01
微軟為何要做零信任
微軟一直致力于給用戶帶來更好的產品體驗,在業務敏捷性上為用戶增加價值。在安全能力上,微軟也一直在不斷迭代發展,不過整體而言,其安全能力主要還是作為Azure云平臺、Windows操作系統、Office等產品的補充和完善,用于提升產品的附加值,暫時并未提供獨立的安全產品或從服務的視角或思維切入安全領域。比如微軟近期發布的Windows 365,Cloud PC云端操作系統,在安全防護上,微軟基于“零信任”原則,憑借自身云端的能力,從初始設計上就確保了產品的安全性,當然其目的仍然是讓用戶對Windows 365產品感到安心。微軟認為,零信任安全戰略應該貫穿于組織的架構、技術選型、運營流程以及組織的整體文化和員工的思維方式。
在數字化轉型時代,云服務,移動計算,物聯網的應用越來越多,微軟意識到一個企業如果仍然依賴于本地防火墻和VPN,僅從組織的物理位置決定安全策略,會缺乏對內部安全風險的可見性,無法及時提供端到端的安全覆蓋,也就會對其產品的安全性帶來風險和挑戰。同時,攻擊者開始利用釣魚攻擊、身份憑證竊取等一系列針對身份的攻擊方式,突破傳統網絡安全邊界,讓安全工程師疲于奔命。因此,微軟認為需要新的安全模型,該模型可以有效地適應現代IT環境的復雜性。在假定出現了信息泄露的情況下,只要有請求發起就需要進行驗證,無論該請求出自何處,需要訪問什么資源。這樣可保護位于任何位置的用戶、設備、應用程序和數據等資產,這就是微軟使用零信任的初衷。零信任并非不信任一切事物,而是采用一種更加智慧、聰明的信任方式。因為,一切商業的邏輯——信息流轉都不能否認信任的存在。沒有信任,一切都無從談起。
02
微軟網絡安全
參考架構MCRA
除了微軟各產品中對安全的描述,微軟的網絡安全能力主要集中在微軟網絡安全參考架構 (Microsoft Cybersecurity Reference Architectures,MCRA) 中進行了介紹。在MCRA中描述了微軟的網絡安全能力是如何利用微軟各類安全服務、安全產品與微軟各平臺(例如 Microsoft 365 和 Microsoft Azure)、第三方應用(例如 ServiceNow 和 Salesforce)和第三方平臺(例如 Amazon Web Services (AWS) 以及 Google Cloud Platform (GCP))集成的。值得一提的是,整個MCRA都是以零信任原則進行設計。如下圖所示:
從圖中我們可以看出微軟多年來一直在網絡安全研究與開發方面進行了大量投資,以確保產品和服務的安全,并為其客戶提供保護資產所需的能力。
整個微軟網絡安全能力架構采用了零信任原則進行設計,分別在身份與訪問、安全運營、設備合規性管控、多云和跨云平臺管理、軟件即服務(SaaS)的云原生安全控制、物聯網與運營管理,信息保護等功能上進行細化和落地。
此外,在MCRA中微軟還對零信任基本概念,零信任快速現代化計劃 (Rapid Modernization Plan, RaMP),安全運營和關鍵計劃(例如,防御人為操作的勒索軟件、保護特權訪問和超越VPN 形態的用戶訪問等)的其他關鍵信息進行了介紹。
03
微軟零信任的
二十年發展歷史
我們已經能從MCRA中看出微軟在安全領域的持續投入,如果追尋零信任在微軟的發展歷程,可以看到近20年的歷史。一路走來,雖然零信任理念已經發展了許久,但直到最近才被主流逐漸認可和采用。
在這個過程中,微軟理解零信任戰略形成了兩個主要的思想流派:網絡派和身份派。
網絡派——通過劃分更小的網段,并在允許訪問資源之前測量設備的信任度,來增強網絡訪問控制能力。雖然該方法富有吸引力,但復雜性較高。
身份派——Jericho論壇倡導的另一種方法,通過建立身份邊界來實現資源訪問,從網絡為中心轉移到了數據資產為中心。
微軟在云轉型過程中,融合了網絡和身份模型兩種技術方法實踐零信任。
在這個過程中,微軟將零信任安全模型應用于自身實踐,微軟員工訪問企業技術資源和服務也需要零信任安全模型來進行隔離和限制。微軟也是在幾年前就開展了零信任的建設,涉及多方面的技術和多個部門,并將在未來幾年持續投入,旨在未來兩到三年內完全實現的零信任目標。
由于篇幅的原因,本文對微軟零信任的分析解讀主要針對身份和零信任用戶訪問(Identity and Zero Trust User Access)這一范圍,并不包含MCRA中其它應用零信任原則所涉及的內容。
04
微軟零信任安全架構的
基本概念
4.1 零信任的指導原則
作為零信任起源Jericho論壇主辦機構The Open Group所發布白皮書《零信任核心原則》(Zero Trust Core Principles)的參與方,微軟認可Jericho論壇的零信任理念“從不信任,始終驗證”。據此,微軟提出了自己零信任原則:
1. 進行顯式驗證(Verify Explicitly)
所有可用的數據訪問點都必須進行身份驗證和授權,包括用戶身份識別,位置、設備的健康情況判斷,服務或工作負載,數據分類分級標簽和異常行為檢測。
2. 使用最小權限訪問(Use Least Privileged Access)
通過及時(Just-in-time, JIT)和足夠(Just-enough-access, JEA)的訪問權限、基于風險的自適性策略以及數據保護來有效限制用戶的訪問,以幫助保護數據并且保障生產力。
3. 假定數據泄露(Assume Breach)
需持續監測與感知網絡、用戶、設備和應用程序,來切分其訪問控制權限,縮小數據泄露的波及范圍并防止橫向移動。同時還需驗證所有會話,均為端對端加密,通過安全可視化的分析手段,進而驅動威脅探測和加強安全防護。
每個訪問請求在授予訪問之前都應進行完全身份驗證、授權和加密。應用微分段和最小特權訪問原則最大限度地減少了橫向遷移。利用豐富的智能和分析進行檢測并及時響應異常情況。
4.2 零信任訪問控制機制
零信任訪問機制的關鍵組成部分有三個:信息源、決策引擎、策略執行。
? 信息源:收集用戶、設備的安全狀態信息、風險信息、行為信息等。
? 決策引擎:基于信號源的信息對信任持續評估,做出訪問策略的調整。
? 策略執行:對訪問請求做出最終的操作決定。
4.3 零信任架構組成要素
微軟認為無論何種用戶或應用程序環境,都必須提供對其資源的安全訪問能力。在允許訪問前,都要評估用戶的位置、角色定義、設備的運行狀態、服務類型以及請求訪問的數據類別等。并且,最終使用策略消息傳遞和策略自動實施的方法,在安全性與最佳用戶體驗之間找到平衡點。
零信任理念應擴展到整個數字資產,作為集成安全性理念和端到端策略,是對6個基本元素的安全防護:身份,設備,應用程序,數據,網絡和基礎設施,來實現零信任。這6個要素本身既是策略評估所需的信息源,也是實施控制的抓手,并且還是需要被保護的關鍵資源。每一項在零信任架構中所起到的作用如下:
? 身份
身份(無論是人員、設備、應用還是進程)是資源訪問的入口,是零信任的基礎。當身份嘗試訪問資源時,系統需要對其進行強身份驗證,確保該身份是合理且合規的,同時保證遵循最小權限訪問原則。
? 設備
身份獲得對資源的訪問權限,各類設備即會產生通信的數據流,無形中暴露了一個巨大的攻擊面。為了降低設備風險,系統需要持續對其運行狀況監控,維護其合規性。
? 應用
應用程序和API提供了數據訪問接口。為了確保不同的身份在不同的應用中具備適當的訪問權限,需要實現基于跨應用的實時分析,完成訪問控制、異常行為監視、用戶操作審核以及安全配置選項驗證等。
? 數據
數據是安全的核心,應被分類、標記和加密,并基于這些屬性有條件的訪問。
? 網絡
建立可信、可靠的網絡鏈路是數據訪問的重要環節。網絡代理可以提供“可信通道”、端到端的數據加密、實時監控、分析,威脅防護,防止攻擊者在網絡中橫向移動。
? 基礎設施
建立安全的基礎設施(無論是本地服務器、云端的虛擬機、容器還是微服務)是減少風險的有效措施。可以通過對基礎設施的版本評估、實時訪問權限配置,攻擊/異常行為持續監測,惡意行為自動阻斷與危險行為標記等方式,采取防護措施。
05
微軟零信任安全架構
模型及相關組件
5.1 抽象架構模型
零信任架構(Zero Trust Architecture,ZTA)是微軟基于“零信任指導原則”的企業安全戰略架構,核心是保護資源的安全性,通過細分資源訪問控制防止非法訪問和橫向移動。簡化的微軟零信任架構如下圖所示。
圖中的訪問主體是身份(Identities)和設備(Devices)。
訪問資源是數據(Data)、應用(Apps)、基礎架構(Infrastructure)——容器、微服務以及底層操作系統和固件等、網絡(Network)。
架構的核心是安全策略執行點(Security Policy Enforcement),在其它微軟零信任的架構圖中也稱為安全策略引擎(Security Policy Engine(s)),可提供實時策略評估。該引擎通過分析信號并應用組織策略和威脅情報來提供保護。在授予對數據、應用程序、基礎設施和網絡的訪問權限之前,它可確保身份得到驗證和驗證,并且設備是安全的。此外,它提供持續地全面地應用可見性與分析以及自動化。
訪問主體和訪問資源這6個對象也是微軟零信任安全架構的6個基本元素。如果再參考上述微軟MCRA中功能組件與零信任架構組成的關系,可以發現架構中的每個組成都有相應的產品/服務/解決方案與之對應,分析如下:
? 身份安全組件:Azure Active Directory(Azure AD)、Microsoft Defender for Identity提供身份認證(MFA\Passwordless)和保護。
? 設備安全組件:Microsoft Endpoint Manager、Microsoft Defender for Endpoint。
? 應用安全組件:Microsoft Cloud App Security、GitHub Advanced Security。
? 數據安全組件:Microsoft Information Protection完成數據治理,數據分級分類。
? 網絡安全組件:Microsoft Azure提供的Azure AD App Proxy、Azure ExpressRoute。
? 基礎設施安全組件:云安全態勢管理的Azure Security Center、云原生的SOC(SIEM、SOAR、UEBA)Azure Sentinel。
? 核心的安全策略引擎 Security Policy Enforcement對應的是:Azure AD Conditional Access,由它來形成統一安全管控評估決策
5.2 零信任用戶訪問場景參考組件
在零信任用戶訪問場景下,用戶通過Conditional Access來訪問資源的組件概述如下。我們可以更加清晰地看到微軟是如何通過其已有的產品/服務搭建起一個完整的零信任用戶訪問架構的。
第一步是收集身份、設備的安全態勢信息(風險判定)。
身份信息通過Azure AD Identity Protection,Azure ATP和Cloud App Security結合微軟自建的威脅情報庫來監控和分析網絡中的用戶活動和信息。使用基于非對稱密鑰的用戶身份驗證(Passwordless,無密碼方式)Hello for Business和Azure MFA完成多因子的用戶鑒別。
設備信息通過Microsoft Defender ATP進行基于風險的漏洞管理和評估,判斷是否是受控設備,是否滿足設備合規性要求。再通過Intune完成設備管理。
第二步是內置于 Azure Active Directory的Conditional Access在收到初次訪問請求后,會基于用戶和設備的風險狀況進行策略評估,調整已有的訪問策略。當用戶暫不滿足信任要求時,會通知用戶再次進行多因子認證。
第三步通過多因子認證后,授予用戶相應的訪問權限。訪問應用、云基礎設施、數據(文檔)等。為了保護暫不支持零信任的資產,微軟提供了Azure AD App Proxy來作為支撐。
在整個過程中是暗含持續地信息監測,但這對于用戶來說,在訪問過程中是全程無感的。
5.3 用于微軟自身的零信任
在微軟內部,當前主要確定了四個核心場景來幫助實現零信任。這些場景下的解決方案滿足強身份認證、受控設備管理和設備健康監測、非受控設備的替代訪問以及應用程序健康監測的安全性要求。核心場景有:
場景1:應用程序和服務可以做多因子身份認證和監測設備運行狀況。
場景2:員工可以將設備注冊到設備管理系統中,該系統會強制執行設備運行狀況監測以控制其對公司資源的訪問。
場景3:公司員工和商務客戶在使用非受控設備時可以安全地訪問公司資源。
場景4:對資源的訪問僅限于執行指定功能所需的最小權限。
微軟最初實施零信任的側重點是整個企業(包括員工、合作伙伴和供應商)中使用的通用企業服務。其零信任實施針對的是微軟員工在iOS、Android、MacOS和Windows等平臺上日常使用的核心應用程序集(例如,Office應用程序、業務線的應用程序)。隨著發展,重點已經擴展到企業內使用的所有應用程序。任何訪問公司資源的所有受控或個人設備都必須通過設備管理系統進行管理。
下圖是微軟為實現零信任的簡化零信任架構。包含用于設備管理和設備安全策略配置的 Intune、用于設備健康監測的Azure Active Directory (Azure AD) Access Conditions以及用于用戶和設備清單的 Azure AD。
該系統通過將設備配置要求推送到受控設備,與Intune 配合使用。然后設備會生成一份安全程度聲明,該聲明存儲在Azure AD中。當設備用戶請求訪問資源時,設備運行狀況將作為與Azure AD進行身份鑒別交換的一部分來進行認證。
06
微軟零信任安全架構
部署與成熟度模型
6.1 確定工作規劃優先級
在具體零信任模型實踐中,微軟向用戶建議首先確定零信任工作的優先級,以最大限度地提高安全投資回報 (ROI)。
1. 調整組織戰略和團隊
企業組織的首要任務應該是讓所有技術團隊達成共識,并建立一個符合業務需求的單一細分策略。
2.與上一步同步開展,構建基于身份的邊界
企業組織應采用多因子身份驗證或無密碼身份控制,以更好地保護身份安全。并迅速制定分階段計劃,以衡量(并強制執行)訪問資源的用戶和設備的信任度,最終鑒別所訪問的每個資源的信任度。
微軟對于安全邊界的理解是,邊界需求一直都存在,只是其形式隨著時間而不斷演變。從一開始的物理邊界保護資產,到網絡邊界進行資產隔離,再到目前基于身份和訪問管理,通過身份鑒別和授權來保護資產免受威脅。
3.細化網絡邊界(微分段)、網絡安全策略
6.2 實施部署(能力要求)
對于企業組織后續創建、部署與微軟產品和服務集成的零信任解決方案,以及在開發應用程序時遵循零信任最佳做法的指導。微軟建議從身份安全入手,因為身份是零信任戰略成功的核心。微軟圍繞身份,設備,應用,數據,基礎設施,網絡,可見性、自動化和業務流程編排幾個方面(可以理解為微軟的零信任支柱)的安全性目標要求,來評估部署采用何種微軟的安全產品來實現零信任,這樣才能夠減少或防止數據因上述幾方面的缺陷所導致的威脅和侵害。
6.2.1 身份
整個身份安全都依賴于微軟的Azure Active Directory (AD)套件。基本安全性要求有以下三項:
1. 統一云端身份與本地身份
同步Azure AD與本地身份系統,維護統一權威身份源,并使用強身份認證。
2. 按條件訪問策略,執行受限訪問
分析用戶、設備和位置等信息,以自動執行決策并強制實施資源的訪問策略。
3. 通過分析提高可見性
通過在Azure中或使用所選的SIEM系統存儲和分析來自Azure AD的日志。
改進性要求也有3:
1. 身份和訪問權限通過身份治理進行管理。
2. 實時分析用戶、設備、位置和行為,以確定風險并提供持續保護。
3. 集成來自其他安全解決方案的威脅信號,以改進檢測、保護和響應。
6.2.2 設備
在實施端到端零信任框架保護設備時,基本安全性要求有:
1.在云身份提供商處完成設備注冊。
充分了解訪問資源的所有設備和接入點的安全性。
2.訪問權限僅授予受云管理且合規的設備。
設置合規性要求以確保設備在授予訪問權限之前滿足最低安全要求。此外,為不合規的設備設置補丁規則。
3.對自有或受控設備實施數據防泄漏 (DLP) 策略
改進性要求有:
1.使用設備威脅檢測監控設備風險。
使用統一的設備管理平臺達到管理的一致性。并使用SIEM管理設備日志和事件。
2.基于設備風險進行訪問控制。
通過集成Microsoft Defender for Endpoint 或其它第三方數據,作為設備合規性策略和設備條件訪問規則的信息源,來檢測設備風險。
6.2.3 應用
在實施零信任方法來管理和監控應用程序時,基本安全性要求有:
1.監測應用程序的活動,保持對其可見性。
微軟會利用Microsoft Cloud App Security實現對應用或API的監測。
2.監控影子IT系統的使用。
3.通過實施策略自動保護敏感信息和活動。
創建策略檢測云環境中的風險、違規行為或可疑數據點和活動。監控安全趨勢、查看安全威脅并生成自定義報告和告警信息。
改進性要求:
1.為所有應用部署自適應訪問和會話控制。
確保所有應用程序都使用最低權限訪問并進行持續驗證。
2.加強對網絡威脅和流氓應用的防范。
利用Cloud App Security 的 UEBA 和機器學習 (ML) 功能,檢測威脅并在整個云環境中運行高級威脅檢測。調整異常檢測的策略。
3.評估云環境的安全狀況
6.2.4 數據
在為數據實施端到端零信任框架時,基本性要求有:
1.數據需加密
通過加密保護最敏感的數據,無論是靜態或傳輸中,以限制對敏感的內容的訪問。
2.自動對數據進行打標、分級分類。
改進型要求:
1.使用機器學習模型增強數據分級分類和打標。
2.訪問決策由云安全策略引擎管理。
3.基于數據標簽和內容檢查的DLP策略防止數據泄漏。
6.2.5 基礎設施
在實施端到端零信任框架來管理和監控的基礎設施前,需滿足最低要求。而在此之上才有基本性要求為:
1.監控工作負載并就異常行為發出警報。
建立了用于監控和發出警報的規則
2.每個工作負載都分配了一個應用程序標識,并做到配置和部署的一致性。
3.對資源的訪問使用即時JIT管理權限來加強防御。
改進性要求:
1.阻止未經授權的基礎設施部署,并發出告警信息。
2.實現可跨基礎設施的多維度可見性和基礎設施基于角色的訪問控制。
3.針對每個基礎設施實施分段
6.2.6 網絡
在實施端到端零信任框架來保護網絡安全時,需達到的基本要求為:
1.網絡分段。
使用軟件定義的微邊界進行網絡分段。
2.威脅防護。
針對已知威脅,對HTTP/S流量的端點使用Azure Web 應用程序防火墻 (WAF)來進行防護。而對所有端點都在網絡傳輸層,使用基于威脅情報的Azure防火墻進行過濾。
3.加密用戶到應用程序的內部流量。
改進目標:
1.網絡分段。
完全分布式的云微邊界和更深的微分段。
2.威脅防護。
基于機器學習的威脅防護和基于上下文的信息過濾。
3.加密。
對所有流量都進行加密。
6.2.7 可見性、自動化和編排
在為可見性、自動化和編排實施端到端零信任框架時,基礎性要求:
1.啟用Microsoft 威脅防護(MTP)來實現安全可見性。
2.啟用自動化的信息分析。
改進性目標:
1.啟用額外的保護和檢測控制控件,提高安全可見性和協調響應的能力。
6.3 微軟零信任成熟度模型
首先,微軟認為“零信任”是一個持續進化的系統工程,而不是一蹴而就能達到某種最終結果的。為了實施完整的零信任模型,作為一個集成的安全理念和端到端戰略貫穿于整個組織業務,并將其擴展到整個組織的資產。微軟建議從問題開始,首先明確有哪些用戶身份,需要訪問哪些應用、服務和數據,以及如何訪問;其次需要明確用戶訪問資源所需要滿足的條件、屬性、狀態;系統如何通過安全控制策略來實現上述條件;最后如何確保能夠執行這些策略。
微軟利用幫助客戶保護其企業組織以及實施自身零信任模型方面的經驗,基于上述提到的6個基本元素,總結開發了以下成熟度模型,幫助企業組織評估自身零信任現狀,制定實施零信任的方案計劃,分階段實施零信任模型。
同時,微軟也開發了零信任評估工具來幫助用戶確定在零信任實施過程中所處的階段,并針對零信任的關鍵節點提供下一步實施計劃和部署指南。
6.3.1 傳統階段
如果企業組織尚未開展零信任,通常處于以下狀態:
l 具有靜態規則和某些 SSO 的本地標識。
l 設備合規性、云環境和登錄的可見性有限。
l 扁平的網絡基礎設施導致較大的風險暴露。
6.3.2 中期階段
在此階段,企業組織已經開始實施零信任,并在以下幾個關鍵領域取得進展:
l 利用混合標識和定制化的訪問策略限制對數據、應用和網絡的訪問。
l 設備已注冊并符合IT安全策略。
l 開始細分網絡,針對云威脅的保護措施已就位。
l 分析各類信息源用于評估用戶行為并主動識別威脅。
6.3.3 理想階段
處于理想階段的企業組織在安全性方面做出了很大改進:
l 已使用通過實時分析動態訪問應用程序、工作負載、網絡和數據的云端的身份體系。
l 數據訪問的決策由云安全策略引擎管理,數據共享過程會被加密及追蹤。
l 應用網絡微分段和加密技術。
l 實施自動威脅檢測和響應。
基于以上的模型階段分割,微軟認為一個企業可以對比自身的情況,規劃安全路線圖,平衡企業短期安全需求與長期安全戰略間的一致性。
6.3.4 其它關鍵能力
基于能力成熟度模型,微軟建議企業評估自身所處的零信任階段,仍從身份、設備、應用程序、數據、基礎結構和網絡這6個要素進行建設,規劃實施來提高企業的安全能力,以便更有效地全局部署零信任安全模型。同時,微軟認為以下各項對于彌補重要的企業能力和資源差距都至關重要:
1. 強身份認證。確保強大的多重身份認證和會話風險檢測作為訪問策略的支柱,以最大限度地降低身份泄露的風險。
2. 基于策略的自適應訪問。為資源定義可接受的訪問策略,并借助統一的安全策略引擎實施這些策略,該引擎需要具備治理和洞察差異的能力。
3. 網絡微分段。使用軟件定義的微邊界,從簡單的集中式網絡外圍環境轉向全面覆蓋的分布式網絡分段。
4. 自動化編排。使用自動告警和補救方面的工具和技術,以縮短企業應對攻擊的響應時間(MTTR)。
5. 情報和人工智能。利用云智能和所有可用信息進行實時檢測分析。
6. 數據分類和保護。發現、分類、保護和監控敏感數據,以最大限度地減少惡意或意外泄露的風險。
07
結語
雖然企業最終都會部署集成零信任安全模型,在保護數字資產上發揮極大的功效,但微軟認為零信任安全的實施是一個長期持續的過程。實施的每一個階段都可以幫助企業降低風險,建立整個數字資產內的信任體系,但這需要分階段,根據當前的零信任成熟度、可用資源和優先級,有的放矢,對相應領域進行投入和變革。同時確保每項短期和長期的投入都與當前業務需求保持一致。
