以系统思维推进零信任架构演进

Posted 2023-03-30 securitypaper

声明

本文是学习零信任数据动态授权桔皮书. 下载地址 http://github5.com/view/55013而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

以工程化思维推进零信任架构演进

前文所述零信任数据动态授权能力，是围绕数据本身的库、表、字段构建安全防护能力，需要将零信任能力和数字化业务紧密聚合才能实现，可以说是零信任实践的终极目标。

数字化转型和信息化演进都是一段旅程，不可能一蹴而就。同样地，零信任构建也不可能是一日之功，需要结合信息化演进规划、安全现状进行妥善规划，逐步建设。在不具备构建数据级访问控制的情况下，从应用、API接口的细粒度管控出发，逐步推进也是可行的。

实践零信任的过程中，需要切记安全从业者不再是旁观者，而是积极的业务共同建设者，通过同步规划、同步建设和同步运营全程参与到数字化建设中。处理好零信任与现有信任基础、安全手段关系，解决建设信息化系统的各方，在采用零信任体系架构时的规划、协同问题，正确引导零信任安全规划、建设实施。

以系统思维推进零信任架构演进

在零信任实践中，特别是对于零信任在数据访问场景的实践，不要脱离目标和业务场景来看所谓的零信任产品和技术。事实上，零信任技术是由需要什么样的零信任能力确定的，而能力需求取决于零信任应用的场景和企业安全策略，策略比技术更为关键，技术的发展驱动来自于企业的策略。

零信任目标及策略

零信任策略是实现特定目标的高层级计划，只有确定了零信任演进策略（结合业务场景）以后，才可以通过规划活动，设计零信任能力模型，采用相关技术组件来推动这些目标的实现，而不是单纯购买零信任安全产品。

零信任能力

零信任工程实现需要技术组件来支撑，这些组件包含要实现的特定能力。为支持这些能力，需要定义相应策略、流程和过程。零信任能力是战略实施框架中承上启下，安全能力与业务体系紧耦合，构建具有自适应能力的安全机制。

零信任技术

在阐明了战略目标并确定了在每个零信任组件中需要开发的关键功能之后，就可以考虑支持零信任策略的工具、软件项或平台。例如，在评估技术时，将面对这样的思考“此项技术支持哪些功能，具体如何实现我的团队的零信任能力？”因此，在考虑零信任能力实现之外，还要考虑API集成支持。

零信任特性

使技术能够满足零信任策略的具体特性是什么？这是这个聚焦零信任框架的最后一点和最细粒度点的关键。零信任相关方案的产品都必须描述他们提供的特定功能如何与零信任实施策略所要求的功能特性保持一致。

制定阶段性行动计划

确立建设思路

结合应用场景规划制定阶段性行动计划。首先确立建设思路是能力优先型，还是范围优先型。作为工程实施问题，可以综合协调，梳理安全能力现状、需求，业务现状、优先级后，确定初步的总体建设路径。按照需求迫切度、能力完善程度进行组合。

1. 能力优先型：针对少量的业务构建从低到高的能力，通过局部业务场景验证零信任的完整能力，然后逐步迁移到更多的业务，扩大业务范围
2. 范围优先型：先在一个适中的能力维度上，迁移尽量多的业务，然后再逐步对能力进行提升。

厘清项目性质

根据需要，确定阶段性零信任建设项目性质：是新建、扩建还是升级改造，考虑对接业务情况，将新建业务和核心业务作为第一优先级考虑。如果零信任架构与新建业务同步规划，则是构建一个纯零信任架构；如果零信任架构是与核心业务升级改造同步规划，则存在混合零信任和传统架构并存的情况，在不同情况下，对于零信任能力要素的规划也将不同。

（1）纯零信任架构：从头开始构建一个零信任架构网络。

从企业的当前设置和运营方式，确定企业要操作的应用程序和工作流程，为这些工作流程生成基于零信任原则的体系结构。

确定了工作流程，企业就可以缩小所需组件的范围，并开始绘制各个组件的交互方式，构建基础结构和配置组件的工程和组织工作。

（2）混合零信任和传统架构共存。

一段时间内，零信任工作流与传统企业架构的共存。这是零信任迁移的重点，要保障现有业务和新建业务混合运行，平稳过渡。

企业向零信任方法的迁移，可以采取一次迁移一个业务流程的方式。在规划中，企业需要确保公共元素（例如ID管理、设备管理、事件日志等）足够灵活，支持零信任在遗留混合安全架构中运行，并且为零信任候选解决方案，限制那些可以与现有组件接口连接的解决方案。

制定分步迭代建设方案

制定分布建设方案是零信任从战略规划到行动计划的最后一个步骤，承接规划指导思想，如果是能力优先型建设思路，需要针对少量的业务构建从低到高的能力，通过局部业务场景验证零信任的完整能力，然后逐步迁移更多的业务。范围优先型则先在一个适中的能力维度上，迁移尽量多的业务，然后再逐步对能力进行提升。其主要考虑划分为以下几个迭代的步骤：

（1）概念验证

按照技术实施方案，进行基础环境搭建，验证零信任架构自身能力。在最小化可控生产环境进行概念验证，测试验证系统运行。

（2）业务接入

在零信任架构自身能力建设通过检测后，进行业务和终端的全面接入。

（3）能力演进

对验证过程的一些可优化点进行能力优化，基于验证结果规划后续能力演进阶段，逐步有序地提升各方面的零信任能力。

延伸阅读

更多内容 可以点击下载 零信任数据动态授权桔皮书. http://github5.com/view/55013进一步学习

联系我们

DB44-T 753-2010 环境噪声自动监测技术规范 广东省.pdf

零信任架构设计原则：零信任简介

零信任架构是一种系统设计方法，其中消除了对网络的固有信任。

相反，假设网络是敌对的，并且每个访问请求都根据访问策略进行验证。

对请求可信度的置信度是通过构建上下文来实现的，而上下文又依赖于强身份验证、授权、设备运行状况和所访问数据的价值。

如果不确定零信任是否是满足正确网络架构需求，或者如果不熟悉零信任，从现在开始了解应该是一个不错的起点。

关键概念

网络充满敌意

网络应被视为受到威胁，因此具有敌意，意味着需要从网络中删除（固有）信任。

在零信任架构中，固有信任从网络中移除。因为连接到网络，不意味着应该能够访问网络上的所有内容。每个访问数据或服务的请求都应根据访问策略进行身份验证和授权。如果连接不满足访问策略，连接将被丢弃。

在漏洞中，攻击者在网络上站稳脚跟，然后横向移动攻击是很常见的。因为网络上的所有内容和每个人都可以访问网络的其余部分。在零信任架构中，网络被视为敌对网络，因此每个数据或服务访问请求都会根据访问策略不断进行验证。与传统的围墙花园相比，将改进对攻击者横向移动尝试的监控和检测。

但请记住：零信任不会完全消除威胁。

动态获得信心

如果从网络中删除信任，必须获得对用户、设备和服务的信心。与其在用户、设备或服务连接到网络时拍摄快照并允许产生的权限持续存在，更应该继续评估这些连接的可信度。

对于访问服务的用户，必须先建立对用户身份和行为以及设备健康的信任，然后他们才能访问服务。对于相互交互的服务，例如使用 API 进行数据交换，这是通过确保正确的服务相互通信并获得对托管的服务的健康状况的信任来实现的。

信任连接所需的信心取决于所访问数据的价值或所请求操作的影响。

例如，访问敏感的个人数据可能需要一个访问策略，根据定义的配置策略（如加密、补丁级别和正在启用安全启动。

另一方面，组织中的任何人都可以访问低价值数据，例如午餐菜单，无论他们的身份验证强度或设备健康状况如何。

术语

在讨论零信任架构时，需要了解一些通用的属于。以下是零信任原则中使用的一些术语。

这些术语与其他来源紧密结合，在讨论零信任技术时提供帮助。

• 访问策略- 访问请求被信任和授权的要求。

• 配置策略- 描述设备和服务配置选项的策略。

• 信号- 一条信息，如设备运行状况或位置，可用于获得对资产可信度的信心。会经常使用许多信号来决定是否授予对资源的访问权限。

• 策略引擎- 获取信号并将其与访问策略进行比较以确定访问决策的组件。

• 策略执行点- 使用策略引擎来调解用户或设备对服务或数据的请求，以确定是否可以授权请求。

• 设备运行状况- 设备符合配置策略并且处于良好状态的置信度。例如，安装了最新的补丁，或者启用了安全启动等功能。

参考来源：

英国国家安全中心  零信任架构设计原则