带您了解“零信任架构下的访问控制技术” – 作者:中孚信息

NO.1 引言

传统安全边界加固手段是以防火墙加VPN为基础划分组织内网和公网的边界，并以此构建安全体系。这些并无法缓解新的复杂网络的安全威胁。攻击者可以利用破解密码通过VPN进入内网、利用VPN漏洞、业务系统漏洞直接进行渗透，造成巨大损失。

目前5G、云计算、物联网等先进信息技术的应用，极大地增加了网络信息基础设施的复杂性，也给网络安全带来了全新的挑战：

（1）常见的以VPN等从互联网接入内网的方式导致了组织内部业务网络暴露面的增加，大大增大了网络攻击面；

（2）业务的发展要求允许用户可以使用不同种类终端（如PC、移动终端等）在任何时间、任何地点远程按照需求访问数据，导致用户、设备的身份和权限管理更加复杂。

（3）网络已经不存在单一的、易识别的、明确的安全边界，网络的安全边界已经被逐步瓦解，业务数据在用户、设备、系统之间频繁流动，数据泄露和滥用风险增加。

为应对基础设施面临的复杂安全风险和日益严峻的网络安全形势，零信任理念诞生了，它的诞生是安全思维和安全架构进化的结果。零信任理念构筑新的动态虚拟身份边界，通过身份、环境、动态权限等层面定义，缓解身份滥用、高风险终端、非授权访问等安全风险，建立端到端的动态访问控制机制，极大收缩攻击面，为各行业的新一代网络和信息安全建设提供理论和实践支撑。

NO.2 零信任框架

零信任的雏形源于2004年成立的耶利哥论坛 (Jericho Forum)，2010年零信任被Forrester正式使用。2014年开始，谷歌基于内部项目Beyond Corp构建零信任架构，其设计思想是仅仅针对企业边界构建安全控制已经不够了，谷歌成功地摒弃了对传统VPN的采用，确保所有来自不安全网络的用户能安全地访问企业业务。

在《零信任网络》一书中，埃文•吉尔曼 (Evan Gilman) 和道格•巴斯 (Doug Barth) 从零信任的安全假设和安全思路维度进行了定义[1]：

(1) 网络无时无刻不处于危险的环境中；

(2) 来自网络内外部的安全威胁始终是网络安全的威胁；

(3) 网络的位置不足以决定网络的可信程度；

(4) 网络中各类要素包括用户、设备、资源、网络流量等都应当经过认证和授权；

(5)依据实际情况制定的动态安全策略才能保证业务安全，要基于尽可能多的数据源计算来进行信任评估；

各类先进技术的使用导致网络越来越复杂，面对新情况，零信任理念是不区分内外网，针对核心业务和数据资产构建一体化的动态访问控制体系。在访问者和被保护资源之间建立动态的信任关系，根据信任的程度持续进行授权和权限调整。

NO.3 零信任架构核心能力

基于零信任理念构建零信任架构，打破传统安全架构基于网络边界构筑信任域的理念，基于各类主体的身份进行细粒度的风险度量和访问授权，通过持续信任评估实现动态访问控制，避免核心资产直接暴露，最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问是零信任的核心能力。

身份认证

基于身份而不是拓扑位置构建访问控制体系是零信任架构基础，为网络中的人、设备、业务应用、数据资产等参与网络交互的所有实体要素建立数字身份，采用身份验证系统验证各类要素的身份。基于访问的主体身份信息进行最小范围授权，遵循最小安全授权原则，能够抵御较强的风险。

持续信任评估

持续信任评估的结果是动态访问控制的决策依据，基于各类主体身份信息，采用信任评估模型和算法，通过对各种采集数据源的分析，评估出用户、终端、应用及被保护数据的信任等级，评估结果输出到访问控制模块。信任评估过程持续进行，以实时反映终端环境和应用环境的动态变化。

动态访问控制

访问控制模块持续依据评估结果建立访问主体和被访问资源之间的映射关系，调整并下发执行控制策略，构建对核心业务资产的保护屏障，将核心业务资产的暴露面隐藏。

在以上功能基础上配合其他组件及技术实现业务安全访问。

NO.4 访问控制模型

传统访问控制模型中，访问主体通过角色属性获取相应权限。但是在零信任架构下，以前的相对静态的或者相对封闭的网络环境已经越来越少，逐步向开放式发展，访问主体身份不固定，频繁进行登录和退出操作，对于访问控制模型提出了更高要求。常用的控制模型有两种：:基于角色的RBAC（Role-Based Access Control）模型、基于属性的ABAC（attribute-based access control）模型、基于策略的PBAC（Policy-based access control）模型。

4.1 RBAC访问控制模型

RBAC引入“角色”属性，定义拥有相同操作权限的用户，将用户与权限分离，用角色关联用户与访问权限。访问主体通过身份认证之后，根据职责获得相应角色，从而获得该该角色的访问权限，最终可以访问相应的数据。如下图所示。

图1. RBAC访问控制模型

如图所示定义了以下元素：用户、角色、数据、访问权限、会话、操作。基于角色的访问控制策略是：管理员创建访问控制策略、角色，管理员根据业务需要配置角色权限并给用户分配角色。

4.2 ABAC访问控制模型

ABAC（基于属性的访问控制模型）可基于属性设置大量灵活策略进行资源的访问控制。ABAC模型通常采用负责控制逻辑的处理，配置文件负责策略的定义和描述。由于授权需求越来越复杂，并且对控制逻辑灵活性要求更高，ABAC访问控制模型得到较为广泛的应用。典型的访问控制过程如下：

图2. 基于ABAC访问控制过程

1.用户访问资源，发送原始请求，请求被PEP拦截；

2.访问请求在PEP被转换为XACML格式或者其他格式；

3.PEP把访问申请请求转发给PDP；PDP评估认证请求，向PRP请求策略；

4.策略保存在PRP，并由PAP维护；

5.PDP收到访问请求的评估结果转发给PEP；

6.PEP根据收到的信息，同意或者拒绝用户访问资源。

主要控制节点描述见下表。

用于授权控制的属性主要包括：

1.访问主体属性：访问主体属性，如年龄，性别，部⻔，⻆⾊等；

2.动作属性：如读取，删除，查看等；

3.对象属性：被访问资源属性，包括数据创建时间、修改记录、修改者等；

4.环境属性：如拓扑位置，时间信息，访问平台信息等。

4.3 PBAC访问控制模型

PBAC模型针对每次请求进行动态授权，主要包括以下处理机制：1）核心规则库，将访问规则管理和应用分开处理；2）通过全面身份化简化规范策略机制，身份不仅标识用户，还用来标识设备、应用、组件和服务等，将访问请求响应模型标准化，采用访问控制列表规范规则；3）规范服务和组件的处理流程，将访问请求送到中央策略库中查询访问策略并进行鉴权。

PBAC访问控制的标准工作流程如下：

图3. PBAC访问控制流程

1.用户访问资源，发送原始请求，请求会被PEP Auth拦截；

2.PEP Auth组合访问请求、相关信息并生成对策略决策点的授权请求；

3.4.策略决策点（PDP）是控制决策中心，从PIP检索被访问资源的相关访问控制策略并评估授权请求；

5.6.PDP通过PEP Auth允许或拒绝授权请求；

7.用户向PEP Action发送执行请求；

8.9.10.PEP Action执行由PDP授予的权限，并且仅在PDP允许的情况下，才向受保护的资源后端调用基础API业务逻辑，向用户返回调用结果；

PBAC模型下PEP组件分解为PEP授权服务（PEP Auth）和PEP执行（PEP Action）服务，如图所示。在操作阶段（6）结束时，客户端从PEP授权接收包含访问资源所需的授权信息，客户端随后可以在有限的时间段内使用此授权，从PEP执行服务获得资源（7-10）。分解为授权和操作服务具有许多优点：允许这两个服务驻留在不同的服务器上，而且PEP Auth可以根据业务需求将请求路由到最合适的PEP Action，使得PEP Auth将请求重定向到拥有资源的组织的PEP Action。重定向对发出请求的客户端是透明的，客户不用关心，大大方便客户的使用。

此外，授权请求还可以级联为多个授权PEP。PBAC还允许并行访问资源，如使用相同的授权从并行执行的不同进程中读取请求数据的碎片。

可以由资源管理器服务担任PDP的角色，PIP可以由知识图谱提供，零信任架构下PDP和PIP的功能可以部署在控制器上。PEP服务由许多独立的资源提供程序服务实现，零信任架构下PEP可以部署在网关上。

4.4 访问控制模型的比较

各种前沿信息技术的应用对零信任访问控制模型提出了更高的要求：

（1） 各类访问要素种类繁多、数量巨大并且经常变化，访问更加频繁，要求采用效率更高、更加灵活的授权方式；

（2） 访问主客体经常动态变化，为适应这种动态变化，应当采用更有效的动态授权方式；

（3） 被访问资源中包含大量非结构化和半结构化数据，为保证安全性更加需要按照最小授权原则进行细粒度授权；

RBAC模型下用户与一个或多个角色对应，根据实际需要配置用户的角色并激活相应角色。角色相对稳定，不会经常变化，访问权限分配给角色，当用户权限发生变化时，只需要执行角色的撤销和重新分配即可[11]。实现起来非常容易，获得较为广泛使用。但其劣势也是非常明显的：RBAC授权粒度粗，只能进行静态授权；被访问资源无法自主授权，缺乏灵活性；受到管理员业务水平的限制，不一定能准确地为用户指定可访问的数据范围[12],也会带来安全性问题；针对各类访问要素频繁动态变化的情况，预先定义的角色不能满足所有的业务场景，更加难以管理和维护。因此，RBAC模型无法适应复杂的技术环境，不适合零信任架构。

针对细粒度访问控制和大规模实时扩展用户的新需求，ABAC模型将访问主体、客体、权限和环境属性进行统一建模，资源所有者可以根据业务需求调整策略，灵活性较好。ABAC在大型分布式环境、Web服务系统、网格计算以及消息共享和管理中广泛应用[10]。ABAC的问题是：安全策略越来越复杂导致系统难以维护；随着系统的扩大规则过多会导致性能问题，导致策略匹配效率低下；用户和被访问资源之间的关系很不直观；ABAC的管理也相对复杂，缺乏良好的设计会给管理者维护和追查带来更大问题。以上种种问题限制了ABAC实际应用场景，面对新的信息技术的发展，其在零信任架构下的效能也受到影响。

基于策略的访问控制（PBAC）具有以下优势：授权不依赖于特定实现，还可以用人类语言设置策略，如“部门管理员只能在工作日的上午9点到下午17点之间，授予团队成员对项目的访问权限”，使得管理大量用户和数据更加简单，便于智能化权限设置；在继承ABAC优势的同时增添动态授权机制，打破原来以业务系统为核心的安全防护，构建更细粒度的管控机制；支持按照环境情况，很便利的设置策略限制对系统的访问；策略也可以基于事件快速调整（例如，如果工程师在紧急情况下需要访问，可以在紧急情况下在有限的时间内被授予立即访问权限）；PBAC还可以隔离数据访问、控制访问蔓延，防止授权用户以危险方式访问数据。由于以上优势，零信任架构采用PBAC模型取代RBAC和ABAC访问控制模型是未来趋势。

参考文献

[1] 埃文·吉尔曼（Evan Gilman），道格·巴斯（Doug Barth），《零信任网络》埃文·吉尔曼（Evan Gilman）

[2] 奇安信，《零信任架构及解决方案》联合白皮书[EB/OL], https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/Qi-An-Xin/Qi-An-Xin-1-1OKONUN2.pdf

[3] 黄艳，吴晓鸰，凌捷，一种支持信任管理的基于角色和属性的访问控制模型，计算机科学与应用，Vol.9 No.3(March 2019)

[4] 施麟，陈宁，张骏，基于身份动态持续认证的大数据平台访问信任技术研究，网络空间安全，Vol.10 No.7 Jul.2019

[5] 陈彦竹，郝天曙，基于角色信任度动态监控的访问控制研究，计算机技术与发展，Vol.27 No.10 Oct.2017

[6] 刘增明，崔雪璐，马靖等，基于零信任框架的能源互联网安全防护架构设计，电力信息与通信技术，Vol.18，No.3 2020

[7] 石兴华，曹金璇，朱衍丞，基于信任度的公安合成作战平台动态访问控制策略，计算机应用与软件，Vol.36，No.8，Aug.2019

[8] 陈彦竹，郝天曙，基于角色信任度动态监控的访问控制研究，计算机技术与发展，Vol.27，No.10，Oct.2017

[9] SDP Specification v1.0[EB/OL], https://cloud security alliance.org/ artifacts/sdp-specification-v1-0/

[10]李凤华，苏铓，史国振，马建峰，访问控制模型研究进展及发展趋势，电子学报，Vol.40 No.4 Apr.2012

[11]刘建生，彭行顺，访问控制模型研究综述，计算机与数字工程，Vol.38 No.7 115

[12]陈垚坤，尹香兰，刘文丽，大数据环境下访问控制模型适用性研究，网络空间安全，2016年7月

吕峥/中孚信息（北京）研究院

来源：freebuf.com 2020-11-27 13:27:46 by: 中孚信息