1. 攻擊者檢視
1.1. IETF要求所有提交的RFC都必須包含“安全風險考慮"
-
1.1.1. 明確指出了潛在陷阱、危險和警告,這對系統的實現和部署至關重要,有助於運營者確保最終的系統不會偏離設計之初的安全特性
-
1.1.2. 表明系統設計者對於可能存在的攻擊進行了深入思考:一個沒有經過深入的安全考慮的系統,看似安全但可能存在嚴重的安全漏洞
-
1.1.3. 討論瞭如何處理和管理可見的安全風險
1.2. 引入安全風險考慮並不意味著該系統本身是不安全的,相反,它標誌著從整體上來看,系統更加安全
1.3. 透過一些手段措施可以減少某些對零信任網路的攻擊,然而對於某些攻擊,最多隻能檢測而不能防禦
1.4. 任何系統都易受到資源充分的攻擊者的影響,當攻擊足夠高階且難以防範時,唯一能做的就是有效地、精確地檢測這些攻擊
1.5. 對於志在必得的攻擊者來說,要攻破零信任網路是完全有可能的
1.6. 零信任模式最終將替代邊界模式,更有效、更具擴充套件性、更安全地解決計算機網路安全問題
2. 身份竊取
2.1. 在零信任網路中,幾乎所有的判定和操作都是基於認證後的身份進行的
2.2. 如果合法使用者的身份被盜竊或損害,那麼攻擊者就可能成功偽裝並透過零信任認證和授權檢查,當然,這並不是大家希望看到的場景
2.3. 應該謹慎考慮選擇哪種方式保護各元件
2.4. 零信任網路需要同時認證裝置和使用者/應用,所以攻擊者為了訪問某資源就必須同時竊取兩種身份,相較於目前使用傳統方法保護的系統而言,零信任網路有更高的攻擊壁壘
2.5. 身份的安全性不僅僅是零信任面臨的難題,更是業界廣泛關注的問題,其重要性不容忽視,零信任模型的本質就是在為減少這種威脅而努力
3. 分散式拒絕服務攻擊
3.1. DDoS
3.2. 零信任網路主要關注認證、授權和機密性,通常與網路資源的訪問控制密切相關
3.3. 零信任架構的目標是認證和授權網路中的所有事物,並未提供拒絕服務攻擊(DoS)的預防措施
3.4. 即使是採用零信任架構,接收資料包的系統仍然可能遭受DDoS的攻擊
- 3.4.1. DDoS攻擊仍然是零信任網路需要面對的問題,雖然現在有一些更好的方法來防範DDoS攻擊,但仍然不可掉以輕心
3.5. 有些零信任網路基於預認證協議實現了面向網際網路的埠隱藏
-
3.5.1. 其基本原則是在“拒絕所有”的預設規則下實現訪問埠的隱藏,並且僅僅在收到(認證透過的)訊號後才開啟一個小範圍的例外
-
3.5.2. 在很大程度上有助於隱藏服務埠,但是它並不能從本質上減少DDoS攻擊的威脅
3.6. 零信任網路天然儲存了預期網路流的大量資訊,這些資訊可以用來計算訪問控制策略,並將其用於傳統的網路過濾系統,對流量進行保護
-
3.6.1. 可以從上游裝置的角度出發,利用策略設定粗粒度的強制規則,僅允許對少量系統開啟訪問例外規則
-
3.6.2. 相較於傳統方法,這種方法有雙重優勢
-
3.6.2.1. 配置是完全自動化的
-
3.6.2.2. 可以保證無狀態的網路流過濾機制
> 3.6.2.2.1. 避免了昂貴的硬體裝置和複雜的狀態複製,這些過濾點更像是流量清洗而非防火牆
> 3.6.2.2.2. 這種方法只有在大型網路的場景下才有意義
3.7. 如果系統位於共用機房中的一小部分機架或是基於雲部署,那麼使用DDoS防護服務應該更合適
4. 列舉終端
4.1. 零信任模型屬於天然的無邊界網路,因為邊界對於不可信的內部網路沒有任何意義
4.2. 由於零信任架構具有點對點的特徵,因此攻擊者透過觀察各系統與終端之間的通訊資訊就可以描繪出網路的拓撲圖
4.3. 一旦透過閘道器,網路流量就暴露了,這就是基於邊界模型的網路的典型特徵
4.4. 零信任模型保證的是網路機密性而非隱私性
-
4.4.1. 意味著可以觀察到正在進行的會話並推斷它們的存在性,零信任可以保護具體的會話內容不被窺視或洩露
-
4.4.2. 如果公共網路需要一定程度的隱私保護,那麼零信任網路可以選擇站點到站點的隧道通訊模式,這種部署模式使得隧道兩端的主機更難被探測和觀察
-
4.4.3. 如果選擇隱藏網路的一部分資訊,暗示著對這部分的信任度更高
4.5. 在專注於保護網路隱私的系統中,連會話是否發生也是無從知曉的
- 4.5.1. Tor就是典型的提供網路隱私保護的系統
4.6. 機密性和隱私性是截然不同的兩個概念,對網路隱私性的保護不在零信任模型關注的範圍內
5. 不可信的計算平臺
5.1. 信任計算平臺本身(如雲硬體、虛擬機器管理程式)和信任裝置在本質上還是有一定區別的
5.2. 不可靠的計算平臺完全不能做到有效防禦
-
5.2.1. 設想一個系統使用的硬體會有意產生弱隨機數(加密的基礎)
-
5.2.2. 防禦這種型別的攻擊首先需要發現問題,但這遠遠不夠,在大多數情況下攻擊者會隱藏他們的攻擊能力
5.3. 雖然不可能徹底防禦計算平臺自身存在的惡意攻擊,但零信任系統仍然可以防禦這類平臺的一些簡單攻擊
- 5.3.1. 透過加密持久化資料和記憶體交換檔案,可以減少計算平臺上的惡意者的簡單攻擊,同時也可考慮調整平臺運營者的可信程度,這樣可進一步減少攻擊的可能性
6. 社會工程學
6.1. 社會工程學攻擊透過欺騙可信實體,使其在可信任裝置上進行惡意操作來對系統發起攻擊,這也是零信任網路需要關注的範疇
-
6.1.1. 可能是釣魚攻擊,透過精心設計的、看上去並非惡意的文字通訊進行欺騙
-
6.1.2. 可能是客戶服務部門面臨的面對面的欺騙
-
6.1.3. 零信任網路對於這類難以察覺的社會工程學攻擊具備一定的防禦能力
6.2. 對於敏感程度低的資源,內部活動的行為分析是防範這種威脅的主要機制
- 6.2.1. 需要指導使用者像一個攻擊者一樣思考並質疑異常請求
6.3. 對於敏感程度高的資源,類似Shamir金鑰共享的組認證/授權機制有助於預防由使用者組中單一個體無意識行為導致的潛在攻擊
- 6.3.1. 對於日常使用而言這種機制可能非常煩瑣,所以最好只對真正重要的資產採取這種方式
7. 人身威脅
7.1. 零信任網路可以有效減少虛擬世界中的許多威脅,但是現實世界中的威脅又完全是另外一回事了
7.2. 沒有安全專家會建議使用者冒著生命危險保護他們具有訪問許可權的資訊
7.3. 最好方法就是保證單獨個體造成的危害僅僅影響敏感性較低的資料和系統,對於價值較高的資源目標,使用組授權模式可以有效預防這些威脅
7.4. 對於一些難以覺察的物理威脅(如某人可以在無人保護的膝上型電腦中插入USB裝置),最好的解決辦法就是對裝置和證書進行持續更新
- 7.4.1. 掃描未定期輪換的裝置也有助於減少這種型別的攻擊
7.5. 如果攻擊者可以在真實世界中接觸到某些裝置,那麼他們就有機會做出許多破壞性操作
-
7.5.1. 並不意味著我們可以對這些威脅放任不管,至少對零信任來說,認證/授權有關的安全資料對於減少這些威脅大有裨益
-
7.5.2. 即使攻擊者可以直接接觸到裝置,也可以透過某些具體措施減小這種危害的影響和持續性,在零信任網路中可以採取這些措施
8. 無效性
8.1. 無效性是電腦科學的一大難題
- 8.1.1. 無論如何,無效性問題至少是可以解決的
8.2. 在零信任網路語境下,無效性主要是指獲得過授權的某個長期行為一直在持續,但其授權原本應該已經無效
8.3. 行為的定義在很大程度依賴於系統所選擇的授權機制
-
8.3.1. 如果授權的粒度是基於每條請求的,那麼行為可以被看成是一個應用級的請求或操作
-
8.3.2. 如果授權物件是網路流(如一個TCP會話),那麼行為可以看成是一個網路會話
8.4. 可以對短期行為進行更細粒度的授權,這意味著執行元件會對應用級請求授權而非新的網路會話
8.5. 週期性地重置網路會話,並強制設定一個最長生命週期,當應用和使用者重連時,該會話需要重新授權
8.6. 使執行元件有能力追蹤正在執行的行為,並在一段時間後向策略引擎傳送一個授權請求,如果授權引擎判定該行為不能繼續獲得授權,那麼執行元件將強制重置該會話
8.7. 這些機制仍然依賴於“拉取”模式,執行元件會強制週期性地發起授權請求
8.8. 執行元件中配置的最長輪詢時間即是相應會話無效的最快時間
8.9. 最好的方式是透過“推動”模式或基於事件的響應模式
- 8.9.1. 這兩種方法的複雜性和使用它們時面臨的諸多挑戰已經抵消了其帶來的好處
9. 控制平面安全
9.1. 如果控制平面受到攻擊的影響範圍足夠廣,則可能完全破壞整個零信任架構,因此保證這些系統的安全性非常重要
9.2. 對攻擊者來說,破壞策略引擎比破壞一個儲存歷史訪問資料的資料庫更有用
-
9.2.1. 對於前者,可能導致整個零信任授權系統的破壞,使得攻擊者可以授權任何他們想授權的訪問
-
9.2.2. 對於後者,攻擊者可以透過偽造訪問模式來提高他們的信任等級
9.3. 對於敏感的系統(如策略引擎),應該從一開始就進行嚴格控制
-
9.3.1. 組認證和授權模式是一個不錯的選擇,應該重點考慮
-
9.3.2. 更改不應該太頻繁且應該可以廣泛地通知和警告,對控制平面的變更不可能悄無聲息
9.4. 從管理的視角對控制平面進行隔離,這也許意味著控制平面執行在一個專門的雲供應商賬戶之下,或被置於有著更嚴格訪問控制策略的資料中心內
-
9.4.1. 透過這種機制,可以實現更細緻的訪問審計,將其管理平面可能導致的風險降到最低
-
9.4.2. 若將控制平面與其他網路隔離,網路架構就倒退回基於邊界的模式了,這種保證控制平面安全性的方法是一種很糟糕的選擇,是沒有選擇的選擇
9.5. 隨著網路成熟度的提升,可以對控制平面自身進行基於零信任的策略控制