讀零信任網絡：在不可信網絡中構建安全系統06授權.png

1. 授權

1.1. 授權決策不容忽視，所有訪問請求都必須被授權

1.2. 數據存儲系統和其他各支撐子系統是授權的基石

1.2.1. 子系統提供訪問控制的權威數據源和評估依據，直接影響授權決策

1.2.2. 謹慎區(qū)分各子系統的職責和能力，需要將其嚴格隔離

1.2.3. 盡量避免將它們合并到一個單體系統實現

2. 授權體系架構

2.1. 策略執(zhí)行組件

2.1.1. 在整個零信任網絡中大量存在，部署時需要盡可能地靠近工作負載

2.2. 策略引擎

2.2.1. 依據事先制定好的策略，對請求及其上下文進行比較并做出決策，根據決策結果通知策略執(zhí)行點對訪問請求放行還是拒絕

2.3. 信任引擎

2.3.1. 策略引擎調用信任引擎，利用各種數據源分析并評估風險

2.3.2. 風險評分類似信用等級，能有效防護未知威脅，通過風險評分可以提升策略的安全性和魯棒性，又不至于因為考慮各種邊界場景而引入復雜性

2.4. 數據存儲系統

2.4.1. 授權決策依據的大量數據都存放在數據存儲系統中，各種數據庫構成了授權決策的權威數據源，基于這些數據，可以將所有請求的上下文清晰地描繪出來

2.4.2. 一般使用認證階段已經確認的實體標識信息作為數據庫的主鍵，用戶名和設備序列號都是常用的實體標識

2.4.3. 數據存儲系統是授權決策過程的重要支撐系統

2.5. 組件職責各不相同

2.5.1. 視為不同的子系統，從安全的角度來看，將這些組件彼此隔離大有必要

2.5.2. 授權組件是零信任安全模型的核心構成要素，其安全性至關重要，可維護性也需要妥善評估

2.5.3. 不管出于任何目的，如果不得不把這4大組件合并到一個單體系統實現，那么其可行性和安全性都必須謹慎評估，最好是盡量避免這種實現方式

3. 策略執(zhí)行組件

3.1. 兩大職責

3.1.1. 和策略引擎交互完成授權決策

3.1.2. 授權決策結果的強制執(zhí)行

3.1.3. 可以通過一個組件實現，也可以由兩個系統組件來分別實現

3.2. 策略執(zhí)行組件的位置非常重要

3.2.1. 作為零信任網絡在數據平面的實際控制點，它也可以被稱為策略執(zhí)行點

3.2.2. 需要確保其部署位置盡量靠近終端，否則信任“收縮”到策略執(zhí)行組件之后，零信任的安全性可能會受到影響

3.3. 策略執(zhí)行組件確保策略引擎的授權決策對所有的網絡請求生效，一般位于用戶流量必經的數據平面，通過調用策略引擎進行授權決策并強制執(zhí)行

4. 策略引擎

4.1. 策略引擎基于系統管理員制定的策略和數據存儲系統中存放的數據進行授權決策，是零信任網絡的關鍵組件，其運行環(huán)境應該被嚴格地物理隔離

4.1.1. 在策略引擎和策略執(zhí)行組件之間進行進程級隔離還是必須的

4.1.2. 將策略引擎作為獨立的進程進行部署，能確保其不受策略執(zhí)行組件因為Bug或漏洞而導致的網絡攻擊的影響

4.2. 策略引擎是零信任授權模型中進行授權決策的組件

4.2.1. 接收來自策略執(zhí)行組件的授權請求

4.2.2. 和預先制定好的策略進行比較，決定請求是否被允許

4.2.3. 決策結果返回策略執(zhí)行組件進行強制執(zhí)行

4.3. 低延遲授權系統適用于對網絡活動進行細粒度的復雜授權

4.3.1. 一種可能的場景是作為策略執(zhí)行組件的負載均衡器通過進程間通信（IPC）機制而不是網絡遠程調用發(fā)起授權請求，這種架構可以降低授權決策的時間延遲，此優(yōu)勢在某些場景下很有吸引力

4.3.2. 授權的低延遲就至關重要

4.4. 版本控制系統

4.4.1. 傳統的變更管理流程不能很好地滿足策略存儲的需求，為了能通過程序自動對系統進行配置，版本控制系統應運而生

4.4.2. 使用版本控制系統，策略規(guī)則數據可以通過程序自動讀取和使用，加載特定版本的策略就像部署一個軟件一樣簡單，而不是像以前一樣依賴系統管理員手動加載期望的策略版本

4.4.3. 系統管理員可以使用成熟的標準軟件開發(fā)過程來管理策略的變更，比如代碼回顧、持續(xù)集成等軟件開發(fā)管理的技術手段都能派上用場

4.5. 策略存儲系統

4.5.1. 策略引擎進行授權決策時所使用的規(guī)則需要被持久化存儲，策略規(guī)則雖然最終被加載到策略引擎模塊中，但是其制定、存儲和管理最好獨立于策略引擎

4.5.2. 將策略規(guī)則存放在版本控制系統中是一種值得推薦的方案

4.5.2.1. 策略的變更可持續(xù)跟蹤

4.5.2.2. 策略變更的緣由可通過版本控制系統進行跟蹤

4.5.2.3. 策略配置的當前狀態(tài)可通過實際的策略執(zhí)行機制進行驗證

4.6. 制定策略

4.6.1. 零信任網絡策略使用信任評分對未知攻擊向量進行預估和防護，制定策略時引入信任評分機制，管理員可以很好地緩解未知威脅，這種威脅很難通過一條具體的策略進行匹配和處置，因此，應該盡可能地采用信任評分機制

4.6.2. 零信任策略尚未標準化

4.6.2.1. 在零信任網絡框架下，良好的策略往往是細粒度的，粒度的粗細一般和網絡的成熟度有關

4.6.2.2. 零信任模型和傳統網絡安全在策略上的差異點主要體現在用于定義策略的控制機制不同

4.6.2.2.1. 零信任策略不基于網絡具體信息（如IP地址或網段），而是基于網絡中的邏輯組件來制定策略

4.6.2.2.1.1. 網絡服務

4.6.2.2.1.2. 設備終端分類

4.6.2.2.1.3. 設備終端分類

4.6.2.3. 基于網絡中的邏輯組件定義策略，有利于策略引擎充分利用網絡的當前狀態(tài)等各類信息作為授權決策依據

4.6.3. 尚無策略描述標準

4.6.3.1. 目前成熟的零信任網絡方案大多是非公開的，它們采用了私有的策略語言和格式

4.6.3.2. 標準的、互操作性強的策略語言，其價值毋庸置疑，但遺憾的是，標準化工作目前尚未實質性開

4.6.3.3. 策略不僅僅依賴信任評分，訪問請求包含的其余屬性對策略制定和授權決策也不可或缺

4.7. 需要將策略定義和管理的權責開放給資源或服務的所有者，以便分擔管理員的策略維護壓力

4.7.1. 將策略定義權限開放給服務所有者會引入一些潛在風險

4.7.2. 一種有效的流程是策略審查

4.7.2.1. 策略都是基于邏輯實體進行定義的，和針對物理實體定義策略的傳統方式相比，前者變更的頻率會低很多

4.7.3. 另外一種手段是實施分層策略

4.7.3.1. 策略引擎可以默認拒絕來自非信任源的寬松的策略定義和聲明

4.8. 策略引擎周期性地從權威清單庫讀取各類實體的屬性值，并基于一定的算法進行風險評分計算

4.8.1. 對風險進行量化并不簡單，一種可行的方案是定義一系列專門的規(guī)則來對實體的風險評分進行估計

5. 信任引擎

5.1. 信任引擎作為安全系統的新面孔，基于靜態(tài)規(guī)則或機器學習算法計算訪問請求的信任評分

5.1.1. 信任引擎是對特定的網絡請求或活動進行風險分析的系統組件

5.1.2. 其職責是對網絡請求及活動的風險進行數值評估，策略引擎基于這個風險評估進行進一步的授權決策，以確定是否允許此次訪問請求

5.1.3. 信任評分是對系統和組件當前信任程度的量化表示，策略制定者可以基于訪問資源所需的信任等級來定義策略

5.1.4. 信任引擎是使用歷史數據的主要組件

5.2. 成熟的信任引擎除了使用靜態(tài)規(guī)則，還大量采用機器學習技術來實現信任評分功能

5.2.1. 信任引擎一般會混合使用基于規(guī)則的靜態(tài)評分方法和機器學習方法

5.2.2. 機器學習通過將活動數據的一個子集作為訓練數據進行模型訓練，推導出評分函數，這些訓練數據來自于原始觀測，每一條訓練數據都和一個信任或不信任的實體相關聯，即這些數據已經進行了明確的標定

5.3. 哪些實體需要評分

5.3.1. 應該對攻擊者的網絡代理進行阻止，這樣可以保證合法用戶的網絡代理不受影響

5.3.1.1. 需要將網絡代理作為整體進行風險評分

5.3.2. 僅僅對網絡代理進行整體評分是無法對抗其他攻擊向量的

5.3.2.1. 設備本身也應該被單獨評分

5.3.3. 內部威脅場景

5.3.3.1. 一個惡意用戶使用多臺網吧設備竊取機密的交易數據，信任引擎應該識別這類行為，并為后續(xù)的授權決策持續(xù)地給出較低的信任評分，即便此用戶換用其他設備發(fā)起訪問也不能改變其信任評分

5.3.3.2. 用戶及其行為需要被單獨評估

5.3.4. 應該同時對網絡代理及網絡代理的構成要素（設備、用戶及應用程序）進行風險評分

5.4. 在很多場景下，一個實時的綜合信任評分就足夠了，但這樣會對信任引擎的可用性提出更高的要求

5.4.1. 為了動態(tài)選擇最佳的評分函數，信任引擎必須知道被授權請求的上下文信息，這種方案的構建和運維都會變得更加復雜

5.5. 信任評分的暴露存在風險

5.5.1. 實體的信任評分看似并不機密，但仍然需要盡量避免將信任評分暴露給最終用戶

5.5.2. 對于潛在攻擊者，當前信任評分無疑是一種提示信號，讓他們可以知悉自己在當前系統中的信任度正在上升還是下降，從而進行更多的攻擊嘗

5.5.3. 隱藏信任評分也需要適度，不要讓最終用戶完全無法理解他們的行為是如何影響信任評分的，安全和易用需要適量平衡

5.5.4. 一種較好的折中方式是，不直接提供信任評分給用戶，但明確標識出能提升信任評分的影響因子

6. 數據存儲系統

6.1. 零信任網絡的權威數據庫存放系統當前和歷史的各類數據

6.1.1. 策略引擎直接或間接地使用這些數據進行授權決策

6.1.2. 策略引擎、信任引擎甚至其他第三方系統都大量使用這些數據庫作為信任源，使用率較高

6.2. 用于授權決策的數據庫可以被視為系統當前和歷史狀態(tài)的權威數據源

6.2.1. 數據庫存放的信息被控制平面的各個系統使用，是授權的一個重要的決策依據

6.3. 存放在控制平面數據庫內的信息通過授權系統，最終傳遞給策略引擎進行授權決策

6.3.1. 這些數據被策略引擎直接或間接使用

6.3.2. 當其他系統需要知道網絡的當前狀態(tài)時，這些數據庫也是非常有用的權威數據源

6.4. 按照功能劃分的數據庫

6.4.1. 清單庫

6.4.1.1. 清單庫是記錄資源當前狀態(tài)的權威數據源

6.4.1.2. 用戶清單庫存放所有的用戶信息

6.4.1.2.1. 用戶清單庫一般使用用戶名做主鍵

6.4.1.3. 設備清單庫則記錄公司所有在冊的設備的最新信息

6.4.1.3.1. 設備清單庫則使用設備序列號做主鍵

6.4.2. 歷史庫

6.4.2.1. 歷史數據庫的種類可能多種多樣，基于這些數據可以進行的風險分析也無窮無盡

6.4.2.2. 無論哪類歷史數據，都必須能夠通過設備清單庫或用戶清單庫的主鍵（如設備序列號或用戶名）進行查詢