说说零信任中的信任–信域产品笔记系列 2
星期五, 十二月 25, 2020
近几年,“零信任”成为了安全圈里的热词,各种安全会议、安全论坛上总有业内专家分享自己的零信任心得,安全厂商们也陆陆续续把自己的产品或方案上打上了“零信任”的标签,还有些厂商按照业内的一些标准、规范、能力表在重新打造新的“零信任产品”,热闹非凡。
零信任之所以这么被关注,主要是因为零信任主张在安全的底层逻辑上做升级,从而解决了很多原来很棘手的安全问题。这种底层逻辑的升级也间接地给安全厂商带来了非常大的市场机会。
零信任主张将企业网络里基于帐号、IP地址或物理位置的静态信任边界,升级为基于可信身份和可信行为的动态信任边界。信任问题是网络安全的核心问题,零信任的安全主张让网络中信任的逻辑更加接近人类社会中。
自始至终,人是安全的因,也是安全的果,解决了人的问题就解决了安全的问题。零信任带来的绝对不是一个新技术、新产品或新方案,而是通过升级网络安全的底层逻辑,让很多安全技术、产品和方案在新环境下重生,让安全治理能更加接近人性本身。零信任就像是打开了一扇窗,窗外是一个全新世界,原来的那些安全产品、安全方案,在这个全新世界里以一种更接近人性的方式为业务护航。
但让人费解的是,大家似乎更愿意谈论SDP、微隔离、IAM、MFA、SSO、SPA这些技术和方案,很少有人谈论信任在新的网络世界里该如何重新定义。在我看来,这些方案和技术只是实现零信任安全原则的一些可选项而已,不是有了这些技术或功能就“零信任”了,也不是缺了某个技术或功能就不“零信任”。就像道和术的关系,有道无术,术尚可求,有术无道,止于术。
信域安全云网,虽然不是单纯的“零信任安全产品”,但确实也引入了零信任主张的安全原则。我们的产品经理们也曾多次讨论过对信任的理解,大家形成了共识,并把这些共识注入到了产品安全逻辑的各个环节当中。今天我就来跟大家分享下我们对信任的一些认识。
人是社会性动物,我们每天都在与他人交流沟通,协同合作,人与人之间的关系构成了人类社会的基础。信任是社会关系赖以生存和维系的根本,是社会中最重要的综合力量之一,没有人与人之间享有的普遍的信任,人类社会将瞬间瓦解。
计算机网络是人类社会的延伸,人是驱动计算机网络的原始力量,网络环境中包含多种相互关联的实体,如:用户、终端、进程、服务、数据等,人们通过这些网络实体相互联系、互相作用,让人与人之间的交流与协作通过计算机网络来完成。
虽然计算机网络中的信任关系不能完全等同于人类社会中的信任关系,但是随着网络应用服务越来越智能化,网络应用服务越来越体现出人的意志和力量。正因为如此,要构建可信的网络,必须先了解人类社会中信任的本质。
产品Tips:网络是人类社会的延伸,构建可信网络需要将通过人性理解信任,并融入到产品的功能和研判逻辑里。
信任是一个主观性较强的概念,至今没有一个准确统一的定义。波兰社会学家Piotr Sztompka认为“信任是相信他人未来可能行动的赌博”;郑也夫在《信任论》里说“信任是一种态度,相信某人的行为或周围的秩序符合自己的愿望”;两千年前的《墨子经》里也曾提到“信,言合于意也”。
虽说提法各不相同,但也能看出他们对信任的理解存在一些共同点。信任是对他人行为或环境秩序的心理预期,因为有了预期才能让人敢于继续合作。信任的基本要素是信与任,即相信与托付,因为相信,所以敢托付。
在网络世界里,相信指的是预期网络中的行为主体会按照约定的行为方式(如:员工手册里明示的安全规范等)访问各种业务资源,而不会对业务系统、数据、网络等进行任何破坏、滥用和误用。而托付指的是给予这些遵守约定的行为主体相应的访问和操作权限,使之能完成相应的业务工作。
产品原则:在信域安全云网里,授权的决策必须来源于对访问主体可信判定的结论。
信任是人们为了弥补因自己认知不足,而对未知领域感到恐惧的一种妥协应对。在日常生活中,我们因为不了解对方的所有信息,不确定对方将来的行为是否会按照我们预期的方式发展,所以有了担忧。而这些担忧需要靠信任来弥补,因为有了信任,我们就可以在没有了解对方所有信息前,在心里先有预设一个确定性,人与人的协作也就可以继续下去,这也是为什么Piotr Sztompka认为信任是一种赌博。正因为如此,信任永远不会消失,它是人类社会中人与人关系的基石。
我们永远不可能了解对方的所有信息,但可以尽可能多的了解对方的信息,这些信息了解得越多,越能让我们确定对方是否可信。让信任不是一场赌博,而是对对方具有足够确定性依据的一种态度。
产品原则:在信域安全云网里,需要尽可能多地收集信息,用于研判访问主体是否可信。但也不能完全依赖收集的信息,再多的信息也只是让确定性更强一些,永远不可能靠这些信息完全信任对方。
合作与背叛是人类社会这一复杂系统中的一对矛盾行为,亘古至今,一直存在。俗话说“人心隔肚皮”,我们永远不可能完全了解对方的所有信息,再加之信任又是个非常主观的事,所以我们往往都是凭感觉给了对方信任。而对方真的就能按照我们的预期行为吗?我们有太多预期落空的经验了,信任既然是个预期,就一定有符合预期和违背预期的两种结果,信任也就一定有落空的风险。
谈到风险,做信息安全的人立马会想到四种对风险的处理方式:转移风险、规避风险、缓解风险和接受风险。由于信域安全云网面对的都是不可转移的风险,因此转移风险不属于我们的考虑范畴。
产品原则:信域安全云网的安全能力应该覆盖风险规避、缓解和接受的三种处理方式,例如:通过将所有内部业务资源都隐藏在局域网里,禁止非认证用户访问来规避来自互联网的攻击风险;通过细粒度授权(如限制用户指令范围),来缓解员工误操作带来的风险;通过对所有行为进行完整记录来为接受的风险提供应急手段,当存在安全事件时还能及时溯源分析防止进一步损失扩大。
我们每个人在决定是否信任对方时,都会受到很多主观因素的影响,比如:人的性格情感、喜爱偏好、知识背景、当时环境等等。每个人对信任的理解都不一样,判定标准也都不一样:有的人默认不给予他人信任或只给予低级的信任,通过在交往过程设置信任评价点,不断考察对方行为,逐渐地给对方加上信任分,一步步建立信任关系;有的人对他人会给予安全的默认信任,通过交往过程给对方加分或减分,逐渐建立一个合适的信任关系。有人会因为对方的一次背叛行为而彻底不信任对方,但也有人在对方出现一次背叛行为后还会谨慎地继续信任对方,信任度会小一些,会增加一些自我保护。
在网络世界里,信任同样很难精确计算。每个企业对业务网络的访问主体的信任定义是不一样的,同样对信任度的评价方式也会不一样。在网络世界里没有通用的信任量化标准。
产品原则:信域安全云网应该尽量多的提供能用来评价网络访问主体是否可信的依据,而不是自作主张的直接给出信任评估结论。可以有默认的信任评价算法,但客户必须可以参与定义,让信任评价算法接近企业对信任的理解。
信任仅是一个相对概念,世上没有绝对的信任,信任会随着时间和双方交互的过程不断发生变化。首次接触,我们都会对陌生人保持警惕,但多次来往后,特别是有了一些成功的合作后,信任感会越来越强。反之,原本信任的人,因为在双方合作过程中没有遵守契约,出现了背叛,信任感就会减少。
不仅如此,信任还天然存在时衰性,小时候的好伙伴,几十年杳无音信,再见面,心中的信任也会远不如当年。
网络中的信任分为身份信任和行为信任。身份信任主要关注网络中实体身份的真实性,以及是否授权实体进行访问的问题,这种信任关系属于静态的信任关系。验明身份只是证明了访问主体是我们期望的那个人,这个人应该赋予什么权限可以通过预设来给出,这个预设可以基于这个人的当前所在位置、使用的终端、岗位、角色、业务需求等等来设置。这就是常见的RBAC(Role Based Access Control,基于角色的访问控制),一种经常使用的静态授权方法。但这种方法没有考虑信任的动态特性,在复杂的网络环境中容易出现过度授权的问题。行为信任则是通过实体间以往的历史行为来确定彼此间的信任关系,随着交互次数的逐渐增多,这种信任动态的发生变化,因此行为信任关系是一种动态的信任关系。
产品原则:信域安全云网不仅仅需要根据身份属性确认访问主体是符合预期的,还要考虑信任的动态特性。要对业务访问过程进行完整记录,并根据一个行为可信评判标准去衡量访问主体是否持续可信,根据是否持续可信动态地调整授权。
在人与人的交往中,信任是逐步建立起来的,这个建立信任的过程往往很长,它和较多因素,如交互时间长短、人际关系亲疏程度、交互的内容、交互的时间、交互的频度等相关,双方需要经过很多次的预期和事实验证来慢慢加深信任。但信任的破坏往往是一瞬间,而且会因为出现了猜忌,信任的崩塌会被放大、加速,直至彻底不信任,其衰减速度远快于信任的积累速度。信任一旦崩塌过,重建信任的过程比第一次建立信任要困难很多,过去不信任的原因会一直妨碍新的信任重新建立。
在网络世界里,情况稍有不同。在人们生活中,人与人双方是对等关系,信任需要慢慢建立,但在网络世界里,安全管理员预设了默认的最大信任,不会因为访问主体在过去很多次的预期和事实都相符就提高访问主体的信任度,同样也不会因为在过去没有任何行为历史而完全不信任访问主体。我们都知道,大多数的网络诈骗都是诈骗者通过各种花言巧语逐渐获得被骗者的信任,然后才骗得钱财的。如果在网络世界里我们也可以通过来往过程积累信任,则很容易被攻击者“训练”出合适的信任度,获得高权限对业务进行破坏。
产品原则:信域安全云网中,由管理员给每个访问主体授予基本的信任和授权,一旦验明访问主体符合预期,且不存在仍然标记有效的历史恶意行为,则赋予访问主体相应的信任和授权。但这并不代表访问主体一直可信,信域需要持续监测访问主体的行为,一旦出现不可信行为则相应减少信任。信任的减少过程是非线性的,并非根据行为特点进行累计,而是根据行为背后的意图直接给出访问主体的信任度。信任度只根据行为研判结果被动减少,而被动不增加。信任度一旦减少,则必须由管理员线下判断后才可手动恢复。
在社会化的环境里,人与人之间每天都在互相交流、协作,如果所有的信任都是从零开始,社会运转的成本会非常高。事实上,在日常生活里,我们往往会根据不同场景设定一个信任的初始值。比如:小丹第一天入职,正在给团队成员介绍自己的过往经历,这时一个陌生同事看见小丹讲得口干舌燥,递过来一瓶未打开的矿泉水,小丹会毫不犹豫地打开喝掉。但是如果小丹是在公交车上,坐在旁边一个陌生人递过来一瓶未打开的矿泉水,小丹大概率会婉拒。这两个场景唯一的差别在于:前者是在一个可信的组织里,小丹信任这个组织,因此也就信任这个有组织信任背书的陌生人;而后者没有这样的信任背书,所以小丹不敢喝陌生人递过来的水。这里还有个细节,小丹虽然不敢和公交车上陌生人递过来的水,但是为什么却敢和陌生人共坐一辆公交车呢?这是因为有国家法律制度的背书,这种背书足够让小丹敢于陌生人共乘一辆公交车,但还达不到随便喝陌生人递过来的水。这说明人与人的初始信任可以通过第三方推荐获得的,这个第三方可以是人,也可以是一种制度或组织。
在网络环境中,信任的初始化也一样存在,网络里的信任初始化分为三种方式:
网络实体通过历史交互经历建立的一种信任关系,通过直接交往可以逐渐积累信任度,就像在社会中人与人的信任度建立过程一样。这种信任关系具有较高的可信性,但只适合网络中对等双方的信任建立,并且双方是有自主能力的人(比如QQ好友),不适合人与业务之间交互过程中对人的信任建立。
第三方推荐是指由网络交互的第三方根据访问主体的各种属性和历史行为来给出的信任建议。在封闭的网络环境中,如企业的私有网络中,这种推荐往往是由安全管理员或者业务管理直接给出。但在开放网络环境中,如电商交易平台上、求职平台上往往会根据个人身份证、商家营业执照等来给出推荐信任。
历史行为参考跟历史交互不一样,这里指的是网络之间过去没有过任何交互,也不存在第三方推荐,我们可以通过对方在网络上的历史行为判断是否可信。比如:在电商平台上,买家可以通过卖家的商品点评来判断卖家是否可信。当然这种方式可靠性最低,通常是在没有其他信息渠道的时候才作为参考。
产品原则:在信域安全云网里,所有访问主体的初始化信任都来自于管理员的预先设定,访问主体的历史行为作为初始化信任的动态修正,在访问主体每次登陆时根据这两个值进行权限设定。
在日常生活中,同样两个人,在不同的场合下信任会表现得不一样。比如:小李是个厨子,小王是个程序员,大家伙在一起聚会,我们一定会选择让小李去给大家做饭,而当家里的电脑出问题了,一定是第一时间打电话给小王。小李和小王我们都信任,只是每个人专长不一样,在不同领域我们的信任也会不一样。
再比如:小丹刚加入职一个公司第三天,中午邻座的小哥正在赶工,让小丹帮忙去楼下买份午餐,小丹会欣然接受。但是如果邻座的小哥说缺钱买房,找小丹借10万块钱,小丹就算银行有钱,估计也会婉拒。信还是不信,取决于任的内容是什么,或者说,这个信任的风险能不能承受。小丹信任邻座的小哥,帮带个午餐没什么大不了,但10万块钱的风险,仅仅三天建立起来的信任还远远不够。
网络中访问主体的信任也一样与环境和上下文相关,但相关的维度会有些不同。例如:当终端用户使用临时终端登陆时,用户的身份可信度不如使用与用户帐号绑定的办公终端,所以可以对终端用户进行多因数认证,其确保临时终端确实是用户本人,也可以减少授权范围,避免临时终端访问核心业务系统。
产品原则:在信域安全云网中,因为访问主体的当前环境不同,或访问客体的重要度不同,认证的严格程度应该不同,授权的范围应该不同,启用的安全检测应该不同。
安全说到底就是个成本问题,信任也是一样。为了避免风险,我们需要采取相应的安全措施,但实施这些安全措施的成本如果等于,甚至大于风险损失的价值,那这种安全措施就没有意义了。例如:某公司为了招聘一个普通员工,不惜花重金去聘请私人侦探去做背景调查就毫无意义;但是如果公司潜伏了偷取公司核心机密的内鬼,那就有必要聘请私人侦探了。
在网络安全里,防御措施成本永远需要参考风险事故可能造成的损失价值。防御过于严格,不但需要消耗更多的人力、物力,还会影响业务的顺畅;防御过于简单,又会让风险损失成为悬在安全管理员头顶的一把利剑。
产品原则:信域安全云网应该具备不同尺度的防御能力,客户可以根据自己的业务特点,对不同的业务或不同的人群采用不同的防御手段,让客户自己可以调节安全、易用性、成本之间的平衡。
后记:
企业的业务上云了,企业的网络也在开始云化,信域是用了一种简单的方式,把企业分布在云、各地数据中心的业务,和可能在全球任意位置的终端和人,接入到了一个可信的云化网络中,这也是信域安全云网名字的来由。
我们为企业提供遵循了零信任原则的可信云化网络,但在网络和安全能力上又不仅限于零信任主张的那些安全原则。在信域安全云网里,研判访问主体是否值得信任是产品的核心能力之一,也是我们的产品经理们需要充分理解,彻底想透的关键点。这就是为什么我们会掰开了揉碎了去分析信任到底是什么,在网络世界里应该如何落地的原因。
今天分享的是我们讨论产品原则时的一些关键点,篇幅有限,像信任传递、信任管理、信任计算场景,咱们留着将来再说。
绎云科技是一家致力于让网络连接更安全、业务协同更高效的创新公司。绎云为客户提供创新型安全网络服务以及产品,可在不影响业务的前提下降低企业网络复杂度,优化安全运营效率,协助客户在数字化转型过程中实现安全架构的稳步升级,打造自适应的安全运营闭环。 陈坤鹏,绎云CEO&创始人,资深网络安全专家,近20年网络安全行业从业经验,曾在国内多家上市安全企业担任安全产品总监等重要职位,在安全产品设计、研发、解决方案设计等方面具有丰富的实战经验。