基于零信任的数据资源可信访问体系,重构数字安全 锚定动态信任
基于零信任的数据资源可信访问体系,重构数字安全 锚定动态信任
发布时间:May 20, 2022
零信任的概念早在2004年就已提出,但到较近几年大家才对TA进行重新定义。零信任的理念在快速发展和不断演变的过程中,从理论模型、技术标准、产品体系到解决方案框架都在不断完善,零信任已实现了从概念设想到日渐成熟的业务模式演进。
后疫情时代催生了数字化转型的破竹之势,企业、平台等在数字技术浪潮下对网络安全架构提出了更高需求以应对日益严峻的网络威胁形势,并将数字世界中的数字身份、数字价值、数字流通方式等融合协同后发挥较大效用,由此零信任安全架构应运而生。2022年5月11日,以“重构数字化安全身份,搭建动态化信任框架”为主题的直播活动与大家见面,活动由临港数字安全产业联盟主办,上海CA、赛博研究院、安恒信息、腾讯安全协办,活动邀请了包含上海CA数字身份业务总监王天华在内的五位长期从事零信任相关标准起草、技术研究、产品开发、项目应用的专家,探讨了万变环境下的数字安全之道。
主题分享
上海CA数字身份业务总监王天华进行了主题为《基于零信任的数字信任探索与实践》的内容分享,他首先介绍了数字信任体系框架。2020年9月,上海CA联合赛博研究院共同发布了《面向城市数字化转型的数字信任体系建设》,首次提出了“数字信任”的概念,明确了以可信数字身份和可信数据流通为核心、以“身份信任、数据信任、算法信任、能力信任和规则信任“五大愿景为建设目标的数字信任体系框架。
我们认为,新型数字信任是在数字化转型下使一切链入或映射到数字空间的网络实体,在以数字身份信任和可信数据流通为两大核心建设的信任支撑体系下,通过制度、管理、技术等一系列组合手段减少数字空间安全风险,并形成数字社会安全交互、高效运行的机制。构建数字信任体系将成为城市数字化转型的重要组成部分,可以提升数据流通的安全性、稳定性和便捷性。
而就本次直播的主题“零信任”方面,上海CA也有自己的思考。首先,随着大数据、人工智能、5G、物联网、区块链等新一代技术的发展,技术变革引发了信息安全边界和秩序的改变,IT架构从封闭走向开放,挑战着传统的安全防护机制。新形势下,我们面临的网络安全挑战主要包括下图所示的几个方面。
这些变化已经让传统的基于边界的安全防护逐渐力不从心,于是零信任应运而生。那么什么是零信任?Never trust,always verify,它是一种持续监测和动态的访问控制,即持续验证,永不信任。我们可以从安全理念、思维框架、技术体系三个维度来理解。在NIST的零信任架构下,除整个体系包含八个支撑性的组件之外,主体访问资源的过程中还引入了“策略决策点PDP”和“策略执行点PEP”这两个核心组件,来确保主体身份真实且资源访问请求有效。
对比“零信任”与“传统防护”,在防护方式、信任范围、信任评估、访问控制、网络隐身等方面,零信任都很好地弥补了传统安全防护机制中的一些缺陷,零信任带给我们的价值呼之欲出。虽然零信任是一种有效的企业安全解决方案,但对于企业来说,零信任的建设也是一个持续和长久的过程,它需要把用户、身份、资源、访问权限等统筹协调性地进行数字化建设和判定。
在维度方面,零信任是我们安全领域的道、法、术,它是站在“安全技术”的视角,然而如果我们站在更贴近客户的“安全需求”视角,为了达成数字世界中建立信任的目标并较终形成数字实体安全交互机制,“数字信任”也应得到对等的关注。
零信任体系框架下,身份管理的范围是不断扩大的。零信任的理念是never trust,always verify,从这个角度来说,在主体访问过程中零信任的立场是怀疑一切,所以我们需要对自然人、法人、设备终端、客户端应用、服务端的工作负载等IT架构中所有对象赋予一个数字身份,再进行统一的管理,才能运用多维度的信息及信任评估策略做动态的访问控制。在此过程中,可以通过上海CA提出的“数字信任”找到信任锚点、建立起信任链和信任体系。
因此,在上海CA 提出的“基于零信任的数字信任体系框架”中,我们将逻辑组件分别划分在“数据平面”和“控制平面”。在访问主体访问受保护资源的过程中,业务方只需关注数据平面的可信访问代理,数据资源方只需关注数据平面的可信访问网关,需要建立信任关系的双方都不需要考虑过多的安全性事项。而“基于零信任的数字信任体系框架”中的这两个组件就充当了信任中的“策略执行点PEP”,也是信任体系中分别触达客户端和数据资源端的信任锚。与此同时,在控制平面建立数字信任服务平台,底层依托PKI公钥基础设施和区块链基础设施,主要负责数字信任中的可信数字身份和可信数据流通,并担当信任传递中的策略决策方。
在“基于零信任的数字信任体系框架”中,我们还强调实名数字身份。虽然数字身份是实体在数字世界中的虚拟身份表示,但可信数字身份体系的内核还是实体真实的身份信息。基于实体真实身份,我们提供了数字证书、可信访问令牌、基于实名身份的匿名身份等多种基于密码机制的可信身份凭证,来实现整个访问过程中的信任传递。
与实名数字身份相对应,数字世界中的很多交互可能只需要部分身份属性或者身份声明因此我们也正在同步探索实现基于区块链的分布式数字身份。
出于对数据安全和个人信息保护的考虑,在很多业务场景下,我们需要在主体访问资源过程中,使用基于实名身份的不同安全等级的衍生数字身份凭证。为此上海CA建设了身份链,并研发了数字身份卡包,主要目标是聚合管理用户分散在数字世界中的碎片化数字身份,帮助用户基于实名身份生成并管理不同安全等级的衍生数字身份凭证,进而提供安全、可靠、便捷的各类数字身份使用能力以及数字身份精准授权。此外,其中的所有身份使用记录可以查验,不同数字身份产生的电子证照、数据文件及数字资产也将被统一管理。
整个体系架构以身份为基石,秉持“较小权限原则”,对主体每次数据资源访问进行持续的信任评估和动态的访问控制。
信任体系需要支点,而主体在访问资源的过程中,较初往往是不被信任的。因此数字信任需要找到信任锚点,进而形成信任链,并较终建立信任体系,其整个访问过程是一个从信任建立,到数据传递,再到交互的过程。与此同时,信任要被持续评估,并具备过程回溯和安全审计的能力,访问过程中的人、法人、设备、资源、权限、策略、信道、负载等各个环节都需要信任锚定,并进一步融合业务场景,拓展出完整的信任体系。
上海CA基于国产密码算法、构建坚实基础, 从1 998年至今已深耕密码行业24年,在数字信任体系框架的安全管理方面,我们具备证书全生命周期、密钥全生命周期管理能力,同时匹配相应的密码技术保证策略的完整性和授权信息的完整性。
基于以上探索、认知和思考,上海CA也进行了相应的实践。我们着手构建SHECA数据资源可信访问体系,体系引入可信设备,可信应用、可信访问代理、可信访问网关、可信访问服务平台等逻辑组建,采用“增强数字身份治理”理念,明确认证授权数据资源访问并持续分析评估数据访问风险。
目前,上海CA数据资源可信访问体系提供了可信设备认证接入、可信应用认证接入、可信访问平台认证接入三种接入模式,并基于可信身份治理、可信身份认证、可信访问授权、可信网络访问、可信数据流通、可信过程管控这六个TRUST来实现整个数据资源核心访问的过程安全;在实践层面也已在多个项目中进行了落地实践。
数据资源可信访的体系可以加强公共数据资源安全访问,通过制度、管理、技术手段来减少数字空间的安全风险,促进数据资源的开放和利用,加快培育数据要素市场,全面推动城市数字化转型。
数字世界是一个持续演进的过程,上海CA希望用自己密码行业的专业技术能力,练好安全内功,持续价值输出,不断创新并携手各行业合作伙伴为城市数字化转型保驾护航。