邊界信任及其弱點(diǎn)

邊界信任是現(xiàn)代網(wǎng)絡(luò)中見的傳統(tǒng)信任模型。所謂邊界信任就是明確什么是可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境，什么是不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境，并在這兩者之間建立“城墻”，從而保證不可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境無法在攜帶威脅信息的情況下，訪問到可信任的設(shè)備或網(wǎng)絡(luò)環(huán)境的信息。

在企業(yè)應(yīng)用層面見的例子是將公司內(nèi)的網(wǎng)絡(luò)認(rèn)為是可信任的網(wǎng)絡(luò)環(huán)境，將公司外的網(wǎng)絡(luò)認(rèn)為是不可信任的網(wǎng)絡(luò)環(huán)境，再在這兩者之前建立防火墻服務(wù)，從而防止帶有威脅的外部請(qǐng)求獲取到公司的敏感信息。

典型的邊界信任模型架構(gòu)圖，其中認(rèn)為Internet為不可信任的區(qū)域，DMZ區(qū)域是類似防火墻的區(qū)域，而Trusted與Privileged為信任區(qū)域，其中Privileged是特權(quán)管理賬號(hào)，從信任模型的角度來說，一臺(tái)可信設(shè)備是否是Privileged，不影響對(duì)這臺(tái)設(shè)備是否“*信任”其安全性。

隨著防火墻技術(shù)的發(fā)展，越來越多的威脅信息都可以被防火墻直接攔截，這使得邊界信任模型看起來無缺。但是，邊界信任模型存在一些致命弱點(diǎn)。

1) 如今的網(wǎng)絡(luò)攻擊的花樣層出不窮，攻擊方式變化非?？?。然而，由于將所有的“防護(hù)”都孤注一擲地依賴于防火墻，一旦有新的威脅形式超出防火墻的防護(hù)范圍，那么防火墻就形同虛設(shè)

2) 如果攻擊者使用了某些方法繞過了防火墻，比如，利用惡意郵件，直接進(jìn)入內(nèi)網(wǎng)

3) 無法識(shí)別可信設(shè)備對(duì)其他可信設(shè)備進(jìn)行攻擊的行為

零信任介紹

從邊界信任模型中存在的致命弱點(diǎn)中不難發(fā)現(xiàn)，所有的弱點(diǎn)，歸根到底都是對(duì)可信任設(shè)備與網(wǎng)絡(luò)環(huán)境的“過度信任”造成的。這種“過度信任”體現(xiàn)在以下兩個(gè)方面：

1)  模型假設(shè)所有的可信設(shè)備的可信度都是相同的，即所有設(shè)備無論功能和狀態(tài)，只要認(rèn)為是可信的，就都是“*信任”其安全性。

2)  模型假設(shè)對(duì)所有可信設(shè)備的信任是的，全時(shí)段的。

顯然這種“過度信任”是非常危險(xiǎn)的，是一種對(duì)信任的濫用。基于對(duì)邊界信任的致命弱點(diǎn)的研究，“零信任”模型橫空出世。

相比于邊界信任模型中對(duì)信任設(shè)備及網(wǎng)絡(luò)區(qū)域的“過度信任”，“零信任”模型提出：在考慮敏感信息時(shí)，默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)中的任何設(shè)備和區(qū)域，而是應(yīng)該通過基于認(rèn)證和重構(gòu)訪問控制的信任體系，對(duì)訪問進(jìn)行“信任”，并且這種和信任應(yīng)當(dāng)是動(dòng)態(tài)的，即“信任”應(yīng)當(dāng)基于訪問實(shí)時(shí)地進(jìn)行評(píng)估與變換。

在構(gòu)建“零信任”模型的體系時(shí)，網(wǎng)絡(luò)專家們對(duì)該模型做了以下假設(shè)：

1) 網(wǎng)絡(luò)始終是暴露在危險(xiǎn)之中

2)  無論外網(wǎng)或者內(nèi)網(wǎng)，危險(xiǎn)始終存在

3)  不存在可信任的網(wǎng)絡(luò)區(qū)域，網(wǎng)絡(luò)區(qū)域不能作為判斷網(wǎng)絡(luò)可信的決定因素

4)  所有設(shè)備，用戶和網(wǎng)絡(luò)流量在訪問時(shí)都應(yīng)經(jīng)過認(rèn)證和

5)  認(rèn)證和的策略必須是基于所有可能數(shù)據(jù)，并加以計(jì)算得到的

原文如下：

根據(jù)“零信任”模型的理念和假設(shè)，網(wǎng)絡(luò)專家們進(jìn)一步的給出了典型的“零信任”模型的架構(gòu)。

在架構(gòu)中，支持“零信任”模型能正常運(yùn)行的核心是一個(gè)被稱為Control Plane，即控制平臺(tái)的組件，在“零信任”模型中，所有訪問敏感信息的請(qǐng)求都應(yīng)該先經(jīng)過控制平臺(tái)，由控制平臺(tái)對(duì)訪問進(jìn)行評(píng)估，決定此次訪問需要提供什么等級(jí)的認(rèn)證信息，再校驗(yàn)訪問所攜帶的認(rèn)證信息是否達(dá)到標(biāo)準(zhǔn)，從而實(shí)現(xiàn)認(rèn)證，當(dāng)認(rèn)證成功后，再對(duì)訪問進(jìn)行，若認(rèn)證失敗，則拒絕訪問。

從模型設(shè)計(jì)上來探究邊界信任模型與“零信任”模型的區(qū)別時(shí)，我們不難發(fā)現(xiàn)，“零信任”模型是一種“信任細(xì)化”的設(shè)計(jì)，即摒棄了邊界信任模型“過度信任”的一刀切做法，采用對(duì)信任在訪問維度，設(shè)備維度和時(shí)間維度的細(xì)化處理，再加上認(rèn)證和體系的動(dòng)態(tài)化，使得權(quán)限也是被細(xì)化處理的。

在如今社會(huì)，網(wǎng)絡(luò)攻擊的手段層出不窮的大背景下，“信任細(xì)化”是一種比較符合當(dāng)前安全防范需求的理念，也正是因?yàn)檫@樣，“零信任”模型是當(dāng)今與網(wǎng)絡(luò)訪問相關(guān)的產(chǎn)品推薦使用的安全模型。

派拉軟件可信數(shù)字身份管理平臺(tái)已經(jīng)全面實(shí)現(xiàn)了“零信任”模型的標(biāo)準(zhǔn)，并在該標(biāo)準(zhǔn)上進(jìn)行了自主創(chuàng)新，提出了等級(jí)的概念，為更好的服務(wù)于有身份管理和訪問控制需求的客戶和合作伙伴，我們?cè)凇傲阈湃巍钡幕A(chǔ)上，提出了“零信任+”的安全理念。

零信任+淺談：算法與“零信任”模型結(jié)合的“智能信任”

雖然“零信任”模型在現(xiàn)代網(wǎng)絡(luò)安全中有著很高的應(yīng)用價(jià)值，但是“零信任”模型也不是十全十美的。我們認(rèn)為，“零信任”模型設(shè)計(jì)有以下不足：

1) “零信任”模型雖然提出了對(duì)信任的細(xì)化，但是缺乏對(duì)這種細(xì)化的顆粒度的定義，這樣又反過來導(dǎo)致另一種，即對(duì)所有訪問都進(jìn)行評(píng)估，認(rèn)證和，這樣使得在實(shí)施“零信任”模型時(shí)往往會(huì)對(duì)訪問的信任“過于嚴(yán)格”。

2) 前文也提到，在“零信任”模型下的訪問都先經(jīng)過控制平臺(tái)，對(duì)訪問進(jìn)行評(píng)估，認(rèn)證和，但模型缺乏對(duì)訪問后的用戶行為進(jìn)行監(jiān)控的機(jī)制，從另一個(gè)角度來看，模型對(duì)控制平臺(tái)“過度信任”。

3) “零信任”模型只對(duì)訪問本身做評(píng)估，認(rèn)證和，那么如果或攻擊者通過某些特殊方法通過了該評(píng)估，認(rèn)證和，有沒有可能再對(duì)訪問的風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)評(píng)估，從而杜絕或至少減少敏感信息的泄露？

4) 對(duì)于一些高級(jí)的攻擊，比如低頻滲透，“零信任”模型可能失效，怎么去防范這類安全問題呢？

5) 等等其他問題

為了在“零信任”模型的基礎(chǔ)上，做出更好的，更加完善的身份管理與訪問控制產(chǎn)品，我們提出“零信任+”的概念，即算法與“零信任”模型結(jié)合的“智能信任”。

去年的時(shí)候，我們?cè)诠井a(chǎn)品的單點(diǎn)登錄模塊推出了SSO-IDA模塊（IDA: Intelligence Driven Authentication）,該模塊基于用戶的登錄統(tǒng)計(jì)信息，經(jīng)過計(jì)算后，智能判斷了用戶使用單點(diǎn)登錄時(shí)的風(fēng)險(xiǎn)情況，在低風(fēng)險(xiǎn)時(shí)可實(shí)現(xiàn)一鍵自動(dòng)登錄，而在高風(fēng)險(xiǎn)時(shí)需要用戶提供諸如人臉識(shí)別或指紋驗(yàn)證的生物認(rèn)證才可完成單點(diǎn)登錄。

SSO-IDA只能視作是對(duì)“零信任”模型中控制平臺(tái)的加強(qiáng)，之后我們會(huì)推出針對(duì)“零信任”模型不足點(diǎn)的智能算法模塊，意在解決（3）和（4）的情況，使得我們的身份管理與訪問控制，真正做到強(qiáng)于“零信任”模型的“零信任+”標(biāo)準(zhǔn)。

當(dāng)然，所有模型和算法都是基于前人的研究成果的。在網(wǎng)絡(luò)安全領(lǐng)域，使用統(tǒng)計(jì)，機(jī)器學(xué)習(xí)甚至深度學(xué)習(xí)的研究已經(jīng)持續(xù)了至少30年，而最近10年以來，由于數(shù)據(jù)分析技術(shù)和大數(shù)據(jù)技術(shù)的發(fā)展，以及硬件性能的提升，網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)算法研究進(jìn)入了高速增長(zhǎng)的時(shí)代。

我們只希望將這些前人和專家的理論研究成果真正的結(jié)合到自己的產(chǎn)品中，提供安全，高效，體驗(yàn)的身份安全產(chǎn)品與服務(wù)。當(dāng)然，如果有幸在某些子領(lǐng)域?qū)π袠I(yè)有所貢獻(xiàn)，那將是我們的榮幸。

REEBUF

參考資料

Evan Gilman, Doug Barth – Zero Trust Networks, Ch1 – 2017