零信任数据动态授权桔皮书 附下载地址
原创
声明
本文是学习零信任数据动态授权桔皮书. 下载地址 http://github5.com/view/55013而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
前 言
随着数字化的深入,数据成为重要生产要素。数据伴随着业务和应用,在不同载体间流动和留存,贯穿信息化和业务系统的各层面、各环节,在复杂的应用环境下,保证重要数据、核心数据以及用户个人隐私数据等敏感数据不发生外泄,是数据安全保障工作的重要挑战。
数据安全靠的不是单点技术,而是能力体系。真正做好数据安全防护,需要从零散建设升级到体系化建设,内生安全框架是安全体系化建设的核心,“一中心两体系”是内生安全框架落地的具体方法,即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系,从而打造认知、安全、授权三个重要能力。其中零信任数据动态授权体系,则是授权能力的落地 。从实体安全、身份可信、业务合规三个目标出发,抽象出主体、客体、主体环境,通过动态评估主体的数字身份、安全状态和信任、数据安全治理的成果,进行动态细粒度授权及访问控制,并结合数据安全防护体系的技术能力,实现对应用和数据的、服务,API接口、大数据平台、数据库行、列等级别的精准管控。
本报告总结分析了数字化时代数据安全的背景和挑战,结合零信任理念,提出构建数据动态授权能力的建设思路,以及以工程化思维推进零信任架构演进的建设方法,旨在为组织开展数据安全体系化建设提供参考和建议。
数字化时代的数据安全发展现状背景
数据安全成为数字化发展基石
2021年9月1日,《数据安全法》正式颁布实施,明确提出了数据安全保护要求,包括从战略上将数据安全上升到国家总体安全观层面;从组织责任上明确数据流转过程中组织的安全责任与义务,明确监管要求;在安全保护方面完善数据安全保护体系,提升数据安全能力;在安全监管方面建立数据安全应急机制和审查制度。《数据安全法》同时也阐明了数据安全与发展的关系,即“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。坚持安全与发展并重,在数据作为生产要素之一的大背景下,探索全新数据安全体系、保障新形势下的数据安全,已成为维护国家安全和国家竞争力的战略需要。
数据成为关键生产要素加速数据流转
今年是我国“十四五”规划实施的第二年,是迎接数字时代、激活数据要素潜能、推进网络强国建设的重要一年。全球也进入全面数字化转型时期,数据作为关键生产要素发挥着巨大作用,推动着数字经济的发展。传统信息技术开始向以数据和业务为核心的新一代信息技术转变,数据资源的种类数量、对接程度、应用领域、价值实现不断扩张,数据资源逐步走出企业物理边界;大数据、物联网等新业务的开放协同集合企业的业务和数据,多部门、多平台、多业务的数据融合打破了业务之间、部门之间的数据边界。其典型特征是企业间的信息化交互大幅增加,企业与外部合作伙伴的关系也更加密切,通过业务协同、数据共享实现流程优化、合作共赢已经成为共识。
同时,可以预见到,未来数据流转情况将更加开放,业务生态将更加复杂,参与数据处理的角色将更多元,系统、业务、组织边界将进一步模糊,导致数据的产生、流动、处理等过程比以往更加丰富和多样。数据的频繁跨界流动,多环节的信息隐性留存,带来了严峻的数据安全挑战。一方面,数据在各组织、部门之间流动,系统和数据安全的责权边界变得模糊,主体责任划分不清,权限控制不足,导致数据泄漏事件频发;另一方面,数据在跨组织间的流转,导致原本的边界安全机制无法有效保护流转到边界外的数据,基于边界的安全管理和技术措施,已经无法适应当前的安全需要。在数据安全风险与日俱增的新形势下,安全作为发展的前提,数据安全已成为数字经济时代最紧迫和最基础的安全问题。
应用架构演变伴生数据使用场景日趋复杂
随着云计算平台、大数据算力融合平台技术架构的演进,硬件平台和网络体系经过多次结构化重组,以容器、微服务、DevOps为代表的云原生技术发展,以及边缘计算技术的大规模采用,企业普遍应用新技术,帮助企业提升决策水平、构建新型业务模式,实现产业升级。如微服务架构的盛行,导致数据被调用得更加频繁。单体应用架构下数据只经过单个服务的处理就流向了访问主体(人、应用、终端等),而在微服务架构下,服务的职能被切分得更加细致,数据可能需要经过几个甚至十几个服务的处理才会流向访问主体。同时,组织的数据业务交互变得更加开放,数据的访问可能来源于组织内部,也可能来自于分支结构,甚至是外部的第三方合作伙伴。
另外,新技术、新业态的应用架构带来数据交互日益频繁的同时,业务上云、远程办公、应用程序的频繁调用,数据的流动区域、传输链路、访问行为等都发生了根本性的改变。数据使用场景的日益复杂化,数据安全防护需求随之动态变化,但由于各组织的数据安全能力不一致,属性不同,难以进行有效管控。数据安全的违规行为往往隐藏在正常的应用场景中,如数据API滥用——数据API按业务需求开放后,可能有具备权限的第三方服务没有按约定场景使用,或长时间没有使用形成暴露在外的幽灵API等;由于从业务视角短期来看这些行为都属于正常行为,但实际上已成为潜在的数据安全风险,需要用动态的安全思路来应对这些新需求、新挑战。
数字化时代的数据安全挑战
边界弱化,企业资源暴露面增加
随着新一代信息技术的快速演进,移动互联网、物联网、工业互联网、车联网等新技术新场景的不断涌现,应用架构随技术发展不断演进,打破了传统单体架构部署于数据中心内的模式,由数据中心向云端、终端等各个环节不断延伸,组织的网络环境愈发多样,如移动网络、固定网络接入、虚拟化网络等;接入方式也愈发复杂,如手机、台式机、平板电脑及各类终端等;传统网络安全边界逐渐消失,用户、设备、业务、平台等多样化趋势不可阻挡。新技术态势下的网络安全威胁和风险同样不断涌现、扩散,企业与组织等的数字化系统正在面临来自多方面严峻的安全挑战,对安全防护能力的要求随之提升,传统安全防护的劣势凸显。
攻击的目标从网络转向身份、应用和数据
数据的要素化促进了数据的价值体现和价值释放,数据已成为各企业或组织的重要资产。而另一方面,数据价值凸显引来更多的攻击者,从近年来的主要网络安全事件结果来看,由于利益驱使,网络攻击从原来针对平台、网络、系统已经向数据资源转变。据威胁情报公司Cyble透露,2021年8月,美国电信巨头T-Mobile遭遇重大安全事件,攻击者声称窃取了多个数据库,总计106GB的数据,涉及近1亿用户数据,其中包括T-Mobile的客户关系管理(CRM)数据库,并且攻击者将数据在地下黑产信息售卖赚取高额非法回报。
远程办公增加数据泄漏和权限滥用风险
远程办公已经逐步成为一种常态化的工作模式,这也是移动办公延展后的必然结果。办公场景也不再局限于日常工作协同沟通、视频会议等,包括远程办公平台、远程开发、远程运维、远程客服、远程教学等等都已成为现实,远程办公已经成为走出固定地点(如办公室、写字楼),随时随地的办公形态。远程办公常态化以及数据的开放协同增加了数据风险暴露面,各种接入人员的身份和权限管理混乱各种接入设备(BYOD、合作伙伴设备)安全性参差不齐,以及各种远程接入程序的使用,带来了对设备、人员的权限管理难度和不可控安全因素都可能导致数据更容易“意外”泄漏。如何确保数据在流经、留存的各种计算环境、终端设备上的安全变得充满挑战。
内部威胁成数据泄漏主要原因
根据Fortinet《内部威胁报告》调查显示,90%的网络安全组织感到容易受到内部攻击;53%的网络安全专业人员确认在过去一年中其组织遭受过内部攻击。内部威胁一方面指内部人员因为安全意识的疏忽或操作的失误暴露了某些安全脆弱环节,从而导致被攻击者利用造成的数据泄漏等安全事件;另一方面指组织内部员工通过滥用访问权限、违规获取访问权限等行为窃取组织数据资源,例如水滴泄密——企业内部员工利用自身合法权限每天进行少量敏感数据下载,积累到一定程度后加密压缩外发到个人网盘。历年的“净网行动”曾发现多起内部员工对数据的恶意窃取事件,虽然部分"内部人员"权限较低,但他们仍可以通过盗用高权限人员的账号密码数字证书登录内网获取敏感数据。
基于零信任思路构建数据安全保护体系
数据保护需要新思路新方法
传统的信息化环境相对静态,传统的安全防护方法和思路一般在边界或网络层面进行粗粒度的、静态的身份验证和授权,缺乏针对数据的细粒度的、动态的持续验证,难以应对日益变化的安全威胁。
数字化时代安全理念和方法需要演进,数字化时代的信息化环境是动态的,业务需求是动态的,风险也是动态的,数据管控需求必然也是动态的,需要用动态的安全思路来应对这些新需求、新挑战,零信任就是这样一种基于动态策略的安全理念和方法。
零信任理念强调以数据资源为中心,针对要保护的数据制定细粒度的授权策略。策略通过主体、客体和环境的多维属性来构建,持续评估,影响策略的属性变了,用户的权限就自动变了,是一种弹性的、敏捷的思路,能有效地对数据实施保护。
零信任理念和方法
零信任是一种以资源保护为核心的网络安全理念。认为对资源的访问,无论来自内部还是外部,主体和客体之间信任关系都需要通过持续的评估进行动态构建,遵守最小权限原则,采用多属性动态访问策略,基于动态信任实施访问控制。
零信任的实质是在“网络可能或已经被攻陷、存在内部威胁”的环境下,把安全能力从边界,扩展到主体、行为、客体资源,构建“主体身份可信、业务访问动态合规、客体资源安全防护、信任持续评估”的动态综合纵深安全防御能力。
图1.零信任架构
如图1所示,零信任架构围绕身份、设备、应用等主体与数据资源、接口等客体通过多个维度的策略管理,构建动态访问控制能力,通过统一的平台,对用户访问应用、应用之间的相互访问、数据访问、特权访问等典型的企业访问场景进行动态策略管控。零信任也是一种持续演进的企业安全策略,在统一的企业安全访问框架下持续规划、构建和运营,持续地提升企业数据安全访问治理、访问可见性与分析、动态策略联动与编排的能力。
在数字化背景下理解和实践零信任
零信任的关键之一在于把控制的执行层面从基础设施扩展到应用和数据层面,如果仅仅把访问控制的执行放在网络通道层面解决,没有从数据和应用角度做细粒度的访问控制,就失去了零信任的初衷,这也是目前实践零信任存在的普遍误区和问题。
事实上,美国政府对零信任的应用初衷,也是基于保护数据这一目标开展的,或者说零信任是美国政府在数字现代化道路上的一种策略选择。自2019年以来,美国军方、联邦政府加强组织对于零信任的研究和推广,陆续发布了12项零信任相关报告、规划等政策、引导性文件,同时安排相关科研机构进行研究、实验,推动零信任进入快速发展期。美国推进零信任的过程可追溯到过去的十多年,美国政府和军方推出的一系列政策、规划、规范和标准都旨在限制对数据和资源的非授权访问,而推行零信任更是旗帜鲜明地将“网络为中心”向以“数据为中心”的网络安全模式转变。美国政府认为在当前的威胁环境下,不能再完全依赖基于传统边界防御(传统的防火墙、入侵检测等)的手段来保护基础设施、网络和数据。因此,需要通过对网络环境中各方面要素进行充分的安全监控、细粒度基于风险的访问控制、自动化与编排,以便在动态威胁的环境下实时保护数据。
我国一些大型政企客户对零信任的应用,大多是始于各类数字化场景的需求,围绕业务和数据的动态细粒度防护展开,其技术成熟度已充分验证,在保护数据和应用方面,取得了很好的效果。比如,某部委基于零信任实施数据和业务访问的细粒度控制,大幅度降低对敏感数据的违规查询;某央企随着数字化转型深入,业务系统集中上云,基于零信任进行互联网出口收缩,增强整体防护水平;某大型银行大规模开展移动业务,基于零信任支撑移动办公常态化,实现业务支撑、降本增效和安全闭环。
在政策层面,零信任在数据安全领域的应用也得到广泛重视。2021年2月,《北京市“十四五”时期智慧城市发展行动纲要》中,在第五项主要任务“把握态势、及时响应,保障安全稳定”中提出“建立健全与智慧城市发展相匹配的数据安全治理体系,探索构建零信任框架下的数据访问安全机制。”将零信任作为“十四五”发展规划中的关键技术之一。
2021年7月12日,工业和信息化部官网发布《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》,在第二章重点任务—第5点发展创新安全技术中,“推动网络安全架构向内生、自适应发展,加快开展基于开发安全运营、主动免疫、零信任等框架的网络安全体系研发。加快发展动态边界防护技术,鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术产品应用。”明确了零信任作为网络安全关键技术的定位、方向和作用,再次强调要加快开展基于零信任等的网络安全体系研发。
2021年大数据产业发展试点示范项目中,也有“面向垂直行业的零信任大数据安全访问平台建设及应用”,“基于零信任的大数据安全保护体系”两个零信任项目入选。
综上,零信任是数据安全背景下的策略选择,也只有在数字化背景下理解和应用零信任,才能充分发挥零信任的巨大安全价值。
在“一中心两体系”框架下构建零信任动态授权能力
数据安全系统必须是内生安全系统,需要用“网络安全建设三部曲”:内生安全的理念、内生安全框架的方法以及经营安全做到动态掌控,而经营安全需建立“一中心两体系”,即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系,从而打造认知、安全、授权三个重要能力,“一中心两体系”的关系如图2所示。
图2.“一中心两体系”是内生安全框架落地的方法
态势感知与管控中心是“大脑”“四肢”“武功”的三合一,将认知能力落地。“大脑”是监管态势、“四肢”是运营态势、“武功”是攻防态势。态势感知与管控中心将监管态势、运营态势、攻防态势合为一体,能确保及时看到威胁、揪出威胁、阻断威胁。
网络安全防护体系是安全能力的落地,是对实体进行安全防护的关键能力。建立网络安全防护体系要实现能力、数据和人才的“三聚合”,即将安全能力和IT能力聚合、将安全数据和IT数据聚合、将安全人才和IT人才聚合。而“三聚合”的前提,是把安全产品“三化”:能力化、资源化、服务化。
零信任动态授权体系,则是授权能力的落地。数据安全访问的痛点是信任问题,而动态授权体系是数字化时代解决信任问题的手段,通过在数据层面进行分类分级、在访问层面进行精细化访问控制的方式,“明确是什么部门的什么人、在什么地方、因为什么任务、访问什么数据里的什么字段。”
数据保护需要零信任架构与数据安全防护体系结合,做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”,确保合适的人、在合适的时间、以合理的方式,访问合适的数据,如图3所示。
图3.将“零信任架构”和“数据安全防护体系”相结合
从上图可以看出,构建零信任动态授权能力,需要对请求方的主体、响应方的客体资源、授权方的访问需求和策略进行抽象,建立一套全链路的纵深防御体系,关键举措包括:
基于数据安全治理成果,梳理响应方数据资源清单与属性,构建数据视图: 进行客体资源治理,打上标签,作为数据资源属性;建立客体数据资源目录。通过大数据中台,对原始数据进行处理封装,数据封装成服务,供主体访问。
构建身份视图,梳理请求方人员、设备清单与属性,明晰数据访问上下文: 从设备和用户身份认证开始,进行主体身份治理,采用实人认证、设备认证加强认证的强度,保证主体身份可信。判定主体属性(如部门、角色、职责)。
基于授权方需求,构建以资源为中心的统一策略管控体系: 对应用、功能、数据的权限进行统一的管理,通过基于属性的访问控制机制进行精细化的业务合规控制,保证数据仅供其工作职责访问之内使用。业务规则使用自然语言方式进行描述,再转化为可以进行属性精细化描述的表述性语言(如XML、接口)。通过各种代理、服务、微隔离等进行策略的执行。
持续的信任评估与策略治理: 采集主体环境感知数据(包括系统环境、网络环境、软件环境、物理环境、时间、地点等),建立环境信任风险等级,同时还采集用户和应用行为数据,持续对访问会话进行评估,动态调整安全策略。
第四部分将详细介绍构建零信任数据动态授权能力的几个关键举措。
延伸阅读
更多内容 可以点击下载 零信任数据动态授权桔皮书. http://github5.com/view/55013进一步学习
联系我们
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。