如果加星标,可以及时收到推送
《安全到底》栏目第189篇,锐安全总第262篇原创,
本文1991字,阅读时长8分钟
零信任体系架构图本质上是零信任的概念拼图,今天讲零信任的“关键技术”。该架构图已经更新到1.5版。
图:零信任体系架构图V1.5
NIST和CSA定义了零信任的三大关键技术:身份与访问管理(IAM,Identity and Access Management)、软件定义边界(SDP,Software Defined Perimeters)、和微隔离(MSG,Micro-Segmentation)。
这三大关键技术由于本身很大,其实是三个技术框架。
简单地讲,身份与访问管理(IAM)用于主体对客体的访问关系授权、软件定义边界(SDP)用于实现南北向安全(用户与服务器间的安全),微隔离(MSG)用于实现东西向安全(服务器与服务器间的安全)。
本质上,身份与访问管理(IAM)是细粒度的身份管理;软件定义边界(SDP)是高安全性的访问控制;微隔离(MSG)是细粒度的网络控制。
【1】身份与访问管理(IAM)
身份与访问管理(IAM)本质上是细粒度的身份管理。
有人会问:IAM跟传统身份安全领域里的4A有什么区别?
可以这样理解,IAM是从身份安全领域里的4A理论发展起来的,能够对身份进行全生命周期管理的概念。
4A就是我们常说的身份安全四大核心能力:账号(Account)、认证(Authentication)、授权(Authorization)、审计(Audit),它其实指的是身份管理的四个维度,而不是4台设备。
如果用前面咱们掌握的零信任概念来套的话,4A是数据平面的能力侧重于执行,IAM是控制平面的能力,侧重于管理。
IAM核心就是解决“谁”能访问“什么”信息的问题,即针对“账号”的“认证”和“授权”。
认证有三种层次:一是你所知道的(What you Know),即口令或密码;二是你所拥有的(What you Have),即密码本、密码卡、动态口令、USB Key、数字证书等;三是你自身带来的(What you Are),即指纹、虹膜、语音等生物特征。
IAM本身包括两个核心技术:单点登录(SSO,Single Sign On)和多因素认证(MFA,Multi-Factor Authentication)。
单点登录(SSO)就是把所有访问路径都收口到一点进行管理;多因素认证(MFA)就是用“认证三层次”中的至少两个层次来进行交叉验证。
别看多因素认证(MFA)是一个不大的技术点,但却是安全行业里最旱涝保收的生意,因为它具备2C(面向个人)的属性,是一个巨大的市场。
为了支持零信任,IAM类产品必须具备统一身份管理、统一身份认证、统一访问授权、统一行为审计、多因素认证、动态访问控制、风险识别等7大功能。
另外,IAM类产品本身有三种交付形态:软件化交付(Software-delivered IAM)、云化交付IDaaS(Identity as a Service)和本地化交付CIAM(Customer IAM)。
【2】软件定义边界(SDP)
软件定义边界(SDP)本质上是高安全性的访问控制。
SDP的体系结构由两部分组成:SDP主机和SDP控制器。SDP主机可以发起连接或接受连接。
图:SDP体系架构
SDP是用来解决业务隐藏的,所以有两个核心技术:单包授权(SPA,Single Packet Authorization)和双向TLS(mTLS,Mutual Transport Layer Security)。
单包授权(SPA)的原理,《构建零信任安全体系里的四大信任》这里有讲,它是用来弥补TCP/IP协议开放和不安全特性的。
而在做进一步用户与设备身份验证之前,需要保证所有主机之间的连接,使用带有身份验证的TLS或网络密钥交换(IKE,Internet Key Exchange),并通过双向身份认证,以将该设备验证为SDP的授权设备。
这也是零信任里的一个麻烦点。
【3】微隔离(MSG)
微隔离(MSG)本质上是细粒度的网络控制。
微隔离又叫微分段,最早是由Gartner提出的,是指用软件的方式将数据中心划分为不同的安全段,极限状态就是给每一台服务器分配一个安全段,所以俗称:端到端隔离。
端到端隔离的最大问题就是随着主机数量的增加,安全段的管理难度和管理压力是呈级数增加的。
Gartner定义了微隔离的四种技术实现路线:云自身控制(Native Cloud Control)、第三方防火墙(Third-Party Firewall)、代理(Overlay)模式、混合(Hybrid)模式。
云自身控制是指云厂商在IaaS层上进行控制;第三方防火墙是指利用虚拟化防火墙或网元防火墙(NFV)进行控制;代理模式类似终端安全管理软件,在每台主机里安装主机防火墙客户端,然后用控制台进行统一管理;混合模式就是以上模式的组合。
【4】身份与访问安全 VS 零信任
我们翻开安全牛全景图里的“身份与访问安全”赛道,能看到不下三十家厂商:
图:安全牛全景图-身份与访问安全
但是如果我们用IAM、SDP、MSG这三个核心技术来衡量零信任的话,国内目前还找不出一家安全厂商能同时拥有这三种能力,同时实现这三款产品。
所以,我见过国内许多零信任的厂商,但是没见过拥有零信任完整能力的零信任厂商。
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]陈本峰 贾良珏 魏小强 董雁超.零信任安全从入门到精通,2024年1月. 中国工信出版社 电子工业出版社
[2]NIST.NIST SP800-207 Zero Trust Architecture,2019-09
[3]CSA.SDP标准规范1.0,2014-04
[4]安全牛.中国网络安全行业全景图(第十一版)发布,2024.4
题图:红衣零信任
题图创作者:晓兵与AI小助手
算法提供:FLUX
