企業(yè)發(fā)布

“零信任”安全體系架構(gòu)和實(shí)踐

2019/8/26 10:31:31 來源：中國企業(yè)新聞網(wǎng) 評論：(0)

導(dǎo)言：在萬物互聯(lián)時(shí)代，全球數(shù)據(jù)量與日俱增，人們在探究數(shù)據(jù)價(jià)值的同時(shí)也打開了數(shù)據(jù)安全這個(gè)潘多拉魔盒。

作者：美創(chuàng)科技創(chuàng)始人、總經(jīng)理柳遵梁

在萬物互聯(lián)時(shí)代，全球數(shù)據(jù)量與日俱增，人們在探究數(shù)據(jù)價(jià)值的同時(shí)也打開了數(shù)據(jù)安全這個(gè)潘多拉魔盒。

為什么傳統(tǒng)網(wǎng)絡(luò)安全在數(shù)據(jù)安全時(shí)代開始失效？

雖然已經(jīng)部署了周全的網(wǎng)絡(luò)安全措施，但數(shù)據(jù)安全事件依然不斷發(fā)生。步入數(shù)據(jù)安全時(shí)代，那些原先有效的安全措施開始失效甚至于無效，這個(gè)世界究竟發(fā)生了什么變化？

1.日益普及的互聯(lián)網(wǎng)業(yè)務(wù)

互聯(lián)網(wǎng)的飛速發(fā)展打破了常規(guī)的時(shí)間、空間限制，使我們可以服務(wù)的人群變得無限多。當(dāng)然，互聯(lián)網(wǎng)帶來無限多客戶的同時(shí)也帶來了無限多的黑客。在海量的黑客面前，任何細(xì)微漏洞都可以被捕獲，導(dǎo)致安全風(fēng)險(xiǎn)被無限放大。特別是兩個(gè)基本假設(shè)的成立讓我們無所適從：

（1）任何應(yīng)用程序都會存在漏洞；

（2）黑客總是比用戶更早地發(fā)現(xiàn)漏洞。

2.肆意泛濫的社交網(wǎng)絡(luò)

伴隨著移動互聯(lián)網(wǎng)的興起，社交網(wǎng)絡(luò)有了新的顛覆性轉(zhuǎn)變。從電子郵件到QQ、微博、微信等，徹底打通了內(nèi)外部網(wǎng)絡(luò)，網(wǎng)絡(luò)邊界變得越來越模糊。每個(gè)人在社交網(wǎng)絡(luò)上都存在大量的“最熟悉的陌生人”，他們可以利用我們的信賴輕而易舉地進(jìn)入我們的網(wǎng)絡(luò)。

3.無限提高的數(shù)據(jù)價(jià)值

從網(wǎng)絡(luò)安全到數(shù)據(jù)安全轉(zhuǎn)變的根本原因是數(shù)據(jù)價(jià)值的無限提高。在很多機(jī)構(gòu)，數(shù)據(jù)已經(jīng)成為其核心財(cái)富甚至是最大財(cái)富，甚至有“搶銀行不如搶數(shù)據(jù)”的說法。在數(shù)據(jù)財(cái)富無限快速放大的過程中，數(shù)據(jù)財(cái)富的管理并沒有發(fā)生本質(zhì)的變化，基本處于裸奔狀態(tài)。因此，那些缺乏保護(hù)的數(shù)據(jù)財(cái)富在不斷誘惑企業(yè)的員工、合作伙伴犯錯(cuò)，不斷誘惑黑客來攫取。

在現(xiàn)實(shí)生活中，我們不會把海量現(xiàn)金放在客廳、廣場等公共場合，我們總是小心翼翼地為這些財(cái)富施加眾多的保護(hù)措施，或者委托給更加專業(yè)的信用機(jī)構(gòu)（如銀行）進(jìn)行保管。然而，我們現(xiàn)在對于數(shù)據(jù)財(cái)富的處理方式，無異于是把它放在客廳里，甚至是廣場上。在數(shù)據(jù)世界里，我們尚未發(fā)現(xiàn)類似于銀行之類的機(jī)構(gòu)來保障我們的數(shù)據(jù)財(cái)富安全。

4.數(shù)字世界和現(xiàn)實(shí)世界的鏡像

隨著數(shù)據(jù)價(jià)值的凸顯，特別是人工智能的興起，我們正在把現(xiàn)實(shí)社會發(fā)生的一切進(jìn)行數(shù)字化和數(shù)據(jù)化�？梢灶A(yù)見，在不遠(yuǎn)的將來，數(shù)據(jù)世界很快就會成為現(xiàn)實(shí)世界的一個(gè)投影或鏡像，現(xiàn)實(shí)生活中的搶劫、殺人等犯罪行為會映射為數(shù)字世界中的“數(shù)據(jù)破壞”。

從可信任驗(yàn)證體系走向“零信任”安全體系

1.可信任驗(yàn)證和零信任體系并存的生活

人們大部分時(shí)間生活在可信任驗(yàn)證體系中，每個(gè)人可以自由處理自身擁有的財(cái)富以及其他物資。比如：我花錢買了個(gè)茶杯，可以用來喝茶，也可以用來喝咖啡，或者把它閑置起來，或者干脆作為垃圾處理掉，我擁有處理這個(gè)茶杯的權(quán)利。在大部分生活場景下，我們都采用類似方式來處理財(cái)富、物資甚至關(guān)系。

但是，當(dāng)財(cái)富或者物資的影響力大到一定程度時(shí)，我們往往需要采用另一種形式來處理。比如：價(jià)值連城的古董，雖然你花錢購買了它，但是你并沒有權(quán)利隨意將它打碎；山林綠化，雖然山和林都是你的，但是你并沒有自由砍伐權(quán)�？梢�，當(dāng)涉及到大宗利益和公共利益的時(shí)候，往往是另一種機(jī)制在發(fā)揮作用：零信任機(jī)制。比如戰(zhàn)略情報(bào)、重大選舉、法律規(guī)章制訂、多重鑒權(quán)（權(quán)限審批）等，都是基于零信任體系的運(yùn)行機(jī)制，其前提假設(shè)就是沒有人可以被天然信任。

2.傳統(tǒng)IT系統(tǒng)中的可信任驗(yàn)證體系

傳統(tǒng)IT系統(tǒng)（如操作系統(tǒng)、數(shù)據(jù)庫以及其他各類信息化系統(tǒng)）幾乎都嚴(yán)格遵循了類似生活中可信任驗(yàn)證的安全設(shè)計(jì)理念：每個(gè)人對于自己所擁有的一切具有任意處置權(quán)。比如：在Oracle數(shù)據(jù)庫中，Schema賬戶對于存儲在Schema下的所有對象擁有任意處置權(quán)，可以任意查詢、更新、刪除和清除。DBA賬戶作為整個(gè)數(shù)據(jù)庫的擁有者，對數(shù)據(jù)庫的所有對象具有任意處置權(quán)。

這種處置理論看似正確，細(xì)思極恐，你會發(fā)現(xiàn)這種處置方式非�！盎奶啤�，在很大程度上依賴于人性，即遵紀(jì)守法的自覺性等。DBA只是一個(gè)管理數(shù)據(jù)庫的人，而不是處置數(shù)據(jù)的人。正如一個(gè)倉庫管理員，僅僅只是負(fù)責(zé)倉庫的清潔、溫濕度、安全等事宜，而對于倉庫中的谷物、物資等并不具有處置權(quán)。而Schmea賬戶則類似于一個(gè)倉庫，數(shù)據(jù)和代碼只是需要一個(gè)倉庫存放而已，倉庫管理員不應(yīng)該對放置在倉庫中的物資具有任意處置權(quán)。

圖片7.jpg

雖然這套基于傳統(tǒng)賬戶的安全體系在相對可信任的內(nèi)網(wǎng)環(huán)境具有很好的生存空間，但是在本質(zhì)上存在著概念混淆。這套體系很容易混淆了賬戶和身份的區(qū)別，賬戶只是信息系統(tǒng)的一個(gè)登錄憑證和引用憑證，而身份則是現(xiàn)實(shí)生活中的人，兩者之間基本上是割裂的。在真實(shí)的數(shù)據(jù)庫實(shí)踐中，賬戶更多的僅僅是作為數(shù)據(jù)庫對象存儲的容器，而不是作為身份。這種混淆最終使生活中可信任驗(yàn)證體系中的核心身份模糊化�，F(xiàn)代網(wǎng)絡(luò)環(huán)境中的身份安全性越來越差，這種模糊性最終導(dǎo)致了傳統(tǒng)網(wǎng)絡(luò)安全體系的不可延續(xù)。

3.走向零信任安全體系

走向零信任安全體系主要受到兩個(gè)方面的推動：

（1）互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和社交網(wǎng)絡(luò)已經(jīng)把世界上的每一個(gè)人都聯(lián)系在一起，突破了時(shí)間和空間的限制，網(wǎng)絡(luò)邊界變得越來越模糊，實(shí)際上已經(jīng)不存在安全的網(wǎng)絡(luò)。因此，以賬戶為基礎(chǔ)的安全體系無以為繼，需要把賬戶轉(zhuǎn)變?yōu)樯矸莶趴梢栽谶@種網(wǎng)絡(luò)中安全生存。

（2）現(xiàn)實(shí)生活中涉及巨大價(jià)值或巨大公共利益時(shí)，往往通過零信任體系而不是通過可信任體系來解決。數(shù)據(jù)的價(jià)值今非昔比，近幾年其價(jià)值在不斷放大，數(shù)據(jù)的托管性和多面性總會涉及眾多的公共利益。參照現(xiàn)實(shí)模型，零信任安全體系可以作為最恰當(dāng)?shù)臄?shù)據(jù)安全體系架構(gòu)。

“零信任”安全體系的四個(gè)基本原則

當(dāng)數(shù)據(jù)構(gòu)成我們的財(cái)富和核心競爭力時(shí)，傳統(tǒng)的可信任體系面臨巨大挑戰(zhàn)，無法滿足用戶數(shù)據(jù)安全的需求。我們需要構(gòu)建零信任體系，以管理戰(zhàn)略情報(bào)的思維來管理數(shù)據(jù)。

零信任安全（或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任）最早由約翰·金德維格（John Kindervag）在2010年提出。而美創(chuàng)科技也在2010年并行地提出了零信任安全體系并加以實(shí)踐，是全球最早的零信任安全體系架構(gòu)構(gòu)建者和實(shí)踐者。美創(chuàng)科技在多年的零信任實(shí)踐中形成了系列的零信任安全體系的基本原則和實(shí)踐原則。

在零信任安全體系構(gòu)建中，美創(chuàng)科技遵循四個(gè)基本原則：

1.燈下黑

不會被發(fā)現(xiàn)就意味著不會被攻擊，縱然我們的業(yè)務(wù)和系統(tǒng)充滿著各種各樣的安全漏洞。比如隱形戰(zhàn)機(jī)的速度慢、防御差，但是受到攻擊的幾率不高。燈下黑放棄了傳統(tǒng)的對抗思路，讓我們在黑客掃蕩式的互聯(lián)網(wǎng)攻擊中免疫。

2.與狼共舞、帶毒生存

在網(wǎng)絡(luò)邊界模糊的今天，假定我們的網(wǎng)絡(luò)總是被攻破，網(wǎng)絡(luò)內(nèi)部總是會存在“壞人”，我們需要在一個(gè)充滿“壞人”的網(wǎng)絡(luò)環(huán)境中確保關(guān)鍵資產(chǎn)不會受到破壞和泄露，確保關(guān)鍵業(yè)務(wù)不會受到影響。

3.不阻斷、無安全

入侵者或破壞者往往只需幾秒到幾分鐘就可以對關(guān)鍵資產(chǎn)和關(guān)鍵業(yè)務(wù)造成破壞和影響。除了極個(gè)別專業(yè)機(jī)構(gòu)之外，絕大部分機(jī)構(gòu)都無法對入侵做出快速響應(yīng)。即使機(jī)構(gòu)具有這個(gè)快速響應(yīng)能力，其巨大的快速響應(yīng)成本也是絕大部分機(jī)構(gòu)所無法承受的。我們需要在事件發(fā)生之前阻斷事件的發(fā)生，在無須部署快速響應(yīng)能力之下做到最大安全。

4.知白守黑

如何識別“壞人”一直是傳統(tǒng)網(wǎng)絡(luò)安全的核心命題，我們通過日積月累的“壞人庫”來勾畫各種“壞人”的特征。遺憾的是海量的“壞人”特征依然無法更好地幫助我們識別出可能的“壞人”。知白守黑從另一個(gè)角度去看待“壞人”，我們不去勾畫“壞人”的特征，而是去勾畫“好人”的特征，不符合“好人”特征的就是“壞人”。從業(yè)務(wù)的角度來看，“壞人”的特征是無法窮盡的，而“好人”的特征在特定場景下是可以窮盡的，知白守黑可以更好地保障數(shù)據(jù)安全和業(yè)務(wù)安全。

零信任安全體系的實(shí)踐原則

1.從保護(hù)目標(biāo)開始，知道保護(hù)什么才談得上安全。

很難想象，在連保護(hù)目標(biāo)都不知道的情況下如何保證安全性。當(dāng)你不知道保護(hù)目標(biāo)的時(shí)候或者保護(hù)目標(biāo)雖然知道但是不可描述的時(shí)候，你只能竭力去識別可能的“壞人”，你只能進(jìn)行面面俱到的通用防護(hù)，或者對于臆想中的攻擊進(jìn)行場景式防御。

數(shù)據(jù)安全不同于網(wǎng)絡(luò)安全，它定義了一個(gè)明確的保護(hù)目標(biāo)：數(shù)據(jù)。每一份數(shù)據(jù)都有其固有的特征和行為，我們可以圍繞著這些固有的特征和行為來構(gòu)建保護(hù)和防御體系。

2.保護(hù)要由內(nèi)而外，不是由外而內(nèi)。

當(dāng)我們明確定義了數(shù)據(jù)是保護(hù)目標(biāo)時(shí)，由內(nèi)而外的保護(hù)就成為我們自然的選擇。越靠近數(shù)據(jù)的地方，保護(hù)措施就越健壯，這是一個(gè)常識性認(rèn)知。由內(nèi)而外的層層保護(hù)都本著相同的目的——更加有效地保護(hù)數(shù)據(jù)安全。

3.以身份為基礎(chǔ)而不是以賬戶為基礎(chǔ)。

定義數(shù)據(jù)本身訪問的時(shí)候，并非以賬戶為基礎(chǔ)。賬戶僅僅是一個(gè)信息化符號，是訪問數(shù)據(jù)庫、業(yè)務(wù)、操作系統(tǒng)等的一個(gè)憑證，但并非是訪問數(shù)據(jù)的憑證。我們總是盡可能以接近于人的真實(shí)身份來定義數(shù)據(jù)的訪問，定義某個(gè)人或者某個(gè)身份可以訪問特定的數(shù)據(jù)�；蛘叨x特定的數(shù)據(jù)可以被特定的代表身份的規(guī)則所訪問。

4.知白守黑，從正常行為和特征來推斷安全。

當(dāng)我們明確了保護(hù)目標(biāo)的數(shù)據(jù)時(shí)，發(fā)現(xiàn)訪問數(shù)據(jù)的正常行為是可以被定義和窮盡的。因此，所有在窮盡的訪問定義列表之外的訪問都是不合規(guī)、不安全的。而且，通過對于歷史訪問行為的學(xué)習(xí)，可以刻畫出正常訪問的特征，不符合正常訪問特征的訪問行為都是不合規(guī)的、不安全的。

5.消除特權(quán)賬戶。

消除特權(quán)賬戶是零信任安全體系建設(shè)的前提條件。引進(jìn)多方聯(lián)動監(jiān)督制約機(jī)制，是零信任安全的基礎(chǔ)實(shí)踐。

【作者簡介】

柳遵梁，杭州美創(chuàng)科技有限公司創(chuàng)始人、總經(jīng)理。畢業(yè)于中國人民解放軍信息工程大學(xué)，中國（中關(guān)村）網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)聯(lián)盟理事，中國信息協(xié)會信息安全專委會數(shù)據(jù)安全工作組組長。擁有二十年數(shù)據(jù)管理和信息安全從業(yè)經(jīng)驗(yàn)，在通信、社保、醫(yī)療、金融等民生行行業(yè)積累了大量實(shí)踐經(jīng)驗(yàn)。具備長遠(yuǎn)戰(zhàn)略眼光，準(zhǔn)確把握技術(shù)發(fā)展趨勢，持續(xù)創(chuàng)新，帶領(lǐng)公司完成運(yùn)維、服務(wù)、產(chǎn)品多次轉(zhuǎn)型，均獲得成功。目前公司已經(jīng)完成全國布局，成為國內(nèi)重要的數(shù)據(jù)安全管理綜合供應(yīng)商，個(gè)人著有《Oracle數(shù)據(jù)庫性能優(yōu)化方法論和最佳實(shí)踐》書籍，多次發(fā)表學(xué)術(shù)文章。

免責(zé)聲明：

※ 以上所展示的信息來自媒體轉(zhuǎn)載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本網(wǎng)站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本網(wǎng)站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。如果以上內(nèi)容侵犯您的版權(quán)或者非授權(quán)發(fā)布和其它問題需要同本網(wǎng)聯(lián)系的，請?jiān)?0日內(nèi)進(jìn)行。
※ 有關(guān)作品版權(quán)事宜請聯(lián)系中國企業(yè)新聞網(wǎng)：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時(shí)內(nèi)審核并處理。

分享到：

[責(zé)任編輯：喬姍]