随着“云大物移”的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界正在逐渐瓦解。以5G、工业互联网为代表的新基建不断推进,进一步加速了“无边界”的演进进程。与此同时,零信任安全逐渐进入人们的视野,成为新时代解决网络安全的新概念、新架构、新方案。本文主要讨论零信任的访问控制模型。一、概述零信任(ZT),顾名思义,就是“从不信任,不断验证”。NIST对零信任的定义是:零信任架构(ZTA)提供了一系列概念、想法和组件关系,旨在消除在信息系统和服务中实施精确访问决策时的不确定性。核心理念:所有流量都是不可信的;位置不作为安全依据,所有访问均采取安全措施;采用最低授权政策和严格的访问控制;所有流量都需要可视化和分析以供检查。访问控制技术是信息系统安全的核心技术之一。访问控制是通过某种手段表明主体对客体的访问权限或限制范围的方法。它是针对未经授权使用系统资源的一种防御措施。谨慎操作造成的损害,以确保系统资源的受控和合法使用。从访问控制技术的角度,访问控制模型定义了主体、客体和主体到客体的访问规划,从抽象层面描述了访问控制约束的概念框架,建立了适应各种实现方式的安全模型和应用环境。建立规范的访问控制模型是实施严格的访问控制约束的基础。在零信任网络架构下,要求系统即使在网络环境已经被破坏的情况下,也能够有效减少和限制异常用户的访问行为。那么,我们应该如何设计零信任架构的访问控制模型呢?首先我们来看一下访问控制的发展路线。2、访问控制的发展路线访问控制技术出现于20世纪70年代,最初是为了解决大型机上共享数据的授权访问管理问题。经过40多年的蓬勃发展,访问控制技术的应用领域逐渐扩大,并出现了具有代表性的模型,如早期的自主访问控制(DAC)和强制访问控制模型(MAC);中期基于角色的访问控制(RBAC);“域”概念的引入推动了基于任务的访问控制模型(TBAC);在云计算、大数据等计算模式中,也推动了新的基于属性的访问控制模型(ABAC)等。1.早期访问控制模型(1)自主访问控制(DAC,DiscretionaryAccessControl)DAC模型通过建立客体关联表来组织表中主客体的关系,主要以访问控制表的形式存在。其自主性主要体现在系统中的主体可以不经系统安全员许可,将自己拥有的权限授权给其他主体。即用户有权访问访问对象(服务器、目录、文件、数据等)。DAC模型的优点是比较灵活,易于实现。缺点是资源管理比较分散,主体之间的关系无法在系统中得到清晰的体现;最严重的是,主体可以独立地向其他主体授予权限,这可能导致权限的传递失控,容易受到攻击,导致信息泄露。另外,如果主体和客体的数量过多,DAC模型会带来巨大的系统开销,因此很少在大型系统中使用。(2)强制访问控制(MAC,MandatoryAccessControl)MAC是美国政府和军方根据信息保密和防止特洛伊木马攻击的要求而开发的。其基本思想是判断主体和客体的安全属性级别,主体是否有权访问客体,主要用于具有多级安全级别的军事系统。在强制访问控制机制下,系统中的每个用户或主体都被赋予一个安全属性来表示访问客体的敏感性,系统中的每个客体也被赋予一个安全属性来反映其自身的敏感性。.系统通过比较主体和客体相应安全属性的等级来决定是否授予主体对客体的访问请求。安全属性由系统策略管理员分配并且是强制性的。用户或用户进程不能改变自己或其他主体和客体的安全属性。MAC模型的优点是安全性高,可以防止机密信息通过单向的信息流泄露,从而抵御攻击;同时,由于用户不能改变自己或其他对象的属性,MAC可以防止用户滥用权力。其缺点是灵活性低,权限不能动态改变,权限管理困难,恶意泄露用户信息无计可施。2、中期访问控制模型(1)基于角色的访问控制(RBAC,Role-BasedAccessControl)为了解决DAC和MAC直接给主体分配权限,导致管理困难的缺陷。在访问控制模型中引入了“角色”的概念,即RBAC。所谓角色,就是一个用户或一组用户在一个组织中所能执行的操作的集合。RBAC引入了角色作为中介,角色权限的改变会自动更新每个拥有角色的用户的权限。如果用户更改角色,他们的权限也会更改。RBAC模型的优势在于通过引入“角色”的概念,实现了用户与权限的逻辑分离,极大地简化了权限管理,使其更贴近日常的组织管理规则。可以实现最小权限原则,实用性强。其缺点是一个用户可以同时激活多个角色,约束粒度比较大,容易造成用户权限过大带来的安全隐患。主体与客体之间的联系较弱,可扩展性不强,难以应用于分布式系统。中间。(2)基于对象的访问控制(OBAC,Object-BasedAccessControl)OBAC从信息系统和用户需求的数据差异和变化出发,有效解决了信息数据量大、种类繁多的大规模管理问题数据类型多,数据更新频繁。信息系统的安全管理。OBAC从受控对象的角度,直接将访问主体的访问权限与受控对象关联起来。一方面,它定义了对象的访问控制列表,很容易增加、删除和修改访问控制项。另一方面,当被控对象的属性发生变化,或者被控对象继承派生时,不需要更新访问主体的权限,只需要修改被控对象对应的访问控制项即可,从而减少访问主体的权限管理和授权数据。管理复杂性。(3)基于任务的访问控制(TBAC,Task-BasedAccessControl)访问权限与任务相结合,将每一个任务的执行看成是主体使用相关访问权限访问客体的一个过程。在任务的执行过程中,权限会被消耗,当权限耗尽时,主体就不能再访问客体了。系统授予用户的访问权限不仅与主体和客体有关,还与主体当前执行的任务和任务的状态有关。对象的访问控制权限不是一成不变的,而是随着执行任务的上下文而变化的。3.新的访问控制模型(1)基于属性的访问控制(ABAC,Attribute-BasedAccessControl)ABAC是一种细粒度的访问管理方法,其中,根据定义的规则决定批准或拒绝访问请求具体信息。针对复杂信息系统中细粒度访问控制和大规模用户动态扩展的问题,实体属性(组)的概念贯穿于访问控制策略、模型和实现机制三个层次。对授权和访问控制约束进行建模和描述,使其具有足够的灵活性和可扩展性。ABAC模型的优点是框架化,可以和其他访问控制模型(如RBAC)结合;缺点是所有的元素都需要用属性的形式来描述,有些关系不容易用基本属性来描述。(2)基于策略的访问控制(PBAC,Policy-BasedAccessControl)PBAC是一种将角色和属性与逻辑相结合,创建灵活动态的控制策略的方法。与ABAC一样,它使用许多属性来确定访问权限。它支持上下文和上下文控制,因此可以设置策略以在特定时间和位置授予对资源的访问权限,甚至评估身份和资源之间的关系。可以在给定的时间段内快速调整和设置策略(例如,响应违规或其他紧急情况)。只需单击一下,即可轻松添加、删除或修改用户组,并撤销过时的权限。PlainID的策略管理器提供PBAC支持。(3)下一代访问控制(NGAC,NextGenerationAccessControl)下一代访问控制(NGAC)是对传统访问控制的改造,以满足现代、分布式和互联企业的需求。NGAC被设计成可扩展的,支持广泛的访问控制策略,同时执行不同类型的策略,为不同类型的资源提供访问控制服务,并且在面对变化时保持可管理性。NGAC遵循基于属性的构造,其中特征或属性用于控制对资源的访问,以及描述和管理策略。该标准规定了NGAC框架的体系结构、安全模型和接口,以确保其在不同类型的实施环境中以一系列可扩展性级别实施,并获得必要的凝聚力和功能级别,以实现正确有效地运行。3.对零信任访问控制模型的思考在零信任访问控制模型中,需要在没有传统边界的动态世界中实施一致的策略。我们中的绝大多数人都在混合环境中工作,数据从公司服务器或云端流向具有开放Wi-Fi热点的办公室、家庭、酒店、汽车和咖啡店。此外,数据泄露的风险随着用户设备类型和数量的增加而增加,例如PC、笔记本电脑、智能手机、平板电脑和其他物联网设备。设备的多样性使得创建和维护一致的访问策略变得困难。以往访问控制的方式都是静态的,使用DAC、MAC、RBAC可以很好的解决访问控制问题。今天,网络访问必须是动态和流畅的,支持基于身份和基于应用程序的动态访问控制。高级访问控制策略应动态调整,以响应不断变化的风险因素,使受到威胁的公司或组织能够隔离相关员工和数据资源以遏制损害。访问控制规则必须根据风险因素进行更改,这意味着企业应在现有网络和安全配置的基础上部署使用人工智能(AI)和机器学习的安全分析层。实时识别威胁和自动调整访问控制规则是零信任访问控制模型的主要目标。因此,零信任访问控制模型不应局限于某种访问控制模型,而应根据处理数据的类型和敏感性来确定采用哪种访问控制模型,是否是旧的自由裁量访问控制(DAC))和强制访问控制(MAC),最常用的基于角色的控制模型(RBAC),以及最新的基于属性的访问控制模型(ABAC),单靠不能满足零信任安全的所有场景,只能通过多种技术来实现一起。达到所需访问控制的级别和要求。
