当前课程知识点:网络空间安全技术 > 第5章 网络空间安全防御系统与网络安全技术 > 5.1 信任体系与零信任安全 > 5.1 信任体系与零信任安全
同学们,大家好
这一节我们来学习
《网络空间安全技术》第三篇
网络空间安全防御技术体系
第5章
网络空间安全防御系统与网络安全技术
在这一章里面
我们主要讨论四方面的内容
首先是信任体系与零信任安全
第二是操作系统与终端安全
第三是网络安全的防御结构
第四是典型的网络安全技术
我们首先来看第一节
信任体系与零信任安全
在这一节里面
我们要讨论三个知识小点
首先是信任和信任模型
第二是可信计算和它的平台
第三是零信任安全体系
我们来看信任及信任模型
首先我们来看一下信任的概念
网络空间的信任主体
在基于认知的基础之上
根据被信任主体的客观属性
和实际行为
对相互之间特定利益关系当中
权利授予的程度度量
和具体的操作
我们就称为信任
网络空间信任体系
是在网络空间当中建立身份识别
权限分配和责任认定的信任关系
它将所有活动的实体
如系统、部件、进程等
通过信任关系连接起来
记录各个实体的历史表现
并维护这种信任关系
接下来我们来看一下
网络空间的信任模型
信任模型
它描述了
如何建立不同认证机构之间的
认证路径
以及寻找和遍历信任路径的那些规则
从类型上来说
网络空间的信任模型分为
单级CA信任模型
严格层次结构模型
分布式信任模型结构
Web模型
桥CA信任模型
以及用户为中心的信任模型等
我们重点来看一下严格层次模型
从结构上来说
严格层次模型可以描绘为一棵倒置的树
它的组成有以下三个层次
首先是根CA
根CA作为信任的根或者称“信任锚”
它是信任的起点
在整个模型当中只有1个
它为其他节点颁发根证书
第二类是子CA
它是在根CA之下的
零层或多层的中间CA
可作为中间节点
最后是认证终端的实体
它处于模型的最底层
接下来我们看
严格层次模型的认证机理
它的前提假设是
终端实体甲持有可信根CA公钥
乙的证书由CA2签发
而CA2的证书
又是由CA1来签发
CA1的证书是由CA来签发的
从认证过程上来说
它分为以下几步
第一
因为甲拥有根CA的公钥KR
因此它能够验证CA1的公钥K1
从而提取出可信的CA1的公钥
第二步
CA1的公钥
可以被用作验证CA2的公钥
以此类推
可以得到CA2的可信公钥K2
K2可用来验证乙的证书
从而得到乙的可信公钥K乙
第三步
甲现在可以
根据乙的密钥类型
是加密密钥或者是签名密钥
来使用密钥K乙
接下来我们来看一下
可信计算及其平台
首先我们来看一下可信计算的概念
可信计算
首先它是一种计算模式
它是计算运算
与安全防护
同步进行的一种计算新模式
在这种模式下计算过程可测可控
不受干扰
可信计算的基本功能是实现
身份识别
状态度量和保密存储等
使得计算结果总是符合预期
可信计算的核心思想
是建立计算资源节点
和可信保护节点的并行结构
构建从硬件加电到网络通信等
“一级认证一级、一级信任一级”的
完整信任链
接下来我们来看一下
信任根和信任链的概念
信任根是可信计算系统的可信基点
假定其可被无条件信任
信任根的可信性
通常由物理安全
技术安全
以及管理安全等综合措施来共同保证
信任链
基于信任根构建信任度量模型的
可信验证实施方案
我们就称之为信任链
通过可信度量机制
来获取影响平台可信的各种数据
并判断其可信性
从而将信任关系扩展到整个信息系统
接下来我们给出了
两种典型的信任链
也就是物理机可信链
和虚拟机可信链
物理机可信链
它是从TCM芯片开始
扩展到固件
操作系统
可信管理的客户端
最后到应用
而虚拟机的可信链
是从TCM芯片开始
经过固件
操作系统
可信管理客户端
虚拟机管理器
和vTCM
以及虚拟机操作系统
可信管理客户端
最后到达应用
构成了一个完整的虚拟机可信链
接下来我们来看一下
可信计算平台的基本概念
可信计算平台
是具有可信计算安全机制
并能够提供可信服务的计算平台
包括可信服务器
可信PC机
可信移动终端
可信网络
以及可信云平台等
它的验证机理是基于可信平台模块
依赖密码技术支持
以安全操作系统为核心
涉及到身份认证
软硬件配置
应用程序
平台间验证和管理等一系列内容
构成一体化的完整架构
接下来我们来讨论
零信任安全体系
在这一点里面
我们分五个小点来给大家讲授
首先是零信任安全概念
原则
假设与分类
第二是零信任安全的技术方案分类
第三是具体的零信任安全技术
SDP技术架构
第四是IAM技术架构
第五是MSG技术架构
首先我们来看零信任安全概念
原则
假设与分类
零信任安全的提出
2013年-2014年
云安全联盟CSA提出
“软件定义边界(SDP)”
技术架构标准
这个标准成为全球首个
应用广泛的零信任安全技术解决方案
2020年2月
美国国家标准与技术研究所
NIST发表
《零信任架构标准》
白皮书第二版
那么所谓的零信任也就是
“从不信任,始终验证”的概念
NIST给出了零信任安全的定义
所谓零信任
它是指提出的
一系列的概念和思想
在假定网络环境已经被攻陷的前提之下
当执行信息系统和服务中的
每次访问请求时
降低其决策准确度的不确定性
零信任架构(ZTA)
它是一种企业网络安全的规划
它基于零信任理念
围绕其组件关系
工作流规划与访问策略构建而成
接下来我们来讨论一下
零信任理念的七大原则
一:所有数据员和计算服务均被视为资源
二:无论网络处于什么位置
所有的通信都必须是安全的
三:对信息系统资源的访问授权
是基于每个连接的
四:对资源的访问由动态策略
含客户端身份
应用和被请求资产等的可观测状态
决定
亦可以包括其他的行为属性
五:机构应确保其掌握和关联的所有设备
均处于尽可能的最安全状态
并监控设备资产
以确保它们
保持在尽可能的最安全状态
六:在访问被允许之前
所有资源访问的身份验证和授权
均为动态的和严格强制实施的
最后一个原则
是机构收集
尽可能多的
关于网络基础设施当前状态的信息
并用于改善其安全态势
接下来我们来看一下
零信任理念的五大假设
包括两个方面
一是机构自有网络上的假设
二是非机构自有网络上的假设
在机构自有网络上的假设
包括三条
第一是整个企业专业网络
不被视为隐式信任区域
第二:网络上的设备可能
不可由机构拥有或配置
第三
任何资源本质上都是不受信任的
在非机构自有网络上的假设
第四:并非所有机构资源
都在机构拥有的基础结构上
第五:远程机构用户
无法完全信任本地的网络连接
这个就是零信任理念的五大假设
接下来我们来看一下
零信任安全
它的技术分类
我们说零信任安全
它只是一种理念
具体实施零信任安全理念
需要依靠技术方案才能落地
那么技术方案分为三种
首先第一个是SDP
“软件定义边界”方案
SDP将基于传统静态边界的被动防御
转化为基于动态边界的主动防御
第二种技术方案是IAM
也就是“身份识别与访问管理”方案
增强的身份管理方法
将参与者的身份
用作策略创建的关键组成部分
第三种技术方案是MSG“微隔离”方案
它是将数据中心划为
多个工作负载级的
逻辑安全段
定义安全控制
并为每一个唯一的安全段提供服务
接下来我们来看一下
SDP的技术架构
左侧我们给出了
SDP的技术架构示意图
我们对这个图进行一些说明
首先它包含三大组件
也就是SDP初始化主机(IH)
SDP接收主机(AH)
SDP控制器
这是三个基本的组件
SDP技术架构还包括两大平面
也就是控制平面和数据平面
AH、IH二者都会与控制器相连接
而且IH和AH二者之间
它们的连接是通过控制器
与安全控制信道的交互
来实现管理的
它实现了控制平面与数据平面的分离
这种分离
便于实现完全可扩展的安全系统
所有组件均可以集群
用于扩容或是提高稳定运行时间
接下来我们来讨论一下
SDP技术架构的安全优势
首先是最小授权
也就是说从零开始
来最小化攻击面
降低安全风险
第二是通过分离访问控制和数据信道
保护关键资产和基础架构
为其穿上一种“隐身衣”
阻止潜在的基于网络的攻击
第三
它提供了整个集成的安全体系结构
此结构
现有网络安全设备是难以实现的
第四它提供了基于连接的安全架构
而不是
日渐脆弱的基于IP的一种替代方案
第五它允许预先审查控制所有连接
确定可以连接的设备、服务、设施
根据需要来进行授权
可以最小化被攻击后的安全风险
这个就是SDP技术架构的
主要的安全优势
接下来我们来看一下IAM技术架构
左侧我们给出了这种技术架构的示意图
接下来我们对它进行一点说明
首先IAM技术架构它的目标
是统一管理
和控制其接入的实体(用户)的认证(登录)
和授权(具备的权限)
从实施方案的角度来看
统一构建权限管理标准
采用非对称加密来创建
具有一定访问时效的临时令牌
为访问者赋予身份凭证
无需引入访问的Key
这个技术架构身份的使用者
它可以是人
也可以设备、应用等
任何支持获取凭证令牌的实体
IAM技术架构
它的安全优势体现在以下方面
当使用者
需要为访问者赋予自己资源的
访问权限时
可以按照需要来配置任意粒度的权限
和身份的载体
不必再共享访问密钥
由此提升了系统的安全性
接下来我们来看一下MSG技术架构
在讨论MSG微隔离技术架构之前
我们首先来看一下网络隔离技术
网络隔离技术的目标
是指两个或两个以上的计算机或网络
断开“连接”
实现信息交换和资源共享
也就是说
既可以使两个网络实现隔离
又能够在安全网络环境下
进行数据交换
网络隔离技术的核心
是物理隔离或者是逻辑隔离
通过专用的硬件和安全协议
来确保两个
链路层断开的网络
能够实现数据通信
在可信网络环境当中的交互和共享
网络隔离技术的关键
在于系统对通信数据的控制
也就是通过不可路由的协议来完成
网络之间的数据交换
要通过访问控制、身份认证
加密签名等安全机制来实现
而这些机制的实现
都是通过软件形式来实现的
接下来我们来看一下
微隔离技术的提出
微隔离技术主要是VMware
在应对虚拟化隔离技术时
提出来的一种隔离技术
VLAN是一种粗粒度的网络隔离技术
VxLAN
和VPC更接近于微隔离的技术要求
但是它还不是微隔离技术的最终形态
因此我们可以说
微隔离它是细粒度更小的网络隔离技术
那么为什么需要采用微隔离技术呢
首先
实现基于业务角色的快速分组能力
它可以为隔离分区
提供基于业务细粒度的视角
在业务分组的基础上
能够自动化识别内部业务的访问关系
还可以实现
基于业务组之间的隔离能力
端到端工作负载之间的隔离能力
支持物理服务器之间
虚拟机之间
容器之间的访问隔离
通过隔离
全面降低东西向的横向穿透风险
支持隔离到应用访问端口
实现各个业务单元的安全运行
这个就是我们要
采用微隔离技术的原因
接下来我们来看一下
微隔离技术也就是MSG技术
它的技术架构
左侧我们给出了这个技术架构图
接下来
我们对这个技术架构图做一些说明
首先要构建业务流的图谱
确定管理对象
并根据业务类型进行业务流
和服务分组
然后要构建零信任的网络架构
实现控制平面和数据平面分离
AH和IH
均会与控制器连接
而IH和AH之间
它们的连接是通过控制器
与安全控制信道的交互来实现管理的
从组成上来说
MSG它包括
控制中心平台
和策略执行单元
二者是相互分离的
同学们
这一节我们提出三个问题来供大家思考
首先我国自主的可信计算平台
与国际标准平台相比有何优势
这是第一个问题
第二个问题是
在零信任安全的时代
是否还需要传统的可信计算
及可信计算平台
第三个问题是
零信任安全
属于虚拟化安全领域的技术吗
这些问题我们提出来
供大家结合本节的内容进行思考
同学们
这节课我们就讲到这里
感谢观看
下次再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题