本文的要点:
访问控制是一种比较常见的安全隔离技术。 这里我们主要讲的是网络访问的访问控制。 这同样适用于其他访问,例如文件存储读取访问等。
传统的接入技术,接入成功后获得的是固定的网络权限,始终可以获得该网段的服务资源的访问权限,无需进一步的安全检查。 具体例子如下。
传统VPN接入和内网接入后的风险:
VPN经过身份认证后,根据内网获取实例IP地址。 该内网IP地址也意味着其已获得内网划分的网络端对应的网络访问策略权限。 身份验证通过后,即可访问内网。 当然,现在有些VPN已经有了细分的目标元访问控制,但仍然存在风险。 如今外网终端的日常使用总会遇到身份盗用、设备丢失、网络钓鱼、社会工程等情况,恶意代码或伪造合法访问的终端可以利用已建立的VPN通道扫描内网网段的服务系统。 恶意流量木马不断传播,进一步窃取内部数据或破坏内部系统。
VPN认证接入后,尤其是当设备为公网个人设备时,存在风险,需要持续的安全监控和防护,否则就会出现入侵的关键入口。 经过身份认证和安全检查后,建立可信连接,复用访问权限,提供终端的所有访问服务。 终端被入侵后,VPN通常使用虚拟IP来获取内网的网段权限,作为入侵跳板和内网。 走道。 这里存在的风险包括软件(如后门应用程序)、不安全设备(如植入木马等)、不安全访问行为(未经许可的异常扫描、异常访问流量等)、异常数据泄露行为(各种泄露行为)下载内网系统数据后的行为等)。 接入网络后,设备的安全、异常行为、恶意代码的检测和防护等就变得必要。 否则,无法保护设备处于安全状态,避免通过使用设备或网络入侵企业内部网络。
物理网络访问风险:
具有相同风险的类似场景,如传统内网物理网络接入、传统内网设备接入网络等,进行相应的身份验证和基础设备安全合规检查。 如果检查通过,则允许相应的设备进入相应的内网。 ,分配给一个vlan。 由于企业内网比较大,一般划分的网络防火墙策略不会太细,否则无法维护。 设备通过认证和准入后,就会拥有一定的内网网段访问权限,这个内网网段往往就相当于一个vlan。 以下服务器或办公网络网络。 此类设备进入网络后,很容易被利用,如邮件IM钓鱼、人工U盘投递、社工伪造身份进入、获取WIFI系统突破等。在当前的黑客技术环境下,几乎不可能阻止它。 一旦一端进入,通过植入恶意代码,该设备就可以访问内网的大量资源。 很容易被用作入侵企业网络的跳板,访问企业的各种关键设施和资源。 假设一次认证检查提供了网络访问权限,并且是一次广泛的一次性授权,可以长期使用。 这种方式存在巨大的风险,因此对关键设备、系统、身份、应用等访问过程中的关键对象或对象进行持续的风险监控,行为风险的持续检测就变得很重要。
风险业务场景总结:
在用户访问服务的业务场景中,无论是远程访问系统办公还是访问内网办公,都需要持续的风险评估和动态访问控制的响应能力。
风险分析评估的目的是发现可能导致数据被盗、生产破坏的行为,然后及时做出屏蔽等权限调整。 核心重点是保护企业资产、保障企业运营的连续性。
从访问过程中的关键对象来看,存在很多关键风险因素,包括身份、设备、操作系统、应用程序、网络、访问行为等。
图 用户访问风险示例
2. 规划思路
方案思路如图所示:
图 风险评估 响应 控制计划 想法
建立动态访问控制框架,包括实时条件属性判断部分和异步风险分析评估部分,覆盖整个访问生命周期。
在建立接入时,当前的行业粒度可以对每个接入建立进行相应的条件属性风险评估。 插图展示了一些常见的分析场景,包括用户身份组是否满足相应的服务资源访问权限以及是否有调整等。 源网络位置是否满足策略规则条件、是否满足访问时间范围规则、是否满足设备安全基线状态策略的要求以及其他访问当前的风险状态(级别或评分)。 如果满足规则,则将授权访问。 如果不符合规则,将阻止访问或减少对低敏感资源的其他低风险访问或通过身份质询后授权相应资源访问相应资源。 特别是一些业务场景比较特殊,在一定时间内只需要一次访问。 防止敏感数据被访问的身份挑战。
常见的业务场景如下。
l访问敏感服务需要二次认证
l不同网络区域、不同组织结构的人员对敏感资源的访问权限不同。
l 用户的网络环境发生变化,需要进行二次身份验证才能授予访问权限。
l 用户终端设备安全基线变更不符合要求,访问受阻。
我……
在接入过程中,通过持续的风险分析模块,对关键身份、设备、应用、网络流量、用户行为等进行分析,并给出相应的风险等级。 必要级别需要自动触发访问控制,比如流量异常大。 下载行为可以快速阻止访问和警报,并且可以自动配置相关的响应动作。
由于零信任网络接入框架本身拥有大量的终端设备信息和控制能力,以及所有身份认证和网络接入信息、资源敏感度、接入规则信息等信息,系统本身可以做一些行为分析。 通过获取客户端设备、网关以及管理访问规则和策略等信息来执行分析。
用户行为风险:具有恶意意图的用户、容易被渗透和利用的易感用户、数据泄露行为、身份和特权用户访问。 常见用例,如暴力登录、远程登录、大流量下载、大流量上传、非工作时间登录、访问非法网站/黑名单网址、访问未授权网站、访问后重复尝试等拒绝、使用外部设备复制数据、使用云盘IM软件发送数据等。
设备应用风险:被用作入侵渗透的跳板、被注入外部设备、面临木马病毒和高级持续性威胁。 网络风险:恶意流量附件、钓鱼、收割网站等,其他就不一一列举了。
其次,用户可能拥有一些用于风险分析和检测的设备或基础设施,比如用户的ueba、soc、iam风险、设备安全病毒防护、入侵检测EDR、ids等设备。 还可以获取并分析相应的风险信息。 实现上需要相应的接口联动设计,在接入过程中关注风险检测与关键对象的关系,以便更好地评估和处理。
其次,分析解决方案要求如下。
l实时请求授权判断:还可以快速查看安全状态和规则判断,并进行相应的授权控制,支持实时返回。
l 对访问过程中的关键对象进行风险分析,并做出相应的动态访问权限调整。 这就需要安全评估来评估所有的异常情况和准实时的安全风险分析,并快速应用到动态访问控制引擎中,做出相应的新建或已建立的。 访问权限可能会受到剥夺和阻止等操作的影响。
l 与第三方检测系统联动,获取现有风险分析系统的结果,向第三方系统提交部分风险处理,与第三方系统联动进行应对行动等。
3. 实施详细计划:
图 风险评估应对详细计划
实时动态访问控制引擎支持在建立访问或请求授权时快速计算时间、组织结构、网络位置、资源敏感度等规则条件。 此外,还计算了算法的各种风险特征和状态。 如身份风险、设备共享已缓存的最新检测结果、全面快速计算是否提供终端授权,以及相应的授权或其他响应等。
对于风险评估分析和检测,分为两部分。 其中一部分是实时界面,提供简单规则的实时检测。 可以通过解决登录异常和简单的统计判断来分析异常。 可以考虑使用基于属性规则判断的引擎。 另一部分是异步的,维度丰富。 分析检测能力,一些上下文关系较多的规则,基于基线判断和模型分析的规则,如异常登录行为、异常访问系统行为等,可以考虑使用流式规则检测和批量分析引擎。
实践经验点:由于计算判断的性能问题,选择合适的属性条件计算引擎,减少复杂的计算。 策略分析引擎关注缓存。 设定周期内的重复访问条件支持缓存上次计算结果,减少计算消耗和时间周期。 根据实际需要自行控制。 其次,注意保存所有计算条件的判断逻辑流程审计日志,以便用户报告故障并进行问题分析和回溯。
基于属性规则检测的检测引擎可以在开源中搜索到,并且有多种不同语言的框架。 那么基于流式规则和模型检测的flink、spark等可以作为参考。 它们支持流式和批量任务分析,并支持各种机器学习检测库。 生态比较丰富,可以根据自己的需求进行选择。 当然,我这里只是提供经验分享。 上述一种是比较常见和成熟的,也可以采用其他的系统设计和实现方法。
风险响应处理部分主要用于检测风险后快速更新一些关键属性的特征,提供给实时引擎进行判断控制。 其次,它可以进行报警、拦截、权限调整、身份质询以及输出到第三方响应保护。 处理等能力,你可以根据需要做自己系统的一些闭环能力。 上述处理基本上可以在零信任网络接入的系统框架内闭环实现。 例如,阻止或身份挑战可以直接影响代理或网关,权限调整可以快速同步到实时动态访问控制引擎。 这也是这个系统的价值所在。 它避免了传统的碎片化和一些简单的风险。 系统本身可以提供一些自动化配置改进。 当然,如果你想对接很多第三方,可以考虑SOAR等更好的自动化编排系统,不过这里就不详细解释了。
第三方日志输入和风险处理的行为输出这里不再详细讨论,会在扩展架构中介绍。
4、更详细的技术点请参考《零信任安全技术详解与应用实践》一书
