讀零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)08設(shè)備清單管理.png

1. 設(shè)備清單管理

1.1. 設(shè)備的認(rèn)證和完整性檢查是零信任安全至關(guān)重要的第一大步，但是僅僅驗(yàn)證設(shè)備是否屬于企業(yè)是不夠的

1.2. 設(shè)備清單管理涉及對(duì)設(shè)備及其屬性進(jìn)行編目管理

1.2.1. 將配置管理作為設(shè)備清單數(shù)據(jù)庫(kù)

1.2.2. 維護(hù)/管理這些記錄對(duì)客戶端和服務(wù)器設(shè)備同樣重要

1.2.3. 建議將這些設(shè)備當(dāng)作網(wǎng)絡(luò)實(shí)體而不是物理設(shè)備，雖然大多數(shù)情況下它們是物理設(shè)備，但是在零信任網(wǎng)絡(luò)中，它們也可能是網(wǎng)絡(luò)上的邏輯實(shí)體

1.2.4. 事實(shí)上，同時(shí)部署多個(gè)清單管理系統(tǒng)也是很常見(jiàn)的

1.3. 零信任網(wǎng)絡(luò)模型主張跟蹤工作負(fù)載流量以便進(jìn)行細(xì)粒度的網(wǎng)絡(luò)策略

1.3.1. 工作負(fù)載調(diào)度服務(wù)是可以作為設(shè)備清單管理的一個(gè)組件進(jìn)行工作的

1.4. 梳理系統(tǒng)預(yù)期

1.4.1. 零信任網(wǎng)絡(luò)的強(qiáng)大之處在于系統(tǒng)預(yù)期的明確，什么應(yīng)該發(fā)生和什么不應(yīng)該發(fā)生是很清晰的

1.4.2. 默認(rèn)情況下禁止任何等級(jí)的訪問(wèn)，只允許預(yù)期的操作和請(qǐng)求

1.4.3. 設(shè)備清單數(shù)據(jù)庫(kù)是實(shí)現(xiàn)這種可預(yù)期的訪問(wèn)控制能力的關(guān)鍵組件

1.4.3.1. 通過(guò)各類設(shè)備屬性可以推導(dǎo)出大量的有用信息

1.4.3.2. 基于這些信息推導(dǎo)出系統(tǒng)的預(yù)期行為

1.4.3.3. 預(yù)期行為可能包括哪些用戶或應(yīng)用應(yīng)該在哪些設(shè)備運(yùn)行、設(shè)備應(yīng)該被部署的位置，甚至設(shè)備上應(yīng)該運(yùn)行什么操作系統(tǒng)等

1.4.3.4. 屬性信息越豐富、越準(zhǔn)確，這種細(xì)粒度的行為預(yù)期和訪問(wèn)控制規(guī)則就越完善

1.4.3.4.1. 可以默認(rèn)只放行期望的流量

1.4.4. 在數(shù)據(jù)中心內(nèi)的服務(wù)器行為相對(duì)靜態(tài)和可預(yù)期，它們往往采用長(zhǎng)連接的方式與特定的預(yù)設(shè)主機(jī)/服務(wù)通信

1.4.5. 客戶端系統(tǒng)則常常使用短連接與各種不同的服務(wù)進(jìn)行通信，通信的時(shí)間、頻率和模式都會(huì)持續(xù)有機(jī)變化

1.4.6. 一種可行的方案是允許各類全局訪問(wèn)

1.4.6.1. 確保所有的通信都使用雙向認(rèn)證的TLS連接進(jìn)行保護(hù)

1.4.6.2. 強(qiáng)制客戶端提供設(shè)備證書，否則雙向認(rèn)證的TLS連接將無(wú)法建立

1.4.6.3. 通過(guò)設(shè)備證書，可以在設(shè)備清單數(shù)據(jù)庫(kù)中進(jìn)行設(shè)備檢索，從而判斷是否授權(quán)此連接請(qǐng)求

1.4.7. 這種方案的優(yōu)勢(shì)在于，很多系統(tǒng)現(xiàn)在都支持雙向TLS連接，并且不會(huì)過(guò)度限定必須使用某種客戶端軟件，因此，可以在獲得較高安全性的同時(shí)保持不錯(cuò)的可用性和易用性

1.4.8. 不足也非常明顯，服務(wù)是全局可訪問(wèn)的

1.4.8.1. 通過(guò)雙向TLS驗(yàn)證客戶端證書可以緩解這種安全性的不足

1.4.8.2. 由于心臟滴血（HeartBleed）之類漏洞的存在，TLS服務(wù)器仍然暴露了相當(dāng)大的攻擊面

1.5. 安全介紹

1.5.1. Secure Introduction, SI

1.5.2. 新設(shè)備發(fā)出的第一個(gè)連接或數(shù)據(jù)包具有極高的不確定性（甚至威脅性）

1.5.2.1. 因?yàn)橄到y(tǒng)為了提供服務(wù)，必須允許和接受這個(gè)請(qǐng)求，如果沒(méi)有很好的機(jī)制對(duì)這個(gè)初始包進(jìn)行認(rèn)證，則風(fēng)險(xiǎn)就始終存在

1.5.3. 通過(guò)安全介紹，一個(gè)新實(shí)體在將自己介紹給一個(gè)現(xiàn)有系統(tǒng)的同時(shí)可以傳遞足夠的信任信息

1.5.4. 安全介紹機(jī)制的核心在于必須設(shè)置一個(gè)預(yù)期

1.5.4.1. 安全介紹在實(shí)踐中必須依賴一個(gè)可信的第三方

1.5.4.2. 這個(gè)可信第三方是一個(gè)已經(jīng)被信任的系統(tǒng)，并且它具備介紹其他更多新系統(tǒng)加入的能力

1.5.5. 優(yōu)秀的安全介紹系統(tǒng)的構(gòu)成要素

1.5.5.1. 單次使用

1.5.5.1.1. 安全介紹所使用的憑證或權(quán)限信息只能單次使用，防止攻擊者通過(guò)重用密鑰進(jìn)行攻擊或重放攻擊

1.5.5.2. 瞬時(shí)性安全介紹所使用的憑證或權(quán)限信息應(yīng)該具備時(shí)效性，防止有效但尚未使用的密鑰形成堆積

1.5.5.3. 第三方參與

1.5.5.3.1. 通過(guò)第三方系統(tǒng)進(jìn)行安全介紹有利于職責(zé)分離，這可以避免引入一些不良的安全舉措，并且有效地緩解一些運(yùn)維麻煩

1.5.6. Chef系統(tǒng)提供唯一的秘密信息（視作“驗(yàn)證證書”），只要擁有這個(gè)證書，主機(jī)就可以作為一個(gè)新節(jié)點(diǎn)加入系統(tǒng)

1.5.7. 新版的Chef采用了新方案，它不再提供靜態(tài)的驗(yàn)證證書，而是供應(yīng)系統(tǒng)（通過(guò)Chef客戶端工具“Knife”）與Chef服務(wù)器通信，創(chuàng)建一個(gè)客戶端和相關(guān)聯(lián)的客戶端證書，然后進(jìn)一步創(chuàng)建一個(gè)新主機(jī)并傳遞客戶端證書，通過(guò)這種方法，新客戶端就建立了足夠的預(yù)期

2. 設(shè)備信任續(xù)租

2.1. 沒(méi)有完美的安全，也沒(méi)有永遠(yuǎn)的安全。這是一個(gè)必須面對(duì)和遵循的事實(shí)，沒(méi)有例外

2.1.1. 只有意識(shí)到這一“殘酷”現(xiàn)實(shí)，才能妥善地尋求緩解措施來(lái)應(yīng)對(duì)各種可能的安全問(wèn)題和潛在影響

2.1.1.1. 所有解決方案都依賴于具體的場(chǎng)景

2.1.2. 隨著時(shí)間的推移，信任度會(huì)流失，因此，需要考慮信任的續(xù)租

2.1.2.1. 設(shè)備從可信狀態(tài)開(kāi)始，逐步退化到不可信狀態(tài)

2.2. 設(shè)備運(yùn)行的時(shí)間越長(zhǎng)，其被攻破的可能性就越高，因此，設(shè)備“年齡”應(yīng)該作為一個(gè)信任信號(hào)進(jìn)行度量

2.2.1. 一臺(tái)全新鏡像的設(shè)備的可信度顯然高于一臺(tái)運(yùn)行了多年的設(shè)備

2.3. 設(shè)備輪換（Rotation）

2.3.1. 云主機(jī)實(shí)例，在這種場(chǎng)景下實(shí)現(xiàn)“輪換”就相對(duì)簡(jiǎn)單：只需要銷毀現(xiàn)有實(shí)例，重新構(gòu)建一個(gè)新實(shí)例就完成了（使用配置管理系統(tǒng)，這個(gè)過(guò)程很簡(jiǎn)單）

2.3.2. 物理硬件的場(chǎng)景，設(shè)備輪換就不那么簡(jiǎn)單了

2.3.3. 大家都認(rèn)可客戶端設(shè)備也需要周期性的輪換或重鏡像，但是這個(gè)頻率需要根據(jù)情況具體分析

2.3.4. 設(shè)備輪換或重鏡像的周期越長(zhǎng)，終端系統(tǒng)的安全越是難以控制

2.4. 本地度量

2.4.1. 基于硬件的度量

2.4.1.1. 更加安全可靠，但是受限于硬件的能力

2.4.1.2. 利用TPM實(shí)現(xiàn)遠(yuǎn)程證明

2.4.1.2.1. 這個(gè)響應(yīng)信息非?？煽坎⑶译y以復(fù)制

2.4.1.2.2. TPM的遠(yuǎn)程證明只能覆蓋比較低級(jí)的系統(tǒng)信息和特定的軟件信息，如果攻擊者通過(guò)提權(quán)在系統(tǒng)的用戶空間運(yùn)行了一些未授權(quán)應(yīng)用，那么TPM的遠(yuǎn)程認(rèn)證機(jī)制就無(wú)能為力了，因此其能力是受限的

2.4.2. 基于軟件的度量

2.4.2.1. 安全性和可靠性稍弱，但是在實(shí)踐中，其度量能力會(huì)更加強(qiáng)大

2.4.2.2. 代理程序可以持續(xù)報(bào)告系統(tǒng)的健康度和狀態(tài)評(píng)估

2.4.2.2.1. 缺乏硬件層面的保護(hù)，所以只要攻擊者具備足夠的權(quán)限就很容易對(duì)其進(jìn)行攻擊（甚至篡改），整個(gè)度量機(jī)制也會(huì)隨之失效

2.5. 遠(yuǎn)程度量

2.5.1. 其受益于職責(zé)分離

2.5.2. 一個(gè)被攻破的系統(tǒng)可能上報(bào)任意經(jīng)過(guò)篡改的內(nèi)容，這些內(nèi)容和信息能輕而易舉地掩蓋攻擊者的行為

2.5.2.1. 這種情況在遠(yuǎn)程度量或被動(dòng)度量的場(chǎng)景下不會(huì)發(fā)生

2.5.2.2. 因?yàn)檫@些度量是完全獨(dú)立的外部系統(tǒng)，它從外部對(duì)目標(biāo)設(shè)備進(jìn)行健康度分析和度量

2.5.3. 在傳統(tǒng)方案中，遠(yuǎn)程度量通過(guò)簡(jiǎn)單的漏洞掃描實(shí)現(xiàn)，周期性地對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描、探測(cè)，并觀察和分析其響應(yīng)結(jié)果

2.5.3.1. 這種探測(cè)和掃描可以獲取不少的有用信息，包括設(shè)備上運(yùn)行的是什么操作系統(tǒng)、設(shè)備開(kāi)啟了哪些服務(wù)，甚至于可以探測(cè)這些服務(wù)的版本是多少

2.5.3.2. 非常成熟的漏洞掃描軟件

2.5.3.2.1. OpenVAS

2.5.3.2.2. Nessus

2.5.3.2.3. Metasploit

2.5.3.3. 本地度量是詢問(wèn)某人是否搶劫了銀行，而漏洞掃描系統(tǒng)則稍微高明一點(diǎn)，它通過(guò)觀察判斷某人是否搶劫了銀行

3. 軟件配置管理

3.1. 配置管理是嚴(yán)格控制和記錄所有軟件變更的過(guò)程

3.1.1. 所需的配置被定義為代碼或數(shù)據(jù)

3.1.2. 這些信息通常被提交到版本控制系統(tǒng)進(jìn)行管理，以便進(jìn)行變更審計(jì)、回滾之類的操作

3.2. 配置管理軟件在數(shù)據(jù)中心和客戶端部署場(chǎng)景中同樣適用，特別是當(dāng)系統(tǒng)規(guī)模超出一定范圍后尤其必需

3.2.1. 數(shù)據(jù)中心托管系統(tǒng)雖然具備一定的動(dòng)態(tài)性，但某種程度上卻明顯比客戶端系統(tǒng)更加靜態(tài)和可預(yù)測(cè)

3.3. 基于配置管理的設(shè)備清單庫(kù)

3.3.1. 一種免費(fèi)饋贈(zèng)

3.3.2. 配置管理系統(tǒng)本身還有很多其他好處可大量使用，將其作為設(shè)備清單數(shù)據(jù)庫(kù)往往是出于方便

3.3.3. 配置管理系統(tǒng)不是為設(shè)備清單管理系統(tǒng)而設(shè)計(jì)的，它們是作為配置管理系統(tǒng)使用的，其功能存在明確的邊界，當(dāng)然，最終可以逐步將其完善

3.4. 可搜索的設(shè)備清單庫(kù)

3.4.1. 一些配置管理系統(tǒng)集中存儲(chǔ)通過(guò)其代理收集的數(shù)據(jù)，并且支持對(duì)這些數(shù)據(jù)進(jìn)行搜索，基于這樣的系統(tǒng)構(gòu)建零信任網(wǎng)絡(luò)，具備了更多的可能性和想象空間

3.4.2. 設(shè)備清單庫(kù)的可搜索特性在審計(jì)和報(bào)表生成方面也大有可為

3.4.2.1. 這種特性不僅僅適用于數(shù)據(jù)中心，還適用于客戶端系統(tǒng)

3.4.3. 只需要簡(jiǎn)單地搜索目標(biāo)系統(tǒng)，并變更配置管理的代碼，有漏洞的軟件包就全部精準(zhǔn)更新了

3.5. 軟件

3.5.1. Chef

3.5.2. Puppet

3.5.3. Ansible

3.5.4. CFEngine

4. 確保數(shù)據(jù)的真實(shí)性

4.1. 信任的基礎(chǔ)是設(shè)備部署者，或者是人工操作員，又或者是某個(gè)自治系統(tǒng)

4.2. 評(píng)估設(shè)備的關(guān)鍵屬性或行為等各個(gè)方面

4.2.1. 設(shè)備類型

4.2.2. 角色

4.2.3. IP地址（針對(duì)數(shù)據(jù)中心而言）

4.2.4. 公鑰

4.3. 限制對(duì)這些屬性的變更至關(guān)重要

4.3.1. 這些自匯報(bào)的設(shè)備屬性仍然可以用于授權(quán)判定

4.3.2. 在任何情況下都不能把這些屬性當(dāng)作既成事實(shí)，而應(yīng)僅僅將其作為一個(gè)提示性的屬性

5. 用戶授權(quán)

5.1. 零信任網(wǎng)絡(luò)模型強(qiáng)制對(duì)設(shè)備、用戶甚至應(yīng)用程序進(jìn)行認(rèn)證和授權(quán)

5.2. 設(shè)備認(rèn)證一般在用戶認(rèn)證之前完成，因此設(shè)備認(rèn)證不應(yīng)該依賴用戶認(rèn)證階段獲取的任何信息，用戶認(rèn)證則與之相反

5.2.1. 當(dāng)進(jìn)行用戶認(rèn)證時(shí)，設(shè)備認(rèn)證也已完成，網(wǎng)絡(luò)已經(jīng)知悉了設(shè)備的身份并生成了大量有用的場(chǎng)景信息

5.2.2. 可以據(jù)此信息構(gòu)建比以往更強(qiáng)大的用戶認(rèn)證手段

5.2.3. 可以根據(jù)這些信息判斷用戶是否應(yīng)該在某個(gè)類型的設(shè)備或者某個(gè)位置登錄

5.3. 另外一種不錯(cuò)的威脅信號(hào)是用戶認(rèn)證頻率

5.3.1. 事無(wú)絕對(duì)，這種情況也有可能是合法的，因此，對(duì)這種情況的處理可以灰度化，降低用戶的信任評(píng)分以表明當(dāng)前會(huì)話值得懷疑

5.4. 對(duì)零信任網(wǎng)絡(luò)架構(gòu)而言，能進(jìn)行場(chǎng)景感知的動(dòng)態(tài)授權(quán)判定是非常關(guān)鍵的，這也說(shuō)明了強(qiáng)大的設(shè)備清單數(shù)據(jù)庫(kù)的重要性

5.4.1. 設(shè)備清單管理雖然是為了進(jìn)行嚴(yán)格的設(shè)備認(rèn)證而引入的，但其在用戶認(rèn)證方面的貢獻(xiàn)更是極具價(jià)值

6. 信任信號(hào)

6.1. 上次鏡像時(shí)間

6.1.1. 隨著時(shí)間的推移，設(shè)備被攻破的幾率將大幅上升

6.2. 歷史訪問(wèn)

6.2.1. 設(shè)備認(rèn)證模式和用戶認(rèn)證模式比較類似，能較好地體現(xiàn)設(shè)備的風(fēng)險(xiǎn)，并且可以對(duì)設(shè)備的行為進(jìn)行建模和過(guò)濾

6.2.2. 訪問(wèn)頻率也可以用于分析某個(gè)資源是否被可疑地濫用

6.3. 位置

6.3.1. 雖然在零信任網(wǎng)絡(luò)模型中，網(wǎng)絡(luò)位置不再是授權(quán)判定的依賴因素，但是仍然可以將其作為一種信任信號(hào)進(jìn)行分析

6.3.2. 零信任的目標(biāo)就是不以網(wǎng)絡(luò)位置作為信任的基礎(chǔ)，因此，基于網(wǎng)絡(luò)位置來(lái)判定訪問(wèn)權(quán)限確實(shí)看起來(lái)有少許矛盾

6.4. 網(wǎng)絡(luò)通信模式

6.4.1. 如果設(shè)備訪問(wèn)的網(wǎng)絡(luò)是可控的，那就有機(jī)會(huì)度量網(wǎng)絡(luò)通信模式，并形成一種流量范式，范式的突然變化是可疑的，這將直接影響系統(tǒng)對(duì)設(shè)備的信任度

6.4.2. 網(wǎng)絡(luò)監(jiān)測(cè)和流量采集設(shè)備通過(guò)流量分析可以快速檢測(cè)出可能的入侵，將這種檢測(cè)結(jié)果作為授權(quán)判定的輸入因子，可以產(chǎn)生強(qiáng)大的聯(lián)動(dòng)效果