的安全威脅。
01
零信任基礎
“零信任”是一種以資源保護為核心的網絡安全模式,其前提是信任從不被隱式授予,而是必須持續評估。“零信任體系”是一種企業資源和數據安全端到端的保護方法,包含人和非人實體的身份標識、認證信息、訪問管理、操作運維、端點管控、運行環境和互連基礎設施等內容。最初的重點是將企業資源訪問權限控制在那些執行任務必須的最小用戶范圍內。傳統企業主要關注網絡邊界防護,用戶只要通過邊界身份驗證,就有權訪問企業整個網內資源。因此,網絡內部未經授權的橫向移動和攻擊破壞一直是廣大企事業單位面臨的最大挑戰之一。盡管企業網絡邊界防設備提供了強大的網絡邊界保護功能,有效阻止了來自網絡外部的攻擊者,但是在檢測和阻止來自網絡內部的攻擊方面顯得力不從心,更無法有效保護遠程工作者、基于云的外圍用戶。
1.1 零信任和零信任體系定義
零信任提供了一組概念和設計思想,旨在減少在信息系統和服務中實施快速、準確訪問決策的不確定性。零信任體系是利用零信任概念建立的網絡安全計劃,包含組件關系、工作流程規劃和訪問策略等內容。因此,零信任企業的網絡基礎設施和操作策略,是企業零信任體系計劃的執行結果。企業決定采用零信任作為網絡安全基礎,并按照零信任原則制定計劃,形成零信任體系。然后執行此計劃以部署企業中使用的零信任環境。
這個定義的關鍵是防止對數據和服務未經授權的訪問,同時使訪問控制執行盡可能細粒度。也就是說,允許授權和批準的用戶訪問企業數據,而對所有攻擊者、非授權用戶拒絕提供服務。更進一步說,可以用“資源”這個詞代替“數據”,因此零信任和零信任體系是關于資源訪問的,而不僅僅是數據訪問。為了減少不確定性,重點關注于身份認證、授權和收縮隱式信任區域,縮短身份驗證機制中的時間延遲。訪問規則被限制為最少的特權,并且盡可能細化。
在圖1所示的抽象訪問模型中,用戶或機器需要訪問企業資源。通過策略決策點(Policy Decision Point, PDP)和相應的策略執行點(Policy enforcement Point,PEP)授予訪問權限。
圖片
圖1 零信任訪問模型
零信任系統中必須確保用戶身份是真實的,請求是有效的。PDP/PEP通過適當的判斷,才允許企業主體訪問資源。這意味著零信任適用于兩個基本領域:身份認證和授權。用戶對這個惟一請求的身份信任程度是多少?在對用戶身份的信任程度給定的情況下,是否允許該用戶訪問企業資源?用于請求的設備是否具有適當的安全狀態?是否有其他因素需要考慮,并改變信任水平?例如用戶訪問時間、所處位置、安全狀態等等。總的來說,企業需要為資源的訪問開發和維護基于風險的動態安全策略,并建立一個系統來確保這些安全策略被正確和嚴格地執行。因此,企業不應該依賴于隱式的可信,無論什么用戶只要符合訪問資源的身份驗證標準,所有訪問資源的請求都應視為同等有效。
“隱式信任區域”表示所有實體至少被信任到最后一個PDP/PEP網關級別的區域。例如,火車站的乘客篩選模型。所有乘客通過火車站進站安全檢查(PDP/PEP),進入候車室。旅客在候車室里轉悠,所有被放行的旅客都被認為是可信的。在這個模型中,隱式信任區域就是候車室。
PDP/PEP應用一組控件,以便PEP之外的所有通信都具有公共的信任級別。PDP/PEP應該有超出其通信控制范圍的其他策略。為了讓PDP/PEP盡可能的具體,隱式信任區域必須盡可能的小。
零信任是圍繞PDP/PEP對資源保護提供的一套原則和概念,盡可能將PDP/PEP設置到距離企業資源更近的位置。目的是更明確地對構成企業的所有用戶、設備、應用程序和工作流程進行身份驗證和授權控制。
1.2 零信任原則
(1)所有數據源和計算服務都被視為資源。一個網絡可以由多種不同的設備組成。它們將數據發送到企業的交換機、路由器、存儲器和服務器,控制執行器的系統以及其他功能部件。此外,如果個人擁有能夠訪問企業資源的設備,也應當將這些設備劃歸企業資源進行管理。
(2)無論網絡位置如何,所有通信都應該是安全的。網絡位置并不意味著信任。位于企業網絡基礎設施上的所有資產,包括傳統網絡邊界范圍內的資產,其訪問請求都必須與來自外部網絡的訪問請求和通信滿足相同的安全策略。換句話說,不應因設備位于企業網絡邊界范圍內而自動授予信任。所有通信都應該以最安全的方式進行,保護其機密性和完整性,并提供源身份驗證。
(3)對單個企業資源的訪問是在每個會話的基礎上授予的。在授予訪問權限之前,將評估對請求者的信任。對于一個特定的操作,只意味著“以前某個時候”可信,而不會在啟動會話或使用資源執行操作之前直接授權訪問。同樣,對一個資源的身份驗證和授權也不會自動授予對另一個資源的訪問權。
(4)對資源的訪問由動態策略決定,包括客戶端標識、應用程序和請求資產的可見狀態,以及其他行為屬性。通過定義它擁有什么資源、它的成員是誰,以及這些成員需要什么資源訪問權來保護資源。對于零信任,客戶端標識包括用戶帳戶和該帳戶關聯的屬性,以自動進行身份驗證任務。請求資產狀態包括設備特征,如已安裝的軟件版本、網絡位置、請求的時間/日期、以前觀察到的行為和已安裝的憑據。行為屬性包括自動用戶分析、設備分析和從觀察到的使用模式的測量偏差。策略是一組基于組織分配給用戶、數據資產或應用程序的屬性的訪問規則。這些規則和屬性是基于業務流程的需求和可接受的風險級別。資源訪問和操作權限策略可以根據資源/數據的敏感性而變化。
(5)企業確保所擁有的資產和相關的設備均處于最安全的狀態,并持續監控以確保資產處于最安全的狀態。沒有設備天生就值得信任。這里,“最安全狀態”是指設備處于符合實際的最安全狀態,設備仍然可以執行任務所需的操作。實現零信任體系的企業應該建立一個持續診斷和緩解系統來監控設備和應用程序的安全狀態,并根據需要應用補丁/修復程序。
(6)所有資源的身份驗證和授權都是動態的,并且在允許訪問之前必須嚴格執行。這是一個不斷循環的過程,包括獲取訪問、掃描和評估威脅、調整和不斷重新評估正在進行的通信中的信任。實現零信任體系的企業應該具備身份、憑證和訪問管理以及資產管理等系統。這包括使用多因子身份驗證訪問部分或全部企業資源。根據策略的定義和執行,在整個用戶交互過程中不斷重新進行身份驗證和授權的監控,以努力實現安全性、可用性、易用性和成本效率之間的平衡。
(7)企業盡可能多地收集網絡基礎設施和通信系統當前的狀態信息,以提升其網絡安全狀況。企業應該收集關于網絡流量和訪問請求的數據,用于改進策略的創建和執行。這些數據還可用于為來自實體的訪問請求提供上下文信息。
02
零信任體系的組成
2.1 核心邏輯組件
在企業中,構成零信任體系的邏輯組件很多,最核心的還是策略決策點和策略執行點這個兩個組件。這些組件可以通過本地服務或遠程服務的方式來操作,組件之間的相互關系如圖2。從圖中可以看出,策略決策點被分解為兩個邏輯組件:策略引擎(Policy Engine,PE)和策略管理員(Policy Administrator,PA)。零信任體系邏輯組件之間通過一個單獨的控制平面進行通信,而應用程序數據則在一個數據平面上進行通信。
圖片
圖2 零信任核心邏輯組件
(1)策略引擎:該組件負責最終決策授予給定實體對資源的訪問權限。PE使用企業策略和外部來源的輸入作為信任算法的輸入來授予、拒絕或撤銷對資源的訪問權。決策引擎與策略管理員組件配對。策略引擎制定并記錄決策,策略管理員執行決策。
(2)策略管理員:該組件負責建立或關閉實體與資源之間的通信路徑。它將生成客戶端用來訪問企業資源的任何身份驗證和身份驗證令牌或憑據。它與PE緊密相關,并取決于其最終允許或拒絕會話的決定。
(3)策略執行點:該系統負責啟動,監控和終止實體與企業資源之間的連接。這是零信任體系中的單個邏輯組件,但是可以分為兩個不同的組件:客戶端的代理組件和資源側的資源訪問控制組件,或者充當網絡接入控制的單個門戶組件。PEP之外是承載企業資源的隱式信任區。
2.2 輔助系統
除了實現零信任體系的核心邏輯組件之外,還有幾個數據源產生的輔助系統,他們將數據源提供給策略引擎作為訪問決策的輸入和策略規則。包括以下本地數據源以及外部數據源:
(1)持續診斷和緩解系統:該系統將收集企業資產當前的狀態信息,并將其更新應用于配置和軟件組件。企業持續診斷和緩解系統向策略引擎提供有關發出訪問請求的資產信息,例如它是否正在運行適當的修補過的操作系統和應用程序,或者資產是否有任何已知漏洞。
(2)威脅情報系統:它提供來自內部或外部的信息,幫助策略引擎做出訪問決策。這些服務可以是多個服務,他們從內部和/或多個外部源獲取數據,并提供關于新發現的攻擊或漏洞的信息。這還包括黑名單、新識別的惡意軟件,以及對策略引擎想要拒絕企業資產訪問的其他資產的攻擊報告。
(3)數據訪問策略:這是有關訪問企業資源的屬性,規則和策略。這組規則可以在策略引擎中編碼或由策略引擎動態生成。這些策略是授權訪問資源的起點,它為企業資產和應用程序提供了基本的訪問權限。這些策略應該基于任務角色和組織需求來確定。
(4)公鑰基礎設施:該系統負責為企業資源、實體和應用程序頒發證書并對其進行日志記錄。
(5)身份標識管理系統:負責創建、存儲和管理企業用戶帳戶和標識記錄,并利用輕量級目錄訪問協議服務器來發布。該系統包含用戶姓名、電子郵件地址、證書等必要的用戶信息,以及用戶角色、訪問屬性和分配的資產等其他企業特征。身份標識管理系統經常通過公鑰基礎設施來處理與用戶帳戶相關的工作。
(6)網絡活動日志系統:這是一個企業系統,它聚合了資產日志、網絡流量、資源訪問操作和其他事件,這些事件對企業信息系統的安全狀態提供實時(或近似實時)反饋。
(7)安全信息和事件監控系統:它收集以安全為中心的信息,供以后分析。將這些數據用于優化策略,并警告對企業資產的可能攻擊。
2.3 零信任算法
對于部署了零信任系統的企業,可以將策略引擎視為大腦,將策略引擎的信任算法視為主要的思想過程。信任算法是策略引擎用來最終授予或拒絕訪問某個資源的過程。策略引擎從多個來源獲取輸入:策略數據庫,其中包含關于用戶、用戶屬性和角色、歷史用戶行為模式、威脅情報來源和其他元數據來源的信息,如圖3所示。
圖片
圖3 零信任算法輸入
在圖2中,可以根據為零信任算法提供的內容不同,將輸入分為不同的類別。
(1)訪問請求:這是來自實體的實際請求。被請求的資源是被使用的主要信息,但是也使用關于請求者的信息。這可能包括操作系統版本、使用的應用程序和補丁級別。根據這些因素和資產安全狀況,對資產的訪問可能受到限制或拒絕。
(2)用戶數據庫:包括用戶標識、屬性和特權等,表明這是“誰”在請求訪問資源。這是企業或協作者的用戶集和分配的用戶屬性/特權集。這些用戶和屬性是構成資源訪問策略的基礎。用戶身份可以包括邏輯身份和策略執行點執行身份驗證檢查的結果。身份的屬性包括時間和地理位置等,這些屬性可用于獲得信任水平。授予多個用戶的一組特權可以被認為是一個角色,應該在單個的基礎上將特權分配給一個用戶,而不僅僅是因為它們可能適合某個特定的角色。此集合應該編碼并存儲在ID管理系統和策略數據庫中。這還可能包括一些信任算法變量中關于過去觀察到的用戶行為的數據。
(3)系統數據庫:包含資產數據和每個企業擁有的物理和虛擬資產的已知狀態。這與發出請求的資產的可觀察狀態相比較,可以包括操作系統版本、使用的應用程序、網絡地理位置和補丁級別。根據與此數據庫相比較的資產狀態,對資產的訪問可能受到限制或拒絕。
(4)資源訪問需求:這組策略補充了用戶身份標識和屬性數據庫,并定義了對資源訪問的最低需求。需求可能包括認證者保證級別,如多因子認證網絡位置、數據敏感性和資產配置請求。這些要求應由數據保管人和負責利用數據的業務流程的人員共同制定。
(5)安全威脅情報:這是一個或多個關于一般威脅和在互聯網上活動的惡意軟件的信息源。這些信息可以是外部服務或內部掃描發現,還可以包括攻擊簽名和緩解措施。這是最有可能由服務而不是企業控制的惟一組件。
每個數據源的重要性權重可以是專有算法,也可以由企業配置。這些權重值可以用來反映數據源對企業的重要性。最后的決定被傳遞給策略管理員執行。策略管理員的工作是配置必要的策略執行點以啟用授權通信。根據零信任體系的部署方式,這可能涉及將身份驗證結果和連接配置信息發送到網關和代理或資源門戶。策略管理員還可以在通信會話上放置一個保持或暫停,以便根據策略需求重新驗證和重新授權連接。策略管理員還負責根據策略發出終止連接的命令。
03
零信任體系處理方法的變化
3.1 加強身份管理
加強身份管理的ZTS方法將參與者的身份作為策略創建的關鍵組件。如果沒有請求訪問企業資源的實體,就不需要創建訪問策略。對于這種方法,企業資源訪問策略基于標識和分配的屬性。對資源訪問的主要需求是基于授予給定實體的訪問特權。其他因素,諸如使用的設備、資產狀態和環境因素,都可能會改變最終的信任水平計算或最終訪問授權,甚至以某種方式調整結果。私有資源或保護資源的PEP組件必須具有將實體請求轉發到策略引擎服務的方法,或者在授予訪問權之前對實體進行身份驗證并批準請求。
3.2 使用微分段保護
企業可以將單個或群組資源放置在由網關安全組件保護的自身網段上來實現零信任體系。這種方法,企業將網關設備作為PEP來保護每個資源或資源組。這些網關設備動態授權來自客戶端資產的訪問請求。根據模型不同,網關可以是唯一的PEP組件,也可以是由網關和客戶端代理組成的多部分PEP的一部分。
此方法適用于各種用例和部署模型,因為保護設備充當PEP,而管理設備充當PE/PA組件。這種方法需要身份管理程序來完全發揮作用,并依賴于網關組件充當PEP,保護資源免受未經授權的訪問或發現。
這種方法的關鍵在于,PEP組件是受管理的,并且應能根據需要及時做出反應和重新配置,以快速響應工作流中的威脅或更改。通過使用一般的網關設備甚至無狀態防火墻就可以實現微分段企業的某些功能,但是管理成本與快速響應之間存在矛盾,往往難以平衡。
3.3 使用網絡基礎設施和軟件定義邊界
第三種方法使用網絡基礎設施來實現零信任體系。零信任的實現可以通過使用覆蓋網絡來實現。這些方法有時被稱為軟件定義邊界方法,經常包括來自軟件定義網絡和基于意圖的網絡概念。在這種方法中,PA充當網絡控制器,根據PE做出的決策設置和重新配置網絡。客戶端繼續通過由PA組件管理的PEP請求訪問。
當該方法在應用網絡層實現時,最常見的部署模型是代理/網關。在此場景中,代理和資源網關建立用于客戶端和資源之間通信的安全通道。
04
零信任體系面臨的安全威脅
盡管基于零信任體系的網絡比傳統網絡安全得多,但是任何企業都無法消除網絡安全風險。當零信任體系與現有的網絡安全政策和指導、身份認證和訪問管理、持續監控等相輔相成時,零信任體系就可以降低企業網絡的整體安全風險并防范常規威脅和攻擊。然而,在實現零信任體系過程中,一些安全威脅還是客觀存在,并具有獨特性。
4.1 零信任體系決策過程的顛覆威脅
在零信任體系中,策略決策點是整個企業的關鍵組件。企業資源之間不發生通信,除非得到策略決策點的批準和配置許可。這意味著必須正確配置和維護這些組件。任何具有策略引擎規則的配置訪問權限的企業管理員都可能執行未經批準的更改或犯可能破壞企業操作的錯誤。同樣,一個被破壞的策略管理員可以允許訪問那些不被批準的資源。降低相關風險意味著必須正確配置和監管策略決策點組件,并且必須記錄任何配置更改并進行審計。
4.2 拒絕服務或網絡中斷威脅
在ZTS中,策略管理員是資源訪問的關鍵組件。如果沒有策略管理員的許可和配置操作,企業資源之間不能相互連接。如果攻擊者中斷或拒絕訪問策略執行點或策略管理員,它可以對企業的產生經營產生不利影響。企業可以通過將策略強制駐留在云中或根據網絡彈性指南復制到多個位置來減輕這種威脅。
這雖然降低了風險,但并沒有消除風險。僵尸網絡會對關鍵的服務提供商發起大規模拒絕服務(Denial Of Service,DoS)攻擊,并擾亂網上用戶的服務。攻擊者也有可能攔截并阻止來自企業內部分用戶帳戶到策略執行點或策略管理員的流量。在這種情況下,只有一部分企業用戶受到影響。這在傳統的基于虛擬專用網(Virtual Private Network,VPN )的訪問中也是可能的,而且也不是ZTS所獨有的。
主機提供商也可能會不小心將基于云的策略引擎或策略管理員脫機。云服務在過去經歷過中斷,無論是作為服務的基礎設施還是服務器。如果策略決策點組件從網絡上變得不可訪問,則操作錯誤可能會阻止整個企業運行。
4.3 證書被盜/內部威脅
正確實現的ZT、信息安全和彈性策略以及最佳實踐降低了攻擊者通過竊取憑證或內部攻擊獲得廣泛訪問權限的風險。基于網絡位置的無隱式信任的ZT原則,意味著攻擊者需要破壞現有的帳戶或設備才能在企業中立足。正確實現的ZTS應該能夠防止被破壞的帳戶或資產訪問正常權限或訪問模式之外的資源。因此,攻擊者感興趣的帳戶將成為主要的攻擊目標。
攻擊者可能使用網絡釣魚、社會工程或聯合攻擊來獲取有價值的帳戶憑證。根據攻擊者的動機,“有價值”可能意味著不同的東西。企業管理員帳戶可能很有價值,但是對財務收益感興趣的攻擊者可能會考慮具有同等價值的財務或支付資源訪問權的帳戶。為網絡訪問而實現多因子認證可能會降低被破壞帳戶的訪問風險。然而,與傳統企業一樣,具有有效憑證的攻擊者仍然能夠訪問已授權戶訪問的資源。攻擊者或受攻擊的員工擁有有效人力資源員工的憑據和企業擁有的資產,仍然可以訪問員工數據庫。
ZTS增強了對這種攻擊的抵抗力,并防止任何被破壞帳戶或資產在網絡中橫向移動進行攻擊破壞。如果被破壞的憑據沒有被授權訪問特定的資源,它們將繼續被拒絕訪問該資源。此外,上下文信任算法比傳統的基于邊界的網絡更有可能檢測并快速響應這種攻擊。上下文信任算法可以檢測不正常行為的訪問模式,并拒絕對敏感資源的已泄露帳戶或內部威脅訪問。
4.4 網絡可見性威脅
所有流量都被檢查并記錄到網絡上,并進行分析,以識別和應對針對企業的潛在攻擊。但是,正如前面提到的,企業網絡上的一些流量對于傳統的第3層網絡分析工具來說可能是不透明的。這些流量可能來自于非企業擁有的資產或抵抗被動監控的應用程序。企業不能對數據包進行深度檢查或分析加密流量,必須使用其他方法來評估網絡上可能的攻擊者。
這并不意味著企業無法分析它在網絡上看到的加密流量。企業可以收集關于加密通信的元數據,并使用這些元數據檢測活躍的攻擊者或網絡上可能的惡意軟件。機器學習技術可以用來分析無法解密和檢查的通信數據。使用這種類型的機器學習將允許企業將流量分類為有效的或可能惡意的,并可進行補救。在ZTS部署中,只需要以這種方式檢查來自非企業資產的流量,因為所有企業流量都要通過PEP由策略管理員進行分析。
4.5 網絡信息的存儲威脅
對企業網絡流量分析的一個相關威脅是分析組件本身。如果存儲網絡流量和元數據是為了構建上下文策略、取證或后續分析,那么這些數據就會成為攻擊者的目標。就像網絡圖、配置文件和其他分類的網絡體系結構文檔一樣,這些資源也應該受到保護。如果攻擊者能夠成功地訪問存儲的流量信息,他們就能夠深入了解網絡體系結構并識別資產,以便進行進一步的偵察和攻擊。零信任企業中,攻擊者偵察信息的另一個來源是用于編碼訪問策略的管理工具。與存儲的通信流一樣,此組件包含對資源的訪問策略,可以向攻擊者提供關于哪些帳戶最有價值進行攻擊的信息。
對于所有有價值的企業數據,應該有足夠的保護措施來防止未經授權的訪問和訪問嘗試。由于這些資源對安全性至關重要,因此它們應該具有最嚴格的訪問策略,并且只能從指定的或專用的管理員帳戶訪問。
4.6 對專有數據格式的依賴威脅
零信任體系依賴于多種不同的數據源來進行訪問決策,包括請求用戶信息、使用的資產、企業和外部情報以及威脅分析的信息。通常,用于存儲和處理這些信息的資產在如何交互和交換信息方面沒有一個通用的、開放的標準。這可能導致企業由于互操作性問題而被鎖定在提供者的子集中。如果一個提供者有安全問題或中斷,企業可能無法遷移到一個新的提供者,除非付出極大的代價或經歷一個很長的轉換程序。與DoS攻擊一樣,這種風險并非零信任體系所獨有,但由于零信任體系嚴重依賴于信息的動態訪問,中斷可能會影響企業的核心業務功能。為了降低相關風險,企業應該綜合考慮供應商安全控制、企業轉換成本和供應鏈風險管理等因素,對服務供應商進行評估。
4.7 在零信任體系管理中使用非人實體威脅
人工智能和其他基于軟件的代理被部署來管理企業網絡上的安全問題。這些組件需要與零信任體系中的策略引擎、策略管理組件進行交互,有時需要代替人工管理員。在實現零信任體系的企業中,這些組件如何對自己進行身份驗證是一個有待解決的問題。假設大多數自動化系統在使用到資源組件的應用編程接口(Application Programming Interface,API)時都會使用一些方法來進行身份驗證。
當使用自動化技術進行配置和策略執行時,最大的風險是誤報和誤報的可能性。這可以通過定期的調整分析來減少,以糾正錯誤的決策和改進決策過程。
相關的風險是,攻擊者將能夠誘導或強制非個人實體執行一些攻擊者無權執行的任務。與人工用戶相比,軟件代理執行管理或安全相關任務的身份驗證的門檻可能更低。如果攻擊者可以與代理交互,那么從理論上講,他們可以欺騙代理允許攻擊者進行更大的訪問,或者代表攻擊者執行一些任務。還有一種風險是,攻擊者可能獲得對軟件代理憑證的訪問權,并在執行任務時模擬代理。
05
結 語
本文介紹了美國國家標準與技術研究院關于零信任和零信任體系的定義,分析了零信任體系與傳統邊界防護之間的差異,提出了零信任體系應遵循的原則,介紹了零信任體系的組成和核心邏輯組件,研究分析了零信任體系下企業網絡面臨的安全威脅。上述研究成果將為我國黨政機關、企事業單位、科研院所等用戶內部網絡的安全性設計和建設提供有力的參考。
