在SP 800-207 Zero Trust Architecture的第二章中,已經提到零信任架構(ZTA)中的存取模型概念,以及需要有依照風險來動態決定存取權限的方式。接下來,NIST更進一步,闡述的零信任架構的核心元件與構成,讓外界可以具體了解其運作方式。

第三章還包括了4個子章節,說明了一些較為技術性的內容,包含ZTA的3項必要技術,4種ZTA部署方式,以及政策引擎在考量多方資訊時,所建議的可信任演算法、風險評分機制,還有ZTA網路環境的需求。接下來,我們會針對本章的一些重點內容做介紹。

第三章:零信任邏輯元件

在認識零信任基礎認知與原則後,對於持續驗證的零信任核心元件,NIST也提出具體概念。

NIST指出,在企業ZTA的部署,是由許多邏輯元件所構成,這些元件可以是本地端的服務,也可以是雲端服務。而各元件間可能有其關連。

這裡也具體描繪了ZTA核心邏輯元件的架構圖(如圖2),以便更清楚的呈現,ZTA核心元件彼此的關係,也讓外界可以更明白如何實現零信任架構。而NIST也提醒,這只是一個理想的模型架構。


資料來源/NIST,iThome整理,2022年8月

在前一章節的圖1,我們可以大致理解存取模型的重要核心,就是PDP/PEP,也就是政策決策點與政策落實點。

接著,圖2(上圖)呈現了零信任邏輯元件的核心架構,在此當中,NIST對於這個PDP/PEP做出更深入的解析。

基本上,當任何主體透過系統要存取企業資源前,需經過存取控制的政策落實點(PEP),以決定是否給予權限,這樣的動作發生在網路環境的資料層(Data Plane)

而在PEP的背後,將會藉由控制層所相應的政策決策點(PDP)來判斷,而PDP是由兩個邏輯元件配對構成,包括政策引擎(Policy Engine,PE)與政策管理者(Policy Administrator,PA)。

其中,政策引擎(PE)負責決定是否給予資源存取權限,當PE做出允許或拒絕的決策時,將由政策管理者(PA)執行決策。

簡單說,PE就是負責運算,而判斷的依據,則來自兩方面,一是企業政策,另一是外部資訊,例如CDM系統與威脅情報等。

言下之意,在決策過程中,這裡的政策引擎除了依據企業制定的資料存取政策,同時也會引入多方外部資訊做為考量因素,來進行基於風險的評分的決策運算,做到即時調整控制權限。

既然如此,為幫助做到更好的存取控制動態決策,PE可運用哪些多方資訊?NIST已經有了答案,目前他們列出了8種資訊來源,包括美國政府推動的持續診斷與緩解(CDM)系統、產業合規系統、威脅情報、網路與系統的活動日誌、資料存取政策、企業公開金鑰基礎建設(PKI)、身分管理系統,以及安全事件資訊管理系統(SIME)等。

搞懂PE的運作方式之後,接下來,就是負責執行決策的PA。具體而言,PA這個元件將負責建立或關閉主體與資源之間的通訊路徑,也將產生客戶端存取企業資源時,Session連線所需的身分驗證,以及驗證Token或憑證。

簡言之,當PE允許時,PA就會設定PEP允許Session連線,反之,當PE拒絕時,PA就會向PEP發出訊號關閉連線。而且,這些過程都是在控制層進行。

對於PEP的組成形式,NIST表示,PEP本身也可能分為兩個不同的元件,像是以客戶端與資源端的形式呈現。例如,PEP可分成兩部分,一是筆電上的代理程式,另一是資源前面的存取控制網路閘道元件。

第三章第一節: 不同的零信任架構方法

接下來,NIST說明零信任邏輯元件的組成方式有很多種,並指出企業組織可透過多種方式為工作流程制定ZTA,只要每種方法都符合全部的零信任原則。這其實也呼應了第一章中所強調:「零信任(ZT)不是單一的架構」。

特別值得關注的是,這裡探討了ZTA所必需的三個重要關鍵技術。NIST指出,一個完整的零信任解決方案,具備3項要素,包括:進階的身分治理(Enhanced Identity Governance)、網路微分割(Micro-Segmentation),以及軟體定義邊界(Software Defined Perimeters)。

針對這三項關鍵技術,NIST有簡單的說明。例如,關於進階身分治理的方法,可與資源入口部署的模型(稍後會提到)有很好的配合;使用網路微分割的零信任架構,企業可透過智慧交換機、次世代防火牆或特定用途的網路閘道器,用以作為PEP,以保護每個資源或相關小組資源;而使用網路基礎架構與軟體定義邊界的零信任架構,在此方法中,PA可作為網路控制器,根據PE所做的決策,以重新建立或配置網路。

對於上述提到的各種不同方法,NIST認為,當企業組織在設計零信任架構時,可能發現某些方法比其他方法適合,這並不表示其他方法不管用,只是意謂著其他方法更難執行,可能需要針對現行業務流程進行根本上的改變。

第三章第二節:部署方式的抽象架構

在部署方式上,由於每個公司與組織的環境不同,因此NIST指出,根據企業網路的建立方式,以及企業中的不同業務流程,可使用多個ZTA部署模型。

對於ZTA部署模型,NIST這裡只要是簡單提出4種情境,分別是:

  • (一)裝置基於代理/閘道的部署


資料來源/NIST,iThome整理,2022年8月

  • (二)基於Enclave區域的部署


資料來源/NIST,iThome整理,2022年8月

  • (三)基於資源入口的部署


資料來源/NIST,iThome整理,2022年8月

  • (四)裝置應用程式沙箱


資料來源/NIST,iThome整理,2022年8月

簡單來說,前兩種是基於代理程式(Agent)的模式。第一種是存取每個資源時,經過單獨的網路閘道器,第二種是將很多資源部署在同個網段,存取這些資源時,將經過同一個網路閘道器;後兩種則是沒有Agent的模式,第三種是經過網頁入口,第四種則是透過沙箱。

NIST同時也提到一些注意事項或優缺點,例如,第三種基於網頁入口的部署方式,可能要注意瀏覽器隔離與DoS防護。第四種沙箱方式需確保每個應用程式沙箱的安全之類。

第三章第三節:信任演算法

在第二章曾提到,企業需要為資源存取,制定與維護一個基於風險的動態政策,而在本章的前面部分,也指出ZTA邏輯元件的組成中,在PDP背後的PEP中的PE,就是負責運算,是最終決定是否給予資源存取權限的元件,這樣的過程,其實也就是對於存取請求進行風險分析。

對於存在政策引擎(PE)中的信任演算法(Trust Algorithm),NIST提出更多說明與探討,這裡的內容包括兩個面向,一方面是關於決策所需的多方資訊來源,一方面是決策所需的演算法方式。

對此,NIST用了簡單的比喻說明,對於部署ZTA的企業而言,PE可視為大腦,信任演算法可視為思考過程。這如同人腦一般,會藉由很多資訊綜合判斷並做出決定,因此,PE需要接收多方資訊來做出決策。


資料來源/NIST,iThome整理,2022年8月

特別的是,這裡重新將資訊統整為5大類別,分別是存取請求、主體資料庫與主體歷史行為紀錄、資產資料庫、資源策略需求,以及威脅情報與日誌。

NIST也做一些解釋,例如,在存取請求的類別中,包括了作業系統版本、使用的軟體,以及更新修補的水準,將根據這些因素與資產安全現況來評估。

基本上,PE所仰賴的就是信任演算法,至於每個資料來源的重要性與權重,則將根據專有的演算法或企業設定的標準來進行。當然,這些權重將反映資料來源對企業的重要性。

更進一步,這裡還探討了不同的信任演算法規則,因為實施ZTA信任演算法的方法可以有很多種,不同的ZTA設計者,對於各因素的重要性,可能會希望有不同的權衡,因此,這裡將信任演算法規則區分出兩種型態:

一種是基於條件(Criteria- versus)與基於分數(score-based)的方法;另一種是根據單一(Singular)與上下文(Contextual)的方法。前者是每次都會獨立評估,後者則是會評估歷史記錄,將比單一信任演算法規則更能偵測到異常存取行為。

同時,這些演算法方式可以搭配使用,例如,基於分數與上下文的方法,將可提供更動態與更精細的存取控制能力。

這其實等於NIST已經給出了建議,但是,這裡NIST在此還提供了更務實的見解。

理想上,ZTA的信任演算法應該都要是上下文的方式,不過,可能受限於當前企業採用的基礎設施元件,而不一定能行得通。

因此,在定義與實現信任演算法時,最重要的是,必須從安全性、易用性與成本效益來考量,再逐步朝目標邁進,因為,上下文的方式將能讓潛伏公司內部攻擊者的風險減到最低。

最後NIST表示,要為每個資源開發一套標準或權重值,需要經過規畫與測試。在實際部署過程中,企業可能遇到問題,例如因為配置錯誤導致原本該允許的存取被拒絕,因此企業在部署初期會經過優化的階段,調整標準或權重,以確保政策執行下,同時企業業務流程可正常運作,至於優化階段需要經歷多長時間,將取於企業對於錯誤允許或拒絕的容忍度。

第三章第四節:網路/環境元件

普遍而言,網路設備中可分為控制層(Control Plane)與資料層(Data Plane),在此章節最初有簡單提到,而這裡對於網路環境有更多說明,

在零信任環境中,控制層將與資料層是分開的,邏輯上或可能是物理上的分離。這方面,與軟體定義式網路(SDN)所談的概念相同。

在ZTA中,PA與PEP就是在控制層建立主體與企業資源之間的通訊,而應用程式或服務工作負載將使用建立的資料層路徑,

建構ZTA的網路需求為何?這裡共列出10項:

 一、企業資產需要基礎的網路連線。(包含LAN與DNS等。)

 二、企業必須要能夠區分資產是自己擁有或是企業代管,以及要能辨識裝置的安全現況。

 三、企業要能監控內部網路流量。(從連線中,依照資料的描述 (或 metadata),取篩出目的、時間等所需資料,以便動態決定權限)

. 四、所有企業資源不應在沒有PEP存取控制下被取得。(這也使相關網路掃描或攻擊都不會直接接觸到資源)

 五、ZTA中的資料層與控制層是邏輯上分開的。(因此在控制層的PE、PA與PEP的通訊,不會存取到企業資產與資源)

 六、企業資產可以接觸到PEP元件。(企業主體必須透過PEP元件才能存取資源)

 七、作為業務流程的一部分,PEP是唯一可存取PA的元件。

 八、遠距企業資產應該要能存取企業資源,且無須經過企業網路架構。(例如,不應要求遠距主體透過VPN來存取企業採用的公有雲電子郵件服務。)

 九、提供ZTA存取決策流程所需要的基礎架構,應具有可擴展性,以因應流程負載的變化。(在ZTA中使用的PE、PA、PEP是任何業務流程中都需要的關鍵元件,因此延遲、有問題,或彈性擴增,都需有所考量。)

 十、由於政策或可見的因素,企業資產可能無法連到PEP。(例如,可能有一項政策是規定,如果請求的資產位於企業之外,將無法存取到某些資源)

更多ZTA 101內容

  3    

熱門新聞

Advertisement