撰稿 | 狗哥編輯 | 圖圖
隨著網際網路、移動網際網路、5G、IoT一波波技術浪潮的來襲,傳統的企業物理安全邊界正在失效,資料因流動、共享的需要,讓企業網路安全形勢面臨著越來越多的挑戰。
與此同時,等保2.0的推出、《資訊保安等級保護條例》正式更名為《網路安全等級保護條例》,也標誌著國家把企業網路安全上升到國家安全層面,從巨集觀角度對企業網路安全提出了更高的要求。
總體上,等保2.0技術要求框架發生了三個方面的顯著變化:
第一個變化是安全通用要求的結構重組
整體結構從物理安全、網路安全、主機安全、應用安全、資料安全變成安全物理環境、安全通訊網路、安全區域邊界、安全計算環境和安全管理中心。
“物理安全”重新命名為“安全物理環境”;“網路安全”拆分為“安全通訊網路”和“安全區域邊界”;“主機安全”、“應用安全”、“資料安全及備份恢復”合併為“安全計算環境”;同時,新增“安全管理中心”要求。
第二個變化是安全擴充套件要求
在安全通用要求基礎上新增了對雲端計算、移動網際網路、物聯網、工業控制系統安全的擴充套件要求,同時在附錄內也對大資料應用場景的安全要求作出了明確專門的說明。
第三個變化是新引入的技術要求
新增對多個環節的“可信驗證”的明確要求,並且明確引入對“個人資訊保護“的要求。
從整體上看,等保2.0對企業形成體系化的網路空間方法論,系統化的主動防禦思路給出了指引、提出了更高要求。
本文嘗試從等保2.0的技術要求出發,從資料產生、儲存與使用、資料流轉與共享、資料全生命週期集中管控等三個方面,探討企業如何構建符合等保要求的資料安全技術體系。
1. 資料產生、儲存與使用
涉及資料產生、儲存與使用的技術要求在等保1.0裡,是分佈在“主機安全”、“應用安全”、“資料安全及備份恢復”三個部分,而在2.0中統一合併為“安全計算環境”要求,主要涉及面向身份的訪問控制、可信驗證和資料內容保護(保密性、完整性、可用性)三部分。
面向身份的訪問控制
等保2.0明確提出“訪問控制的粒度應達到主體為使用者級或程序級,客體為檔案、資料庫表級;”這對傳統的資料訪問控制模式提出了進階式的高要求,細粒度的精細化訪問控制包括以下幾個特點:身份認證精確到人(使用者個體)、每個應用程式(程序)啟動後能夠動態地與主體身份相關聯、主體的身份能夠在主體觸發的動作鏈條中代理傳遞。
如下圖所示,當一個使用者(c1)通過Web平臺提交資料查詢任務,觸發大資料平臺啟動若干計算程序去訪問檔案系統或資料倉庫,c1身份在每個環節被精準識別並做相應鑑權操作;更進一步,從c1登陸Web平臺觸發作業job2提交,到計算任務task1和task2啟動,均得到了c1的身份代理傳遞,當計算任務訪問資料(倉)庫時,c1的身份可以被精確識別,並進行鑑權。
當然上述示例也適用於主機登陸、任務託管、雲端計算、大資料等多種場景。
也就是說,所有與資料相關的操作都需要進行細粒度的訪問控制,而操作鏈條上可以回溯到觸發操作的主體身份,參與操作的所有應用程式(程序)都能夠被識別並與主體身份關聯。這正是與近些年被安全行業廣泛認可、被譽為企業安全未來方向的“零信任安全框架”理念完全契合。
可信驗證
可信驗證是由中國沈昌祥院士主導的可信計算3.0課題提出,曾被列入中國的十二五計劃,其核心思想是在計算機體系結構上構建出獨立的可信計算環境,確保環境內部的系統、應用程式、配置引數等都經過可信驗證、符合預期。
要做到如下五個可信,從而達到主動免疫的效果,包括體系結構可信、操作行為可信、資料儲存可信、策略管理可信、資源配置可信。
資料內容保護
資料完整性、保密性主要藉助高效、高強度的密碼技術保障,涉及到了密碼技術在企業大規模分散式系統中的廣泛應用,以及其中的金鑰管控能力。
在量子計算到來之前,當前的密碼技術之於當今行業場景已經相當成熟。但要滿足大規模、高效、低開銷的要求,特別是雲端計算與大資料的高度虛擬化分散式場景下,對密碼產品的研發需要相當高的工程能力和演算法能力。
等保2.0對剩餘資訊的鑑別與清除也給出了專門的說明,這對企業基礎設施提出了更高要求,需要對資料計算過程有更好的識別能力,對資料生命週期有更高的管理能力。基礎設施本身安全屬性的重要性被提升到了空前的高度。
同時,對個人資訊的識別與保護能力也是首次被引入到等級保護條例。眾所周知隱私保護近年來受到了國際社會、國內行業的廣泛重視。對應的個人資訊識別、脫敏泛化、隱私計算等安全技術都在高速的發展中。目前得到業內初步認可的有差分隱私、多方安全計算、同態加密等幾項技術。這些技術已經在一些特定的領域發揮重要的作用。
2. 資料流轉與共享
資料流轉與共享主要涉及等保2.0中“安全通訊網路”與“安全區域邊界”兩部分技術要求。資料通訊傳輸過程中最重要的是通訊管道建立過程中的雙向認證以及資料通訊過程中的保密性保障。
安全區域邊界部分在等保2.0中明確指出,需要能夠在應用層針對各類應用通訊協議與內容施加訪問控制策略,並且能夠保障策略的最小化。特別值得關注的是,在雲端計算與大資料擴充套件要求中提到,區域邊界需要跟隨業務的變化而動態收縮擴充套件。那麼目前在應用層基於身份的邊界控制技術則成為了最佳的選擇,包括軟體定義邊界(SDP)與微隔離技術。
軟體定義邊界(SDP)
軟體定義的邊界(SDP)是由雲安全聯盟(CSA)開發的一種安全框架,它根據身份控制對資源的訪問。該框架基於美國國防部的“need to know”模型——每個終端在連線伺服器前必須進行驗證,確保每臺裝置都是被允許接入的。其核心思想是通過SDP架構隱藏核心網路資產與設施,使之不直接暴露在網際網路下,使得網路資產與設施免受外來安全威脅。
微隔離
微隔離包括了動態組網與動態隔離兩項能力,能夠以虛擬機器、容器等虛擬化單位為節點動態地根據業務需要組成區域性的計算網格,讓業務資料只在該網格之間流動而與其他網路相互隔離。
微隔離有效地阻止了企業內部東西流量的穿越,保障南北流量的正常,解決了雲端計算、大資料基礎設施上高關聯、高動態場景下的網路邊界安全問題。基於身份與業務資訊的細粒度網路控制能力是微隔離技術的核心精髓。
3. 資料全生命週期集中管控
等保2.0中新引入了“安全管理中心”部分的技術要求,要求企業建設安全運營中心,通過大資料、AI和資料視覺化技術對企業安全集中統一施加管控。基於AI的資料驅動安全技術能夠為資料安全縱深防禦體系輔以自適應能力,能夠跟隨業務的發展而動態調整安全系統本身。
綜上,在等保2.0的新要求下,企業資料安全還需要重點加強或新建的安全技術方向包括以下四個:細粒度的訪問控制;可信計算;基於身份的動態邊界防護能力;基於AI的自適應安全能力。
參考解決方案
數篷科技的DataCloak®零信任自適應安全計算平臺(www.datacloak.cn)作為業內先進的零信任安全解決方案,可以幫助企業在以上幾個新技術方向的實現和落地。它具有輕量可信計算環境、軟體定義網路邊界和AI驅動自適應安全三大核心技術,核心思想是以資料為中心,防禦機制跟隨資料的流動而建,從而實現為企業資料提供精細化、貼身的防護措施。