零信任安全架构在IT、OT和IOT领域的应用
1.零信任安全简介
云计算、大数据、物联网和移动互联网时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全难以应对,零信任安全应运而生。
零信任安全代表了新一代网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。
图1、NIST零信任安全框架图
在零信任安全理念下,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证,并且在访问过程中可以根据需要,多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。
2.零信任成功应用于IT安全
图2、IT数据中心的南北向和东西向流量
零信任安全架构已经成功地应用到IT安全领域,成功解决了IT数据中心南北向和东西向安全防护的痛点。当前零信任的落地技术主要有三个:软件定义边界(Software Defined Perimeter,简称SDP)、身份识别与访问管理(Identity and Access Management,简称IAM)和微隔离(Micro Segmentation,简称MSG)。SDP和IAM的技术结合,解决了企业远程安全办公、远程安全运维和远程安全研发的网络安全和数据安全问题,也解决了数据中心南北向网络隐身、身份认证和访问控制的难题。MSG技术,解决了数据中心东西向流量可视化、访问控制和策略自适应的难题。
表1、国外零信任SaaS的典型企业
SDP是由国际云安全联盟CSA于2013年提出的基于零信任理念的新一代网络安全技术架构。SDP以预认证和预授权作为它的两个基本支柱。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权,SDP可以在网络层上执行最小权限原则,可以显著地缩小攻击面。
图3、基于SDP的南北向安全防护
SDP架构由客户端、安全网关和控制中心三个主要组件组成。客户端和安全网关之间的连接是通过控制中心与安全控制通道的信息交互来管理的。该结构使得控制平面与数据平面保持分离,以便实现完全可扩展的安全系统。此外,SDP架构的所有组件都可以集群部署,用于扩容或提高系统稳定运行时间。
微隔离的概念最早由VMware在发布NSX产品时正式提出。从2016年开始,微隔离项目连续3年被评为全球十大安全项目之一,并在2018年的 《Hype Cycle for Threat-Facing Technologies》(威胁应对技术成熟度曲线)中首次超过下一代防火墙(NGFW)。
图4、微隔离技术的领先者illumio产品的东西向流量可视化
微隔离是在数据中心和云平台中以创建安全区域的方式,隔离工作流,并对其进行单独保护,目的是让网络安全更具粒度化。微隔离是一种能够识别和管理数据中心与云平台内部流量的隔离技术。对于微隔离,其核心是对全部东西向流量的可视化识别与访问控制。微隔离是一种典型的软件定义安全结构。它的策略是由一个统一的计算平台来计算的,而且需要根据虚拟化环境的变化,做实时的自适应策略重算。
当前比较流行的SDP和微隔离技术,均是典型的软件定义安全的技术。以零信任技术为核心的安全产品,正在越来越多地应用到IT安全的各个领域。
3.零信任是否适用于OT安全?
零信任安全架构在IT安全领域取得成功后,是否适用于OT安全?在回答这个问题之前,我们先分析下国内外OT安全的当前现状和新探索。
3.1、国内OT安全现状及思考
国内的OT安全市场当前以白名单理念为主,产品和解决方案主要围绕等保2.0,以“一个中心、三重防御”为思路,产品主要包括:工控主机卫士、工业防火墙、工业网闸、工业监测审计系统、统一安全管理平台等。在国内,零信任安全架构尚未应用到OT安全领域,假设在白名单产品的基础上应用零信任安全架构,安全产品将获得哪些提升?下表将探讨零信任安全架构如何应用于OT安全产品。
表2、零信任安全架构应用于OT安全产品的思考
3.2、国外OT安全现状及新探索
国外的OT安全市场当前百家争鸣,包括但不限于:专注白名单的工业防火墙,专注物理上单向传输的工业网闸,专注工业流量全面可视化的下一代防火墙,基于零信任架构的工控安全解决方案等。
表3、国外OT安全的典型企业和产品
3.2.1、思科零信任OT解决方案
本文重点关注OT安全的新探索,思科基于零信任架构的工控安全解决方案。
图5、思科基于零信任架构的工控安全解决方案
思科零信任工控安全解决方案的组件如下表所示,主要包括:思科工业交换机和路由器及运行在上面的Cyber Vision传感器、Cyber Vision中心、ISE身份服务引擎、Secure X安全编排引擎、思科工业防火墙、思科DNA中心。
表4、思科零信任工控安全解决方案的组件
OT网络的零信任之路如下:
第1步:识别端点并建立初始信任
Cyber Vision传感器嵌入网络设备(交换机、路由器和网关),收集流经工业基础设施的数据包 。该传感器结合使用被动和主动发现技术,利用工业协议的先进知识,通过深度数据包检测,对数据包有效载荷进行解码和分析。Cyber Vision能够分析每个端点,详细描述其与其他端点和资源的交互,并构建资产清单。
图6、Cyber Vision中心从网络中收集数据
Cyber Vision传感器易于在OT网络中部署,因为它们在思科工业网络基础设施上作为软件运行,不需要单独的设备,但如果OT网络由无法运行传感器的设备组成,则可以使用专用设备。传感器将有关连接端点的数据发送到被称为Cyber Vision Center的中央仪表板中,该仪表板可以帮助用户以类似地图的格式,可视化每个端点及其与其他端点的交互。该地图视图对于OT团队根据实际的工业过程逻辑对端点进行分组特别有用,因此它可以根据不同的组与组之间的通信来构建策略。
第2步:定义和验证访问策略
在网络中定义有效的访问策略需要IT和OT团队之间的协作。
ISA99/IEC 62443工业网络安全标准将区域定义为具有类似安全要求、清晰物理边界和需要相互对话的设备组。例如,汽车工厂可能有一条焊接生产线和一条喷漆生产线。焊接设备没有理由需要与油漆车间的设备交互。如果一个区域内的设备受到感染,将每个设备放置在自己的区域内可以限制任何损坏。如果不同区域的设备确实需要相互通信,则管道定义了允许的有限交互。访问策略将OT网络中的区域和管道形式化。
Cyber Vision可以直接与ISE集成。一旦OT管理员在Cyber Vision中对资产进行分组,该信息将自动与ISE共享。ISE可以利用资产详细信息和分组来确定必须应用的安全策略。可以将端点分配到适当的区域,并使用可扩展组标签标记其通信,该标签使网络设备能够定义和实施适当的访问策略。
第3步:验证合规性策略
在执行策略之前,需要对其进行验证。DNA Center提供了一个仪表板,用于可视化从ISE学习到的组之间的交互。DNA Center还为每个交互提供了详细信息,如应用程序、协议、端口号等。有了这些信息,用户可以根据需要调整定义的策略,以确保它们不会妨碍任何合法的交互。
图7、DNA中心提供组间流量的可视化映射
第4步:通过网络分段加强信任
一旦策略得到验证,用户可以使用易用的矩阵在DNA Center或ISE中编写它们,其中每个单元定义了源和目标组之间允许的通信。在该矩阵中,同一区域内的端点可以彼此自由交互,但不能与其他区域中的端点交互。例如,虽然制造车间区域中的端点可以相互通信,但它们不能与焊接车间区域中的端点通信。每个分区中的端点可以与制造执行系统通信,但仅受管道定义的约束。
图8、DNA中心使用矩阵定义策略
定义的策略现在发送给ISE,ISE依次配置工业交换机和路由器,以根据连接到该端口的端点的情况,对其每个端口强制执行策略限制。应用这些策略对网络进行分段,使每个分区都受到保护,分区之间的通信通过定义的管道得到严格控制。
定义、验证和强制执行访问规则的过程使OT能够控制其安全标准。一旦实现了这个过程,添加新的端点和根据需求变化修改策略就变得很容易了。例如,如果未来需要在生产车间和装配线之间进行某些通信,则可以在策略矩阵中定义新策略,并轻松地重新配置基础设施。
第5步:不断验证信任
Cyber Vision不断评估连接端点的安全状况。它会自动计算每个端点的风险评分,以帮助安全管理员主动限制对工业过程的威胁。风险评分是威胁的可能性及其潜在影响的乘积,其中可能性取决于资产类型、漏洞和对外部 IP 地址的暴露,影响取决于资产类型及其对工业过程的重要性。
汇总各个风险评分以评估工业区的安全状况,并更容易确定纠正措施的优先级,例如应用漏洞补丁或安装工业防火墙,从而确保工业端点的安全。
图9、Cyber Vision根据其潜在影响和发生的可能性评估风险
但是,即使将风险保持在最低水平并且正确执行了访问策略,后续攻击也有可能突破区域,感染SCADA、PLC和HMI等控制系统。此类感染可能导致这些控制器对工业设备的控制行为发生改变,导致生产质量问题、停产,甚至损坏机器和生产基础设施。因此,必须持续监控所有此类控制器,以发现任何可能表明它们已被入侵的异常行为的迹象。Cyber Vision 分析所有工业通信内容,并使用先进的基线引擎跟踪异常行为。
第6步:降低风险
IT有两种方法来处理端点中已识别的风险。它们可以通过降低其访问权限或关闭它所连接的交换机端口来有效地将端点从网络中删除。这些方法可能适用于有问题的打印机或电子邮件服务,可以使它们在修复时暂时脱机,但在OT中显然不是一个选项,因为机器不能简单地停在其轨道上。减轻工业环境中已识别的威胁需要IT和OT安全团队之间的密切合作。
虽然需要根据威胁的影响来评估对每个威胁的适当响应,但 IT 和 OT 团队应事先制定一份行动手册,在发现漏洞时立即执行。缓解决策可能超出了工具的能力,因此必须建立关键决策的指挥链。例如要将需要停止生产的情况以及相关责任人记录在案。
SecureX提供了一种单一平台的安全方法。它与关键安全工具集成,并在这些工具之间提供所需的编排,以执行用户定义的工作流。
3.2.2、思科零信任OT解决方案的分析
思科的零信任OT解决方案,结合了思科工业交换机、工业路由器等网络设备,将Cyber Vision传感器嵌入网络设备,实现了对端点和端点之间资源交互的实时跟踪,并构建了资产清单。传感器将有关连接端点的数据发送到Cyber Vision中心。借鉴IEC 62443,在Cyber Vision中心,访问策略将OT网络中的区域和管道形式化 ,资产放置在区域内,跨区域之间的通信通过管道连接。Cyber Vision可以直接与ISE集成,ISE可以利用资产详细信息和分组来确定必须应用的安全策略。在执行策略之前,可以使用DNA中心的仪表板对安全策略进行验证,该仪表板用于可视化ISE学习到的分组之间的交互。策略验证后,用户可以在DNA中心使用矩阵定义安全策略。定义的策略发送给ISE,ISE依次配置工业交换机和路由器,对网络设备上的每个端口强制执行策略限制。应用安全策略对网络进行分段,保护每个分区,分区之间的通信通过管道严格管控。Cyber Vision不断评估连接端点的安全状况,自动计算每个端点的风险评分,以帮助安全管理员主动限制对工业过程的威胁。最后,利用SecureX进行安全策略编排,类似于SOAR,降低OT环境中的风险。
思科的零信任OT解决方案,利用网络设备作为安全分区的边界,分区之间的通信通过管道严格管控,网络设备上配置传感器,学习端点和端点之间的交互,便于自适应安全策略的生成和用户的验证。这种方案设计很巧妙,可以理解为基于网络设备的微隔离技术,而非IT领域的基于端点的微隔离技术。
表5、思科零信任工控安全解决方案的优劣势分析
4.零信任成功应用于IOT安全
物联网应用系统模型,包括三部分:服务端系统、终端系统和通信网络。物联网安全风险主要集中在服务端、终端和通信网络三个方面。
图10、物联网应用系统模型
(引用自中国信通院《物联网安全白皮书》)
1)物联网服务端安全风险
1、服务端存储大量用户数据,易成为攻击焦点;
2、服务端多数部署于云平台之上,南北向业务API接口开放、应用逻辑多样,容易引入风险;
3、云平台主要采用虚拟化和容器技术,东西向存在内网渗透风险。
2)物联网终端安全风险
1、终端自身安全风险,存在口令被破解、设备被入侵、恶意软件感染等风险;
2、终端网络接入风险,终端多处于边缘侧,存在设备假冒、非法设备接入等风险;
3、终端数据安全风险,存在隐私数据泄露、数据被窃取等风险;
4、终端生产安全风险,存在数据被篡改、服务中断等风险。
3)物联网通信网络安全风险
1、通信网络未加密,存在数据被窃听、数据被篡改等风险;
2、通信网络非授权接入,存在非法接入、网络劫持等风险;
3、通信网络易受到拒绝服务攻击等风险。
SDP技术用于解决南北向的安全问题,结合物联网云-管-边-端的体系结构,可以通过可信终端接入、可信链路传输、可信资源权限、持续信任评估和动态访问控制等方式解决南北向的安全隐患。微隔离技术用于解决东西向的安全问题,可以解决物联网云平台内部的东西向安全隐患。
国外安全企业已经将零信任安全架构成功地应用于IOT安全。下表列举了国外零信任IOT安全的典型企业,下面本节将重点分析典型案例。
表6、国外零信任IOT安全的典型企业
4.1、亚马逊AWS的IOT安全
图11、AWS IOT安架构
AWS物联网通过以下七条原则帮助用户采用基于NIST 800-207的零信任架构。
1)所有数据源和计算服务都是资源。
AWS将客户的数据源和计算服务作为资源建模。AWS IoT Core和AWS IoT Greengrass是包含客户资源的服务,物联网设备需要安全调用这些服务。每个连接的设备必须具有与物联网服务交互的凭据,所有进出的流量都使用TLS安全传输。
2)无论网络位置如何,所有通信都是安全的。
通过使用TLS认证和授权API调用,设备和云服务之间的所有通信都受到保护。当设备连接到其他设备或云服务时,它必须通过使用 X.509 证书、安全令牌和自定义授权人等主体进行身份验证来建立信任。除了身份认证外,零信任还需要在连接到AWS IoT Core后控制设备操作的最小访问权限。
AWS提供设备软件以允许物联网设备安全地连接到云中的其他设备和服务。AWS IoT Greengrass 对本地和云通信的设备数据进行身份验证和加密。FreeRTOS 支持 TLS 1.2 以实现安全通信,并支持 PKCS #11 以用于保护存储凭据的加密元素。
3)在每个会话的基础上授予对单个企业资源的访问权限,并在授予访问权限之前使用最小权限评估信任。
AWS物联网服务和API调用基于每个会话授予对资源的访问权限。物联网设备必须通过 AWS IoT Core 进行身份验证并获得授权,然后才能执行操作。每次设备连接到 AWS IoT Core 时,它都会出示其设备证书或自定义授权人以通过身份验证。在这个过程中,物联网策略被强制检查,设备是否被授权访问它所请求的资源,并且该授权仅对当前会话有效。下次设备连接时,它会执行相同的步骤。
4)对资源的访问由动态策略确定,包括客户端身份、应用程序和服务以及请求资产的健康状况,所有这些都可能包括其他行为和环境属性。
零信任的核心原则是在进行风险评估以及可接受行为获得批准之前,不应授予任何设备访问其他设备和应用程序的权限。这一原则完全适用于物联网设备,因为它们本质上具有有限、稳定和可预测的行为特点,并且可以使用它们的行为来衡量设备的健康状况。
一旦确定,每个物联网设备都应在被授予访问网络中其它设备和应用程序的权限之前,根据基线行为进行验证。可以使用AWS IoT Device Shadow服务检测设备的状态,并且可以使用AWS IoT Device Defender检测设备异常。AWS IoT Device Defender使用规则检测和机器学习检测功能来确定设备的正常行为以及与基线的任何潜在偏差。当检测到异常时,可以根据策略以有限的权限隔离设备,或者禁止它连接到AWS IoT Core。
5)任何资产都不是天生可信的。企业监控和衡量所有自有和相关资产的完整性和安全状况。企业应在评估资源请求时评估资产的安全状况。实施零信任的企业应该建立一个持续的诊断和缓解系统来监控、修补和修复设备和应用程序的安全状况。
AWS IoT Device Defender持续审计和监控用户的物联网设备群,其可以采用的缓解措施如下:
将设备放置在具有有限权限的静态对象组中;
撤销权限;
隔离设备;
使用AWS IoT Jobs功能打补丁,并进行无线更新,以保持设备健康和合规;
使用AWS IoT安全隧道功能远程连接到设备进行服务或故障排除。
6)所有资源认证和授权都是动态的,在允许访问之前严格执行。
默认情况下,零信任会拒绝物联网设备之间的访问(包括任何API调用)。使用AWS物联网,通过适当的身份验证和授权授予访问权限,其中考虑了设备的运行状况。零信任需要能够跨IoT、IIoT、IT和云网络,检测和响应威胁。
7)企业尽可能多地收集有关资产、网络基础设施和通信的当前状态信息,用于改善其安全状况。
使用 AWS IoT Device Defender,用户可以使用物联网设备数据对安全状况进行持续改进。例如,用户可以打开AWS IoT Device Defender审计功能来获取物联网设备的安全基线。然后,用户可以添加规则检测或机器学习检测功能来检测连接设备中发现的异常情况,并根据检测到的结果进行改进。
4.2、 Cyxtera Appgate的IOT安全
图12、Appgate IOT安全架构
Appgate 物联网安全架构相对来说比较简单,Appgate采用物联网连接器接入物联网设备。Appgate物联网连接器利用零信任的核心原则来保护非托管设备,限制横向移动并减少组织的攻击面。连接器提供了对设备连接到网络的方式和时间以及它们可以连接哪些网络资源的精细控制。连接器与Appgate SDP完全集成,Appgate SDP是一个统一安全平台,在用户设备、服务器和非托管设备上强制执行一致的访问策略。
Appgate连接器是连接物联网设备和网络之间的网关。Appgate连接器向Appgate控制器发出访问请求。控制器以身份验证质询进行响应,然后根据用户、环境和位置评估访问凭据并应用访问策略。Appgate为每个设备会话创建一个动态的“一段式”网络。一旦建立连接,对资源的所有访问都会从设备通过加密的网络网关传输到服务器。所有访问都通过LogServer记录,确保有一个永久的、可审计的用户访问记录。
4.3、 国外IOT零信任技术分析
当前国外的IOT零信任技术分为多个流派,有以云平台安全接入为核心的云平台企业,有以现有网络设备或安全设备快速改造为核心的传统安全企业,还有以SDP技术统一南北向所有设备安全接入为核心的创新企业,详细的企业和技术对比分析如下表所示。
表7、国外IOT零信任技术对比分析
5.零信任+工业互联网安全
上一节我们分析了零信任技术在物联网安全领域的成功应用,本节聚焦在工业互联网安全领域,如何应用零信任技术解决企业的安全痛点?
5.1、零信任融入工业互联网安全
当前工业互联网安全主要分为三个场景,工业互联网企业内网安全、工业互联网边缘侧安全和工业互联网平台安全。
工业互联网企业内网安全,可以采用“一个中心、三重防御”的理念,应用统一安全管理平台、工控主机卫士、工业防火墙和工业监测审计系统等系统,采用白名单的策略实施安全防护,未来可升级为零信任安全架构,在工业交换机、工业路由器和工业防火墙上引入零信任技术,实现分区之间的微隔离和动态访问控制。
工业互联网边缘侧和工业互联网平台的安全,可采用零信任安全架构,融入工业互联网云-管-边-端的体系结构,解决边缘侧终端安全接入、边缘侧访问控制、隧道加密、平台侧网络隐身、平台侧动态访问控制和持续信任评估等安全痛点。详细的工业互联网安全架构如下图所示。
图13、基于零信任的工业互联网安全架构图
安全资源层:在边缘侧部署零信任边缘网关,通过无线和有线接入物联网设备,通过4G或5G将数据上送到云端,提供物联网设备准入控制、身份认证、TLS通道加密等功能,同时提供边缘防火墙功能,保护边缘侧的物联网终端。边缘网关,基于安全芯片的可信根,提供可信计算环境和本体安全防护。
安全服务层:在云端部署零信任安全网关和零信任控制器,实现网络隐身。零信任安全网关,提供身份校验、通道加密、访问控制和数据转发等功能。零信任控制器,提供身份认证、访问授权、持续评估和动态策略等功能。
安全运营层:在云端部署密码服务平台和安全管控平台。密码服务平台提供基于PKI体系的证书和密钥分发等功能,证书用于零信任边缘网关等设备的TLS双向认证,需要定期更新。安全管控平台提供资产可视化、攻击面分析、威胁检测和安全基线分析等功能,辅助零信任控制器,进行动态访问控制。
5.2、零信任融合工业互联网标识
工业互联网标识解析体系是工业互联网网络架构重要的组成部分,那么零信任安全架构是否可以结合标识解析体系提升工业互联网安全?在回答该问题之前,本节先深入理解下工业互联网标识解析体系。
工业互联网标识编码是指能够唯一识别机器、产品等物理资源以及算法、工序等虚拟资源的身份符号;工业互联网标识解析是指能够根据标识编码查询目标对象网络位置或者相关信息的系统装置,对机器和物品进行唯一性的定位和信息查询,是实现全球供应链系统和企业生产系统的精准对接、产品全生命周期管理和智能化服务的前提和基础。工业互联网标识解析的基本业务流程如下图所示。
图14、工业互联网标识解析的基本业务流程
(引用自工业互联网产业联盟《工业互联网标识解析白皮书》)
工业互联网标识解析,主要解决的是设备可信身份的问题,通过主动标识模组载体,为每一件产品分配一个数字身份证“工业互联网标识”。下表将结合工业互联网标识解析的典型应用场景,对工业互联网标识和零信任技术融合的优点进行探讨。
表8、工业互联网标识和零信任技术的融合分析
通过上述分析,我们认为零信任安全架构融合工业互联网标识解析体系可以进一步保障工业互联网安全。
6.小结
通过本文的探讨,我们认为零信任安全架构可以成功地应用于IT、OT和IOT的安全防护场景。
针对IT安全防护场景,企业数据中心的南北向可应用SDP技术,东西向可应用微隔离技术,企业统一身份认证可应用IAM技术,实现企业远程安全办公、远程安全运维和远程安全研发。
针对OT安全防护场景,考虑到OT的高可靠、高稳定和高性能要求,可以将零信任安全架构先应用于分区边界的微隔离。当前流行的白名单理念是相对静态的安全策略,一旦实施很少变动,逐步融入零信任安全理念,可实现持续信任评估和动态访问控制,提升工控安全技术水平。
针对IOT安全防护场景,可结合物联网云-管-边-端的体系结构,融入零信任安全架构,同时结合工业互联网标识解析技术解决物联网设备可信身份认证的问题,提升物联网边缘侧、通信网络和云平台的安全防护。
作者为威斯尼斯人wns2299cn零信任产品线总经理李飞,本文首发于等级保护测评。