一、初步了解密信零信任安全解决方案
密信零信任安全解决方案基于PKI技术,依托已经建设的密信云密码基础设施和已经提供的密信云密码服务,为用户提供可靠的零信任安全,不仅解决信任问题,最重要的是解决所有安全方案的目的地—数据安全问题,用数字签名和加密来保护数据安全。如下图所示,密信零信任安全解决方案主要有三个部分组成:统一身份认证系统、安全策略执行系统和密码服务系统,而密码服务系统主要由CA证书系统、密钥管理(KM)系统、时间戳系统和数据加密服务系统(包括数字签名服务)组成。
无论是人和物(包括终端设备、网络设备、服务器、物体、工业设备、车辆等等),每个个体都必须有两张数字证书(签名证书和加密证书),由CA系统和KM系统共同为个体签发数字证书,用于证明自己的数字身份和用于数据加密。这个是密信零信任安全解决方案的核心,也是目前同其他零信任安全方案不同之处,我们的方案是每个个体都要通过实名认证而获得可信数字身份,而不是匿名方式的不可信身份,使得后面的身份认证系统和安全策略执行系统变得很简单了,也使得信任管理更简单。
每个个体都有数字身份,可根据业务需要把人和物分成不同级别的身份而签发不同认证级别的签名证书,这同现实世界的不同的应用场景使用不同的证件一样。 人或物如果需要访问数据资源,则需要出示相应的签名证书来证明自己的身份,身份认证系统通过验证用户的数字签名而识别其身份是否可信,如果不可信,则直接通不过。如果可信,则由安全策略执行系统来判断用户是否能访问所请求的资源。组织必须根据业务需要制定不同的安全策略,如不同身份认证级别的用户可以访问不同的数据资源,制定好安全策略后,就可以由安全策略执行系统来控制用户能访问哪些资源了。当然,前提是用户能通过可信身份认证。
第三个重要的系统是数据加密服务系统,许多零信任安全方案并没有这块,我们认为这块非常重要,因为任何安全方案的最终目的是为了保护数据,零信任安全也是一样。数据加密服务系统由数字签名系统、加密系统和时间戳系统构成,为数据提供数字签名服务来证明数据的所有者身份、数据的生产者身份,为数据提供加密服务,数据只有是密文才会让数据失去被盗的价值,才会让安全防护系统更简单。还为数据提供时间戳服务,来证明数据生产时间,这对于需要事后审计和验证的应用场景非常重要。
简单来讲,密信零信任安全解决方案是基于PKI技术的身份认证和数据加密解决方案,类似于现实世界的实名乘坐飞机旅行,通过实名认证乘机人和航空公司资质认定来确保飞机旅行安全。而目前市场上的零信任解决方案,需要复杂的动态持续信任评估和对访问权限的动态调整,这是由于非实名认证不知道谁是坏人,只能靠福尔摩斯式的不断甄别,效率太低且容易判断失误。
二、基于密信云密码服务的零信任安全解决方案
密信零信任安全解决方案基于PKI技术,但用户无需投资建设相应的PKI/CA系统,而且依托密信云密码服务,为用户零信任安全所需的密码服务,这样的好处就是不仅可以节省PKI公钥基础实施的投资,降低系统运维成本,而且可以快速部署零信任架构,快速实现零信任安全。如下图所示,密信零信任安全解决方案包括统一身份认证系统、安全策略执行系统和数据加密服务系统,再加上密信云密码服务系统,共同实现零信任安全架构。
1.统一身份认证系统
统一身份认证系统是一个基础系统,必须对能连接组织的服务器资源而获取数据资源的所有人和物进行一次全面的摸底,把所有人和物(设备)都纳入身份管理系统中,并把所有人和物分类,根据不同的用户能访问哪些资源确认需要何种认证级别的身 份 证书(签名证书)。
对于人来讲,密信统一身份认证系统支持5种不同安全级别的身份类型,统一使用用户邮箱地址作为用户名,具体有:
- V0级别:用户名/口令弱认证方式,只验证用户名和口令,不验证邮箱控制权,安全级别最低,仅能访问一些不重要的资源。保留这个不安全的认证级别只是为了兼容一些老系统无法短时间内禁用用户名/口令认证方式;
- V1级别:数字证书强身份认证方式,仅验证用户邮箱控制权,无用户身份信息。这个级别的用户仅能访问无需真实用户身份信息的资源,只能保证的确是此拥有此邮箱的用户;
- V2级别:数字证书强身份认证方式,不仅验证用户邮箱控制权,而且验证用户个人身份,是真实可信的个人身份。这个级别的用户能访问必须以个人身份登录的系统,获取与个人身份相关的数据;
- V3级别:数字证书强身份认证方式,不仅验证用户单位域名邮箱控制权,而且验证单位身份,是真实可信的单位身份。这个级别的用户能代表公司以单位身份登录的系统,获取与单位身份相关的数据;
- V4级别:数字证书强身份认证方式,不仅验证用户单位域名邮箱控制权,而且验证单位身份和单位员工身份,是真实可信的单位员工身份。这个级别的用户能访问必须以单位员工身份登录的系统,获取与单位员工身份相关的数据。
也就是说,一个人要么是只验证邮箱的准匿名身份,要么是实名认证的个人身份或者单位员工身份,每个邮箱只能绑定一个唯一身份。每个人可能有多张身 份 证书,用于不同的应用场景出示不同的证书,这个同现实世界的身份认证是一样的,并且一样有效和高效,不可能出现需要不断评估和不断甄别的效力低下情况。人或物如果需要访问数据资源,则需要出示相应的签名证书来证明自己的身份,身份认证系统通过验证用户的数字签名而识别其身份是否可信,如果不可信,则直接通不过。如果可信,则再由安全策略执行系统来判断用户是否能访问所请求的资源。
对于物来讲,可以根据不同的用途、不同的功能或者属于不同的组织而颁发不同的身 份 ,也可以根据不同的访问权限来区分,这需要用户结合自己的业务管理系统来划分和定义证书类型。
人和物第一次接入统一身份认证系统时,由认证系统负责完成其身份认证并向密信云密码服务系统申请相应的数字证书(包括签名证书和加密证书),并根据业务需要选择在用户本地还是在云密钥管理系统中保管私钥。同时,还应该记录第一次接入时的IP地址和位置信息等,用于判断用户接入认证系统时是否违反了其他安全原则,如一个人不可能使用同一张签名证书同时在不同位置接入认证系统。
统一身份认证系统还具有根据需要向CA系统申请吊销某张证书的功能,一旦发现有非法使用身 份 证书的情况发生,不能通不过身份认证系统,而且会实时发起证书吊销申请,实时完成吊销证书。这个操作等同于现实世界的吊销各种证书或身 份 证的操作。
2.安全策略执行系统
安全策略执行系统负责安全策略制定、管理和执行。组织必须根据业务需要制定不同的安全策略,如不同身份级别的用户可以访问不同的数据资源。制定好安全策略后,当用户通过身份认证后,就由安全策略执行系统来控制用户能访问哪些数据资源。
制定安全策略这一步非常重要,需要对组织中的各种资源细分统计入库,并根据不同的网段、不同的服务器、不同的数据库、不同的数据项等制定不同访问策略,这个策略同时需要对应不同的身份的用户来制定,如这个数据只能是公司高管才能查看,需要检查通过身份认证的访问者的身 份 证书信息,确认的确是高管后才能放行访问所需的数据资源。
为了确认云数据资源中的身份,安全策略制定不仅要求用户满足一定的身份条件才能访问数据资源,而且也同时应该制定策略,对于用户向服务器提交数据时要求资源服务器出示自己的身 份 证书,在验证服务器身份符合安全策略时才能允许用户提交数据给服务器,这样就保证了用户不会给假冒身份的云端服务器提交了用户机密数据。双向认证和确认安全策略,确保用户能得到所需的数据和用户把自己的数据提交给了正确的服务器。
3.数据加密服务系统
数据加密服务系统包括加密服务、数字签名服务和时间戳服务,这是密信零信任安全解决方案的核心系统,也是同其他家方案的最大不同之处。零信任安全的最终目的是为了保护数据,我们的零信任理念是不信任没有数字签名的身份、不信任没有数字签名的数据、不信任没有加密的数据、不信任没有时间戳的时间、不信任没有位置戳的位置信息。而数据加密服务系统就是为了让每一个数据都是有身份的、都是加密的,都是有时间戳的,都是有位置戳的(根据业务需要)。
数据在产生时就应该用数据生产者的身 份 证书数字签名加时间戳,来为数据分类和标识,以便准确制定安全访问策略。同时也是为了明确数据的所有权、生产责任和具有法律效力的可事后追溯和审计的生产时间。而数据加密则是为了用户数据在数据库中的安全,用有权访问者的公钥加密后存放,有权访问者通过身份认证和安全策略后就能得到这个加密数据,用户就可以用其私钥解密此数据,也就是说,这份数据仅限于有权阅读者使用,其他人即使拿到这份数据也无法解密。这才是真正的零信任安全。
数据加密服务系统根据业务需要调用密信云密码服务,实现各种无身份的明文数据的数字签名、加密和时间戳服务,使得各种数据拥有了可信身份、已加密、时间可信和位置可信,从而真正了保护数据安全。
4.密信云密码服务系统
数据加密服务系统所提供的数字签名、加密和时间戳服务,由密信云密码服务提供。用户可以根据业务需要选择合适的服务和服务套餐,有按次计费、包月或包年计费方式。密信零信任安全解决方案支持SDK或API方式调用密信云密码服务。
密信云密码服务是密信技术把成熟的云密码基础设施作为一个云服务开放给所有互联网应用开发商和服务提供商,把密码能力变成云计算的一种资源服务赋能所有客户端软件和互联网应用,让所有开发商和服务商无需重复投资建设云密码基础设施,而是根据自己的应用需要按需选购密码服务,不仅大大节约投资,更重要的是能快速运用密码能力助力业务安全可靠运行。同时满足了用户的《密码法》《电子签名法》等合规要求,而且保护了宝贵的客户数据资源和数据资产,从而大大提升了企业的核心竞争力。
密信云密码服务是一种全新的密码能力交付模式,是云计算技术与身份认证、数据加密、数字签名、时间戳等密码技术的深度融合。云密码服务按照云计算技术架构的要求整合密码产品、密码使用策略、密码服务接口和服务流程,将密码系统设计、部署、运维、管理、计费等组合成一种服务,来满足用户的密码应用需求。用户不再需要“购买”密码硬件或密码系统等密码产品,而是以“租用”密码服务的方式使用云密码基础设施中提供的各种密码功能。密信云密码服务具有按需服务、即买即用、快速集成、弹性扩展、易于使用、成本更低、规范使用、全球合规、更强适用和安全运维等十大特点,能满足各种业务的数据加密保护(证书加密)、数据身份可信(数字签名)、数据产生和使用时间可信(时间戳)以及数据产生和使用位置信息可信(位置戳)等各种密码应用需求。
三、自主部署密码基础设施的零信任安全解决方案
同以上采用云密码服务的零信任安全解决方案不同的是,用户自建零信任密码基础设施,为零信任安全提供所需的密码服务,如下图所示,主要包括CA证书系统、密钥管理(KM)系统、时间戳服务系统、证书吊销查询系统和公钥交换系统,为统一身份认证系统和数据加密服务系统提供所需的各种密码服务,包括给用户签发签名证书和加密证书、数字签名服务、加密服务、时间戳服务等。
此方案其他部分同上面方案,优势是实现了所有密码服务的自主可控,缺点是增加了密码服务的系统投资、管理和安全运维,适合于政府单位和大型企业。
四、小结
密信零信任安全解决方案的提出是基于密信技术多年来在邮件安全和文档安全应用实践基础上总结出来的实用方案,并没有照抄其他任何家的解决方案,而是基于密信技术拥有的丰富的PKI技术产品研发和应用经验提出的一个创新解决方案。零信任只是一个非常好的安全理念和安全策略,需要各个安全厂家结合自己的技术优势提供不同的解决方案来解决网络信任难题。
PKI技术正是解决网络信任难题的最可靠的技术,这也在我们的邮件安全和文档安全应用实践得到了很好的检验。同时,基于PKI技术的零信任安全解决方案所需的密码能力,用户可以根据需要选择密信云密码服务或者本地部署密码服务系统来实现,非常灵活,能满足各种不同规模的单位的实际应用需要。
密信零信任安全解决方案不仅解决信任问题,同时也解决数据安全问题,一箭双雕,非常实用
来源:freebuf.com 2021-05-28 14:20:05 by: Mesign
请登录后发表评论
注册