隨著“云大物移”的不斷興起，企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變，傳統(tǒng)的安全邊界逐漸瓦解。而以5G、工業(yè)互聯(lián)網(wǎng)為代表的新基建的不斷推進，更進一步加速了“無邊界”的進化過程。與此同時，零信任安全逐漸進入人們的視野，成為解決新時代網(wǎng)絡(luò)安全的新理念、新架構(gòu)、新解決方案。

本篇主要探討零信任的訪問控制模型。

一、概述

零信任(Zero Trust，ZT)，顧名思義就是“永不信任、持續(xù)驗證”。NIST對零信任的定義是：零信任體系結(jié)構(gòu)(ZTA)提供了一系列的概念、思想和組件關(guān)系，旨在消除在信息系統(tǒng)和服務(wù)中實施精確訪問決策時的不確定性。

核心概念：所有流量都不可信;不以位置作為安全依據(jù)，為所有訪問采取安全措施;采用最小授權(quán)策略和嚴(yán)格訪問控制;所有流量都需要進行可視化和分析檢查。

訪問控制技術(shù)是信息系統(tǒng)安全的核心技術(shù)之一。訪問控制是通過某種途徑顯示準(zhǔn)許或限制主體對客體訪問能力范圍的一種方法，它是針對越權(quán)使用系統(tǒng)資源的防御措施，通過顯示訪問受保護資源，防止非法用戶的入侵或因為合法用戶不慎操作所造成的破壞，從而保證系統(tǒng)資源受控地、合法地使用。

訪問控制模型是從訪問控制技術(shù)的角度出發(fā)，定義了主體、客體及主體對客體的訪問規(guī)劃，從抽象的層次來描述訪問控制約束的概念性框架，建立安全模型以適應(yīng)各種各樣的實現(xiàn)方式和應(yīng)用環(huán)境。建立規(guī)范的訪問控制模型是實現(xiàn)嚴(yán)格訪問控制約束的基礎(chǔ)。

在零信任網(wǎng)絡(luò)架構(gòu)下，要求系統(tǒng)要能夠在網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的情況下，仍然有效的降低和限制異常用戶的訪問行為。那么，應(yīng)該如何設(shè)計零信任架構(gòu)的訪問控制模型呢?

首先我們來看下訪問控制的發(fā)展路線。

二、訪問控制的發(fā)展路線

訪問控制技術(shù)興起于20世紀(jì)70年代，最初是為了解決大型主機上共享數(shù)據(jù)授權(quán)訪問的管理問題。經(jīng)過四十多年的蓬勃發(fā)展，訪問控制技術(shù)應(yīng)用領(lǐng)域逐漸擴大，具有代表性的模型不斷涌現(xiàn)，如早期的自主訪問控制(DAC)和強制訪問控制模型(MAC);中期基于角色的訪問控制(RBAC);“域”概念引入推動了基于任務(wù)的訪問控制模型(TBAC);在云計算、大數(shù)據(jù)等計算模式還促進了新型的基于屬性的訪問控制模型(ABAC)等。

1. 早期的訪問控制模型

(1) 自主訪問控制(DAC，Discretionary Access Control)

DAC模型是通過建立客體關(guān)聯(lián)表，主要是訪問控制列表的形式將主體和客體的關(guān)聯(lián)性在表中組織起來。其自主性主要體現(xiàn)在系統(tǒng)中的主體可以將其擁有的權(quán)限授權(quán)給其他主體而不需要經(jīng)過系統(tǒng)安全員的允許。即用戶有權(quán)對自身所創(chuàng)建的訪問對象(服務(wù)器、目錄、文件、數(shù)據(jù)等)進行訪問，并可將對這些對象的訪問權(quán)授予其他用戶、系統(tǒng)和從授予權(quán)限的用戶、系統(tǒng)收回器訪問權(quán)限。

DAC模型的優(yōu)點是比較靈活，易于實現(xiàn)。其缺點是資源管理比較分散，主體間的關(guān)系不能在系統(tǒng)中明顯的體現(xiàn)出來;最為嚴(yán)重的是主體可以自主地將權(quán)限授予其他主體，這樣可能會造成權(quán)限傳遞失控，易遭受攻擊，從而導(dǎo)致信息的泄漏。另外，如果主體、客體數(shù)量過于龐大，DAC模型將帶來極大的系統(tǒng)開銷，因此很少被應(yīng)用于大型系統(tǒng)中。

(2) 強制訪問控制(MAC，Mandatory Access Control)

MAC是美國政府和軍方源于對信息機密性的要求以及防止木馬攻擊而研發(fā)，其基本思想是依據(jù)主體和客體的安全屬性的級別來決定主體是否擁有對客體的訪問權(quán)限，主要用于多層次安全級別的軍事系統(tǒng)中。

在強制訪問控制機制下，系統(tǒng)內(nèi)的每個用戶或主體被賦予一個安全屬性來表示能夠訪問客體的敏感程度，同樣系統(tǒng)內(nèi)的每個客體也被賦予一個安全屬性，以反映其本身的敏感程度。系統(tǒng)通過比較主體和客體相應(yīng)的安全屬性的級別來決定是否授予一個主體對客體的訪問請求。安全屬性由系統(tǒng)策略管理員分配，具有強制性，用戶或用戶進程不能改變自身或其它主、客體的安全屬性。

MAC模型的優(yōu)點是較高的安全性，可以通過信息的單向流動來防止機密信息的泄漏，以此抵御攻擊;同時，由于用戶不能改變自身或其他客體的屬性，MAC可以防止用戶濫用職權(quán)。其缺點是靈活性較低，權(quán)限不能動態(tài)變化，授權(quán)管理較為困難，對用戶惡意泄漏信息無能為力。

2. 中期的訪問控制模型

(1) 基于角色的訪問控制(RBAC，Role-Based Access Control)

為了解決DAC和MAC將權(quán)限直接分配給主體，造成管理困難的缺陷。在訪問控制模型中引入了“角色”的概念，即RBAC。所謂角色，就是一個或一群用戶在組織內(nèi)可進行的操作的集合。RBAC通過引入角色這一中介，對角色權(quán)限的更改將自動更新?lián)碛性摻巧拿總€用戶的權(quán)限。如果用戶改變了角色，其權(quán)限也隨之改變。

RBAC模型的優(yōu)點是通過引入“角色”的概念，實現(xiàn)了用戶和權(quán)限的邏輯分離，從而大大簡化了授權(quán)管理，也使其接近日常的組織管理規(guī)則，能夠?qū)崿F(xiàn)最小權(quán)限原則，實用性強。其缺點是由于一個用戶可以同時激活多個角色，約束顆粒較大，易造成用戶權(quán)限過大帶來的安全隱患，主客體之間聯(lián)系較弱，可擴展性不強，難以適用于分布式系統(tǒng)中。

(2) 基于對象的訪問控制(OBAC，Object-Based Access Control)

OBAC從信息系統(tǒng)的數(shù)據(jù)差異變化和用戶需求出發(fā)，有效地解決了信息數(shù)據(jù)量大、數(shù)據(jù)種類繁多、數(shù)據(jù)更新變化頻繁的大型管理信息系統(tǒng)的安全管理。OBAC從受控對象的角度出發(fā)，將訪問主體的訪問權(quán)限直接與受控對象相關(guān)聯(lián)，一方面定義對象的訪問控制列表，增、刪、修改訪問控制項易于操作，另一方面，當(dāng)受控對象的屬性發(fā)生變化，或者受控對象發(fā)生繼承和派生行為時，無須更新訪問主體權(quán)限，只需要修改受控對象的相應(yīng)訪問控制項即可，從而減少了訪問主體的權(quán)限管理，降低了授權(quán)數(shù)據(jù)管理的復(fù)雜性。

(3) 基于任務(wù)的訪問控制(TBAC，Task-Based Access Control)

訪問權(quán)限與任務(wù)結(jié)合，每個任務(wù)的執(zhí)行都被看做是主體使用相關(guān)訪問權(quán)限訪問客體的過程。在任務(wù)執(zhí)行過程中，權(quán)限被消耗，當(dāng)權(quán)限用完時，主體就不能再訪問客體了。

系統(tǒng)授予給用戶的訪問權(quán)限，不僅僅與主體、客體有關(guān)，還與主體當(dāng)前執(zhí)行的任務(wù)、任務(wù)的狀態(tài)有關(guān)?？腕w的訪問控制權(quán)限并不靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境的變化而變化。

3. 新型訪問控制模型

(1) 基于屬性的訪問控制(ABAC，Attribute-Based Access Control)

ABAC是一種細(xì)粒度的訪問管理方法，其中，基于已分配給用戶、操作、資源或環(huán)境的已定義規(guī)則，決定批準(zhǔn)或拒絕對特定信息的訪問請求。

針對復(fù)雜信息系統(tǒng)中細(xì)粒度訪問控制和大規(guī)模用戶動態(tài)擴展問題，將實體屬性(組)的概念貫穿于訪問控制策略、模型和實現(xiàn)機制三個層次，通過主體、客體、權(quán)限和環(huán)境屬性的統(tǒng)一建模，描述授權(quán)和訪問控制約束，使其具有足夠的靈活性和可擴展性。

ABAC模型的優(yōu)點是框架式的，可與其他訪問控制模型結(jié)合(如RBAC);缺點是所有要素均需要以屬性形式進行描述，一些關(guān)系用基本的屬性不易描述。

(2) 基于策略的訪問控制(PBAC，Policy-Based Access Control)

PBAC是一種將角色和屬性與邏輯結(jié)合以創(chuàng)建靈活的動態(tài)控制策略的方法。與ABAC一樣，它使用許多屬性來確定訪問權(quán)限。它支持環(huán)境和上下文控制，因此可以設(shè)置策略以在特定時間和特定位置授予對資源的訪問權(quán)，甚至評估身份和資源之間的關(guān)系?？梢钥焖僬{(diào)整政策，并為給定的時間段設(shè)置政策(例如，應(yīng)對違規(guī)或其他緊急情況)?？梢暂p松地添加、刪除或修改用戶組，并通過單擊撤消過時的權(quán)限。PlainID公司的Policy Manager提供了PBAC的支持。

(3) 下一代訪問控制(NGAC，Next Generation Access Control)

下一代訪問控制(NGAC)是對傳統(tǒng)訪問控制的重新發(fā)明，以適應(yīng)現(xiàn)代、分布式、互聯(lián)企業(yè)的需求。NGAC的設(shè)計是可擴展的，支持廣泛的訪問控制策略，同時執(zhí)行不同類型的策略，為不同類型的資源提供訪問控制服務(wù)，并在面對變化時保持可管理。NGAC遵循一種基于屬性的構(gòu)造，其中特征或?qū)傩杂糜诳刂茖Y源的訪問，并描述和管理策略。

該標(biāo)準(zhǔn)規(guī)定了NGAC框架的體系結(jié)構(gòu)、安全模型和接口，以確保其在不同類型的實現(xiàn)環(huán)境中在一系列可伸縮性級別上實現(xiàn)，并獲得必要級別的內(nèi)聚和功能，以在系統(tǒng)級別上正確有效地操作。

三、零信任訪問控制模型的思考

在零信任的訪問控制模型中，要求在沒有傳統(tǒng)邊界的動態(tài)世界中實現(xiàn)一致的策略。我們絕大多數(shù)人都在混合環(huán)境中工作，數(shù)據(jù)從公司服務(wù)器或云端流向辦公室、家里、酒店、車中，以及提供開放WIFI熱點的咖啡館。

另外，隨著用戶設(shè)備類型、數(shù)量的激增，也增加了數(shù)據(jù)暴露的風(fēng)險，比如PC、筆記本電腦、智能手機、平板電腦和其他物聯(lián)網(wǎng)設(shè)備。設(shè)備的多樣性讓創(chuàng)建和保持訪問策略一致性成為了非常困難的事情。

過去，訪問控制的方法是靜態(tài)的，采用DAC、MAC、RBAC就可以很好的解決訪問控制的問題。如今，網(wǎng)絡(luò)訪問必須是動態(tài)的和流動的，要支持基于身份和基于應(yīng)用的動態(tài)的訪問控制。

高級訪問控制策略應(yīng)可動態(tài)調(diào)整，以響應(yīng)不斷進化的風(fēng)險因素，使已被入侵的公司或組織能夠隔離相關(guān)員工和數(shù)據(jù)資源以控制傷害。訪問控制規(guī)則必須依據(jù)風(fēng)險因素而改變，也就是說，公司企業(yè)應(yīng)在現(xiàn)有網(wǎng)絡(luò)及安全配置的基礎(chǔ)上，部署運用人工智能(AI)和機器學(xué)習(xí)的安全分析層。實時識別威脅并自動化調(diào)整訪問控制規(guī)則是零信任訪問控制模型的主要實現(xiàn)目標(biāo)。

因此，零信任訪問控制模型不應(yīng)局限于某種訪問控制模型，而應(yīng)根據(jù)所處理數(shù)據(jù)的類型及敏感程度，確定采用那種訪問控制模型，無論是舊有的自主訪問控制(DAC)和強制訪問控制(MAC)、現(xiàn)今最常用的基于角色的控制模型(RBAC)、最新的基于屬性的訪問控制模型(ABAC)，單獨都無法滿足零信任安全的所有場景，只有協(xié)同使用多種技術(shù)才可以達成所需訪問控制的等級和需求。