ISC 观点｜“墙破了”怎么办？

随着业务的增长，近两年来360公司自身在网络安全运营方面面临着一系列的转变，包括数据中心规模扩大、网络设备数量剧增、移动办公和云业务的大幅采用等等，这些转变导致了一些显而易见的安全挑战，包括边界模糊、海量数据中心和设备难以管理、设备可信难以施行、内网安全难以保障……基于这些安全挑战，作为360信息安全中心网络安全部负责人张睿意识到，“墙破了”。

规模空前的ISC 2018互联网安全大会在上周落下帷幕。在身份安全论坛现场，360企业安全集团身份安全产品部负责人张泽洲和360信息安全中心网络安全部负责人张睿共同为大家带来了《基于零信任的身份安全理念、架构及实践》的主题演讲。

360的零信任安全实践充分结合CSA提出的软件定义边界SDP、Google的BeyondCorp项目等业界零信任安全方面的规范和参考实践，自研零信任安全的控制器，实现了身份源的统一、严格的用户和终端管控，并结合业界厂商的标准零信任网关类产品，实现了适应不同网络访问场景的零信任安全方案。

张睿分享了在零信任安全建设过程中的“雷”和“坑”，着重提到在零信任安全项目中，高层领导的牵头和支持至关重要，另外，张睿也对零信任安全的未来进行了展望，希望能基于更全面的数据分析技术促进零信任网络的持续运营优化。

360企业安全集团身份安全实验室负责人张泽洲介绍了关于零信任身份安全的通用理念和架构。在企业数字化转型的今天，外部威胁、内部威胁和IT新环境下边界的瓦解都是企业面对的巨大挑战，基于边界的安全体系正在失效，业界期待新的安全架构，零信任安全就是在这种背景下诞生的，其目的是基于身份和访问控制从0构建企业新的逻辑边界。
零信任安全的本质是访问控制范式的转变，从传统的以网络为中心转变为以身份为中心进行访问控制。这种转变的必然性是因为企业的边界正在瓦解，已经无法区分内外网，因此，索性将企业网按照互联网安全的思路进行建设，而互联网对业务的安全防护的典型解决方案就是基于身份与访问控制，因此，零信任安全自然而然的将身份和访问控制作为信任重建的基石。零信任安全架构一般由三大子系统构成：设备和用户认证代理、可信接入网关和智能身份平台。
基于零信任安全的基础架构，张泽洲分享了零信任安全的一些关键实践。

设备认证是零信任安全的关键实践，在零信任架构中，终端设备包括4类状态：非受控终端、受控终端、可信终端和不可信终端。通过3大关键举措来实现设备的状态迁移：设备初始化和注册、设备认证、设备持续评估。
★默认情况所有的终端设备都标记为非受控终端，非受控终端没有任何权限，必须完成设备注册后，非受控终端才变为受控终端。
★受控终端要变为可信终端，必须经过设备认证。只有可信终端可进行后续的用户认证和业务访问。设备认证的技术手段包括设备证书、设备指纹、设备硬件绑定等技术。
★另外，必须通过持续的终端风险监测和评估，确保可信设备的持续可信。如果评估发现设备风险过高，可信终端将退化为不可信终端，访问权限将被撤销。

设备认证通过后需要进行用户认证。用户认证也包括3个关键举措：初始认证、持续认证和二次认证。

在零信任安全的逻辑中，认为仅仅对用户进行一次性的初始认证并不安全，即便是采用了多种认证因子仍然无法保证用户身份在访问业务过程中的安全性，因此，需要采用持续认证手段，通过用户业务流量分析、用户操作行为分析持续的评估用户身份的合法性。在发现安全风险时，需要提示用户进行二次认证。

零信任安全的本质是基于身份的访问控制，具体实践中需要充分考虑授权策略的自适应、可管理、可扩展几方面的平衡。建议采用基于角色的访问控制模型RBAC和基于属性的访问控制模型ABAC相结合的方式。
★通过RBAC实现粗粒度授权，建立满足最小权限原则的权限基线；
★通过ABAC模型，基于主体、客体和环境属性实现角色的动态映射，满足灵活的管理需求；
★通过风险评估和分析，对角色和权限进行过滤，实现场景和风险感知的动态授权。

为了对所有业务访问进行强制认证和授权，需要可信接入网关。可信接入网关接管所有的业务访问请求并和智能身份平台平台联动进行认证和授权。另外，可信接入网关作为业务的访问代理，可以提供统一的传输加密机制和全流量日志导出能力。因此可信接入网关即是策略强制执行点也是流量加密网关。

在零信任安全架构中，智能身份分析为自适应访问控制和身份治理提供智能支撑。
★通过采集各种设备、用户、环境相关的属性和业务访问的日志信息，智能身份分析引擎可实时评估当前访问请求的风险分，并将这个风险分作为访问控制的关键判定因子。
★智能身份分析也是身份治理的关键能力，通过对等组分析、权限合规分析等模型，持续对权限策略进行优化和风险评估，并触发工作流引擎对策略进行调整，形成身份和权限的智能闭环治理。

零信任安全架构的核心控制平面智能身份平台需要基于现代身份管理技术进行构建，相对于传统身份管理，现代身份管理平台具备敏捷、安全、智能的优势。
★基于敏捷的身份生命周期管理机制，满足企业对内部、外部、客户等不同身份的管理；
★基于智能身份分析和动态访问控制技术，具备对未知风险的防护能力；
★基于现代的云计算和微服务等技术手段进行构建，满足现代企业弹性的部署需求，并且由于这些新架构的运用，也大幅提升了客户的部署效率，降低上线成本。

介绍完零信任安全的关键实践，张泽洲总结了零信任安全的核心要点：
★无边界设计：信任的建立不能简单的基于网络位置。
★情景感知：访问权限取决于系统对用户和设备的了解。
★动态访问控制：基于多维属性产生动态ACL，所有访问都必须被认证、授权和加密。

关于实践路径，张泽洲提到零信任安全架构是一项系统工程，其建设不可能一蹴而就，需要高层领导驱动，安全规划先行，切合实际分阶段。并强调了高层领导驱动的重要性。另外，技术选项方面，企业需要充分评估自研还是选择成熟方案。从Google和360的零信任实践来看，自研对研发能力要求极高，难度极大，周期极长，建议不具备极强研发能力的企业选择市场的成熟产品和方案。

零信任安全是企业数字化转型过程中应对安全挑战的理想安全架构，它的推广和建设需要安全厂商和企业共同努力。张泽洲分享了360企业安全集团全新发布的360ID TrustAccess身份安全解决方案，360ID TrustAccess秉承“新身份、新边界”的理念，遵循“先验证用户和设备、后访问业务”的产品逻辑，为企业提供开箱即用的零信任身份安全解决方案，其核心价值包括：
★基于零信任，推动企业安全重构
★基于敏捷、智能、安全的现代身份管理平台进行构建
★适应现代IT环境，助力企业数字化转型

来源  360企业安全