学习腾讯无边界访问控制体系建设

=Start=

缘由:

零信任(或零信任网络、零信任模型等)这个概念最早是由John Kindervag于2010年提出的,他当时是Forrester的分析师。John Kindervag非常敏锐地发现传统的基于边界的网络安全架构存在缺陷,通常被认为“可信”的内部网络充满威胁,“信任”被过度滥用,并指出“信任是安全的致命弱点”。因此,他创造出了零信任(Zero Trust)这个概念。“从来不信任,始终在校验”(Never Trust,Always Verify)是零信任的核心思想。

谷歌BeyondCorp项目做了全世界第一个落地,谷歌BeyondCorp方案的目的就是为了让员工在不安全的网络下安全地访问公司。之前在blog中有简单记录过几篇相关的文章「Google的BeyondCorp安全模型学习」和「[translate]Google基础设施安全设计概述」,有兴趣的话可以简单看看,后续有机会再多学习记录一下相关的文章。

这里就着腾讯给出的文章学习一下腾讯在无边界访问控制体系建设上的一些方法和思路。

正文:

参考解答:

“零信任”概念是在2010年由Forrester提出,谷歌BeyondCorp项目做了全世界第一个落地,谷歌BeyondCorp方案的目的就是为了让员工在不安全的网络下安全地访问公司。作为腾讯,很多年前已经关注到了这块IT基础建设和基础架构方面的变化。

我们知道无论腾讯也好,互联网公司也好,非互联网公司也好,之前企业网络架构通常是重边界的架构,会把各种安全防御措施、网络隔离措施、安全设备堆在边界上,这样做通常有两种结果:一是如果遇到比较严重APT攻击,一旦突破边界,内部没有足够的安全检测机制和有效防御机制;二是如果内部业务比较复杂,整个IT在内部管理策略和管理成本是非常高的。基于此安全和效率的问题,我们看到了零信任网络架构的价值。


无边界访问控制体系概述

「设备可信、用户可信、应用可信」,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。

无边界访问控制场景

  终端安全管理
    硬件——硬件资产信息收集、合规准入、日常硬件资产盘点
    系统——统一病毒/木马防护、漏洞补丁集中管理分发
    软件——配置/服务加固、存储外设开关、禁用高危端口/服务、屏蔽非白名单设备外联
    用户——PC端通过入域且通过域帐号登录、移动端使用多因素认证
    数据——企业云盘、DLP、可信设备、数据全周期追溯
    行为——重点业务/操作日志埋点记录、多日志关联、日常行为基线建设

  无缝网络接入
    终端&网关「联动」,使用「短连接」方式,「数据包」级别加密(可以做到细粒度控制的同时,提升使用体验)

  多维度访问控制(设备识别、身份验证、进程审核)
    基于身份控制——销售人员访问销售系统、开发人员访问代码系统
    基于目标控制——运维系统只被指定应用访问、内网OA只被特定浏览器访问
    基于状态控制——恶意进程(非白名单进程)无法访问后台系统、含高危漏洞的浏览器无法访问后台系统

==

总体看下来其实就是:
0、基于「白名单」的访问控制思路;

1、硬件、系统、软件的「日常资产盘点」;
2、用户认证
(不论是PC端的域认证,还是移动端的多因素认证);
3、数据治理(全生命周期追溯);
4、日志埋点、多日志源关联、日常行为基线建设;

思路很清晰、简洁,但是难点在于实现和落地(尤其对于大型/复杂业务类型的互联网公司而言),需要很强的IT基础和架构建设、落地能力,以及必不可少的公司高层支持。

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4628.html

10 thoughts on “学习腾讯无边界访问控制体系建设”

  1. Kubernetes 下零信任安全架构分析
    https://mp.weixin.qq.com/s/WybnFRHiGy1joLFyQyba0g
    `
    零信任安全最早由著名研究机构 Forrester 的首席分析师约翰.金德维格在 2010 年提出。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议。

    其核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如 IP 地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。

    目前落地零信任概念包括 Google BeyondCorp、Google ALTS、Azure Zero Trust Framework 等,云上零信任体系,目前还是一个新兴的技术趋势方向,同样的零信任模型也同样适用于 Kubernetes,本文重点讲解一下 Kubernetes 下零信任安全架构的技术分析。
    `

  2. SDP下一代的企业访问控制方法
    http://blog.nsfocus.net/generation-enterprise-access-control/

    RSAC热点主题之二:“软件定义边界”在企业数据安全领域引发的思考
    https://mp.weixin.qq.com/s/eoH9BYJrOTrZRzeed4lcng

    https://weibo.com/1134179710/GuX6GF8bF?type=comment
    `
    基于浏览器做sdp真的挺合适的,也可以理解成一个办公客户端。国内这块的现状比较差,安全市场应该不小。如果红芯做不下去了,360是最有机会做的,毕竟有现成浏览器。谁如果创业做类似产品,我愿意投天使轮,如果一千块钱你不嫌少的话 ​​​​
    `

  3. APT 分析及 TTPs 提取
    https://projectsharp.org/2020/02/23/APT%20%E5%88%86%E6%9E%90%E5%8F%8A%20TTPs%20%E6%8F%90%E5%8F%96/
    `
    # Abstract
    本文对 APT 分析及 TTPs 提取进行讨论,总结出一套适用于安全分析、安全研究及企业应急响应人员的分析方法。

    文章由六部分组成,引用了杀伤链模型,钻石分析模型,ATT&CK 等内容,介绍了攻击事件、APT 攻击的一些概念,简单概括了 “通过攻击者能力切入” 和 “通过基础设施切入” 的两种 APT 事件分析的方法。着重探讨了 TTP 的提取、使用、应用、落地及归因判断。提出了 “特征矩阵” 和 “事件链图”,设计了描述模型,同时进行了简单的可行性论证。

    内容适用于具有一定经验的安全分析师,病毒分析师,威胁情报分析师等安全人员。

    # 0x00 攻击事件
    什么是攻击事件?

    个人理解,攻击事件是在未授权情况下,对计算机系统或计算机资源进行访问、使用、更改、破坏的活动。根据事件烈度和影响范围,可以分为以下几类:

    常规攻击
    Botnet
    恶意软件
    APT

    # 0x00-01 攻击事件甄别
    # 0x00-02 攻击事件的核心元素

    # 0x01 APT
    # 0x01-00 APT 攻击的特点
    # 0x01-01 APT 入侵的方式

    # 0x02 APT 事件分析
    # 0x02-00 APT 两种分析方法
    # 0x02-01 IoC 层级

    # 0x03 TTPs 提取
    # 0x03-00 TTP 提取的难点
    # 0x03-01 特征矩阵
    # 0x03-02 事件链图
    ### KILL CHAIN
    ### 攻击总是线性的
    ### APT 分析单位

    0x04 TTPs 的使用及归因判断

    0x05 TTPs 落地的思考
    0x05-01 实体抽取
    0x05-02 关系描述
    0x05-03 完整的描述模型
    `

  4. 谷歌BeyondProd:一种新的云原生安全方法(附原文下载)
    https://mp.weixin.qq.com/s/l2O-YzCkvnQo2x_tl8TV4A
    `
    2014年,谷歌开始对外介绍BeyondCorp,这是一种用于用户访问企业网络的网络安全模型。BeyondCorp基于零信任架构原则,重新定义了企业网络访问。在此同时,谷歌同样还将零信任架构应用于其如何连接机器,工作负载与服务之中。这个项目就是BeyondProd。

    在BeyondProd中,谷歌设计并实践了以下安全原则:
    · 在边缘保护网络;
    · 服务间默认不互信;
    · 在可信机器上运行来源已知的代码;
    · 跨服务强制执行一致策略的关卡;
    · 发布流程更改实现简单化、自动化及标准化;
    · 工作负载之间进行隔离。

    简言之,谷歌通过多种控件和模块,实现容器及在其中运行的微服务能够安全部署,彼此间安全通信,彼此相邻安全运行,而不会给单个微服务开发人员增加基础架构的安全性和实现细节的负担。
    `

  5. 零信任架构远程办公实战
    https://mp.weixin.qq.com/s/Kgm0wuPeQHX7fJoUondz4Q
    `
    # 实践效果与问题
    自方案上线后已经有1个多月了,整体上经受住了考验,因为同时上线了两套方案,对两类方案的优劣势也有了更多体会。

    (1)VPN方案的优缺点
    VPN优点:
    · 可以满足所有远程办公需求
    · 使用简单

    VPN缺点:
    · 处理性能局限:VPN商业设备处理有局限,例如可支持的加密带宽不能超过xxxM,形成瓶颈;
    · 难以快速扩容:因为涉及设备采购,上下线网络设备兼容性,紧急情况下扩容难度较大;
    · 网络质量要求较高:VPN模式如果网络质量不佳,很容易引起VPN中断,导致所有的会话全部中断,很影响用户体验;
    · 安全风险不易控制:VPN模式决定了安全边界在VPN网关上,对于客户端发生的安全事件是无感也无法控制。

    (2)零信任架构的优缺点
    零信任架构优点:
    · 处理能力强:网关主要处理的是HTTP协议,用普通服务器即可,可以有很好的处理能力;
    · 可快速扩容:使用LVS等负载均衡方案,可以快速横向或纵向扩容;
    · 网络质量要求低:因为不是建立隧道,而是基于HTTPS的请求,网络质量不高的时候不会引起所有会话全部中断;
    · 安全控制力强:零信任架构中安全的边界在用户终端上,有更强的控制和感知能力;
    · 使用“简单”:用户认证授权完后,对用户的打扰较少,但这个依赖agent设计能力,设计不好会带来更大的用户使用成本。

    零信任架构缺点:
    · 一些特殊的远程办公需求难以满足,或是要花费很大成本来实现,例如不支持代理的C/S应用,一些特定的协议访问等

    (3)其他的问题
    这是第一次安全部门来主导大规模远程办公的支持,有很多意想不到的事情,例如:
    · 20%不看帮助的用户,占用了80%的人力支出;
    · 直面用户,安全工程师要承担很多低价值的热线工作;
    · 墨菲定律一定会发生;
    · 解决一个问题的同时,也会带来新的问题。
    `

  6. 建立零信任体系,组织须将IAM纳入IT规划
    https://mp.weixin.qq.com/s/ydo962zFg8npvmi0HHuieQ
    `
    近日,Gartner发布了《2020年规划指南》(以下简称“规划指南”),为IT负责人、技术专家提供了数字化转型的关键技术趋势分析,同时为组织开展整体IT规划和技术选型提供了重要依据。在“规划指南”的《身份和访问管理》部分中提到,IAM对于组织信息安全管理和数字化转型至关重要,IT必须推进IAM(身份和访问控制管理)计划,同时关注身份治理、消费者隐私保护要求以及广泛应用混合/多云环境的趋势。

    # IAM是零信任的核心技术支撑

    “零信任”是一种安全理念和策略,其内涵可以总结为ABCDE:Assume nothing没有任何假设,Believe nobody不相信任何人,Check everything all the time始终检查所有环节,Defeat risks消除威胁,Expect and prepare for the worst并为最坏的情况做好准备。“始终检查所有内容”指的不仅是网络基础架构、数据、设备、系统、应用程序和服务,更为重要的是,须借助IAM技术来建立以人的身份为中心的安全框架,实现对所有人、接入设备的数字身份真实性的验证以及对访问行为的动态授权和控制。

    零信任的核心部分是以动态IAM为基础,以数字身份为中心的安全架构,同时根据访问的环境信息和风险评估指数,采用动态访问控制机制来防止未授权的访问行为。数字时代,随着网络与安全边界的扩大,静态IAM无法应对新型安全挑战,仅用密码认证、静态MFA或无密码的实时生物特征验证都难以确保用户始终处于安全环境,因为将可能被黑客伪造,从而造成更多复杂的风险问题。

    # 智能、安全、连接

    IAM是一套为一切连接提供安全保护的身份治理体系,其以“人”为核心,连接各种“应用”,是打通信息孤岛、实现智能连接和管理不同类型应用系统的“平台级系统”。

    随着业务场景的不断变化和技术更新迭代,IAM技术经历了由点到面,由单一功能模块到全面数字身份治理体系,从SSO->PKI->4A->IAM(包含IGA、IDaaS、CIAM等)的发展历程,业务范围从内网到外网,从线下到云端、移动端、IoT等领域;管理对象从基本的B2E针对内部员工,到B2B面对经销商供应商等合作伙伴,到B2C面向客户的CIAM(Consumer IAM);管理范围从本地身份管理走向云端身份管理IDaaS(Identity-As-A-Service);为满足日益严苛的合规监管以及对法律法律(网络安全法、等保2.0、SOX、GDPR)的遵从,IAM延伸了身份治理IGA(Identity Governance and Administration)的内容,包含权限合规治理、职责分离、身份数据的智能分析和审计;为提升智能识别用户异常访问行为的能力,IAM从基于静态规则和策略的安全管理模式走向动态的自适应风控体系,实时感知用户访问过程中的安全环境变化,动态调整安全控制策略,并持续评估应用、用户、数据流的安全性和风险状态,为数字身份安全提供智能化防御。

    因此,全面的身份安全治理体系应包含数字身份自动化管理、身份数据同步、统一认证及访问控制策略管理、授权管理、自适应智能融合认证、访问行为审计、权限互斥审阅、合规管理以及确保实时预警和有效防范的风险管理机制。建立全面的身份治理体系,是组织实现安全、效率与合规的关键环节。
    `

  7. 零信任架构实战系列:干掉密码,无密码化方案落地
    https://mp.weixin.qq.com/s/xs-xybNs6Ha6_-Qr_EE-qw
    `
    密码/口令一直是企业安全中绕不开的一个话题,无数英雄在此折腰,相信不少人都有欲除之而后快的念头,那么我们是否可以干掉密码?又会有哪些挑战?本文既是对干掉密码的实践,以及如何同零信任结合。

    一、密码是良药还是毒药?
    (1)密码/口令起源
    (2)密码的“危害”

    二、去密码化方案分析
    (1)密码在企业中的应用
    (2)密码挑战
    (3)替代密码方案的选择

    三、去密码化方案设计
    (1)需求实现
    (2)统一认证系统架构
    (3)认证代理实现
    (4)用户身份绑定

    四、与零信任架构结合
    (1)实施挑战
    (2)零信任架构整合

    这个方案是零信任架构中一个附带成果,个人觉得对企业安全来说,能解决密码安全问题可以给安全带来很大提升,而方案从设计、开发到实施落地,实际用了很长时间,团队也在背后付出了巨大努力,中间一个比较有价值的体会是,尽量避免违反人性去推动安全。
    `

  8. 浅谈Forrester零信任架构评估的7个技术维度
    https://mp.weixin.qq.com/s/IZ3BGi3rPwcBgsTlc_ILLg
    `
    零信任是由Forrester Research的分析师John Kindervag在2009开发,并在2010年正式提出的。在过去的10年间,随着云计算、移动互联等技术发展以及全球范围内部威胁的不断涌现,零信任越来越为产业界所接受。
    Google从2011年开始探索和实践零信任,并在2014年发表了BeyondCorp系列研究论文,成为零信任大规模实施的典范。
    Gartner在2017年发布的其自适应安全3.0的版本CARTA框架,持续自适应的风险与信任评估的思想与零信任内涵和逻辑高度一致,进一步推进了产业界对零信任投入和研究。
    NIST在2019和2020也连续发表了SP800-207零信任架构草案第一和第二版本,探讨零信任体系结构(ZTA)网络策略的核心逻辑组件。
    从2018开始,Forrester 开始发布零信任扩展生态系统ZTX研究报告,探索零信任架构在企业中的应用,系统性对零信任厂商的能力进行评估。

    Forrester对厂商的评估包括多个维度的一系列的指标,例如收入,厂商的零信任的战略和对零信任的宣传,以及API集成能力等。本文主要关注的是Forrester在零信任评估中所涉及的7个主要技术维度,即:
    * 网络安全
    * 设备安全
    * 人员/身份安全
    * 工作负载/应用安全
    * 数据安全
    * 可见性和分析
    * 自动化和编排

    这7个维度是John Kindervag的继任者,现在Forrester 首席分析师Chase Cunningham在其零信任扩展框架中提炼出的7个支撑维度。在用户视角看,目前实现全面的零信任的改造存在复杂性和风险。但从不同用户具体的IT基础设施的实际出发,从最关切的风险出发,可以逐步落实零信任的原则和理念。

    本质上,包括零信任在内的一切新的概念和总结,出发点都是为了解决网络安全和信息安全的本源问题,即应用和系统的可用性问题,数据的机密性问题。围绕可用性、机密性和完整性的原则,不断迭代新的理念和技术,为用户的业务提供更好的支撑和保障,这些零信任产品的发展也是各个厂商在某相对擅长的领域,为了更好的解决客户问题的自然演进。

    所以零信任的7个维度划分也不是铁律,我们可以分解来看,一定程度上就是更细的网络边界,应用切分,数据定义,用户身份的多次验证,更细的强制访问控制,在永不信任,持续验证的理念下,如何在不影响用户体验的情况下,提供更好的安全保障和服务。
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注