SA創新沙盒盤點｜BastionZero——零信任基礎設施訪問服務

RSAConference2022將於舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：BastionZero。

一、公司介紹
BastionZero於2019年由Sharon Goldberg和Ethan Heilman創立，註冊地位為美國馬薩諸塞州首府波士頓，最初是一家區塊鏈安全公司，受新冠疫情影響後業務重心轉向了基礎設施訪問控制安全。目前員工人數在11~50人之間，在種子輪融資中獲投600萬美元[1]。Sharon Goldberg是波士頓大學電腦科學系的副教授，曾在IBM、Cisco和 Microsoft擔任研究員；Ethan Heilman在進入波士頓大學攻讀博士學位前，一直是各種初創公司的軟體開發人員，曾在Broad Institute編寫生物資訊學註釋軟體，圖1為BastionZero創始人[2]。

圖1 BastionZero創始人

BastionZero目前致力於提供便捷安全的遠端訪問服務，幫助客戶輕鬆可靠地實現對雲或本地資料中心基礎設施（伺服器、容器、叢集、資料庫）的遠端訪問控制。

二、背景介紹
在對BastionZero提供的訪問控制服務及相關技術進行分析之前，我們先來聊一聊“零信任”是什麼，用在哪，具有哪些實踐價值。

從本質上講，零信任（Zero Trust，ZT）是一種安全理念，不是不信任，而是持續信任。它強調預設的信任是不存在的，企業自有網路基礎設施（內網）與其他網路（公網）沒有任何不同，網路位置不再決定訪問許可權，側重於保護資源而不是網段，零信任網路訪問（Zero Trust Network Access，ZTNA）將網路防禦的重心從靜態的網路邊界轉移到了使用者、裝置和資源上。

伴隨著雲環境的引入，當前的網路邊界正在不斷模糊，外部攻擊者在突破邊界後，可以在內部輕易的進行橫向移動，盜取資料資訊。使用零信任技術可以通過埠隱藏，減少攻擊面來保護關鍵資產和基礎設施；通過分離控制面與資料面，提供細粒度的訪問控制；通過對使用者、裝置、身份的集中管理，提升工作效率，節省成本和人力需求。

2010年，時任Forrester副總裁兼分析師的John Kindervag以“永不信任，始終驗證”思想提出了零信任模型，零信任概念開始得到業界關注並被廣泛認可；2011年Google率先啟動了基於零信任模型建設網路安全架構的專案BeyondCrop[3]；2013年，國際雲安全聯盟（Cloud Security Alliance，CSA）提出了軟體定義邊界（Software Defined Perimeter，SDP），並於次年釋出了《軟體定義邊界（SDP）標準規範V1.0》，貢獻了零信任的首個技術解決方案[4]，時隔八年，《軟體定義邊界（SDP）標準規範V2.0》也即將問世；2019年，美國國家標準與技術研究院（NIST）主導，業界眾多安全專家參與，編寫釋出了零信任架構草案（NIST.SP.800-207），明確提出實現零信任的解決方案，包括軟體定義邊界SDP、增強的身份治理IAM及微隔離MSG，該草案得到了業界的廣泛認可，可作為零信任架構的參考標準，零信任架構的核心邏輯元件如圖2所示[5]。

圖2 NIST零信任架構

近兩年，隨著遠端辦公成為社會常態，零信任又迎來了新的發展機遇。根據MarketsandMarkets資料顯示，全球零信任安全市場規模預計將從2020年的196億美元增長到2026年的516億美元；IDC預測，到2024年，安全遠端訪問解決方案將以260億美元價值佔據全球網路安全市場12.5%的份額[6]，零信任相關產品和解決方案將在其中佔據重要地位。

BastionZero提供的雲服務聲稱可根據零信任安全模型，基於多信任根對資料中心等基礎設施提供安全可靠便捷的遠端訪問，這是否有助於零信任技術的進一步推廣呢？接下來我們對BastionZero的產品服務及關鍵技術進行分析和解讀。

三、產品介紹
作為一傢俱有密碼學領域背景的初創公司，BastionZero的架構靈感來自基於閾值的密碼技術創新，除了可提供對基礎設施的零信任遠端訪問外，其獨特的安全模型解決了傳統零信任架構面臨的單點攻陷（single point of compromise）問題，這個名詞聽起來有點繞，接下來我們結合官方示意圖做一個簡單說明。

圖3 傳統零信任結構示意圖

如圖3所示，在傳統的零信任架構中[7]，通常是通過引入一箇中心化的控制器（信任根）來儲存長期存在的金鑰、憑據或令牌，用於客戶端及使用者的認證管理，訪問資源的統一排程，即誰可以訪問哪些資源（圖中的藍色方塊），避免了使用者側持有長期憑證。但由於所有憑據都集中儲存，相當於鼓勵攻擊者對該信任根發起挑戰，如果攻擊成功，攻擊者將獲得所有依賴該信任根的資料資產，這就是所謂的單點攻陷。並且需要注意的是，使用多因素認證（Multi-factor authentication，MFA）並不能有效阻止該類攻擊，一但信任根遭到破壞，MFA會被完全繞過。

圖4 多信任根模型示意圖

而在BastionZero提出的多信任根模型中[7]，如圖4所示，它們將使用多個（目前是兩個）獨立的信任根來控制對目標的訪問，只要有一個信任根沒有受到威脅，那資料資產就處於安全狀態，即通過分散攻擊面來消除單點攻陷問題。

由於認證過程分散至多個獨立的信任根，故在受威脅信任根個數不超過閾值的前提下（目前閾值為1），攻擊者的訪問都是受限的，儘管攻擊者可以阻斷合法使用者的正常訪問連線，但信任模型依然安全，訪問目標將被持續保護。

接下來讓我們深入BastionZero零信任架構，結合圖4所示的多信任根模型，BastionZero零信任架構中共包含兩個信任根，一個是BastionZero雲服務本身，另一個是第三方單點登入（Single Sign On，SSO）服務商，詳細架構如圖5所示[8]。該架構以BastionZero雲服務作為代理實現了對訪問目標的“隱身”，本質上仍屬於雲化的經典身份管理與訪問控制（Identity And Access Management，IAM）解決方案。

圖5 BastionZero零信任架構

BastionZero憑藉其自研的多根零信任訪問協議MrZAP（Multi Root Zero-Trust Access Protocol）來保障訪問安全。該協議支援使用者持有臨時金鑰對，使用者在登陸時，其SSO服務商首先驗證使用者身份資訊並對臨時公鑰進行簽名，BastionZero將該簽名作為證書（BZCert），並在後續驗證中為BZCert附上自己的簽名，用以證明臨時金鑰的有效性。使用者在BZCert與BastionZero雲握手成功後即可與訪問目標建立連線，臨時金鑰在使用者登出時會立即失效，這使得僅BastionZero在遭受入侵時，攻擊者將因為缺乏有效使用者身份而無法連線訪問目標；同理，當且僅當SSO服務遭到入侵時，通過BastionZero的強制MFA又可有效阻斷攻擊者的非法訪問。

值得一提的是，在整個連線過程中，每條訊息都包含前一條訊息的雜湊值和傳送方簽名σ，每次握手也都會建立新的BZCertc用於動態驗證，通過雜湊鏈來關聯訊息可以有效防止雲服務商惡意篡改或注入命令等行為。MrZAP協議中訊息格式如圖6所示[9]。

圖6 MrZAP訊息格式

最後，使用者在通過SSO及MFA驗證後，基於TLS的websocket與目標資源建立連線，策略引擎負責記錄評估，支援對不可見雲及網路資源的訪問，訪問結構如圖7所示[9]。

圖7 訪問結構示意圖

與雲環境中的IAM解決方案一樣，BastionZero雲服務提供了集中式的策略管理介面和易於理解的策略定義方式，便於使用者通過Web控制檯或API介面來自定義細粒度的訪問策略，可以輕鬆實現對不同環境中使用者的訪問管理，訪問策略管理介面如圖8所示[10]。

圖8 訪問策略管理介面

除此之外，BastionZero雲服務的集中日誌還可以記錄主體對客體的詳細訪問操作，通過提供可搜尋命令及會話查詢來滿足使用者的取證與合規要求, 日誌介面如圖9所示[10]。

圖9 日誌介面

BastionZero可與訪問目標進行整合，現階段通過Web應用程式或zli（BastionZero的命令列介面）可以為遠端主機、資料庫、Kubernetes 叢集和Web伺服器提供零信任基礎設施訪問服務，使得服務無需對外暴露埠，支援設施如下圖所示[10]。

圖10 基礎設施支援

四、產品特點
作為一種基於多信任根的零信任解決方案，使用BastionZero可以幫助客戶輕鬆配置管理網路和後端業務，隱藏對外埠，提供對資料資源的細粒度訪問控制，同時確保訪問過程的安全可靠，產品特性如圖11所示[8]。

圖11 產品特性

01一站式雲服務
對於企業不斷變化增長的資料資產，通過BastionZero提供的雲服務可以對所有訪問目標（伺服器、容器、叢集、資料庫）進行集中式管理，減輕企業網路側的管理負擔。在零信任架構建設過程中，依託於雲端計算，可以無縫便捷地將基礎設施訪問功能左移至雲服務中，免去代理人、堡壘機及權威中心，一站式雲服務大大減少了企業從傳統VPN接入方式向零信任網路遷移的技術阻礙。

02目標埠隱藏
一個網路有多少IP和埠對外暴露，就存在多少可以被攻擊的點，也就是說暴露面越小，網路越安全。在BastionZero遠端訪問服務中，被保護的訪問目標在網路中將完全“隱身”，使用策略控制管理之後，可以避免掉絕大多數的網路攻擊及滲透測試。

03雙重身份驗證
BastionZero憑藉其原創的MrZAP訪問控制協議，可以將訪問目標置於SSO之後並新增獨立的MFA來提供對訪問使用者的雙重身份驗證（目前通過 TOTP協議支援MFA），即使用者在完成SSO後，通過BastionZero完成資訊傳遞。同時使用SSO服務提供商和BastionZero雲服務充當獨立信任根，可確保其中一方遭受惡意攻擊時不會影響訪問目標，有效增強系統安全性。

04身份感知日誌
當使用者通過身份驗證，策略引擎完成請求評估後，使用者與訪問目標的連線將暢通無阻，與此同時，所有通過BastionZero的訪問日誌、命令日誌和會話記錄都將被捕獲，便於身份感知與敏感操作溯源。

五、總結
“零信任”自誕生至今已有十餘年，但在技術轉型的過程中遭遇了許多阻礙，現如今常態化的遠端辦公正在加速零信任產品的推廣。與同類IAM解決方案相比，BastionZero提供的一站式零信任遠端訪問解決方案在易於部署的同時，廣泛支援各底層基礎設施，具備良好的服務相容性，同時SSO+MFA雙根認證體系解決了單點攻陷問題，有效提升了產品的容錯能力。

依託於雲端計算的BastionZero大大降低了企業的部署管理門檻，削減了硬體方面的開銷，對於想要用零信任解決VPN帶來弊病的企業極具吸引力，但這也意味著企業的所有訪問流量都需通過第三方，儘管BastionZero通過開源協議、日誌監控來宣告自己無法篡改訊息，訪問過程安全可靠，但仍無法完全避免信任與責任問題，企業必須仔細瞭解“責任共擔模型”[11]，充分評估潛在風險以及風險觸發後的損失和求償可能性。

除此之外，BastionZero的創新型零信任架構需要依賴第三方SSO服務提供商，雖然提升了系統安全性，但多機構的引入可能會使應用情況變得更加複雜，任何一方出現問題，系統都將面臨不可用的窘態，對比零信任SDP架構，本質上是將風險轉嫁給了雲端。

總體來看，相比於2021年RSA創新沙盒入圍公司Axis Security[12]，BastionZero在底層協議創新上做了更多的努力，這與其團隊成員的密碼學背景密不可分。在飽受疫情影響的今天，市場對於安全高效便捷的遠端訪問控制服務迫切需求，BastionZero是否能夠憑藉其產品創新價值在一眾安全廠商中脫穎而出？讓我們拭目以待。

參考文獻
[1]https://www.crunchbase.com/organization/bastionzero

[2]https://www.bastionzero.com/company

[3]https://cloud.google.com/beyondcorp

[4]《軟體定義邊界（SDP）：安全架構技術指南》，CSA大中華區SDP工作組編著

[5]http://blog.nsfocus.net/wp-content/uploads/2020/08/NIST-SP-800-207-Zero-Trust-Architecture-202008.pdf

[6]《2022年V1全球網路安全支出指南》，國際資料公司（IDC）

[7]https://docs.bastionzero.com/product-docs/home/security-model

[8]https://www.bastionzero.com/

[9]https://github.com/bastionzero/whitepapers/tree/main/mrzap

[10]https://www.bastionzero.com/product

[11]《雲端計算關鍵領域安全指南V4.0》，雲安全聯盟（CSA）

[12]https://mp.weixin.qq.com/s/Ww