“零信任”(中):信任即特权

围观次数:431 views

在NIST(National Institute of Standards and Technology,美国国家标准与技术研究院)发布《NIST SP 800-207 零信任架构(草案)》之前,业界虽然已经广泛使用“零信任”这个词,但其具体内容并不明确。

在追溯“零信任”的历史时,一般会将源头指向John Kindervag,2010年他作为Forrester分析师首先明确提出“零信任”这个词,针对的是企业的内部网络建设;Google 在2014年底起发表的几篇论文中披露BeyondCorp项目时并没有直接提到“零信任”,且BeyondCorp项目本身的目标仅在于“让所有Google员工从不受信任的网络中不接入VPN就能顺利工作”,但随着其在业界引起的广泛兴趣和讨论,Google BeyondCorp项目最终成为“零信任”的代表。与此大体同时,美国DISA(Defense Information Systems Agency,国防信息系统局)的“黑云”架构由CSA(Cloud Security Alliance,云安全联盟)发展为SDP(Software Defined Perimeter,软件定义边界),目的是“使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来”。

经过NIST的提炼和明确,“零信任”被概括为“一系列概念(concept)和观念(idea)”,面对的是“被视为已经沦陷的网络”,“用以降低在信息系统和服务中执行精确、按单个请求进行访问决策时的不确定性”。透过拗口的定义,其实质是:在不能依赖网络区分敌我时,严格管理对资源的访问。具体的内容前文已经作过介绍,这里就不赘述了。

当我们发现“零信任”最终的落脚点是访问控制时,会很自然地想到“最小权限原则(Principle of Least Privilege,PoLP)”:“系统的每个程序和每个用户工作时应该只使用完成任务所必须的、最小的特权集合”。那么,该怎么看待“零信任”与“最小特权原则”呢?

访问控制,是管理对资源的访问,实质是管理访问资源的“特权”。为了使资源得到充分的保护,好的访问控制系统能够贯彻“最小权限原则”:正确识别访问者,确认其访问目标资源的必要性,授予访问者完成任务所需的最低限度的“特权”。现实中的信息系统通过各种认证(Authentication)技术识别访问者,通过根据各种预设的访问策略(Policy)判断访问者访问目标资源的必要性和应该具有的“特权”,并根据策略判断的结果支持或拦阻访问者相应的访问行为。

访问控制模型,《NIST SP 800-207 零信任架构(草案)》

“零信任”提供了一种访问控制原则:不依赖“隐式信任”。在用户达到一个基本的认证/安全水平时,并不直接许可其对所有资源的访问请求,而是仍然持续评估每个访问请求。以机场的安全管理为例,候机楼是一个依赖“隐式信任”的“隐式信任区域”:乘客在通过安检(达到基本的安全水平)后可以自由地探访所有登机口,而贯彻“零信任”则要求乘客在通过安检后只能抵达自己航班所对应的登机口。显然,“隐式信任区”不可能完全消失,且可能在不同层面作出定义。

零信任模型,《NIST SP 800-207 零信任架构(草案)》

可以看到,“最小特权原则”中的“特权”由访问控制系统授予访问者/用户,满足其在目标资源上完成工作任务的需求,而“零信任”中的“信任”关联的是用户访问资源的许可。二者的核心内涵和外延是一致的,因此我们可以说,信任即特权。NIST SP 800-207 中总结了“零信任”的“一系列概念(concept)和观念(idea)”,都可以视为对企业贯彻“最小特权原则”的指导。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助