零信任網(wǎng)絡(luò)的一個重要功能：信任管理

信任管理是零信任網(wǎng)絡(luò)的一個重要功能。人們對信任這個概念并不陌生，比如，你會信任自己的家人，但不會信任大街上的陌生人，當然更不可能信任面露兇相的陌生人。為什么會這樣？信任是如何產(chǎn)生的?

首先，你確實了解自己的家人。你知道他們長什么樣子，住在哪里，你并不會懷疑他們的身份，在重要的事情上你會更加相信自己的家人而不是陌生人。

反之，陌生人對你來說則是完全未知的。你也許見過他們的長相，知道他們的一些基本信息，但卻不知道他們住在哪里，也不了解他們的過往。有的陌生人或許看上去很不錯，但你也肯定不會在重要的事情上相信他們。比如說，你也許會在去洗手間的時候請陌生人幫你照看物品，但是肯定不會請陌生人幫你在ATM上取錢。

最終，你只是簡單地把所有能夠辨識的環(huán)境、與陌生人相關(guān)的所有信息等，都納入考慮的范圍，然后判斷他們的可信度有多高。ATM取錢這樣的任務(wù)需要非常高的信任等級，而幫助你看管物品所需要的信任等級則低得多，當然也不會低到信任等級為零。

在某些情況下，人們甚至可能連自己都無法完全信任，但是至少可以確信所采取的行動的確是自己所為。因此，零信任網(wǎng)絡(luò)中的信任往往源自系統(tǒng)管理員。“零信任網(wǎng)絡(luò)中的信任”這句話聽上去似乎有些自相矛盾，但是理解這一點卻非常重要：如果不存在與生俱來的信任，那么就必須從某個地方產(chǎn)生信任并小心地管理它。

這里還有一個小問題：系統(tǒng)管理員并不是總能有機會進行授權(quán)和授予信任！另外，當用戶數(shù)量急劇增多時，信任管理的工作量會非常大，而系統(tǒng)管理員的數(shù)量卻不可能無限制地隨之增加。這個問題有成熟的解決方案，那就是信任委托，如圖2-1所示。

圖2-1　管理員信任某個特定的系統(tǒng)，這個系統(tǒng)又可以信任另一個系統(tǒng)，從而形成信任鏈

信任委托非常重要。借助信任委托，人們可以構(gòu)建自動化系統(tǒng)，在無須人為干預(yù)的情況下，以安全可信的方式管理大規(guī)模增長的零信任網(wǎng)絡(luò)。首先，系統(tǒng)管理員是可信的，然后他必須為系統(tǒng)賦予一定程度的信任，使該系統(tǒng)能夠以管理員的身份執(zhí)行后續(xù)動作。為了更好地理解信任委托這個概念，我們以服務(wù)的自動伸縮（Auto-Scaling）功能為例進行簡要描述。假設(shè)你希望自己的服務(wù)能夠按需自動開通，那么這里就會存在問題：如何確定一個新生成的服務(wù)是自己的而不是其他人的？為了達到這個目的，管理員就必須將責任委托給供應(yīng)系統(tǒng)（Provisioning System），授予它創(chuàng)建新主機和為新主機授予信任的能力。通過這種方式，我們就可以相信新創(chuàng)建的服務(wù)確實是自己的，因為供應(yīng)系統(tǒng)已經(jīng)確認過該服務(wù)是由它創(chuàng)建的，并且供應(yīng)系統(tǒng)還可以證明系統(tǒng)管理員已經(jīng)把這樣的權(quán)力授予了它。能夠返回給系統(tǒng)管理員的這一串信任通常被稱為信任鏈（Trust Chain），而系統(tǒng)管理員被稱為信任錨（Trust Anchor）。

2.1　威脅模型

定義威脅模型是設(shè)計安全架構(gòu)的第一步。威脅模型用來描述潛在的攻擊者及其能力、資源以及意圖攻擊的目標。威脅模型通常會明確攻擊者的范圍，并按照攻擊者的能力高低進行排序，以便于人們按照從易到難的順序，合理部署相應(yīng)的攻擊緩解措施。

定義明確的威脅模型是非常好的工具，它能夠幫助我們聚焦于攻擊者，思考并部署相應(yīng)的安全緩解措施。在安全系統(tǒng)的建設(shè)過程中，經(jīng)常出現(xiàn)與其他工程實踐類似的傾向：人們往往傾向于在那些令人浮想聯(lián)翩的工程問題上投入很大的精力，卻忽視那些枯燥無味但仍然很重要的工作。在安全系統(tǒng)的建設(shè)過程中，這種傾向更加令人擔憂，因為系統(tǒng)中薄弱的環(huán)節(jié)恰恰是攻擊者關(guān)注的地方。因此，威脅模型作為一種機制，可以幫助我們聚焦于某個具體的威脅，并仔細思考緩解該威脅的具體措施。

在對安全建設(shè)工作的優(yōu)先級進行排序時，威脅模型同樣可以起到指導作用。設(shè)想一下，如果一個系統(tǒng)的安全措施連用戶弱口令暴力破解這類簡單的攻擊都不能防范，那么奢談如何防范國家級別的攻擊者就變得毫無意義。因此，我們在構(gòu)建威脅模型時也要從初級的攻擊者開始考慮，這一點非常重要。

2.1.1　常用的威脅模型

網(wǎng)絡(luò)安全領(lǐng)域有多種威脅建模方法，以下這幾種都是流行的建模工具。

STRIDE。

DREAD。

PASTA。

Trike。

VAST。

雖然不同的建模工具所使用的威脅描述框架并不相同，但是它們的目標是一致的，都需要盡可能地枚舉針對系統(tǒng)的威脅，然后進一步枚舉能夠緩解這些威脅的系統(tǒng)和流程。

不同的威脅模型處理問題的視角也不盡相同。有的建模工具聚焦于被攻擊者視為目標的資產(chǎn)；有的則獨立地審視每一個軟件組件，枚舉針對每個組件的所有可能的攻擊；還有的則使用與攻擊者相同的視角，把系統(tǒng)看作一個整體，分析攻擊者使用何種手段滲透進這個系統(tǒng)。這些建模工具各有其優(yōu)缺點，在實踐過程中混合使用這3類建模工具是比較理想的做法，有助于構(gòu)建多樣化的威脅緩解措施。

如果使用基于攻擊者視角的威脅建模工具，則可以把攻擊者按照能力（造成的損害）從低到高排列，具體如下。

（1）碰運氣攻擊者

這類攻擊者又被稱為“腳本小子”。他們沒有什么高明的攻擊戰(zhàn)術(shù)，也沒有明確的攻擊目標，往往利用那些眾所周知的漏洞和工具發(fā)起攻擊，廣撒網(wǎng)，碰運氣。

（2）定向的攻擊者

此類攻擊者針對特定的目標發(fā)起針對性的攻擊。他們經(jīng)常通過魚叉郵件、社交工程等手段發(fā)起攻擊。

（3）內(nèi)部人員

擁有合法憑據(jù)的系統(tǒng)用戶。外包人員、非特權(quán)的企業(yè)員工等，都屬于這一類。

（4）可信內(nèi)部人員

可信度很高的系統(tǒng)管理員。

按照以上方式把威脅進行分級，就能夠聚焦于每一個級別的威脅，分析和探討緩解該威脅的方法。2.1.2節(jié)將討論零信任模型的目標是緩解哪些級別的威脅。

2.1.2　零信任的威脅模型

RFC 3552描述了互聯(lián)網(wǎng)的威脅模型。一般情況下，零信任網(wǎng)絡(luò)遵循互聯(lián)網(wǎng)威脅模型來描述安全態(tài)勢，規(guī)劃緩解威脅的措施。為了更好地理解這一威脅模型，建議完整閱讀RFC 3552，本節(jié)摘錄了其中相關(guān)的內(nèi)容。

互聯(lián)網(wǎng)環(huán)境下的威脅模型相當容易理解。通常情況下，假設(shè)參與協(xié)議交互的端點系統(tǒng)自身并沒有被攻陷。如果其中一個端點系統(tǒng)被攻陷，那么阻止攻擊就變得非常困難了。在這種情況下，通過仔細設(shè)計安全協(xié)議，還是有可能縮小損害的范圍，降低損害的程度。

與之相反，假設(shè)攻擊者幾乎能夠完全控制端點系統(tǒng)用以通信的信道。這意味著攻擊者可以讀取網(wǎng)絡(luò)上的任何PDU（Protocol Data Unit，協(xié)議數(shù)據(jù)單元），并且不被察覺地刪除和篡改數(shù)據(jù)包，或者將偽造的數(shù)據(jù)包注入到通信線路中。攻擊者能夠生成看似源自可信主機的數(shù)據(jù)包。因此，即使與之通信的端點系統(tǒng)本身是安全的，互聯(lián)網(wǎng)環(huán)境的特點也使得我們無法確認通信數(shù)據(jù)包真的源自該端點系統(tǒng)。

因為零信任網(wǎng)絡(luò)需要控制網(wǎng)絡(luò)中的端點設(shè)備，所以它對互聯(lián)網(wǎng)威脅模型進行了擴展，充分考慮了端點設(shè)備被攻陷的情形。面對端點設(shè)備可能遭受的攻擊，通常的應(yīng)對方式是首先對端點操作系統(tǒng)進行安全加固，然后采用端點系統(tǒng)安全掃描、系統(tǒng)活動行為分析等方式來進行攻擊檢測。此外，定期升級端點設(shè)備中的軟件，定期更換端點設(shè)備的登錄憑證，甚至定期更換端點設(shè)備本身等，也能夠緩解針對端點設(shè)備的攻擊。

擁有無限資源的攻擊者本質(zhì)上是無法防御的，零信任網(wǎng)絡(luò)充分考慮了這一因素。因此，零信任網(wǎng)絡(luò)的防御目標是那些常見類型（不是所有類型）的攻擊者。

從前面對攻擊者能力的描述來看，零信任網(wǎng)絡(luò)能夠防御的攻擊者包括從低級別的“碰運氣攻擊者”到高級別的“可信內(nèi)部人員”。大多數(shù)組織能夠遇到的攻擊類型基本上就是以上這些，很難遇到復雜程度更高的攻擊。因此，針對這些類型的攻擊者制定緩解措施具有更廣泛的適用性，能夠抵御組織面臨的絕大多數(shù)攻擊，顯著提升組織的安全態(tài)勢。

我們還會遇到一些很難防御的、相對小眾的威脅，如利用虛擬機管理程序的漏洞復制虛擬機內(nèi)存等。防御這類威脅需要付出相當大的代價，可能需要專用的物理硬件，因此大多數(shù)零信任網(wǎng)絡(luò)的威脅模型排除了這類攻擊。我們應(yīng)該明白，在網(wǎng)絡(luò)安全方面雖然有許多最佳實踐，但是零信任模型僅需要保證用于認證和授權(quán)操作的信息的機密性，如存儲在磁盤上的憑據(jù)的機密性。至于對端點系統(tǒng)安全性的進一步要求，如全盤加密等，是其他安全策略需要考慮的問題。

2.2　強認證

如果沒有辦法把物理世界中的人與其數(shù)字世界中的身份聯(lián)系起來，那么無論采用什么方法都無法真正建立對一個人身份的信任。人類可以使用多種感官系統(tǒng)的組合來判斷面前的這個人是否就是他們所認為的那個人，事實證明，人類多種感官的組合很難被欺騙。

然而，計算機系統(tǒng)就沒那么幸運了。計算機場景下的身份認證更像是通過電話與某人交談。你可以聽到他的聲音，可以看到他的來電號碼，可以問他問題……但是，卻看不到他本身。這就是很大的挑戰(zhàn)：應(yīng)該用什么辦法來判斷電話線路另一端的人（或系統(tǒng)）的確就是他所聲稱的那個人（或系統(tǒng)）？

通常情況下，管理員采用檢查遠程系統(tǒng)的IP地址，并要求對方輸入口令的方式來完成身份認證。但是在零信任網(wǎng)絡(luò)中，僅僅采用這些方法進行身份認證是遠遠不夠的。因為零信任網(wǎng)絡(luò)中的攻擊者能夠使用任意IP地址進行通信，還能夠?qū)⒆约褐糜趦膳_遠程通信的計算機之間發(fā)起中間人攻擊。因此，零信任網(wǎng)絡(luò)中的每個訪問請求都需要經(jīng)過強身份認證。

目前，應(yīng)用較廣泛的身份認證機制是安全工程師們都非常熟悉的X.509標準。該標準定義了數(shù)字證書的標準格式，并能夠通過信任鏈認證身份。X.509證書是TLS協(xié)議（以前是SSL協(xié)議）用來驗證連接的主要機制。

SSL是匿名的

大多數(shù)TLS應(yīng)用實例僅配置了單向身份認證，即只是由客戶端驗證所訪問的資源是否可信，但是被訪問的資源沒有驗證客戶端是否可信，這種配置在零信任網(wǎng)絡(luò)場景下來說存在明顯的問題。

TLS協(xié)議本身支持雙向身份認證，即被訪問的資源也同樣可以驗證客戶端的身份。這一步驟對私有資源的保護來說非常重要。關(guān)于零信任網(wǎng)絡(luò)TLS配置的更多信息可以參考8.5.2節(jié)。

X.509證書使用兩個密鑰：公鑰和私鑰。公鑰需要被公布出去，私鑰則被嚴格保密。使用公鑰加密的數(shù)據(jù)，可以用私鑰解密，反之亦然，如圖2-2所示。通過正確解密由眾所周知（且可驗證）的公鑰加密的數(shù)據(jù)片段，人們可以證明其擁有正確的私鑰，就能夠在不暴露秘密的情況下驗證身份。

圖2-2　Bob使用Alice的公鑰加密消息，只有Alice能夠解密

基于證書的身份認證機制可以讓通信雙方確信對方擁有正確的私鑰，并且可以確信攻擊者通過搭線竊聽的方法無法竊取并重用密鑰。但該機制仍然依賴于一個秘密，而這個秘密可能會被竊取。通過網(wǎng)絡(luò)搭線竊聽這種方式雖然行不通了，但是攻擊者仍然可以使用惡意軟件感染或物理接觸的方式竊取這個秘密。

也就是說，雖然身份憑據(jù)的合法性可以得到驗證，但是其機密性無法得到保證。因此，實踐中最好使用存儲在不同位置的多個秘密，根據(jù)這些秘密的組合授予訪問權(quán)限。在這種情形下，攻擊者必須竊取多個秘密才能完成攻擊，這增加了攻擊的難度。

雖然組合使用多個秘密的方式有助于防止未授權(quán)的訪問，但是仍然存在所有秘密都被竊取的風險。因此，所有身份認證憑據(jù)都應(yīng)當有時間限制。為身份認證憑據(jù)設(shè)定有效期限，不僅能夠最大限度地縮減憑據(jù)泄露或密鑰被盜的影響范圍，還可以給管理員更新密鑰和重建信任創(chuàng)造更多的機會，爭取更多的時間。管理員更改或更新密鑰/口令的行為被稱為憑據(jù)輪換（Credential Rotation）。

憑據(jù)輪換機制能夠有效防止秘密失竊，并在發(fā)生秘密失竊事件時及時將其注銷，避免更大的損失。人們應(yīng)當盡可能避免使用難以輪換或者輪換成本很高的身份認證憑據(jù)，如硬件令牌/口令等，特別是新建的系統(tǒng)，應(yīng)當在系統(tǒng)設(shè)計早期就考慮到這個因素。身份認證憑據(jù)的輪換頻率通常與輪換所需的成本成反比。

輪換代價高昂的憑據(jù)示例

需要外部機構(gòu)簽發(fā)的數(shù)字證書。

人工配置的服務(wù)賬戶。

需要系統(tǒng)重啟才能重置的數(shù)據(jù)庫口令。

一旦更改就會導致所有已保存的散列值失效的密鑰種子。

本文截選自《零信任網(wǎng)絡(luò) 在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》

零信任網(wǎng)絡(luò) 在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)

國內(nèi)首部介紹零信任網(wǎng)絡(luò)的專業(yè)技術(shù)圖書。

內(nèi)容全面豐富，是學習零信任網(wǎng)絡(luò)不可或缺的參考資料。

全面解析零信任網(wǎng)絡(luò)技術(shù)，系統(tǒng)介紹構(gòu)建零信任網(wǎng)絡(luò)的方方面面。

《零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》分為10章，從介紹零信任的基本概念開始，描述了管理信任，網(wǎng)絡(luò)代理，建立設(shè)備信任、用戶信任、應(yīng)用信任以及流量信任，零信任網(wǎng)絡(luò)的實現(xiàn)和攻擊者視圖等內(nèi)容。《零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》主要展示了零信任如何讓讀者專注于構(gòu)建強大的身份認證和加密，同時提供分區(qū)訪問和更好的操作敏捷性。通過閱讀《零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》，讀者將了解零信任網(wǎng)絡(luò)的架構(gòu)，包括如何使用當前可用的技術(shù)構(gòu)建一個架構(gòu)。 《零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》適合網(wǎng)絡(luò)工程師、安全工程師、CTO以及對零信任技術(shù)感興趣的讀者閱讀。

本文轉(zhuǎn)載自異步社區(qū)。

網(wǎng)絡(luò)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應(yīng)法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應(yīng)法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。