讀零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)20攻擊者視圖.png

1. 攻擊者視圖

1.1. IETF要求所有提交的RFC都必須包含“安全風(fēng)險(xiǎn)考慮"

• 1.1.1. 明確指出了潛在陷阱、危險(xiǎn)和警告，這對系統(tǒng)的實(shí)現(xiàn)和部署至關(guān)重要，有助于運(yùn)營者確保最終的系統(tǒng)不會(huì)偏離設(shè)計(jì)之初的安全特性

• 1.1.2. 表明系統(tǒng)設(shè)計(jì)者對于可能存在的攻擊進(jìn)行了深入思考：一個(gè)沒有經(jīng)過深入的安全考慮的系統(tǒng)，看似安全但可能存在嚴(yán)重的安全漏洞

• 1.1.3. 討論了如何處理和管理可見的安全風(fēng)險(xiǎn)

1.2. 引入安全風(fēng)險(xiǎn)考慮并不意味著該系統(tǒng)本身是不安全的，相反，它標(biāo)志著從整體上來看，系統(tǒng)更加安全

1.3. 通過一些手段措施可以減少某些對零信任網(wǎng)絡(luò)的攻擊，然而對于某些攻擊，最多只能檢測而不能防御

1.4. 任何系統(tǒng)都易受到資源充分的攻擊者的影響，當(dāng)攻擊足夠高級且難以防范時(shí)，唯一能做的就是有效地、精確地檢測這些攻擊

1.5. 對于志在必得的攻擊者來說，要攻破零信任網(wǎng)絡(luò)是完全有可能的

1.6. 零信任模式最終將替代邊界模式，更有效、更具擴(kuò)展性、更安全地解決計(jì)算機(jī)網(wǎng)絡(luò)安全問題

2. 身份竊取

2.1. 在零信任網(wǎng)絡(luò)中，幾乎所有的判定和操作都是基于認(rèn)證后的身份進(jìn)行的

2.2. 如果合法用戶的身份被盜竊或損害，那么攻擊者就可能成功偽裝并通過零信任認(rèn)證和授權(quán)檢查，當(dāng)然，這并不是大家希望看到的場景

2.3. 應(yīng)該謹(jǐn)慎考慮選擇哪種方式保護(hù)各組件

2.4. 零信任網(wǎng)絡(luò)需要同時(shí)認(rèn)證設(shè)備和用戶/應(yīng)用，所以攻擊者為了訪問某資源就必須同時(shí)竊取兩種身份，相較于目前使用傳統(tǒng)方法保護(hù)的系統(tǒng)而言，零信任網(wǎng)絡(luò)有更高的攻擊壁壘

2.5. 身份的安全性不僅僅是零信任面臨的難題，更是業(yè)界廣泛關(guān)注的問題，其重要性不容忽視，零信任模型的本質(zhì)就是在為減少這種威脅而努力

3. 分布式拒絕服務(wù)攻擊

3.1. DDoS

3.2. 零信任網(wǎng)絡(luò)主要關(guān)注認(rèn)證、授權(quán)和機(jī)密性，通常與網(wǎng)絡(luò)資源的訪問控制密切相關(guān)

3.3. 零信任架構(gòu)的目標(biāo)是認(rèn)證和授權(quán)網(wǎng)絡(luò)中的所有事物，并未提供拒絕服務(wù)攻擊（DoS）的預(yù)防措施

3.4. 即使是采用零信任架構(gòu)，接收數(shù)據(jù)包的系統(tǒng)仍然可能遭受DDoS的攻擊

• 3.4.1. DDoS攻擊仍然是零信任網(wǎng)絡(luò)需要面對的問題，雖然現(xiàn)在有一些更好的方法來防范DDoS攻擊，但仍然不可掉以輕心

3.5. 有些零信任網(wǎng)絡(luò)基于預(yù)認(rèn)證協(xié)議實(shí)現(xiàn)了面向互聯(lián)網(wǎng)的端口隱藏

• 3.5.1. 其基本原則是在“拒絕所有”的默認(rèn)規(guī)則下實(shí)現(xiàn)訪問端口的隱藏，并且僅僅在收到（認(rèn)證通過的）信號后才開啟一個(gè)小范圍的例外

• 3.5.2. 在很大程度上有助于隱藏服務(wù)端口，但是它并不能從本質(zhì)上減少DDoS攻擊的威脅

3.6. 零信任網(wǎng)絡(luò)天然存儲(chǔ)了預(yù)期網(wǎng)絡(luò)流的大量信息，這些信息可以用來計(jì)算訪問控制策略，并將其用于傳統(tǒng)的網(wǎng)絡(luò)過濾系統(tǒng)，對流量進(jìn)行保護(hù)

• 3.6.1. 可以從上游設(shè)備的角度出發(fā)，利用策略設(shè)定粗粒度的強(qiáng)制規(guī)則，僅允許對少量系統(tǒng)開啟訪問例外規(guī)則

• 3.6.2. 相較于傳統(tǒng)方法，這種方法有雙重優(yōu)勢

  • 3.6.2.1. 配置是完全自動(dòng)化的

  • 3.6.2.2. 可以保證無狀態(tài)的網(wǎng)絡(luò)流過濾機(jī)制

    3.6.2.2.1. 避免了昂貴的硬件設(shè)備和復(fù)雜的狀態(tài)復(fù)制，這些過濾點(diǎn)更像是流量清洗而非防火墻

    3.6.2.2.2. 這種方法只有在大型網(wǎng)絡(luò)的場景下才有意義

3.7. 如果系統(tǒng)位于共用機(jī)房中的一小部分機(jī)架或是基于云部署，那么使用DDoS防護(hù)服務(wù)應(yīng)該更合適

4. 枚舉終端

4.1. 零信任模型屬于天然的無邊界網(wǎng)絡(luò)，因?yàn)檫吔鐚τ诓豢尚诺膬?nèi)部網(wǎng)絡(luò)沒有任何意義

4.2. 由于零信任架構(gòu)具有點(diǎn)對點(diǎn)的特征，因此攻擊者通過觀察各系統(tǒng)與終端之間的通信信息就可以描繪出網(wǎng)絡(luò)的拓?fù)鋱D

4.3. 一旦通過網(wǎng)關(guān)，網(wǎng)絡(luò)流量就暴露了，這就是基于邊界模型的網(wǎng)絡(luò)的典型特征

4.4. 零信任模型保證的是網(wǎng)絡(luò)機(jī)密性而非隱私性

• 4.4.1. 意味著可以觀察到正在進(jìn)行的會(huì)話并推斷它們的存在性，零信任可以保護(hù)具體的會(huì)話內(nèi)容不被窺視或泄露

• 4.4.2. 如果公共網(wǎng)絡(luò)需要一定程度的隱私保護(hù)，那么零信任網(wǎng)絡(luò)可以選擇站點(diǎn)到站點(diǎn)的隧道通信模式，這種部署模式使得隧道兩端的主機(jī)更難被探測和觀察

• 4.4.3. 如果選擇隱藏網(wǎng)絡(luò)的一部分信息，暗示著對這部分的信任度更高

4.5. 在專注于保護(hù)網(wǎng)絡(luò)隱私的系統(tǒng)中，連會(huì)話是否發(fā)生也是無從知曉的

• 4.5.1. Tor就是典型的提供網(wǎng)絡(luò)隱私保護(hù)的系統(tǒng)

4.6. 機(jī)密性和隱私性是截然不同的兩個(gè)概念，對網(wǎng)絡(luò)隱私性的保護(hù)不在零信任模型關(guān)注的范圍內(nèi)

5. 不可信的計(jì)算平臺(tái)

5.1. 信任計(jì)算平臺(tái)本身（如云硬件、虛擬機(jī)管理程序）和信任設(shè)備在本質(zhì)上還是有一定區(qū)別的

5.2. 不可靠的計(jì)算平臺(tái)完全不能做到有效防御

• 5.2.1. 設(shè)想一個(gè)系統(tǒng)使用的硬件會(huì)有意產(chǎn)生弱隨機(jī)數(shù)（加密的基礎(chǔ)）

• 5.2.2. 防御這種類型的攻擊首先需要發(fā)現(xiàn)問題，但這遠(yuǎn)遠(yuǎn)不夠，在大多數(shù)情況下攻擊者會(huì)隱藏他們的攻擊能力

5.3. 雖然不可能徹底防御計(jì)算平臺(tái)自身存在的惡意攻擊，但零信任系統(tǒng)仍然可以防御這類平臺(tái)的一些簡單攻擊

• 5.3.1. 通過加密持久化數(shù)據(jù)和內(nèi)存交換文件，可以減少計(jì)算平臺(tái)上的惡意者的簡單攻擊，同時(shí)也可考慮調(diào)整平臺(tái)運(yùn)營者的可信程度，這樣可進(jìn)一步減少攻擊的可能性

6. 社會(huì)工程學(xué)

6.1. 社會(huì)工程學(xué)攻擊通過欺騙可信實(shí)體，使其在可信任設(shè)備上進(jìn)行惡意操作來對系統(tǒng)發(fā)起攻擊，這也是零信任網(wǎng)絡(luò)需要關(guān)注的范疇

• 6.1.1. 可能是釣魚攻擊，通過精心設(shè)計(jì)的、看上去并非惡意的文字通信進(jìn)行欺騙

• 6.1.2. 可能是客戶服務(wù)部門面臨的面對面的欺騙

• 6.1.3. 零信任網(wǎng)絡(luò)對于這類難以察覺的社會(huì)工程學(xué)攻擊具備一定的防御能力

6.2. 對于敏感程度低的資源，內(nèi)部活動(dòng)的行為分析是防范這種威脅的主要機(jī)制

• 6.2.1. 需要指導(dǎo)用戶像一個(gè)攻擊者一樣思考并質(zhì)疑異常請求

6.3. 對于敏感程度高的資源，類似Shamir密鑰共享的組認(rèn)證/授權(quán)機(jī)制有助于預(yù)防由用戶組中單一個(gè)體無意識行為導(dǎo)致的潛在攻擊

• 6.3.1. 對于日常使用而言這種機(jī)制可能非常煩瑣，所以最好只對真正重要的資產(chǎn)采取這種方式

7. 人身威脅

7.1. 零信任網(wǎng)絡(luò)可以有效減少虛擬世界中的許多威脅，但是現(xiàn)實(shí)世界中的威脅又完全是另外一回事了

7.2. 沒有安全專家會(huì)建議用戶冒著生命危險(xiǎn)保護(hù)他們具有訪問權(quán)限的信息

7.3. 最好方法就是保證單獨(dú)個(gè)體造成的危害僅僅影響敏感性較低的數(shù)據(jù)和系統(tǒng)，對于價(jià)值較高的資源目標(biāo)，使用組授權(quán)模式可以有效預(yù)防這些威脅

7.4. 對于一些難以覺察的物理威脅（如某人可以在無人保護(hù)的筆記本電腦中插入U(xiǎn)SB設(shè)備），最好的解決辦法就是對設(shè)備和證書進(jìn)行持續(xù)更新

• 7.4.1. 掃描未定期輪換的設(shè)備也有助于減少這種類型的攻擊

7.5. 如果攻擊者可以在真實(shí)世界中接觸到某些設(shè)備，那么他們就有機(jī)會(huì)做出許多破壞性操作

• 7.5.1. 并不意味著我們可以對這些威脅放任不管，至少對零信任來說，認(rèn)證/授權(quán)有關(guān)的安全數(shù)據(jù)對于減少這些威脅大有裨益

• 7.5.2. 即使攻擊者可以直接接觸到設(shè)備，也可以通過某些具體措施減小這種危害的影響和持續(xù)性，在零信任網(wǎng)絡(luò)中可以采取這些措施

8. 無效性

8.1. 無效性是計(jì)算機(jī)科學(xué)的一大難題

• 8.1.1. 無論如何，無效性問題至少是可以解決的

8.2. 在零信任網(wǎng)絡(luò)語境下，無效性主要是指獲得過授權(quán)的某個(gè)長期行為一直在持續(xù)，但其授權(quán)原本應(yīng)該已經(jīng)無效

8.3. 行為的定義在很大程度依賴于系統(tǒng)所選擇的授權(quán)機(jī)制

• 8.3.1. 如果授權(quán)的粒度是基于每條請求的，那么行為可以被看成是一個(gè)應(yīng)用級的請求或操作

• 8.3.2. 如果授權(quán)對象是網(wǎng)絡(luò)流（如一個(gè)TCP會(huì)話），那么行為可以看成是一個(gè)網(wǎng)絡(luò)會(huì)話

8.4. 可以對短期行為進(jìn)行更細(xì)粒度的授權(quán)，這意味著執(zhí)行組件會(huì)對應(yīng)用級請求授權(quán)而非新的網(wǎng)絡(luò)會(huì)話

8.5. 周期性地重置網(wǎng)絡(luò)會(huì)話，并強(qiáng)制設(shè)定一個(gè)最長生命周期，當(dāng)應(yīng)用和用戶重連時(shí)，該會(huì)話需要重新授權(quán)

8.6. 使執(zhí)行組件有能力追蹤正在運(yùn)行的行為，并在一段時(shí)間后向策略引擎發(fā)送一個(gè)授權(quán)請求，如果授權(quán)引擎判定該行為不能繼續(xù)獲得授權(quán)，那么執(zhí)行組件將強(qiáng)制重置該會(huì)話

8.7. 這些機(jī)制仍然依賴于“拉取”模式，執(zhí)行組件會(huì)強(qiáng)制周期性地發(fā)起授權(quán)請求

8.8. 執(zhí)行組件中配置的最長輪詢時(shí)間即是相應(yīng)會(huì)話無效的最快時(shí)間

8.9. 最好的方式是通過“推動(dòng)”模式或基于事件的響應(yīng)模式

• 8.9.1. 這兩種方法的復(fù)雜性和使用它們時(shí)面臨的諸多挑戰(zhàn)已經(jīng)抵消了其帶來的好處

9. 控制平面安全

9.1. 如果控制平面受到攻擊的影響范圍足夠廣，則可能完全破壞整個(gè)零信任架構(gòu)，因此保證這些系統(tǒng)的安全性非常重要

9.2. 對攻擊者來說，破壞策略引擎比破壞一個(gè)儲(chǔ)存歷史訪問數(shù)據(jù)的數(shù)據(jù)庫更有用

• 9.2.1. 對于前者，可能導(dǎo)致整個(gè)零信任授權(quán)系統(tǒng)的破壞，使得攻擊者可以授權(quán)任何他們想授權(quán)的訪問

• 9.2.2. 對于后者，攻擊者可以通過偽造訪問模式來提高他們的信任等級

9.3. 對于敏感的系統(tǒng)（如策略引擎），應(yīng)該從一開始就進(jìn)行嚴(yán)格控制

• 9.3.1. 組認(rèn)證和授權(quán)模式是一個(gè)不錯(cuò)的選擇，應(yīng)該重點(diǎn)考慮

• 9.3.2. 更改不應(yīng)該太頻繁且應(yīng)該可以廣泛地通知和警告，對控制平面的變更不可能悄無聲息

9.4. 從管理的視角對控制平面進(jìn)行隔離，這也許意味著控制平面運(yùn)行在一個(gè)專門的云供應(yīng)商賬戶之下，或被置于有著更嚴(yán)格訪問控制策略的數(shù)據(jù)中心內(nèi)

• 9.4.1. 通過這種機(jī)制，可以實(shí)現(xiàn)更細(xì)致的訪問審計(jì)，將其管理平面可能導(dǎo)致的風(fēng)險(xiǎn)降到最低

• 9.4.2. 若將控制平面與其他網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)架構(gòu)就倒退回基于邊界的模式了，這種保證控制平面安全性的方法是一種很糟糕的選擇，是沒有選擇的選擇

9.5. 隨著網(wǎng)絡(luò)成熟度的提升，可以對控制平面自身進(jìn)行基于零信任的策略控制