淺談零信任之訪(fǎng)問(wèn)控制模型
發(fā)布時(shí)間:2021-07-10 17:33
來(lái)源:FreeBuf
閱讀:0
作者:權說(shuō)安全
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
隨著(zhù)“云大物移”的不斷興起���,企業(yè)IT架構正在從“有邊界”向“無(wú)邊界”轉變��,傳統的安全邊界逐漸瓦解����。而以5G���、工業(yè)互聯(lián)網(wǎng)為代表的新基建的不斷推進(jìn)��,更進(jìn)一步加速了“無(wú)邊界”的進(jìn)化過(guò)程�����。與此同時(shí)�,零信任安全逐漸進(jìn)入人們的視野�,成為解決新時(shí)代網(wǎng)絡(luò )安全的新理念����、新架構�、新解決方案���。
本篇主要探討零信任的訪(fǎng)問(wèn)控制模型��。
一��、概述
零信任(Zero Trust����,ZT)�,顧名思義就是“永不信任��、持續驗證”�����。NIST對零信任的定義是:零信任體系結構(ZTA)提供了一系列的概念���、思想和組件關(guān)系�����,旨在消除在信息系統和服務(wù)中實(shí)施精確訪(fǎng)問(wèn)決策時(shí)的不確定性�����。
核心概念:所有流量都不可信;不以位置作為安全依據�,為所有訪(fǎng)問(wèn)采取安全措施;采用最小授權策略和嚴格訪(fǎng)問(wèn)控制;所有流量都需要進(jìn)行可視化和分析檢查���。
訪(fǎng)問(wèn)控制技術(shù)是信息系統安全的核心技術(shù)之一�����。訪(fǎng)問(wèn)控制是通過(guò)某種途徑顯示準許或限制主體對客體訪(fǎng)問(wèn)能力范圍的一種方法�����,它是針對越權使用系統資源的防御措施�,通過(guò)顯示訪(fǎng)問(wèn)受保護資源���,防止非法用戶(hù)的入侵或因為合法用戶(hù)不慎操作所造成的破壞���,從而保證系統資源受控地��、合法地使用�����。
訪(fǎng)問(wèn)控制模型是從訪(fǎng)問(wèn)控制技術(shù)的角度出發(fā)�����,定義了主體�、客體及主體對客體的訪(fǎng)問(wèn)規劃���,從抽象的層次來(lái)描述訪(fǎng)問(wèn)控制約束的概念性框架�����,建立安全模型以適應各種各樣的實(shí)現方式和應用環(huán)境��。建立規范的訪(fǎng)問(wèn)控制模型是實(shí)現嚴格訪(fǎng)問(wèn)控制約束的基礎�����。
在零信任網(wǎng)絡(luò )架構下���,要求系統要能夠在網(wǎng)絡(luò )環(huán)境已經(jīng)被攻陷的情況下�,仍然有效的降低和限制異常用戶(hù)的訪(fǎng)問(wèn)行為�����。那么����,應該如何設計零信任架構的訪(fǎng)問(wèn)控制模型呢?
首先我們來(lái)看下訪(fǎng)問(wèn)控制的發(fā)展路線(xiàn)���。
二�����、訪(fǎng)問(wèn)控制的發(fā)展路線(xiàn)
訪(fǎng)問(wèn)控制技術(shù)興起于20世紀70年代�,最初是為了解決大型主機上共享數據授權訪(fǎng)問(wèn)的管理問(wèn)題�。經(jīng)過(guò)四十多年的蓬勃發(fā)展�����,訪(fǎng)問(wèn)控制技術(shù)應用領(lǐng)域逐漸擴大��,具有代表性的模型不斷涌現����,如早期的自主訪(fǎng)問(wèn)控制(DAC)和強制訪(fǎng)問(wèn)控制模型(MAC);中期基于角色的訪(fǎng)問(wèn)控制(RBAC);“域”概念引入推動(dòng)了基于任務(wù)的訪(fǎng)問(wèn)控制模型(TBAC);在云計算����、大數據等計算模式還促進(jìn)了新型的基于屬性的訪(fǎng)問(wèn)控制模型(ABAC)等�����。
1. 早期的訪(fǎng)問(wèn)控制模型
(1) 自主訪(fǎng)問(wèn)控制(DAC��,Discretionary Access Control)
DAC模型是通過(guò)建立客體關(guān)聯(lián)表����,主要是訪(fǎng)問(wèn)控制列表的形式將主體和客體的關(guān)聯(lián)性在表中組織起來(lái)��。其自主性主要體現在系統中的主體可以將其擁有的權限授權給其他主體而不需要經(jīng)過(guò)系統安全員的允許�。即用戶(hù)有權對自身所創(chuàng )建的訪(fǎng)問(wèn)對象(服務(wù)器���、目錄��、文件�����、數據等)進(jìn)行訪(fǎng)問(wèn)�����,并可將對這些對象的訪(fǎng)問(wèn)權授予其他用戶(hù)��、系統和從授予權限的用戶(hù)��、系統收回器訪(fǎng)問(wèn)權限��。
DAC模型的優(yōu)點(diǎn)是比較靈活���,易于實(shí)現����。其缺點(diǎn)是資源管理比較分散���,主體間的關(guān)系不能在系統中明顯的體現出來(lái);最為嚴重的是主體可以自主地將權限授予其他主體�,這樣可能會(huì )造成權限傳遞失控�����,易遭受攻擊���,從而導致信息的泄漏�����。另外�����,如果主體����、客體數量過(guò)于龐大����,DAC模型將帶來(lái)極大的系統開(kāi)銷(xiāo)��,因此很少被應用于大型系統中���。
(2) 強制訪(fǎng)問(wèn)控制(MAC����,Mandatory Access Control)
MAC是美國政府和軍方源于對信息機密性的要求以及防止木馬攻擊而研發(fā)���,其基本思想是依據主體和客體的安全屬性的級別來(lái)決定主體是否擁有對客體的訪(fǎng)問(wèn)權限����,主要用于多層次安全級別的軍事系統中��。
在強制訪(fǎng)問(wèn)控制機制下�,系統內的每個(gè)用戶(hù)或主體被賦予一個(gè)安全屬性來(lái)表示能夠訪(fǎng)問(wèn)客體的敏感程度�,同樣系統內的每個(gè)客體也被賦予一個(gè)安全屬性�,以反映其本身的敏感程度�。系統通過(guò)比較主體和客體相應的安全屬性的級別來(lái)決定是否授予一個(gè)主體對客體的訪(fǎng)問(wèn)請求�。安全屬性由系統策略管理員分配��,具有強制性�,用戶(hù)或用戶(hù)進(jìn)程不能改變自身或其它主���、客體的安全屬性��。
MAC模型的優(yōu)點(diǎn)是較高的安全性��,可以通過(guò)信息的單向流動(dòng)來(lái)防止機密信息的泄漏�,以此抵御攻擊;同時(shí)�,由于用戶(hù)不能改變自身或其他客體的屬性�,MAC可以防止用戶(hù)濫用職權��。其缺點(diǎn)是靈活性較低�,權限不能動(dòng)態(tài)變化��,授權管理較為困難��,對用戶(hù)惡意泄漏信息無(wú)能為力�。
2. 中期的訪(fǎng)問(wèn)控制模型
(1) 基于角色的訪(fǎng)問(wèn)控制(RBAC�����,Role-Based Access Control)
為了解決DAC和MAC將權限直接分配給主體�����,造成管理困難的缺陷��。在訪(fǎng)問(wèn)控制模型中引入了“角色”的概念�,即RBAC�����。所謂角色��,就是一個(gè)或一群用戶(hù)在組織內可進(jìn)行的操作的集合���。RBAC通過(guò)引入角色這一中介�����,對角色權限的更改將自動(dòng)更新?lián)碛性摻巧拿總€(gè)用戶(hù)的權限��。如果用戶(hù)改變了角色����,其權限也隨之改變�。
RBAC模型的優(yōu)點(diǎn)是通過(guò)引入“角色”的概念��,實(shí)現了用戶(hù)和權限的邏輯分離��,從而大大簡(jiǎn)化了授權管理��,也使其接近日常的組織管理規則����,能夠實(shí)現最小權限原則�,實(shí)用性強����。其缺點(diǎn)是由于一個(gè)用戶(hù)可以同時(shí)激活多個(gè)角色����,約束顆粒較大��,易造成用戶(hù)權限過(guò)大帶來(lái)的安全隱患��,主客體之間聯(lián)系較弱��,可擴展性不強�����,難以適用于分布式系統中�����。
(2) 基于對象的訪(fǎng)問(wèn)控制(OBAC��,Object-Based Access Control)
OBAC從信息系統的數據差異變化和用戶(hù)需求出發(fā)�����,有效地解決了信息數據量大�、數據種類(lèi)繁多��、數據更新變化頻繁的大型管理信息系統的安全管理�。OBAC從受控對象的角度出發(fā)����,將訪(fǎng)問(wèn)主體的訪(fǎng)問(wèn)權限直接與受控對象相關(guān)聯(lián)��,一方面定義對象的訪(fǎng)問(wèn)控制列表���,增����、刪���、修改訪(fǎng)問(wèn)控制項易于操作����,另一方面�����,當受控對象的屬性發(fā)生變化��,或者受控對象發(fā)生繼承和派生行為時(shí)�����,無(wú)須更新訪(fǎng)問(wèn)主體權限���,只需要修改受控對象的相應訪(fǎng)問(wèn)控制項即可��,從而減少了訪(fǎng)問(wèn)主體的權限管理�����,降低了授權數據管理的復雜性�����。
(3) 基于任務(wù)的訪(fǎng)問(wèn)控制(TBAC�����,Task-Based Access Control)
訪(fǎng)問(wèn)權限與任務(wù)結合����,每個(gè)任務(wù)的執行都被看做是主體使用相關(guān)訪(fǎng)問(wèn)權限訪(fǎng)問(wèn)客體的過(guò)程����。在任務(wù)執行過(guò)程中��,權限被消耗���,當權限用完時(shí)�,主體就不能再訪(fǎng)問(wèn)客體了���。
系統授予給用戶(hù)的訪(fǎng)問(wèn)權限��,不僅僅與主體�、客體有關(guān)���,還與主體當前執行的任務(wù)�����、任務(wù)的狀態(tài)有關(guān)�?����?腕w的訪(fǎng)問(wèn)控制權限并不靜止不變的�����,而是隨著(zhù)執行任務(wù)的上下文環(huán)境的變化而變化��。
3. 新型訪(fǎng)問(wèn)控制模型
(1) 基于屬性的訪(fǎng)問(wèn)控制(ABAC�����,Attribute-Based Access Control)
ABAC是一種細粒度的訪(fǎng)問(wèn)管理方法����,其中��,基于已分配給用戶(hù)���、操作��、資源或環(huán)境的已定義規則��,決定批準或拒絕對特定信息的訪(fǎng)問(wèn)請求�����。
針對復雜信息系統中細粒度訪(fǎng)問(wèn)控制和大規模用戶(hù)動(dòng)態(tài)擴展問(wèn)題�����,將實(shí)體屬性(組)的概念貫穿于訪(fǎng)問(wèn)控制策略�����、模型和實(shí)現機制三個(gè)層次�,通過(guò)主體����、客體�����、權限和環(huán)境屬性的統一建模���,描述授權和訪(fǎng)問(wèn)控制約束�,使其具有足夠的靈活性和可擴展性�����。
ABAC模型的優(yōu)點(diǎn)是框架式的�,可與其他訪(fǎng)問(wèn)控制模型結合(如RBAC);缺點(diǎn)是所有要素均需要以屬性形式進(jìn)行描述���,一些關(guān)系用基本的屬性不易描述���。
(2) 基于策略的訪(fǎng)問(wèn)控制(PBAC�����,Policy-Based Access Control)
PBAC是一種將角色和屬性與邏輯結合以創(chuàng )建靈活的動(dòng)態(tài)控制策略的方法�����。與ABAC一樣�����,它使用許多屬性來(lái)確定訪(fǎng)問(wèn)權限����。它支持環(huán)境和上下文控制��,因此可以設置策略以在特定時(shí)間和特定位置授予對資源的訪(fǎng)問(wèn)權�,甚至評估身份和資源之間的關(guān)系���?���?梢钥焖僬{整政策��,并為給定的時(shí)間段設置政策(例如�,應對違規或其他緊急情況)�?��?梢暂p松地添加��、刪除或修改用戶(hù)組��,并通過(guò)單擊撤消過(guò)時(shí)的權限�����。PlainID公司的Policy Manager提供了PBAC的支持�。
(3) 下一代訪(fǎng)問(wèn)控制(NGAC��,Next Generation Access Control)
下一代訪(fǎng)問(wèn)控制(NGAC)是對傳統訪(fǎng)問(wèn)控制的重新發(fā)明���,以適應現代�、分布式�����、互聯(lián)企業(yè)的需求��。NGAC的設計是可擴展的�,支持廣泛的訪(fǎng)問(wèn)控制策略���,同時(shí)執行不同類(lèi)型的策略��,為不同類(lèi)型的資源提供訪(fǎng)問(wèn)控制服務(wù)����,并在面對變化時(shí)保持可管理�。NGAC遵循一種基于屬性的構造���,其中特征或屬性用于控制對資源的訪(fǎng)問(wèn)�����,并描述和管理策略�����。
該標準規定了NGAC框架的體系結構���、安全模型和接口�,以確保其在不同類(lèi)型的實(shí)現環(huán)境中在一系列可伸縮性級別上實(shí)現����,并獲得必要級別的內聚和功能���,以在系統級別上正確有效地操作����。
三���、零信任訪(fǎng)問(wèn)控制模型的思考
在零信任的訪(fǎng)問(wèn)控制模型中��,要求在沒(méi)有傳統邊界的動(dòng)態(tài)世界中實(shí)現一致的策略���。我們絕大多數人都在混合環(huán)境中工作���,數據從公司服務(wù)器或云端流向辦公室����、家里���、酒店���、車(chē)中�,以及提供開(kāi)放WIFI熱點(diǎn)的咖啡館��。
另外����,隨著(zhù)用戶(hù)設備類(lèi)型�、數量的激增����,也增加了數據暴露的風(fēng)險�����,比如PC����、筆記本電腦����、智能手機��、平板電腦和其他物聯(lián)網(wǎng)設備���。設備的多樣性讓創(chuàng )建和保持訪(fǎng)問(wèn)策略一致性成為了非常困難的事情���。
過(guò)去����,訪(fǎng)問(wèn)控制的方法是靜態(tài)的����,采用DAC�����、MAC��、RBAC就可以很好的解決訪(fǎng)問(wèn)控制的問(wèn)題����。如今����,網(wǎng)絡(luò )訪(fǎng)問(wèn)必須是動(dòng)態(tài)的和流動(dòng)的�,要支持基于身份和基于應用的動(dòng)態(tài)的訪(fǎng)問(wèn)控制�����。
高級訪(fǎng)問(wèn)控制策略應可動(dòng)態(tài)調整�,以響應不斷進(jìn)化的風(fēng)險因素���,使已被入侵的公司或組織能夠隔離相關(guān)員工和數據資源以控制傷害����。訪(fǎng)問(wèn)控制規則必須依據風(fēng)險因素而改變�����,也就是說(shuō)��,公司企業(yè)應在現有網(wǎng)絡(luò )及安全配置的基礎上�,部署運用人工智能(AI)和機器學(xué)習的安全分析層�����。實(shí)時(shí)識別威脅并自動(dòng)化調整訪(fǎng)問(wèn)控制規則是零信任訪(fǎng)問(wèn)控制模型的主要實(shí)現目標�。
因此�����,零信任訪(fǎng)問(wèn)控制模型不應局限于某種訪(fǎng)問(wèn)控制模型���,而應根據所處理數據的類(lèi)型及敏感程度���,確定采用那種訪(fǎng)問(wèn)控制模型���,無(wú)論是舊有的自主訪(fǎng)問(wèn)控制(DAC)和強制訪(fǎng)問(wèn)控制(MAC)�����、現今最常用的基于角色的控制模型(RBAC)���、最新的基于屬性的訪(fǎng)問(wèn)控制模型(ABAC)��,單獨都無(wú)法滿(mǎn)足零信任安全的所有場(chǎng)景�����,只有協(xié)同使用多種技術(shù)才可以達成所需訪(fǎng)問(wèn)控制的等級和需求����。
