BeyondCorp系列之基于“属性”的动态VLAN实践 – 作者:宁盾nington

BeyondCorp 作为零信任安全的实践,在其系列论文《一种新的企业安全方法》中提到,终端接入有线无线网络时,需通过判断是否为“受控设备”的方式,基于802.1x认证的Radius服务器将设备分配到一个适当的网络,实现动态的、而不是静态的VLAN分配。

关键词2个:设备信任推断”、“802.1x 动态VLAN 分配” 


随着企业及信息化建设的发展,传统企业网络边界正在被极速发展的云及移动互联蚕食,访客、员工、合作伙伴及各种各样的终端游离于企业网络,对企业网络带来极大威胁。相较于边界防护,企业需要更加敏捷、可控的安全管理模式。一方面要了解并熟知发出请求(主体)的状态,一方面通过建立动态可持续的安全评估机制及时作出判断和管控。因此,当下及未来企业更需要一种基于主体身份的动态持续性安全认证与访问管理解决方案。这与“BeyondCorp”、“零信任”安全思维不谋而合。也就是说我们需要用“零信任”思维解决当下及未来的网络安全问题。

“零信任”安全并非是完全不信任,而是在访问“主体”与“客体”间建立“端到端”的动态信任。通过信任评估机制实时动态评估“主体”身份的安全等级,并为其动态匹配访问权限的过程。整个过程,“主体”和“客体”始终处于动态评估状态,一旦主体低于信任等级,则改变或中断二者之间的访问。这里的评估依据是由一个或多个“属性”所组成的策略。“属性”作为数字世界定义对象的语言,在实际业务中,通过一个或多个“属性”的组合转化成可被描述的业务语言。比如,访问A服务器的终端需保持当前会话身份与域身份一致,那么我们就需要当前会话身份和终端域身份两个属性。因此,从本质上来说,“零信任”是以“身份”为核心,基于“属性”的信任评估结果,在“主体”与“客体”之间建立“端到端”的动态信任的过程。

a1.png在无线有线网络接入环境中,BeyondCorp 采用 802.1x 证书的形式解决企业网络对终端及用户的初级信任关系,并将无法识别的设备或非受控设备分配到补救网络或访客网络中。对比之下,这里的方式还是有些粗犷,只是验证了用户和终端基础身份信息,而忽略了终端的安全属性。毕竟,未知安全的终端接入企业网络本身也是一种威胁。比如,当我使用正确的账号密码和安全终端接入企业网络之后,如果因为某些原因卸载了杀毒软件,那么当我无意中打开某个钓鱼网站时,就极有可能中病毒。因此,我们既有必要检查终端的多重“属性”。

宁盾“零信任”网络准入

本着以“零信任”思维解决当下及未来网络边界问题的思路,宁盾“零信任网络准入解决方案的重点在于对主体“属性”的分析,比如在某客户场景中就有如下要求:

在 802.1x 准入场景中,将“未安装 Symantec 杀毒软件、未更新高危补丁、当前会话与域会话不一致”的非合规终端自动调至隔离VLAN。

因此,根据需求,待检测的“属性”确定为:是否安装 Symantec 杀毒软件?、是否更新30天内的高危补丁?、当前会话身份是?、域身份是?、会话身份与当前身份是否一致?整个网络的准入流程如下:

a2.png


1、用户身份确认:802.1x+NPS的方式完成认证,无需安装客户端;

2、终端检测方式:Windows 无客户端AD域检测,Mac OS 和 Linux 使用轻量化客户端检测

3、信任评估策略:基于以上几条属性组合而成的信任条件;

4、终端准入控制:这里用到的是 Switch VLAN;

5、动态评估:实时或定时检测(如2分钟),信任评估机制每收到一次检测结果评估一次;

6、动态准入:控制系统每接收一次信任评估处理一次访问权限,一旦发现非合规行为立即制止。


a3.png起初接触到“零信任”的时候,我们也认为它是一个漫长而庞大的工程,如果大刀阔斧的对网络架构进行整改,对企业的人力、物力都将带来极大的考验。因此我们建议,采用“零信任”思维的方式解决当下及未来的网络问题,通过场景化问题的方式逐渐解决“边界防护”的不足,进而达到构建新一代网络的目的。目前高科技技术产业互联网企业已经开始将目光投向此类简单、可落地的、场景化“零信任解决方案,通过不断迭代的方式帮助企业实现“零信任”转型。

来源:freebuf.com 2020-04-26 10:06:29 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论