隨著“云大物移”的不斷興起,企業IT架構正在從“有邊界”向“無邊界”轉變,傳統的安全邊界逐漸瓦解。而以5G、工業互聯網為代表的新基建的不斷推進,更進一步加速了“無邊界”的進化過程。與此同時,零信任安全逐漸進入人們的視野,成為解決新時代網絡安全的新理念、新架構、新解決方案。
本篇主要探討零信任的訪問控制模型。
一、概述
零信任(Zero Trust,ZT),顧名思義就是“永不信任、持續驗證”。NIST對零信任的定義是:零信任體系結構(ZTA)提供了一系列的概念、思想和組件關系,旨在消除在信息系統和服務中實施精確訪問決策時的不確定性。
核心概念:所有流量都不可信;不以位置作為安全依據,為所有訪問采取安全措施;采用最小授權策略和嚴格訪問控制;所有流量都需要進行可視化和分析檢查。
訪問控制技術是信息系統安全的核心技術之一。訪問控制是通過某種途徑顯示準許或限制主體對客體訪問能力范圍的一種方法,它是針對越權使用系統資源的防御措施,通過顯示訪問受保護資源,防止非法用戶的入侵或因為合法用戶不慎操作所造成的破壞,從而保證系統資源受控地、合法地使用。
訪問控制模型是從訪問控制技術的角度出發,定義了主體、客體及主體對客體的訪問規劃,從抽象的層次來描述訪問控制約束的概念性框架,建立安全模型以適應各種各樣的實現方式和應用環境。建立規范的訪問控制模型是實現嚴格訪問控制約束的基礎。
在零信任網絡架構下,要求系統要能夠在網絡環境已經被攻陷的情況下,仍然有效的降低和限制異常用戶的訪問行為。那么,應該如何設計零信任架構的訪問控制模型呢?
首先我們來看下訪問控制的發展路線。
二、訪問控制的發展路線
訪問控制技術興起于20世紀70年代,最初是為了解決大型主機上共享數據授權訪問的管理問題。經過四十多年的蓬勃發展,訪問控制技術應用領域逐漸擴大,具有代表性的模型不斷涌現,如早期的自主訪問控制(DAC)和強制訪問控制模型(MAC);中期基于角色的訪問控制(RBAC);“域”概念引入推動了基于任務的訪問控制模型(TBAC);在云計算、大數據等計算模式還促進了新型的基于屬性的訪問控制模型(ABAC)等。
1. 早期的訪問控制模型
(1) 自主訪問控制(DAC,Discretionary Access Control)
DAC模型是通過建立客體關聯表,主要是訪問控制列表的形式將主體和客體的關聯性在表中組織起來。其自主性主要體現在系統中的主體可以將其擁有的權限授權給其他主體而不需要經過系統安全員的允許。即用戶有權對自身所創建的訪問對象(服務器、目錄、文件、數據等)進行訪問,并可將對這些對象的訪問權授予其他用戶、系統和從授予權限的用戶、系統收回器訪問權限。
DAC模型的優點是比較靈活,易于實現。其缺點是資源管理比較分散,主體間的關系不能在系統中明顯的體現出來;最為嚴重的是主體可以自主地將權限授予其他主體,這樣可能會造成權限傳遞失控,易遭受攻擊,從而導致信息的泄漏。另外,如果主體、客體數量過于龐大,DAC模型將帶來極大的系統開銷,因此很少被應用于大型系統中。
(2) 強制訪問控制(MAC,Mandatory Access Control)
MAC是美國政府和軍方源于對信息機密性的要求以及防止木馬攻擊而研發,其基本思想是依據主體和客體的安全屬性的級別來決定主體是否擁有對客體的訪問權限,主要用于多層次安全級別的軍事系統中。
在強制訪問控制機制下,系統內的每個用戶或主體被賦予一個安全屬性來表示能夠訪問客體的敏感程度,同樣系統內的每個客體也被賦予一個安全屬性,以反映其本身的敏感程度。系統通過比較主體和客體相應的安全屬性的級別來決定是否授予一個主體對客體的訪問請求。安全屬性由系統策略管理員分配,具有強制性,用戶或用戶進程不能改變自身或其它主、客體的安全屬性。
MAC模型的優點是較高的安全性,可以通過信息的單向流動來防止機密信息的泄漏,以此抵御攻擊;同時,由于用戶不能改變自身或其他客體的屬性,MAC可以防止用戶濫用職權。其缺點是靈活性較低,權限不能動態變化,授權管理較為困難,對用戶惡意泄漏信息無能為力。
2. 中期的訪問控制模型
(1) 基于角色的訪問控制(RBAC,Role-Based Access Control)
為了解決DAC和MAC將權限直接分配給主體,造成管理困難的缺陷。在訪問控制模型中引入了“角色”的概念,即RBAC。所謂角色,就是一個或一群用戶在組織內可進行的操作的集合。RBAC通過引入角色這一中介,對角色權限的更改將自動更新擁有該角色的每個用戶的權限。如果用戶改變了角色,其權限也隨之改變。
RBAC模型的優點是通過引入“角色”的概念,實現了用戶和權限的邏輯分離,從而大大簡化了授權管理,也使其接近日常的組織管理規則,能夠實現最小權限原則,實用性強。其缺點是由于一個用戶可以同時激活多個角色,約束顆粒較大,易造成用戶權限過大帶來的安全隱患,主客體之間聯系較弱,可擴展性不強,難以適用于分布式系統中。
(2) 基于對象的訪問控制(OBAC,Object-Based Access Control)
OBAC從信息系統的數據差異變化和用戶需求出發,有效地解決了信息數據量大、數據種類繁多、數據更新變化頻繁的大型管理信息系統的安全管理。OBAC從受控對象的角度出發,將訪問主體的訪問權限直接與受控對象相關聯,一方面定義對象的訪問控制列表,增、刪、修改訪問控制項易于操作,另一方面,當受控對象的屬性發生變化,或者受控對象發生繼承和派生行為時,無須更新訪問主體權限,只需要修改受控對象的相應訪問控制項即可,從而減少了訪問主體的權限管理,降低了授權數據管理的復雜性。
(3) 基于任務的訪問控制(TBAC,Task-Based Access Control)
訪問權限與任務結合,每個任務的執行都被看做是主體使用相關訪問權限訪問客體的過程。在任務執行過程中,權限被消耗,當權限用完時,主體就不能再訪問客體了。
系統授予給用戶的訪問權限,不僅僅與主體、客體有關,還與主體當前執行的任務、任務的狀態有關。客體的訪問控制權限并不靜止不變的,而是隨著執行任務的上下文環境的變化而變化。
3. 新型訪問控制模型
(1) 基于屬性的訪問控制(ABAC,Attribute-Based Access Control)
ABAC是一種細粒度的訪問管理方法,其中,基于已分配給用戶、操作、資源或環境的已定義規則,決定批準或拒絕對特定信息的訪問請求。
針對復雜信息系統中細粒度訪問控制和大規模用戶動態擴展問題,將實體屬性(組)的概念貫穿于訪問控制策略、模型和實現機制三個層次,通過主體、客體、權限和環境屬性的統一建模,描述授權和訪問控制約束,使其具有足夠的靈活性和可擴展性。
ABAC模型的優點是框架式的,可與其他訪問控制模型結合(如RBAC);缺點是所有要素均需要以屬性形式進行描述,一些關系用基本的屬性不易描述。
(2) 基于策略的訪問控制(PBAC,Policy-Based Access Control)
PBAC是一種將角色和屬性與邏輯結合以創建靈活的動態控制策略的方法。與ABAC一樣,它使用許多屬性來確定訪問權限。它支持環境和上下文控制,因此可以設置策略以在特定時間和特定位置授予對資源的訪問權,甚至評估身份和資源之間的關系。可以快速調整政策,并為給定的時間段設置政策(例如,應對違規或其他緊急情況)。可以輕松地添加、刪除或修改用戶組,并通過單擊撤消過時的權限。PlainID公司的Policy Manager提供了PBAC的支持。
(3) 下一代訪問控制(NGAC,Next Generation Access Control)
下一代訪問控制(NGAC)是對傳統訪問控制的重新發明,以適應現代、分布式、互聯企業的需求。NGAC的設計是可擴展的,支持廣泛的訪問控制策略,同時執行不同類型的策略,為不同類型的資源提供訪問控制服務,并在面對變化時保持可管理。NGAC遵循一種基于屬性的構造,其中特征或屬性用于控制對資源的訪問,并描述和管理策略。
該標準規定了NGAC框架的體系結構、安全模型和接口,以確保其在不同類型的實現環境中在一系列可伸縮性級別上實現,并獲得必要級別的內聚和功能,以在系統級別上正確有效地操作。
三、零信任訪問控制模型的思考
在零信任的訪問控制模型中,要求在沒有傳統邊界的動態世界中實現一致的策略。我們絕大多數人都在混合環境中工作,數據從公司服務器或云端流向辦公室、家里、酒店、車中,以及提供開放WIFI熱點的咖啡館。
另外,隨著用戶設備類型、數量的激增,也增加了數據暴露的風險,比如PC、筆記本電腦、智能手機、平板電腦和其他物聯網設備。設備的多樣性讓創建和保持訪問策略一致性成為了非常困難的事情。
過去,訪問控制的方法是靜態的,采用DAC、MAC、RBAC就可以很好的解決訪問控制的問題。如今,網絡訪問必須是動態的和流動的,要支持基于身份和基于應用的動態的訪問控制。
高級訪問控制策略應可動態調整,以響應不斷進化的風險因素,使已被入侵的公司或組織能夠隔離相關員工和數據資源以控制傷害。訪問控制規則必須依據風險因素而改變,也就是說,公司企業應在現有網絡及安全配置的基礎上,部署運用人工智能(AI)和機器學習的安全分析層。實時識別威脅并自動化調整訪問控制規則是零信任訪問控制模型的主要實現目標。
因此,零信任訪問控制模型不應局限于某種訪問控制模型,而應根據所處理數據的類型及敏感程度,確定采用那種訪問控制模型,無論是舊有的自主訪問控制(DAC)和強制訪問控制(MAC)、現今最常用的基于角色的控制模型(RBAC)、最新的基于屬性的訪問控制模型(ABAC),單獨都無法滿足零信任安全的所有場景,只有協同使用多種技術才可以達成所需訪問控制的等級和需求。
