安全研究 >> 安全研究详情

老柳谈安全 | 零信任架构2.0的进化:基于上下文的动态访问控制系统

作者: 老柳发布日期: 02月23日

零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,并在美创科技的每个数据安全产品中无缝落地。美创科技根据市场需求的变化不断地发展着零信任架构,在经过5年的成熟实践之后,近期美创科技零信任架构1.0即将升级为2.0版本,以更好的满足数据安全和网络安全的诉求。




零信任架构2.0是在零信任架构1.0的四大基本原则和六大实践原则基础上的进化版本,能够更适应“云大物移”等这些不断开放的网络环境。相较于零信任架构1.0版,零信任架构2.0版的变革和创新之处主要体现在以下三点:


"1、在不可靠网络中寻求可靠支撑点的决心更加坚决,在承认无边界访问的事实之上重新定义安全边界,并以人、边界、资产构成非安全网络的三个基本支撑点。


2、采用智能化识别模式来判断每一个行为的上下文变化和匹配情况,并在过程中不断评估信任和风险,可以真正实现基于上下文风险的动态访问。


3、充分认知到数据流动已经成为主要的安全场景之一,因此,能够让零信任架构真正覆盖到数据流动场景之中。"


本篇主要讲述零信任架构2.0中基本支撑点之一:基于上下文的动态访问控制系统。


零信任2.0简化了身份构成,把人、终端、应用、账户之外的其他动态信息从身份中剥离出来,构成上下文空间,上下文作用于身份和行为,使身份和行为在上下文空间中活动。在每一次访问中都会存在四个基本组成:资产、身份、行为、上下文。身份和行为在不同的上下文中表现出不同的可信度和不同的风险,身份和行为的可信度表现出疑问则意味着每次访问都需要基于上下文做独立评估,我们表述为基于上下文的动态访问控制策略或者系统。Gartner CARTA:持续自适应风险与信任评估方法论在这里做出了有益的探索和尝试。


1、风险、信任、上下文


风险:


简单的来说,任何非预期的访问都意味着风险。但是不同的非预期的风险大小是不同的,我们需要让风险可衡量。


信任:


身份真实性程度的一种衡量。信任和风险往往表现出一种负相关,身份真实性程度越低,不可预期的风险可能性就越高。身份四要素中的信任系数天生是不同的,人具有天生的信任度,终端的信任度就比较低,应用则更低。账户则依赖于不同账户特性体现出高低不同的信任度。


上下文:


身份总是在一定的上下文中存在,上下文的变化体现了身份信任度的变化。当身份的信任度降低,意味着该身份的所有行为可能都是无法预期,会具有更高的风险。行为总是在一定的上下文中存在,上下文的变化体现行为风险可能的变化。行为的执行必须在可接受信任身份和可预期的风险范畴之内。


2、资产边界的信任和风险


所有的风险都会在访问资产的时候发生。当没有发生资产访问,所有的高风险都只是潜在的高风险。从资产端来控制预期的风险,是基于上下文的动态访问控制系统很好的开始。比如对于工资表,我们设置为高敏感,需要很高的信任度才可以被访问,比如0.9。我们设置为高风险,只有低风险的身份才可以进行访问,比如0.1。当一个身份的信任度低于0.9,比如是0.8,则无法访问工资表,即使其被明确授权。如果需要访问,则需要提高其信任度。  


对于需要细粒度的高价值网络,基于资产边界的信任和风险标记是上下文动态访问的基础性策略。


3、身份的信任和风险


每一个接入网络的身份都需要被标记信任和风险。对于一个未知的初始身份信任系数为0.5,风险系数为0.5作为一个开始,表示只允许访问公开的非敏感资产。我们可以明确的对于身份的四要素进行信任度评分:人0.9分,终端0.5分,可信终端0.75分,业务账户0.75,普通平台账户:0.5分,应用:0.25分。身份的风险则可以依据可掌控度来标记,可掌控度越高,风险越低,可掌控度越低,风险越高。比如从美国发起的一个明确的人:具有高达0.9的信任度,但是可能也有高达0.9的风险度。


对于粗粒度的低价值网络,往往在资产端的管理会非常粗放。为了进一步简化管理,我们一般不在资产端不做过多的访问控制,简单实现标签访问即可,比如基于信任和风险的访问控制。这个时候,访问安全的主要控制点在身份,通过设置身份的标签自动去访问可以访问的资产。


4、当身份穿越上下文


当身份穿越上下文,身份的信任度和风险度都会发生变化,并最终影响到是否可以特定的目标资产。在上下文评估的时候,我们遵循旧的就是好的,新的就是不好的基本策略,以概率评估的基本方法来影响信任度和风险度。


5、当行为的上下文发生变化


当行为的上下文发生变化,行为的信任度和风险度都会发生变化。虽然身份的真实性已经被验证没有问题,但是行为的上下文发生变化意味着可能身份误操作或者身份被胁迫。行为上下文真实性同样遵循旧的就是好的,新的就是不好的基本策略,以概率评估的基本方法来影响信任度和分辨度。

服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1 网站地图