如何通俗解释可信纵深防御

一、可信防御
攻击者在何时何地通过何种攻击手法发起攻击是无法预测的,但是信息系统的运行状态可以基于网络流量、应用日志和系统进程等信息有效地分析刻画,因此在防御思路上需要将不确定的攻击威胁,通过已知的业务状态转换为有效的防御策略来应对威胁,有效规避风险事件的发生。
因此,在安全风险控制上,首先应遵循可信计算理念来建立可信根,再基于可信根构建信任链,进而基于基础设施层、应用层、网络层、移动端和终端层等各层建立可信策略控制点,最后形成可信防护策略,仅允许执行预期内信息系统运行所依赖的资源和行为,确保防护强度达到可信级。

二、纵深防御
纵深防御的理念来自战争学,该理念在信息安全领域得到了广泛的使用和推广。该理念即通过建立多层重叠的安全防护系统构成多道防线,使得即使某一防线失效也能被其他防线弥补,也即通过增加系统防御的层数或将各层之间的漏洞错开的方式防范差错发生。为了避免因单点防御措施失效导致风险事件的发生,须采用纵深防御理念进行可信防御体系的建设。
无论是网络层、应用层、容器主机层、基础设施层还是硬件可信芯片层,需要通过各层的可信管控能力实施数据内视和可信管控,最终建立可信纵深防御体系。每增加一层可信防御能力,所建设的防御体系的防御强度都会大幅增强,同时也意味着投入成本的增加。因此,我们应在威胁有效应对和业务的合规要求、安全成本投入、管控效率上取得最佳平衡,做到既能满足监管合规要求,又可以高效应对面临的高级和未知威胁,同时可以将可信纵深防御体系的建设成本和管控效率控制在合理范围,不会因为防御体系建设过重而带来过多成本、性能和效率的损耗。

三、可信纵深防御
可信纵深防御是一种新的安全防御体系架构, 结合了可信防御、纵深防御、零信任、安全平行切面等多种新技术理念,是主动免疫可信计算在实际业务场景的落地实践,可以做到只允许预期内的行为执行即主动免疫,而且能够实现对所有威胁路径的多层覆盖,大幅降低风险事件发生的概率。同时它还建立了完备的信任链,将信任关系逐级规约至硬件芯片可信根,保障防御体系自身的安全。建立的防御措施做到仅允许信息系统在安全可信的环境下运行预期内的资源和行为加载、执行,且确保内容均是经过安全评估为无风险的;同时根据业务面临的威胁状况,可信防御措施需要多层覆盖,最终形成可信纵深防御体系,有效地应对0Day攻击、社会工程学攻击、软硬件供应链攻击等高级和未知威胁。
可信纵深防御体系以可信根为支撑,以可信软件基为核心,以密码学方法为主要手段,通过度量、检测、证明以及管控等手段,构建贯穿硬件、固件、系统软件、应用软件和网络行为的完整信任链,为信息系统的运行提供安全可信的底座。可信防御措施进行多层覆盖,以大幅降低风险事件发生的概率。最终达成事前高效规避已知(含高级)和未知威胁的目标,兼顾业务效率与体验要求。
可信纵深防御体系整体架构包含四个关键部分:硬件可信芯片、可信策略控制点、信任链和可信管控中心,由安全防护部件形成的可信防护体系与由计算部件形成的计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。在整体架构设计上以硬件可信芯片为信任根;以可信软件基为核心,它由基础设施层、应用层、网络层及移动端和终端层等各层构建的可信策略控制点组成;基于硬件可信芯片构建的信任链来保障可信策略控制点的安全可信;基于可信策略刻画系统及密码学技术生成的“免疫基因抗体”对信息系统的运行环境、资源加载和交互行为进行可信管控,有效识别“自己”和“非己”成分,破坏与排斥进入信息系统机体的有害物质,为信息系统加持“免疫能力”​,保障信息系统和数字资产的安全性;安全保障和稳定性保障技术为整体可信纵深防御体系的落地提供支撑,防止在可信纵深防御体系建设中产生安全漏洞和稳定性风险事件,导致业务受损。

四、关键技术
可信计算:通过主动免疫的方法防御不可预测、不可控的攻击与威胁,基于不可篡改的硬件芯片作为可信根,主动逐层检查系统行为是否可信,建立理论可证完备的信任链。
安全平行切面技术:在业务系统中构建安全防御的平行空间,实现与业务解耦、透视、智能评估、精准管控,兼顾业务效率的同时,高效构建安全纵深防御体系。
零信任防御理念:从不信任,始终验证;不信任网络位置;最小化访问权限;记录和监控所有网络访问流量。
可信芯片:作为信任根,可信芯片负责验证硬件设备的启动参数和程序,确保硬件的安全性和完整性。
信任链构建:通过静态和动态的信任链校验机制,确保从硬件到软件各层级的信任关系。
远程证明:允许系统在远程环境中进行身份验证和状态确认,增强系统的可信赖性。
密钥安全保护:包括密钥的安全存储和使用,确保密钥不被非法获取或篡改。

五、实施可信纵深防御的方法包括
基于硬件可信芯片构建信任根:利用硬件可信芯片和密码学方法对物理机的启动参数和启动程序进行可信管控,确保硬件芯片、启动参数、系统OS等均是安全可信的。
基于安全切面构建可信策略控制点:在数字银行IT架构中分析、选型或设计可信策略控制点,实现对风险场景的数据内视和可信管控。
基于信任链保障可信防御产品或能力的安全可信:利用硬件可信芯片提供的可信存储和密码技术,构建完备的信任链,将信任机制由硬件可信芯片逐层传递至基础设施层、应用层和网络层等各个层面的可信策略控制点,保障可信策略控制点的安全性。
基于可信管控中心实施可信管控:可信管控中心负责可信策略的生成、配置下发、事件上报和行为审计等工作,同时为整个可信纵深防御体系的运行提供安全性和稳定性的保障能力。

参考:
《数字银行安全体系构建》

如何通俗解释安全平行切面

安全平行切面是一种将软件工程中的面向切面编程(AOP)思想应用于安全体系建设的技术体系,其核心目标是构建一个与业务逻辑正交融合的安全空间,使安全能力能够融入企业的技术基础设施中,并与业务代码解耦。

与传统安全方案比,安全平行切面既不像外挂式安全体系,安静旁观,隔靴搔痒;也不像内嵌式安全体系,入侵业务,绑腿走路。而是通过端—管—云各层次的切面,能够在不修改业务逻辑的情况下,将安全可信的管控能力动态部署到目标系统的执行空间内部,从而实现对系统内部数据的自由观测,精确阻断攻击和风险,并进行精细化的数据治理。

安全平行切面的应用场景非常广泛,包括数据保护、身份验证、访问控制和威胁检测等多个领域。通过在业务逻辑和流量关键环节中构建切点组合,可以更快速地发现潜在威胁并实现对异常访问的精准感知和快速阻断。

实施安全平行切面通常涉及以下步骤:
定义安全需求:明确需要通过安全平行切面实现的保护目标和安全需求。
设计切面和切点:根据安全需求,设计切面(Aspect)和切点(Pointcut),确定在业务流程的哪些环节需要插入安全措施。
开发切面逻辑:开发或配置切面逻辑(Advice),这包括定义安全策略、异常检测、访问控制、数据加密等安全功能。
集成和部署:将设计好的切面逻辑集成到业务系统中,并在实际环境中进行部署。
测试和验证:对集成了安全平行切面的系统进行测试,确保安全措施有效且不会影响业务系统的正常运行。
监控和维护:持续监控切面的性能和效果,根据安全威胁的变化进行必要的调整和维护。
培训和文化建设:对团队进行安全平行切面的培训,提高安全意识,建立安全文化。

安全平行切面的核心优势在于它能够提供精准的内视能力和高效的干预能力,使得安全措施更加精细化和动态化。同时,安全平行切面还支持多层级的安全布防,能够实现不同层级间的安全管控,并通过多层级安全切面的联动形成整体的防御体系,达到更好的安全治理、防护和对抗效果。

默认安全体系

默认安全体系(Default Security)是指在系统、网络或应用程序的设计和实施过程中,将安全措施作为标准配置和操作的一部分,以确保即使在未明确配置安全设置的情况下,也能提供一定级别的保护。默认安全使安全性成为组织文化的一部分,减少对用户或管理员进行复杂安全配置的依赖,从而提高整体的安全性和抵御威胁的能力。

默认安全的最终目标是:规避已知安全风险,存量风险治理逐步完成,同时新增业务默认经过安全评估和安全措施覆盖。类似于针对已知疾病的疫苗与抗体,对于已知类型风险,系统应达到投产即安全的状态。

默认安全体系的重要组成部分有:

1、安全默认配置:
确保所有系统、设备和应用程序在初始安装和设置时都具有安全的默认配置,如禁用不必要的服务、关闭未加密的远程访问等。

2、加密和数据保护:
在默认情况下启用数据加密,包括传输中的数据和静态数据,以及敏感信息的加密存储。

3、安全开发生命周期(SDL):
将安全实践集成到软件开发生命周期的每个阶段,确保安全缺陷在早期被发现和修复。

4、安全测试和验证:
对所有系统和应用程序进行定期的安全测试,包括静态和动态代码分析、渗透测试等。

5、访问控制和认证:
实施强大的身份验证机制,如多因素认证,并在默认情况下启用访问控制。

6、最小权限原则:
按照最小权限原则为用户和应用程序分配权限,确保它们仅拥有完成其功能所必需的访问权限。

7、安全审计和监控:
启用日志记录和监控,以便在默认情况下跟踪和审计所有关键操作和事件。

8、安全补丁和更新:
确保系统和应用程序在默认情况下自动接收和应用安全补丁和更新。

9、用户安全意识教育:
教育用户了解默认安全措施的重要性,并鼓励他们采取安全意识行动。

10、应急响应计划:
制定应急响应计划,以便在安全事件发生时迅速采取行动。

11、合规性和政策制定:
确保默认安全措施符合相关的法律、法规和行业标准。

12、技术架构设计:
在设计阶段就考虑安全性,采用安全的网络架构和系统设计原则。

可信计算的核心技术

可信计算(Trusted Computing)是一种增强计算机系统安全性的技术,旨在确保计算机系统和应用的完整性、可靠性和安全性。它通过一系列机制和技术手段,如硬件安全模块、加密技术、安全验证等,来确保系统和应用的可信度,增强信息系统的内生安全能力。

可信计算和等级保护2.0是密不可分的,特别提出了把可信计算技术植入基础软硬件和网络的要求:
1、把可信验证要求植入芯片、CPU、服务器、操作系统、数据库等基础软硬件
2、把可信验证要求植入网络设备、网络安全产品,解决底层安全问题
3、把可信计算技术植入“安全管理中心、安全通信网络、安全区域边界、安全计算环境”网络要素,实现对网络要素全覆盖
4、把可信计算技术植入整机、云计算平台、物联网、工控系统、移动互联网
5、把可信计算技术植入第二级以上网络

可信计算的关键技术主要包括:
1、硬件层面的可信根(Trusted Root):可信计算通常从硬件层面开始构建,使用如TPM(Trusted Platform Module)等安全芯片作为信任的根基,确保从硬件到软件的整个启动过程是可信的。
2、系统启动的可信验证:在系统启动过程中,利用可信根对系统的引导程序、系统程序等进行可信验证,确保其未被篡改或破坏。包括计算设备固件引导程序和操作系统引导程序,以及计算设备固件程序和操作系统程序 。
3、可信验证(Trusted Verification):基于可信根,构建信任链,一级度量一级,一级信任一级,把信任关系扩大到整个计算节点,从而确保计算节点可信的过程 。
4、动态可信验证(Dynamic Trusted Verification):对验证对象(文件或程序)的静态内容、运行时内存中存储的关键变量及数据、属性等进行实时、周期性的可信判断。
5、可信计算模块(Trusted Computing Module):通常指TPM(Trusted Platform Module),是一种安全芯片,用于存储加密密钥和进行平台的可信度量 。
6、可信软件基(Trusted Software Base):确保操作系统和应用程序的代码在执行时是可信的,没有被恶意修改。
7、可信软件栈:可信软件栈(Trusted Software Stack, TSS)是一组软件组件,可以在操作系统上实现可信计算的功能。它包括了管理TPM(或其替代品)的驱动程序和工具,可以用来提供密钥管理、度量和报告等功能
8、远程证明(Remote Attestation):允许远程验证计算节点的可信性,确保远程通信的安全性。
9、安全审计(Security Audit):通过记录和分析系统活动,确保系统的安全性和合规性。
10、可信网络连接(Trusted Network Connect):确保网络连接的安全性和可信性,防止未授权访问和数据泄露。
11、用户和设备身份认证:通过强身份认证机制确保用户和设备的身份可信,如使用数字证书、生物识别等技术。
12、数据保护:使用加密技术保护数据的机密性和完整性,确保敏感信息不被未授权访问或泄露。
13、安全审计与合规性:实施安全审计,确保可信计算的实施符合相关的法律法规和标准要求。
14、安全管理中心:建立安全管理中心,对可信验证的结果进行集中管理、监控和响应,确保系统的持续安全。

如何通俗解释零信任安全管控

零信任与传统的安全模型存在很大不同:
传统的安全模型:“一次验证+静态授权”的模式,就是“我记住你了,自己人”
零信任安全模型:“持续验证+动态授权”的模式,就是“你谁啊,凭证拿来”

用一句话解释零信任就是:别想刷脸,凭证拿来
无论你是哪个服务,无论你在内网还是外网,无论一天交互多少次,没有凭证,或者凭证无法验证通过,就会被阻止

零信任模型的核心原则:
1、永不信任:对内对外均不给予自动信任
2、持续验证:对所有入站和出站请求执行彻底验证
3、身份管理:对人、终端和应用进行统一身份化管理
4、精细授权:通过微分段、应用分级、功能分级、数据分级等技术,做到最小权限原则,减少潜在攻击面
5、动态授权:基于访问主体、目标客体、环境属性(终端状态、网络风险、用户行为等)进行权限动态判定
6、全局防御:持续监控终端风险、用户行为异常、流量威胁、应用鉴权等信息,实时进行信用评估
7、快速处置:对低分的主体,立即实施阻断措施

零信任模型的核心能力:
1、全面身份化能力
零信任的信任关系来源于对所有参与对象的身份验证,所有参与对象共同构建端到端信任链,参与对象包括网络、终端、人员、应用等。身份是访问控制体系的基石,零信任需要为所有对象赋予数字身份,基于身份而非网络位置来构建访问控制体系。
2、最小权限分配
零信任强调按需分配资源,实施细粒度的权限访问控制,仅授予访问主体执行任务所需的最小权限。
3、持续且动态的访问控制
零信任依据访问主体的身份信息、终端信息、网络信息等信任要素,通过实时计算信任要素形成访问控制策略。在资源访问过程中,一旦访问控制策略的决策依据发生变化,零信任将重新计算分析,动态调整认证和授权策略。
4、资源受控安全访问
零信任默认网络环境是不安全的,要求对所有业务场景、所有资源的所有访问请求进行强制身份识别和授权判定,确认访问请求的权限、信任等级符合访问控制策略后才予以放行。且要求所有的访问连接都必须加密。
5、组件联动能力
零信任需要具备较高的联动性,各类组件能够相互联动才能有效防范各类威胁并做到攻击快速闭环,切忌不可机械堆砌产品组件。

零信任架构的三大技术基础:
1、三大技术SIM之SPD,软件定义边界:应用程在部署时需要指定安全边界,以便将服务与不安全的网络隔离开。
2、三大技术SIM之IAM,身份识别与访问管理:解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。
3、三大技术SIM之MSG,微隔离:在逻辑上将数据中心划分为不同的安全段,将网络边界分割到尽可能的小,然后为每个独立的安全段定义访问控制策略。

零信任架构的核心技术:
1、终端环境感知:对终端身份进行可信标识,赋予每个终端唯一的数字身份,并能够维护终端身份属性,对终端环境进行实时感知和度量,支撑零信任安全解决方案实现持续风险评估。
2、身份鉴别:身份引擎将出差人员、内部员工、合作伙伴、供应商等不同人员纳入统一认证平台,打通终端 PC、网络设备、应用系统、公司网络等各种业务系统之间的身份数据屏障。所有身份数据集中管理和共享,避免身份孤岛带来的身份数据不一致或重复、身份数据质量不可控等制约业务发展的问题,降低信息化成本。采用MFA(多因子认证)方式对同一用户进行身份鉴别,从而加强身份验证的安全性。
3、分级管控:身份引擎统一维护所有授权客体(包括应用资源、API 资源、服务资源)的安全等级。每次范围资源必须进行认证,当授权主体的安全等级大于授权客体的安全等级时,授权主体才能访问授权客体,反之则不能访问。
4、动态授权:基于对网络环境、终端环境、用户行为的持续风险评估实现授权动态判定,并且能够将访问目标的权限控制细化到应用级、API等级和服务等级,只对访问主体开放最小授权,极大地收缩了潜在攻击面,解决了传统静态授权带来的越权风险高、授权粒度粗等问题。
5、持续验证:案对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端环境和用户行为等作为
认证的考量要素,并针对网络环境、终端环境、用户行为等进行持续风险评估,实现对接入用户和终端的持续验证,解决了由于安全边界逐渐模糊带来的一系列问题。
6、风险审计:根据认证日志、鉴权日志等输入,对用户安全等级的进行评价,重点对登录模式异常、访问时间异常、操作行为异常、访问习惯异常、访问关系异常等进行风险审计。
7、安全接入代理:统筹管理所有访问连接,为认证成功且具有权限的访问主体建立安全访问通道,帮助企业构建虚拟网络边界。可分为安全接入网关、API 网关、SDP网关三种类型。其中,安全接入网关、API 网关用于敏感应用场景,SDP 网关用于非敏感应用场景。

零信任架构的三层架构:
1、安全管理中心,部署安全态势感知引擎
安全态势感知引擎:对环境感知代理发送的终端风险评分、身份引擎发送的认证日志和鉴权日志、关键节点镜像的网络流量进行智能分析,实现对用户、终端、网络的安全评估。

2、策略控制中心,包括身份引擎、控制引擎
身份引擎:负责对接入用户以及终端设备进行统一认证和鉴权。当用户安全等级变更时,及时更新用户拥有的访问权限,并向安全接入代理网关下发权限变更指令。
控制引擎:通过与安全态势感知引擎联动,实现威胁事件的检测智能、处置智能、全局防御,显著提升威胁的闭环效率。

3、策略执行器,部署环境感知代理、安全接入代理网关(包括安全接入网关、SDP网关、API网关三种类型)。
环境感知代理:负责统一管理和执行终端管控策略,能够实时感知终端环境状态,并向安全态势感知引擎上报终端风险评分。
安全接入代理网:关作为终端用户访问企业内网的控制设备,能够统筹管理所有访问连接,为认证成功且具有权限的访问主体建立安全访问通道,帮助企业构建虚拟网络边界。根据用户访问场景选择安全接入代理网关的类型。

参考:
华为IP网络系列丛书:《零信任》