基于動態(tài)信任的內(nèi)生安全架構*

曾夢岐，石 凱

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

內(nèi)生安全體系架構將安全功能作為基本要素耦合到網(wǎng)絡信息系統(tǒng)的體系結構中，形成“安全基因”，在不借助外力（安全軟件、防火墻等）的情況下，確保整個網(wǎng)信系統(tǒng)的安全。對內(nèi)生安全的理解包括以下3 個層面：

（1）安全與系統(tǒng)一體化融合。通過在架構、流程、形態(tài)上一體化統(tǒng)籌設計系統(tǒng)與安全，將安全功能作為系統(tǒng)的一種內(nèi)生能力，而不是在系統(tǒng)建成后反復打補丁。

（2）安全與系統(tǒng)相互適應。安全與系統(tǒng)之間不再是從屬關系，而是一個有機的整體。體系安全功能無須大量人工操作作為保障，彼此之間能夠適配工作，相互調(diào)節(jié)控制。系統(tǒng)和安全一體化運維，從而提升系統(tǒng)保障效率。

（3）系統(tǒng)安全能力支持自我進化。內(nèi)生安全作為系統(tǒng)的內(nèi)在基因，類似人體的免疫機制，對未知、不斷變化的安全威脅具有一定程度的應對能力，并支持防護體系從靜態(tài)防護向動態(tài)防御演進。

內(nèi)生安全架構能夠依據(jù)系統(tǒng)及系統(tǒng)組成要素的自身特性進行全方位認證、授權和動態(tài)度量。基于信任的內(nèi)生安全架構則是以動態(tài)信任技術為基礎，構建系統(tǒng)安全架構，覆蓋網(wǎng)絡、終端、應用、流量等各個層面。信任已經(jīng)從一種技術變成一種框架，在安全架構中扮演著舉足輕重的作用。一方面，從它的誕生來看，它迎合了攻防實戰(zhàn)的趨勢；另一方面，它符合物聯(lián)網(wǎng)等新興技術發(fā)展的趨勢。在安全與信息化的足夠投入，人員與技術團隊專業(yè)化的前提下，內(nèi)生安全架構是一種信息安全的高階形態(tài)。

美國國家標準技術研究所（National Institute of Standards and Technology，NIST）發(fā) 布 的SP 800-207 《零信任結構》（Zero Trust Architecture）中有一句經(jīng)典的話：零信任是一種思想，而非一種技術。拜登要求聯(lián)邦政府采用的零信任架構就是利用零信任思想建立網(wǎng)絡架構。美軍聯(lián)合信息環(huán)境表明：安全防護需要深度結合，深度結合反映了內(nèi)生安全的思想。深度結合是指安全能力需要與信息化建設緊密結合。信息化建設包括各個層面，如網(wǎng)絡層、終端層、用戶層、應用層、虛擬化層、云管層[1]等，安全建設要與所有這些層面進行深度融合。如果信息系統(tǒng)在設計之初就已經(jīng)內(nèi)生了相應的安全措施和控制，則是最佳安全實踐，只需在此基礎之上，接受安全管理和運行系統(tǒng)的對接、管理和控制；如果信息系統(tǒng)自身欠缺相應的安全機制，則需要通過第三方安全措施進行補充和加固，或者進一步要求信息系統(tǒng)開發(fā)相應的內(nèi)生安全機制。

1 信任架構研究背景

1.1 基于PKI 的信任架構

公鑰基礎設施（Public Key Infrastructure，PKI）與信任服務設施的研究和建設的核心思想是將PKI系統(tǒng)、信任服務系統(tǒng)、信息系統(tǒng)嚴格區(qū)分為3 類不同的系統(tǒng)，分別通過PKI/認證授權中心（Certificate authority，CA）產(chǎn)品、信任服務產(chǎn)品、信息系統(tǒng)產(chǎn)品提供各自的功能，從而通過服務化、標準化、規(guī)范化等措施，實現(xiàn)信息系統(tǒng)安全可信、受控互聯(lián)、按需互通。三層系統(tǒng)之間的關系如圖1 所示。

圖1 基于PKI 體制的內(nèi)生安全架構

通過圖1 可以看出，信任服務設施是建立在認證基礎設施之上的。通過服務的方式為信息系統(tǒng)提供相關的安全支撐功能，這些安全支撐功能包括：

（1）資源服務：主要提供用戶和組織機構信息注冊和發(fā)布服務，設備、信息系統(tǒng)、網(wǎng)絡資源信息注冊和發(fā)布服務，信息資源共享服務等功能。

（2）授權服務：將用戶對資源的訪問關系進行策略化管理，基于用戶、角色、屬性等機制進行授權，并通過鑒權服務方式提供訪問控制相關服務。

（3）身份認證服務：利用身份認證服務、認證網(wǎng)關等機制，基于數(shù)字證書和數(shù)字簽名實現(xiàn)對用戶身份的鑒別和確認。

（4）簽章服務：通過密碼技術將傳統(tǒng)的實體印章數(shù)字化并將其與電子文檔進行綁定，利用簽章技術和版式文件技術實現(xiàn)電子文件簽章操作，并基于服務化思想實現(xiàn)電子簽章。

（5）可信時間服務：通過加蓋時間戳的機制，實現(xiàn)信息操作、電子簽名等操作時間的不可否認、不可偽造。

（6）安全審計服務：基于數(shù)字簽名機制，實現(xiàn)操作日志的安全采集和安全審計。

（7）數(shù)字簽名服務：將數(shù)字簽名操作通過功能封裝，提供服務化訪問接口，為信息系統(tǒng)提供數(shù)字簽名服務，從而達到簡化密碼運算操作的目的。

1.2 零信任架構

2020 年8 月，NIST 發(fā)布的sp-800-207《零信任結構》白皮書[2]中，明確零信任（Zero Trust，ZT）是一個術語，它代表網(wǎng)信安全不斷發(fā)展的一組范式（paradigms），這些范式的重點從基于網(wǎng)絡邊界的靜態(tài)安全防御，轉移到用戶、資產(chǎn)和資源。美國國防信息系統(tǒng)局（Defense Information Systems Agency，DISA）最近發(fā)布了零信任參考架構[3]。它將防御從靜態(tài)的網(wǎng)絡轉移到擴展基于邊界的關注用戶、資產(chǎn)和資源的領域。零信任體系架構（Zero Trust Architecture，ZTA）采用零信任原則規(guī)劃工業(yè)和企業(yè)基礎設施和工作流程，零信任假設沒有完全基于資產(chǎn)或用戶賬戶的物理或網(wǎng)絡位置。

零信任是對企業(yè)網(wǎng)絡趨勢的一種響應，包括遠程用戶、自帶設備（Bring Your Own Device，BYOD）和位于企業(yè)網(wǎng)絡邊界的基于云的資產(chǎn)。零信任關注的保護資源包括資產(chǎn)、服務、工作流、網(wǎng)絡賬戶等，而不是粗粒度的網(wǎng)段，因為網(wǎng)絡位置不再被視為資源安全態(tài)勢的主要組成部分。全面實施零信任的方法是從前期發(fā)現(xiàn)和評估任務開始。最初的發(fā)現(xiàn)過程將識別體系結構中有關訪問和授權活動的數(shù)據(jù)，需要發(fā)現(xiàn)工作負載、網(wǎng)絡、設備和用戶之間的關系。

在設計零信任體系結構之前，必須實現(xiàn)符合現(xiàn)有信息技術（Information Technology，IT）安全策略和標準的基線保護級別。零信任的成熟度模型如圖2 所示，但零信任設計的成熟度可能不會影響到所有的功能和控制。

圖2 成熟度模型

零信任支柱有助于對環(huán)境中執(zhí)行零信任的功能和技術進行分類。如圖3 所示，美國國防部（Department of Defense，DoD）零信任架構的7 個支柱包括用戶、設備、網(wǎng)絡/環(huán)境、應用程序和工作負載、數(shù)據(jù)、可見性分析、自動化和編排。

圖3 零信任架構的7 個支柱

零信任使用3 大支撐技術作為底層支撐。零信任的3 種建設方案則正好對應3 大支撐技術，分別是增強型身份認證與訪問管理（Identity and Access Management，IAM）[4]、微隔離技術（microsegmentation，MSG）、軟件定義邊界（Software Defined Perimeter，SDP）[5]。

（1）IAM。零信任時代的身份管理的核心是持續(xù)的動態(tài)認證和持續(xù)的動態(tài)授權。在實操中，零信任方案會使用多因素身份驗證、單點登錄等IAM 技術來確保用戶使用安全的設備、建立安全的會話、訪問適當?shù)馁Y源。

（2）MSG。零信任時代MSG 的核心要義就是把資源更細粒度分割，便于增加更周密的訪問控制權限，既能防范違規(guī)的東西橫移，又可以為南北向訪客精細分配資源。數(shù)據(jù)中心有邊界防護（“大倉保安”），而對于數(shù)據(jù)中心內(nèi)部/企業(yè)內(nèi)網(wǎng)來說，還需要“小倉保安”對橫向移動進行監(jiān)管，如服務器之間、虛機之間，甚至pod（一組容器）之間都需要進行管控，這是微隔離的初衷。

（3）SDP。SDP 在“訪問者”和“資源”之間建立動態(tài)和細粒度的“業(yè)務訪問隧道”。SDP 與傳統(tǒng)（Virtual Private Network，VPN）隧道不同，它是“臨時”并“單一”的訪問控制，把業(yè)務資源對未授權的用戶完全屏蔽。即便獲得授權的用戶，也只是使用資源，卻不知道資源的具體位置，正所謂“可用而不可見”?；诳刂仆ǖ琅c數(shù)據(jù)通道分離的設計，SDP 構造了一個“暗黑網(wǎng)絡”，減少了資源的暴露面，獲得了更好的安全性，不僅可以替代VPN/邊界網(wǎng)關來控制南北向流量，也可以用于內(nèi)網(wǎng)間的訪問權限控制，徹底定義一個彈性的動態(tài)的安全邊界。

2 傳統(tǒng)安全架構的困境

某些企業(yè)的內(nèi)部網(wǎng)絡在建設之初并沒有考慮安全性，而是從信息傳輸?shù)慕嵌纫院诵?、分發(fā)和接入3 層架構實現(xiàn)。當安全問題浮現(xiàn)時，企業(yè)網(wǎng)絡的3層架構已經(jīng)完成，安全專家只能在此基礎上堆疊安全相關功能。傳統(tǒng)的安全架構如圖4 所示。

圖4 傳統(tǒng)的安全架構

在傳統(tǒng)的IT 組網(wǎng)中，網(wǎng)絡安全需求的落地往往把重心放在以下工作：

（1）精心設計的網(wǎng)絡架構，如帶外管理網(wǎng)段/帶內(nèi)生產(chǎn)網(wǎng)段的嚴格劃分、不同網(wǎng)段之間的嚴格隔離，嚴格劃分網(wǎng)絡區(qū)域，不同區(qū)域執(zhí)行不同的安全策略；

（2）網(wǎng)絡邊界處部署專門的邊界安全設備，如入侵防御/入侵檢測（Intrusion Prevention System/intrusion detection system，IPS/IDS）、防火墻、web安全網(wǎng)關（Web Application Firewall，WAF）、分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）等，這些網(wǎng)絡安全方案，長期以來起到了較好的安全防護作用。但隨著企業(yè)網(wǎng)絡規(guī)模的日益擴大、網(wǎng)絡攻擊技術的不斷發(fā)展、云技術和容器化的不斷發(fā)展，傳統(tǒng)安全方案的缺點越來越明顯。

整體防御能力重邊界、輕縱深，這種理念通過“邊界”來區(qū)分“可信”與“不可信”。但是復雜的網(wǎng)絡部署環(huán)境會造成過長、過寬的網(wǎng)絡邊界，同時云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)等技術的混合使用也導致網(wǎng)絡邊界越來越模糊，所以邊界的界定也越來越困難。黑客一旦突破邊界防御，就如同進入無人之境，而在過于強調(diào)邊界防護的傳統(tǒng)安全方案下，網(wǎng)絡邊界越來越容易成為實際上的馬奇諾防線，攻擊者往往第一步會利用應用薄弱點（0day或nday）、水坑攻擊、釣魚郵件等手段繞過企業(yè)重兵部署的防御邊界，找到突破點后，通過端口掃描探測更大的攻擊目標。

3 新架構設計

3.1 動態(tài)信任架構

不論信任技術如何發(fā)展，信任架構下縱深防御的思想繼續(xù)有效。美軍聯(lián)合區(qū)域安全棧（Joint Regional Security Stacks，JRSS）減少攻擊暴露面的理念在內(nèi)生安全架構下依然適用。信任架構的難點是信任與資源的深度結合。因此，本文設計的動態(tài)信任體系，能夠建立信任基礎設施，形成覆蓋認證、授權、信任評估的統(tǒng)一信任體系。動態(tài)信任架構如圖5 所示。

圖5 動態(tài)信任架構

動態(tài)信任架構的特點如下：

（1）應用統(tǒng)一認證：實現(xiàn)應用的單點登錄等。

（2）資源動態(tài)授權：實現(xiàn)數(shù)據(jù)、信息、應用等資源的細粒度動態(tài)授權。

（3）實體信任評估：結合實體的訪問行為，對信任度進行動態(tài)度量。

（4）行為合規(guī)分析：建立合規(guī)基線，對人員、設備、數(shù)據(jù)應用等訪問行為進行合規(guī)性評定。

（5）環(huán)境風險預測：結合系統(tǒng)暴露面和外部攻擊形勢，對環(huán)境風險進行預判。

（6）事件安全舉證：采用審計等手段，記錄事件的全過程，便于取證分析。

3.2 基于動態(tài)信任的內(nèi)生安全模型

本文給出一種基于信任的內(nèi)生安全模型，如圖6所示，其主要部分包括終端可信、身份可信、行為可信、數(shù)據(jù)可信。該模型結合系統(tǒng)規(guī)劃與架構安全，建立白名單、黑名單、灰名單機制，進行全面監(jiān)視。

圖6 基于動態(tài)信任的內(nèi)生安全模型

3.3 云場景下的動態(tài)信任技術架構

本文采用動態(tài)信任技術，以云計算為例進行內(nèi)生安全具體設計。如圖7 所示，云場景下的動態(tài)信任技術架構包括硬件層、虛擬化層、多樣化異構資源層、云管理平臺層。

圖7 云場景下的動態(tài)信任技術架構

3.4 資源隔離防護

在云環(huán)境下，資源隔離防護是內(nèi)生安全的關鍵點，主要包括微隔離和安全域隔離兩部分內(nèi)容。

3.4.1 微隔離防護

引入零信任安全理論作為基本的微隔離防護設計思想，微隔離防護基于資源微隔離技術、分布式微隔離資源網(wǎng)關技術、安全策略自適應技術、資源拓撲和流量可視化技術、資源安全防護技術，構建基于零信任模型的全方位安全防護體系。微隔離防護的主要設計原則包括：

（1）圍繞數(shù)據(jù)資產(chǎn)，由內(nèi)到外設計網(wǎng)絡，構筑安全防護；

（2）確保對所有資源的訪問行為都是安全的，不論是來自內(nèi)部還是外部；

（3）所有訪問都不被信任，都被核查，采用最低特權，嚴格訪問控制；

（4）檢查和記錄所有流量，實現(xiàn)流量的可視化。

3.4.2 安全域隔離

通過集成式安全隔離模塊實現(xiàn)深度數(shù)據(jù)包的檢查，做到細顆粒度的訪問控制，實現(xiàn)對惡意軟件檢查過濾的功能。該模塊承擔的功能任務較多，需要應對大量虛擬機、應用、存儲的流量，因此對性能的要求很高。本文擬采用分布式架構，將隔離模塊下沉到各個計算節(jié)點，容器主機和虛擬機監(jiān)視器、虛擬交換機協(xié)同工作，分別處理相應主機上對應資源的管控和隔離。

根據(jù)組織內(nèi)不同的數(shù)據(jù)資產(chǎn)類別（用戶、虛擬機、容器、應用、網(wǎng)絡、存儲等）劃分若干個微型核心與邊界（Microcore and Perimeter，MCAP），這些MCAP 會平行對等地連接到集成式安全隔離模塊上。如圖8 所示，MCAP 的隔離從兩個維度進行：一是基于安全等級標簽的強制訪問控制，低安全級別的工作負載無法訪問高安全級別的資源；二是在傳統(tǒng)的網(wǎng)絡訪問控制的基礎上加上應用的維度，根據(jù)安全策略進行精確的細粒度的訪問控制。

圖8 云架構下動態(tài)訪問控制流程

如圖8 所示，云架構下的動態(tài)訪問控制通過微隔離防護實現(xiàn)，其具有以下4 個特點：

（1）多粒度隔離：按照不同的安全級別要求，對云資產(chǎn)進行不同粒度MCAP 分割，隔離模塊對MCAP 進行隔離。

（2）全方位威脅監(jiān)測與防護：采用應用深度識別技術、業(yè)務語義分析技術實現(xiàn)從鏈路到應用，從應用識別到業(yè)務語義分析的全覆蓋，實現(xiàn)了威脅的檢測與防護。

（3）策略自適應：與云管理平臺協(xié)同，感知應用負載的遷移和伸縮，自適應現(xiàn)有的安全策略或者根據(jù)業(yè)務的變化動態(tài)地調(diào)整安全策略。

（4）多維度深度可視：與云管理平臺集成，實現(xiàn)拓撲的可視化，檢查和記錄所有流量，實現(xiàn)信息流的可視化，對歷史流量進行分析和對比，發(fā)現(xiàn)并可視化威脅。

4 結語

在內(nèi)生安全趨勢下，基于信任的安全架構具有適應性強、擴展性好的特點，能夠適用于大型企業(yè)架構，包括用戶局域網(wǎng)、大型數(shù)據(jù)中心，但是也有代價，需要系統(tǒng)在規(guī)劃、設計之初就要與信任機制、信任實體和信任方法緊密結合設計?；趧討B(tài)信任的內(nèi)生安全架構，要結合系統(tǒng)特性，以架構安全為基礎，從終端可信、身份可信、網(wǎng)絡可信到數(shù)據(jù)可信各個環(huán)節(jié)建立多層防線，實現(xiàn)數(shù)據(jù)的全流程管控，構建虛擬化的數(shù)據(jù)資源安全邊界。通過安全服務或安全運維人員開展持續(xù)威脅監(jiān)測、威脅分析研判、事件及時通告、快速響應處置，將整個數(shù)據(jù)接入訪問的縱深安全防護體系，并將之有效地運營，從而發(fā)揮出整體安全保障體系的最大優(yōu)勢。

本文研究了傳統(tǒng)安全架構的特點和發(fā)展趨勢，梳理了信任架構的關鍵功能和技術，分析了傳統(tǒng)安全架構的缺陷，提出了新的動態(tài)信任內(nèi)生安全架構，并且以云計算架構為例進行了深入剖析，能夠為信息系統(tǒng)架構設計提供有效參考。