前言

根據上一篇的內容,我們整理的主流的ZTA相關文件,並針對AP與DB的部分做重點。而本篇的目的就是針對這些文件做一個總整理,並且針對AP與DB的部分做一個總結。會想要整理這篇的目的是這樣的:

目前市面上的零信任架構文件更多探討的是使用者訪問敏感數據或受保護資源之前,與「應用程式或服務」的互動中如何實施持續性的驗證,並且由動態策略來進行決策。但是,這往往讓人忽略了在使用者完成與應用程式的驗證後,延續到應用程式對資料進行存取時的安全策略,儘管文件有提及到一些適用於應用程式應滿足的安全要求,例如應該要確保第三方元件的安全等。但並無特別列出應用服務在存取資源時如何持續地進行驗證、授權,或是對事件的監控、資料的收集和分析等,而資料安全方面也僅僅提出基本的要求,包含對重點資料座標記和分類,在應用程式對資源進行存取時,動態存取策略所需考量的要素、架構模型等以滿足零信任要求皆無更多的討論。

在微服務與雲原生架構的盛行下,多個應用程式可能會有存取相同的資源的需求,而對資源的存取權限往往掌控在應用程式對使用者的驗證與授權,然而基於零信任原則,我們不應信任並假設每個應用程式的驗證機制都能滿足零信任原則,在使用者環境或裝置本身遭受惡意人士入侵時,仍存在因為某些的應用程式或其設備的安全性不足而遭受入侵的風險,導致資料洩露或進行未經授權的篡改,而影響其他應用或服務的正常運作。

有鑑於此,本研究將會著重在應用程式進行資料存取時,探討該如何滿足AP與DB之間的零信任要求,適用於應用程式與資料存取之間的所應滿足的原則與應該實現的能力。最後,並基於零信任原則設計出適用於應用程式與資料之間的存取控制模型,以針對應用程式進行驗證授權,實現動態決策的存取控制滿足零信任要求。

架構與流程介紹

本文的架構主要會依序說明:

  • 零信任的核心、情境假設、原則
  • 部署種類與架構:定位論文採取的部署方式
  • 從零信任的相關文獻中,主要挑選出適用於 AP 與 DB 所應滿足的要求。

標準之間的比較


在開始之前,我們先來看一下以下三者的內容中的比較:

NIST SP 800-207

說到零信任架構,最先會被提及的就是NIST SP 800-207了!

  • 優點:裏面說明的內容比較全面,也潛顯易懂,在ZTA架構的元件其工作職責有定義清楚。
  • 缺點:只是針對"資料保護"的存取控制較少、沒有特別針對AP與DB之間的控制。

DoD Zero Trust Reference Architecture

這裡面中我認為DoD的標準文件更加詳細!

  • 優點
    • 他與其他兩者不同之處在於他不僅僅限於User與AP之間的授權驗證,他有特別提及NPE(Non-Person Entity)的授權要求。
    • 同時也包含提供針對保護資源的架構、提及資料保護元件。
  • 缺點:只是資料保護元件具體功能不清楚、架構較為複雜,執行流程不清楚,那就是我要負責研究跟實作的議題了。

OMB Federal Zero Trust Strategy

  • 優點:這份文件"針對User的身份驗證"要求具體。
  • 缺點
    • 但是針對Data的要求很基本,沒特別細說存取控制在Data面的要求
    • Identity的部分著重在 User,所以如果想要在這裡面找到特別針對AP和DB之間的授權驗證要求,可能會比較困難。

原則 & 假設


這邊列出每一個文件中所提及ZTA的Tenets,並且做 Mapping,以方便用全局的角度去看具體來說應該滿足的原則。
首先主要整理出以下幾個層級,來探討每個層級所應滿足的零信人原則:

  • 使用者:使用者本人。
  • 使用者裝置:使用者所存取資料時所使用的裝置。
  • 工作流程:使用者透過裝置執行特定的工作流程。
  • 應用/服務/裝置:主要提供服務給使用者的主體,該主體可能是應用程式、服務或是裝置。
  • 網路:使用者與應用程式、服務或是裝置之間的網路。
  • 資料:使用者所存取的資料。

從上圖中,本研究主要探討工作流程到資源層級所應滿足的零信任要求。並以以下假設作為前提:

  • 工作流程方面:我們應該確保如何保有一致的安全策略。
  • 應用/服務/裝置方面:在授予資源存取前,應確保這些資產都通過PEP的評估其安全狀態。
  • 網路:企業內部網路不能被視為隱性信任區。
  • 資源:不是所有企業資源都位於企業擁有的基礎設施上。

部署種類


部署種類會偏好 Enclave-Based Deployment 的架構:

  • 應用/服務/裝置:在執行應傭服務的機器上,安裝 agent
  • 資源:在前面建立Gateway而非建制在資源上。
  • 適用:適用於具有Legacy的應用程式或on-premises的數據中心

AP與DB應滿足的要求


可以從 DoD 文獻的 7 Pillar 來探討,針對AP與DB的部分,應滿足下列:

  • Users & Device : Continuous Authentication & Authorization

    • AP:要執行 Application 的 MFA。
    • AP:基於 ABAC 的存取控制。
    • AP:Application 的裝置數據收集。
    • AP:Application 的行為記錄。
    • AP:即時的存取控制。
    • PDP:統一的存取政策管理。
  • Network/Environment & Workloads & Data : ZT infra

    • AP:基於風險考量的應用程式存取。
    • DB:資料標籤的方法。
    • PEP:動態的政策執行。
    • DB:Data Right Management。
    • DB:Data Loss Prevention。
  • Visibility & Analytics / Orchestration & Automation : Analytics & Orchestration

    • AP&DB:持續監控
    • PDP:ZT Policy Engine
    • PDP:存取控制政策

研究總結

系統架構:條列每個元件應該滿足的要求

有哪些研究議題?

成熟度模型要求

實作內容

上述為成熟度模型,可以依據此參考逐步滿足零信任的要求,而本研究主要著重在“紅色”的部分,如下:

  • 存取控制 AC, Access Control

    • AC: 確保存取 DAAS 的時候是經由 Cybersecurity policies 所決定的。
    • AC: 實現最小權限存取。
    • AC: 基於細顆粒度 (user and device attribute) 進行控制
    • AC: 確保存取 DAAS 的時候是經由 Cybersecurity policies 所決定的。
    • AC: 完全的實施 Just-in-Time 和 Just-Enough 的存取政策
  • 風險標籤 RL, Risk Labeling

    • RL: 資料透過 flow analysis 和簡單的自動化進行標籤與分類
    • RL: 實施DLP & DRM
    • RL: 進階分析技術,使威脅檢測能夠自動化並根據事先設計的策略進行協調(Risk Label實現)
  • 身份驗證 IA, Identity Authentication

    • IA: 使用MFA進行驗證
    • AC:持續性適應驗證與授權
  • 網路安全 NS, Network Security

    • NS: 滿足加密要求

文獻補充

以下是預計要探討的相關文獻,以輔助本研究的存取控制模型架構:

  • 機器學習 ML
    • DL: 進行 data 辨識,並標示敏感或關鍵資料
    • DL: (自動)辨識 DAAS (數據、應用程序、資產和服務)
    • DL: Map data flows
    • ML: 使用者和 Entity 的行為分析(UEBA, User and Entity Behavior Analytics)建立 baseline policy

缺乏的部分?

還缺乏以下部分要進行 survey …

  • 實作 Data
    • 如何執行DRM、DLP、軟體定義環境和細粒度數據標記等解決方案支持對關鍵數據的保護?
    • 如何結合上述兩者於Data Labeling?
  • 實作 AP
    • AP 如何做 MFA?
    • 思考怎麼把 DLP, DRM 併入存取控制政策中?
  • 文獻 ML
    • 怎麼透過 ML 辨識 DAAS?
    • 怎麼透過 ML 進行 data 辨識,並標示敏感或關鍵資料,甚至將其自動化?