新闻动态
中美零信任标准比较研究
发布时间:
2022-06-07 17:14
来源:
作者:
访问量:
全国信息安全标准化技术委员会于六月一日正式发布了国标《信息安全技术 零信任参考体系架构》的征求意见稿。这对于“零信任”在国内的发展是有里程碑意义的大事件。但是,相较于2019年9月,美国国家标准局(NIST)发布零信任参考架构草案时的热闹,似乎业界对于信安标委的这个征求意见稿的关注度并不高。作为国内零信任领域的先行者与长期主义者,我们愿意借此机会对中美发布的这两个标准做个比较,也希望引起大家对国标的重视。同时,信安标委也确实正在征求意见,我们在文内也提出了一些我们的看法,希望能够为国标做点贡献。
前言:全国信息安全标准化技术委员会于六月一日正式发布了国标《信息安全技术 零信任参考体系架构》的征求意见稿。这对于“零信任”在国内的发展是有里程碑意义的大事件。但是,相较于2019年9月,美国国家标准局(NIST)发布零信任参考架构草案时的热闹,似乎业界对于信安标委的这个征求意见稿的关注度并不高。作为国内零信任领域的先行者与长期主义者,我们愿意借此机会对中美发布的这两个标准做个比较,也希望引起大家对国标的重视。同时,信安标委也确实正在征求意见,我们在文内也提出了一些我们的看法,希望能够为国标做点贡献。
本文所要比较的标准文案分别是NIST于2020年8月发布的《zero trust architechure》(为行文方便简称“美标”)和信安标委于2022年6月1日发布的《信息安全技术 零信任参考架构》征求意见稿(为行文方便简称“国标”)。除此之外,事实上2021年国内还有一个零信任方面的标准发布,即由中国电子工业标准化技术协会发布的团体标准《零信任系统技术规范》(为行文方便简称“团标”)。这个团标和国标之间有什么异同,相信大家也都很关注,因此也一并纳入讨论。
首先要比较的是这三份标准都是干嘛用的,或者说为啥要搞这几个标准,我们从这些标准里能了解到什么信息,以及可以在什么时候使用这些标准。
国标:
在信安标委的标准中,在“范围”一节里,有如下描述:
本文件给出了零信任参考体系架构,包括组件及组件之间的关系。
本文件适用于采用零信任参考体系架构的信息系统的规划、设计、开发、应用。
团标:
而在团标中,也有对应的“范围”章节如下:
本文件规定了用户访问资源、服务之间调用两种场景下零信任系统在逻辑架构、认证、访问授权管理、传输安全、安全审计、自身安全等方面的功能、性能技术要求和相应的测试方法。
美标:
在NIST的标准中,在其摘要部分(ABSTRACT)有这样的描述:
This document contains an abstract definition of zero trust architecture (ZTA) and gives general deployment models and use cases where zero trust could improve an enterprise’s overall information technology security posture.
译文:本文档,对零信任架构给出了一个抽象的定义,并且提出了一些通用部署模型和场景,从而使得企业的信息安全水平能够得到提升。
比较分析
我在通读了三份标准的全文之后,回过头来看他们的范围描述,看得就很明白了。首先,我想提一下如何定义一个概念的问题。一般来说有两种定义的方法。一种是“内涵”的方法,也就是从本质上定义一个东西的核心特质。还有一种是“外延”的方法,也就是把属于这个概念的具体实例列举出来,从而让大家对这个事物的内涵有所了解。所谓的“白马是马,白马非马”就是说“白马”是“马”这个概念的外延,白马确实是马的一种,但是白马不能就完整的定义什么是“马”,你不能说只有白马才叫马,但其实黑马、黄马、赤兔马也都是马。从这个角度说,美标的定义既有内涵也有外延,既给出了抽象的定义也给出了具体的实现方式。国标则主要是内涵,而对于实现部分则没有涉及。而团标正相反,它所讨论的主要是实现,对于抽象定义部分则没有涉及。这也比较符合二者的定位,国标负责提出大原则,团标则考虑具体实现。因此,国标和团标两份标准彼此之间有一种互补的关系在。
在国标发布之前,严格地说,在国内“零信任”这个词其实一直只是一个市场用语。他是由各个安全厂商和机构,基于对海外技术进展的研究在国内提出的一个对应概念。而且这个概念有着明显的被泛化被滥用的趋势。因此,由国家权威机构提出一个对零信任的权威解释是很有必要的。
国标:
在国标中,其实没有一个专门的章节论述什么是零信任,什么是零信任架构,而只是出现在“术语和定义”章节,作为两个专有名词进行了解释。
零信任 zero trust;ZT
一种以资源保护为核心的网络安全理念。认为对资源的访问,无论主体和资源是否可信,主体和资源之间的信任关系都需要从零开始,通过持续环境感知与动态信任评估进行构建,从而实施访问控制。
零信任参考体系架构 zero trust reference architecture
依据零信任建立的参考体系架构,遵守最小权限原则,采用多属性动态访问策略,实现主体对资源的端到端访问控制。
团标:
团标中没有对这两个基础概念的定义。
美标:
在美标中对应描述如下:
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms that move defenses from static, network-based perimeters to focus on users, assets, and resources. A zero trust architecture (ZTA) uses zero trust principles to plan industrial and enterprise infrastructure and workflow.
译文:零信任是一种安全范式,它将防御的焦点从静态的网络边界转向了人、资产以及各种服务和资源。而零信任架构指的是利用零信任的原则对工业和企业的基础设施以及网络访问业务流所进行的规划设计。
比较分析
可以看到,国标的动态评估包含了对身份的可信性评估和对主体安全状态的评估。这样看,似乎国标的定义涵盖了美标的定义。但是,关于这一块我们其实是有不同看法的。如果是内涵式的定义,就必须能准确的反应一个事物最核心的特质,符合这个特征你就是这个东西,不符合就不是,不构成本质区别的属性不应该出现在基础概念的定义里。其实,关于持续验证动态验证的理念,在美标的后续章节中有着非常大篇幅的讨论,但是并没有出现在对零信任的本质定义里。也就是说,零信任思想要求动态评估,但动态评估并不构成零信任的核心特质。在美标极其庞大的(远不止这一个标准)完备的理论体系中,零信任都有一个一以贯之的内涵:零信任就是对IP地址的不信任,因为在一个快速变化全球分布的网络中,IP本身既没有身份属性也没有安全状态内涵,以IP为参数进行访问控制已经没有任何意义,因此要把访问控制的核心参数从IP变为ID,ID系统不但带有更本质且更稳定的身份属性,而且其支撑体系有着很强的抗伪造能力。所以,零信任革命最核心的部分就是IP到ID。举例来说,你通过终端安全软件动态地收集了环境信息和安全信息,也通过准入产品对接入终端身份进行了验证,然后在边界防火墙上下了一条面向IP的策略。这种做法是否符合零信任原则呢?根据美标的原则就不符合,根据国标的原则就符合。我想我们的讨论可以先停在这,哪种表述更恰当姑且不论,但这确实是极大的区别。
另外,关于零信任架构的定义,美标同样采用了“内涵”的表述方式,他提出了两个核心要点:一个是“结构”,一个是“流程”。也就是说,当我们讨论架构时,我们在讨论的其实就是“结构”和“流程”。而国标在此处的定义方式则从内涵定义忽然跳成了外延定义,提出了“最小权限,动态策略,和端到端”三个要素。
还有一点,国标在定义里有个提法“无论主体和资源是否可信,主体和资源之间的信任关系都需要从零开始”。这似乎有一点自相矛盾,既然都要从零开始建立信任,那么就不存在是否可信问题,这就好像在说“不管你是鱼还是鸟,你都得是条鱼”。
“零信任”其实是个省略的说法,他缺少关键的主语和宾语。零信任究竟是谁对谁的不信任呢?在国标和团标中都用了“主体”和“客体”的逻辑对这个问题进行说明,也就是说,“零信任”就是“客体”对“主体”访问的不信任。换言之“客体”是零信任需要去保护的对象。那么客体又包含什么呢?我们认为这里就是零信任标准中另一个非常关键的问题了。
国标:
国标在术语和定义章节有如下表述:
资源 resource
系统中可供访问的客体,例如:应用、系统、接口、服务、数据等
团标:
团标在术语和定义章节的表述如下:
访问客体 access object
被访问的目标资源。
注:访问客体例如服务器、数据库、打印服务、网络等。
美标:
在美标的第一章介绍(introduction)部分,有如下描述:
A ZT approach is primarily focused on data and service protection but can and should be expanded to include all enterprise assets (devices, infrastructure components, applications, virtual and cloud components) and subjects (end users, applications and other nonhuman entities that request information from resources)
讨论分析
零信任的本质是一种“数据为中心”的网络安全理念。美标说的很明白,零信任主要是保护“数据和业务”的,虽然可以被扩展到其他关键架构组件上,但其本质是面向“数据与业务”的。从这点上说,国标和美标的观点基本一致,在国标中“客体”主要包括“应用、系统、接口、服务、数据”。但是团标在这里就不一样了,在团标的举例中出现了“网络”的字样。而“网络”恰恰是零信任需要放弃的地方,在美标的摘要(ABSTRACT)部分就开宗明义讲了这个问题:
零信任聚焦于保护“资源”本身而不是“网段”,因为“网段”不再构成对资源有意义的安全参数。从这个角度说,“防火墙”以及一切以“IP”为策略核心的安全产品就都不符合零信任的要求。
零信任的基本原则是什么?零信任对网络安全有哪些最核心的要求?这些问题是零信任标准中应该去讨论的问题。
国标:
在国标里,没有出现类似准则、信条、假设、前提等字样,取而代之的,国标提出了一个零信任访问模型,在这个模型里,国标提出了四条近似于“基本原则”的所谓“基本构成”。
1) 持续环境感知;
2) 动态信任评估;
3) 最小权限访问;
4) 加密传输。
团标:
在团标里,则明确提出了六项基本原则:
零信任理念的基本原则如下:
a)任何访问主体(人/设备/应用等),在访问被允许之前,都要经过身份认证和授权,避免过度的信任;
b) 访问主体对资源的访问权限是动态的(非静止不变的);
c) 分配访问权限时遵循最小权限原则;
d) 宜减少资源非必要的网络暴露,以减少攻击面;
e) 宜确保所有的访问主体、资源、通信链路处于最安全状态;
f) 宜多的和及时的获取可能影响授权的所有信息,并根据这些信息进行持续的信任评估和安全响应。
美标:
在美标里提出了七个基本原则,英文原文过长,我们这里直接上译文:
1)所有数据和服务都被统一为资源;
2)无论网络位置如何,所有通信都必须被保护;
3)对企业资源的访问是在“会话”级别上开展的;
4)访问控制策略必须是动态的;
5)企业应对全部资产(产权资产或关联资产)进行完整性安全状态的检测与度量;
6)先验证,再访问;
7)企业应持续手机一切可用的安全信息,以不断改进其安全策略。
比较分析
零信任是个理念,这个理念要落地,就必须要转化为一种具体的逻辑架构。当然这个“具体”也是相对而言,相较于“理念”而言,它要有具体的功能组件,但是这些组件和架构仍然还是概念上的,他不能直接用来“落地执行”,只能是个参考。真要落地的话,需要类似于美国国防部的《零信任参考架构》(DOD 《zero trust reference architecture》)标准中提出的一些功能架构和具体操作规程的指导。
国标:
国标里的架构图长这样:
美标
美标里的架构图长这样:
团标
基于我们前面的讨论,团标并不致力于提出一个零信任的逻辑架构。取而代之的是,在两个基础场景里(用户访问资源,服务之间访问),团标分别提出了一个具体的技术框架图,可以认为团标里的技术框架图是国标里的技术框架图在对应场景下的实例。
比较分析
团标的框架图是对国标的实现,这里就不多说了。而国标和美标的两张图本质要说的是一个事,他们也基本都遵循了一致的底层逻辑,那就是一方面策略的控制面和数据面要分离,另一方面要通过支撑性平台与信息的支撑做动态的策略评估。
这里面有意思的是“态势感知”。在国内,“态势感知”是个颇为魔幻的概念,他有一种极强的“筐”感。而在国标的定义里“态势感知”再次发挥了他“什么都能装”的关键属性。美标架构图中存在两翼,左边的是各种“信息”,右边的是各种“安全基础设施”。而在国标里“态势感知”既包括了右边的“SIEM”,又同时把左边的所有“信息”都装了进来。当然,国标还是对 “态势感知”给了个相对明确的定义:
我们对中美三份零信任标准文档的问题边界,零信任的本质定义、保护对象、基本原则和技术结构分别做了对比研究。总的来看,三份标准的思想主体是一致的,大家都遵循了一些共同的理念原则,虽然行文上有所不同(尤其是关于“零信任”的定义部分),但不构成本质区别。只是国标的这一稿内容确实有点少,只保留了“形而上”的讨论,对于美标中涉及到的部署模式和应用场景等内容都没有涉及,这一点殊为遗憾。但考虑到国标制定过程中所面对的多方面约束条件,当下的内容安排也是可以理解的。毕竟,涉及到落地实现部分,不仅工作量大,而且势必很难达成共识。保留在“形而上”的层次上,也许是目前国内业界能够找到的“最大公约数”。我们认为,当下这版国标,相较于其内容而言,这个标准能够得以发布本身,对于中国的零信任产业的发展就是最伟大的贡献。在此,感谢所有为国标做出贡献的专家和机构,祝愿零信任国标正式版本早日发布!
零信任,微隔离
