用“零信任架构”应对智慧检务时代的网络安全新挑战

　　十三五期间,最高人民检察院明确提出了智慧检务建设、检察大数据行动指南等重大战略,目标是有序引导全国各地检察机关充分运用新一代信息技术,依托大数据及人工智能等前沿科技,开展检察大数据中心、大数据共享交换平台、智慧检务应用的探索创新,推进检察工作由信息化向智能化跃升。

　　随着“云大移物智”等新兴IT技术在检察行业的深入应用,检察机关正在大踏步迈入数字化和智能化的新时代。大数据中心和智慧检务的建设使得业务应用和数据高度集中,也不可避免地造成了网络安全风险的高度集中。此外,云计算、大数据平台、微服务架构等新兴IT技术的应用,也造成了传统的网络安全理念和架构、传统的网络安全技术和方案在新兴IT技术架构下的失效,给智慧检务的发展带来了全新的网络安全挑战。

新IT技术架构下的网络安全新挑战

　　在传统的IT技术架构下,网络安全架构是基于网络边界防护的安全架构。人们在构建网络安全体系时,首先把网络划分为外网、内网、DMZ区等不同的安全区域,然后在网络边界上通过部署防火墙、WAF、IPS等传统网络安全技术手段进行重重防护,构筑业务应用的数字护城河。这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的信任,从而忽视内网安全措施的加强。美国Verizon公司《2017年数据泄露调查报告》指出,造成企业数据泄露的原因主要有两类,一是外部攻击,二是内部威胁。随着网络攻防技术的发展,新型的网络攻击手段层出不穷,攻击者面对层层设防的网络边界,往往会放弃代价高昂的强攻手段,而是针对单位内部网络中的计算机,采用钓鱼邮件、水坑攻击等方法渗透到网络内部,轻松绕过网络边界安全防护措施。由于人们往往认为内网是可信任的,所以攻击者一旦突破单位的网络安全边界进入内网,常常会如入无人之境。此外,单位内部员工、外包运维人员等“内部用户”通常拥有特定业务和数据的合法访问权限,一旦出现凭证丢失、权限滥用或恶意非授权访问等问题,同样会导致组织的数据泄漏。

　　此外,随着智慧检务的逐步发展,新IT技术架构的引入,导致传统的内外网络边界变得模糊,数据在不同的业务系统、不同的平台之间流动,业务和数据的访问者也变得复杂多样,因此,很难找到物理上的网络安全边界,人们自然无法基于传统的边界安全架构理念构筑网络安全基础设施。因此,在新的IT技术架构下,传统的网络安全架构理念如果不能随需应变,自然会成为木桶最短的那块木板。

“零信任架构”的应对之道

　　零信任架构(或零信任安全、零信任模型)这个概念最早是由美国Forrester的分析师John Kindervag于2010年提出的。John非常敏锐地发现传统的基于边界的网络安全架构存在缺陷,通常被认为“可信”的内部网络充满着威胁,信任被过度滥用,并指出“信任是安全的致命弱点”。因此,John创造出了零信任(Zero Trust)这个概念,“从来不信任,始终在校验”(Never trust,always verify)是零信任的核心思想。零信任架构重新评估和审视了传统的边界安全架构,并给出了解决问题的新思路: 

　　应该假设网络自始至终充满外部和内部威胁,不能仅凭网络位置来评估信任;

　　默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础;

　　并且这种访问控制授权不是静态的,而是要基于对访问主体的风险度量和信任评估结果进行动态调整。

　　零信任对访问控制进行了范式上的颠覆,引导网络安全架构从网络中心化走向身份中心化。从技术方案层面来看,零信任安全架构是借助现代身份管理技术实现对人、设备和系统的全面、动态、智能的访问控制。零信任架构的技术方案包含以下三个基础组件: 

　　业务访问主体:是业务请求的发起者,一般包括用户、设备和应用程序三类实体。在传统的安全方案中,这些实体一般单独进行认证和授权,但在零信任架构中,授权策略需要将这三类实体作为一个密不可分的整体来对待,这样可以极大地缓解凭证窃取等安全威胁。零信任架构落地实践中,常常将其简化为用户和设备的绑定关系。

　　业务访问代理:是业务访问数据平面的实际控制点,是强制访问控制的策略执行器。所有业务都隐藏在业务访问代理之后,只有完成设备和用户的认证,并且业务访问主体具备足够的权限,业务访问代理才对其开放业务资源,并建立起加密的业务访问数据通道。

　　安全访问控制平台:是零信任架构的控制平面。业务访问主体和业务访问代理分别通过与安全访问控制平台的交互,完成信任的评估和授权过程,并协商数据平面的安全配置参数,完成身份认证、环境感知、信任评估、动态授权和智能分析等任务。

　　零信任架构的技术实践具有以下特点:

　　1)以身份为中心:零信任的本质是以身份为中心进行动态访问控制,全面身份化是实现零信任的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程。

　　2)业务安全访问:在零信任架构下,所有的业务访问请求(包括用户对业务应用的访问、应用API之间的接口调用访问等等)都应该被认证、授权和加密。

　　3)持续信任评估:零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估。例如,主体的信任评估可以依据采用的认证手段、设备的健康度、应用程序是否企业分发、主体的访问行为、操作习惯等等;环境的信任评估则可能包括访问时间、来源IP地址、来源地理位置、访问频度、设备相似性等各种时空因素。

　　4)动态访问控制:在零信任架构下,主体的访问权限不是静态的,而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和判定。传统的访问控制机制是宏观的二值逻辑,大多基于静态的授权规则、黑白名单等技术手段进行一次性的评估。零信任架构下的访问控制基于持续度量的思想,是一种动态微观判定逻辑。

　　零信任架构与传统的边界安全架构最大的不同之处在于以下几点。第一,在网络安全边界瓦解、攻击面难以穷尽的情形下,与传统的安全理念不同,零信任架构引导人们更加关注“保护面”而不是“攻击面”。首先识别需要重点保护的资源对象,然后穷举分析该资源对象的访问路径,最后采用恰当的技术手段做好每条路径的访问控制措施。第二,零信任架构认为网络是不可信任的,因此不再寄希望于在传统的网络层面增强防护措施,而是把防护措施建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面;采用智能身份分析技术,提升了内外部攻击和身份欺诈的发现和响应能力。第三,零信任架构在实践机制上拥抱灰度哲学,以安全与易用平衡的持续认证改进固化的一次性强认证,以基于风险和信任持续度量的动态授权替代简单的二值判定静态授权,以开放智能的身份治理优化封闭僵化的身份管理。因此,灰度哲学是零信任架构的内生逻辑,也是零信任架构实践的指导原则。

结束语

　　零信任架构是一种全新的安全架构理念,在新IT技术应用逐渐深化的情形下,基于零信任理念推动网络安全架构的重构应该上升到组织数字化转型的战略层面,与业务规划同步进行,并明确愿景和路线图,成立专门的组织,指派具有足够权限的负责人,才能保障零信任架构的落地和逐步实施。

　　智慧检务时代,零信任架构必将成为新IT技术架构下的网络安全新范式。检察机关应当开放心态,积极拥抱这种理念的变化,务实推动零信任架构的落地实践,为数字时代的智慧检务和大数据中心业务建设保驾护航。