讀零信任網路:在不可信網路中構建安全系統05網路代理
躺柒發表於2024-07-31
1. 網路代理
1.1. 安全策略在認證和授權環節都充分地利用了多個因子,綜合考慮了使用者及其使用的裝置的資訊
1.1.1. 允許員工透過企業發放的工作膝上型電腦提交原始碼,但是禁止員工使用手機進行類似操作
1.1.2. 使用者必須使用可信終端提交程式碼,並且這個終端必須屬於使用者,即使用者只能使用自己的可信終端進行程式碼提交
1.2. 使用者和裝置的這種繫結關係稱為網路代理,這是零信任網路引入的一個非常重要的概
1.2.1. 在零信任網路裡,把使用者和裝置進行剝離並單獨處置是不合適的,訪問控制策略需要將使用者和裝置作為一個整體進行考慮
1.2.2. 有助於針對使用者和裝置這個有機整體進行訪問控制策略的制定
1.2.3. 可將這個整體稱為使用者—裝置對
1.3. 網路代理指在網路請求中用於描述請求發起者的資訊集合
1.3.1. 一般包括使用者、應用程式和裝置共3類實體資訊
1.3.2. 在零信任網路中,策略基於這3類實體資訊的組合整體進行制定
1.3.3. 使用者、應用程式和裝置資訊是訪問請求密不可分的上下文,將其作為整體進行授權,可以有效地應對憑證竊取等安全威脅
1.3.4. 具有短時性特徵,在進行授權決策時按需臨時生成
1.4. 訪問代理的構成要素(使用者或裝置)資訊一般存放在資料庫中,在授權時實時查詢並進行組合
1.4.1. 網路代理代表的是使用者和裝置各個維度的屬性在授權時刻的實時狀態
1.5. 網路代理的一些資料欄位是專門為了緩解主動攻擊而存在的,這些屬性的取值隨時都可能發生變化,有些屬性甚至需要在授權時實時計算出來,信任評分就屬於這類動態資料
1.5.1. 網路代理由頻繁變化的使用者、裝置和應用程式相關資料構成
1.5.2. 裝置的信任評分。作為訪問授權的重要因子,信任評分可以很好地緩解現代網路攻擊,為確保其有效性,應該儘可能地實時或接近實時地進行計算和更新
1.6. 新入網裝置還沒有分配和繫結使用者,如果安全策略要求網路代理必須包含使用者資訊,則這類裝置訪問資源時就會被拒絕
1.6.1. 授權策略必須能覆蓋這種場景,並考慮網路代理資料的稀疏性
1.7. 在零信任網路裡,稀疏資料不僅僅存在於新入網裝置中,在自治系統中也普遍存在,和人工值守的系統相比,自治系統的很多資料,特別是和使用者相關的資料可能缺失
1.7.1. 系統一般不直接對執行和使用應用程式的使用者賬號進行認證,而是透過其他技術手段確保建立這些使用者的配置管理系統的安全
1.7.2. 這些資料欄位可能因為各種原因缺失,理解代理的這種稀疏屬性對於設計基於網路代理的授權策略很有參考價值
1.8. 網路代理資料欄位
1.8.1. 網路代理信任評分
1.8.2. 使用者信任評分
1.8.3. 使用者角色或群組
1.8.4. 使用者居住地
1.8.5. 使用者認證方式
1.8.6. 裝置信任評分
1.8.7. 裝置製造廠商
1.8.8. TPM製造廠商和版本號
1.8.9. IP地址
1.8.10. 網路代理包含的資料越詳細,資料的差異性就越是明顯
1.9. 網路代理包含的資料是否可信也是必須考慮的因素
1.9.1. 在採購階段就採集的裝置資訊就比執行時從裝置上採集的資料可信程度高,這種信任度的差異是客觀存在的,其根源在於很難保證從裝置上採集的資料的準確性和完整性,尤其是當裝置可能被攻陷的情況下
2. 如何使用網路代理
2.1. 針對裝置和使用者分別進行授權看起來更簡單直接,但是不推薦這樣做
2.1.1. 在零信任網路模型下,授權的主體必須是網路代理,因此,所有的訪問控制策略都是針對網路代理制定的
2.2. 網路代理承載了很多資訊,因此,基於網路代理,類似IP地址之類的傳統授權資訊仍然存在且可用,並且非傳統授權資訊,比如裝置型別、使用者居住城市等,提供了更加豐富的訪問控制依據
2.2.1. 授權資訊的豐富性也是零信任網路的訪問控制策略將訪問代理作為一個整體看待的重要原因
2.2.2. 使用者—裝置對在零信任授權決策中至關重要,網路代理將二者捆綁在一起,讓其相輔相成缺一不可
2.2.3. 把資料打包到訪問代理,可以降低使用者/裝置比較的複雜度,也很符合零信任架構理念中關於降低進入門檻的關鍵訴求
2.3. 網路代理在信任評分計算過程中,同樣發揮著重要作用
2.3.1. 信任引擎不僅僅可以使用網路代理自身包含的資訊,還可以使用其歷史行為記錄
2.4. 網路代理是純粹的授權要素,和認證毫無關係
2.4.1. 網路代理屬於授權範疇,它參與授權決策,不屬於認證範疇
2.4.1.1. 但認證的結果和狀態會在網路代理的資料中有所體現
2.4.2. 認證是先決條件,只有成功透過認證,才能產生網路代理所需的資料資訊
2.4.3. 對使用者和裝置的認證往往是單獨進行的,比如,裝置可以使用X.509證書進行認證,而使用者的認證往往採用傳統的多因子認證手段
2.4.4. 認證成功後,使用者和裝置的權威標識就確定了,可以據此構造網路代理的詳細資料
2.5. 認證是面向會話的,而授權是面向請求的
2.5.1. 認證所使用的資料和因子一般不會經常變化,因此,將認證結果進行會話快取是允許的
2.5.2. 授權決策應該儘可能地依賴最新的資料,絕不建議將網路代理或授權結果進行快取
2.6. 先撤銷授權,後撤銷憑證
2.6.1. 認證是向遠端系統證明身份的過程,授權則是基於這個已證明的身份決定使用者是否具有訪問資源的許可權
2.6.2. 在需要撤銷訪問許可的時候,撤銷授權比撤銷認證憑證更簡單有效
2.6.2.1. 在認證結果已經被快取並且關聯了會話標識的情況下更是如此,畢竟驗證已經認證過的會話是否有效的過程原本就是授權活動
3. 適當地暴露網路代理
3.1. 使用者的隱私資訊(如姓名、地址、電話號碼)包含在網路代理中,這有利於更好地做出授權決策,但這些資訊很敏感,必須妥善處理以確保使用者隱私不被洩露
3.1.1. 不僅僅是使用者資訊很敏感,裝置資訊也同樣敏感,裝置的詳細資訊有可能被攻擊者用於進行針對性的遠端攻擊,根據一些模式分析,攻擊者甚至可以判斷出使用者裝置的物理位置並進行竊取
3.2. 控制平面基於網路代理對訪問請求進行授權,這些系統是零信任網路中授權的首要執行者
3.2.1. 控制平面本身的安全性較高
3.2.2. 整個網路代理生命週期都應該限制在控制平面內以便充分地保護其資料安全,控制平面的系統應該在邏輯上和物理上都與資料平面隔離,應該定義明確的邊界,並且不要頻繁變更
3.2.3. 策略判定依賴訪問代理,既然訪問代理的資料位於控制平面,那麼策略判定就應該在控制平面完成
3.2.4. 反向代理屬於零信任網路的控制平面,可以檢視網路代理資訊並進行粗粒度的授權,同時將網路代理的部分資訊傳遞給下游應用程式進行進一步的細粒度授權
3.3. 應用程式位於資料平面,雖然位於控制平面的授權引擎也可以對應用程式的授權請求提供服務,但這並不是最佳方案
3.3.1. 在這種場景下控制平面並不一定是授權決策的最佳位置,需要應用程式本身進行一些授權決策
3.3.2. 需要將一些網路代理的資訊暴露給資料平面
3.3.3. 為了讓應用程式實現自身的細粒度授權邏輯,需要透過可信的通道將網路代理的資訊暴露給應用程式
3.4. 將網路代理的資訊暴露給下游應用程式,也有利於相容應用系統既有的豐富的授權機制
3.4.1. 要實現這種相容性,需要將網路代理的部分資訊按照下游系統的要求進行格式轉換並傳遞
3.4.2. 網路代理採用通用資料格式也將極大地降低管理代價
4. 標準的缺失
4.1. 為了提高系統元件的重用性,網路代理亟待標準化
4.1.1. 大多數零信任網路都由自建系統構成,因此網路代理也大多采用了自定義的私有格式
4.1.2. 如果推出網路代理的開放標準,則零信任網路的互操作將成為可能
4.1.3. 網路代理各部分資料的偏移量、欄位名、結構等資訊應該明確並公開,這樣控制平面各個系統之間才能確保操作的一致性
4.2. 成熟的零信任網路都會透過從各種系統和資料來源獲取的資料來生成網路代理
4.2.1. 缺乏明確的規範,零信任網路就難以一致地對這些資料進行處理
4.3. 由於裝置清單庫這類資料來源不可避免的資料缺失問題,網路代理的資料可能相當稀疏,因此網路代理只能是一種“盡力而為”的資料集
4.3.1. 在利用網路代理的某條資料時,同時考慮這條資料缺失時的備選資料或處理策略
4.4. 管理資訊庫(MIB)
4.4.1. MIB元件實現資料格式的定義和描述,它由一系列的OID組成。OID被稱作物件識別符號,每個OID描述一個特定的、在國際標準化組織ISO註冊的資料
4.4.2. OID可以透過註冊來進行擴充套件,並且可以為企業或製造商保留足夠的OID空間
4.4.3. OID和IP地址的作用類似,IP地址用於全域性標識一個計算機系統,而OID用於全域性標識一個資料片段
4.4.3.1. 私有IP地址可以很好地標識一個組織的內部私有網路地址空間,但OID沒有類似的標準的私有標識機制
4.4.3.2. 一個折中的辦法是透過IANA免費註冊一個私有企業編號,作為內部使用的私有OID字首,這種方法被廣泛使用
4.5. 簡單網路管理協議(SNMP)
4.5.1. SNMP經常用於網路裝置的管理,裝置透過暴露一些資料,允許運維和管理系統以一種標準且靈活的方式對其進行管理
4.5.2. SNMP很好地描述了資料集的格式和封裝方式,使用OID能快速地標識和定位這些資料,透過MIB系統能方便易懂地進行資料的傳遞和操作
4.6. 外掛式設計也有助於網路代理格式未來的標準化
4.7. 應該以儘快實現基於網路代理的授權模型為第一要務