零信任—超越物联网传输层安全
为什么人们使用PGP(Pretty Good Privacy)加密系统来发送加密电子邮件和加密敏感文件,或者使用WhatsApp或Signal等安全消息应用?
毕竟,传输层安全性(TLS,Transport Layer Security)提供了从客户端到邮件、企业应用或任何其他服务器的安全、经过身份验证的连接。此外,许多人在连接到互联网时,通常使用基于互联网协议安全(IPsec)的虚拟专用网络(VPN)。在这两种情况下,连接都是经过身份验证的客户端与服务器之间的连接,而不一定是真正的端点之间的连接。这在边缘设备和终止TLS或VPN服务器之间的连接中提供完整性和可选的保密性。这难道还不够好吗?
答案是,确实还不足够好。
正如世界各地许多人权维护者和任何关心其通信的真实性、完整性和保密性的个人所了解到的那样。在当今数字化的商业世界中,数据是一种具有巨大价值和重要性的商品——对于政府、军队、公用事业、金融机构、企业、每一个消费者,以及越来越多的网络犯罪分子。
那么,为什么TLS(该协议于1999年首次推出,作为安全套接字层(SSL)v3的升级版)不再足以提供必要的持久数据安全保护呢?
答案是,当电子邮件到达电子邮件服务器后,或者从带有VPN客户端的设备传输的消息经过VPN服务器后,其就不再受到TLS或VPN的保护。它们仅保护数据流所经过的“管道”,而不保护数据的真实性、完整性和保密性。例如,如果电子邮件或消息数据最终出现在配置错误的云数据存储库中,或者存在尚未修补的已知漏洞,那么就很容易受到潜在攻击者的攻击。
物联网应用中的网络安全漏洞
VPN的发明是为了将企业聚集在一起,并允许远程用户安全地登录到企业网络。然而,VPN和TLS技术用于保护网络层,这并不真正适用于电子商务等领域。事实证明它们已经非常成熟,可以很好地满足电子商务的需求,Amazon使用案例和其他互联网应用已被广泛应用于物联网应用。这就提出了一个问题,考虑到基于网络的安全性固有的局限性,TLS和VPN真的能为物联网提供足够好的安全性吗?
现有的TLS协议存在固有的弱点,存在一些明显的缺陷和漏洞。有些来自环境,例如,TLS具有巨大的攻击面,并且由于其在电子商务中的广泛使用,因此寻求对其进行破坏有相当大的金钱动机。网络安全威胁不断发展和出现,这就是SSL成为TLS的原因,而TLS现在正在进行第三次修订。这是一场持续不断的猫捉老鼠的游戏。因此,TLS规范受到了传统组件和与旧的、不太安全的协议协商的要求的阻碍。有许多不同的解释,但没有一种能够充分解决物联网的基本要求,这些要求是:
- 应用的明确识别和验证,例如传感器读取命令并向执行器发送命令。每个都有不同的威胁模型和攻击面,因此需要明确地处理,无论是在同一台机器中还是在分布式机器中。
- 持续保护数据,不仅是传输中的数据,还包括静态数据,以便穿越许多不同的网络环境、网关、集线器和服务器。MITM攻击在物联网中普遍存在,因此一致的保护是必须的。
- 明确证明机器向机器发送消息的可信度,以防止零点击恶意软件,例如Pegasus(在智能手机中)和Mozi僵尸网络(在M2M通信中)。
同样,当TLS在物联网中时,管道从端点到云提供商的负载均衡器,保护就此结束。或者,更糟糕的是,只提供从Zigbee或高级计量基础设施(AMI)智能电表端点到网关的保护。在某些情况下,TLS已被拼凑到传统的监控和数据采集(SCADA)协议中,如ModBus,并且其并不能完全适用于这种情况。
所有这些环境有什么共同之处?它们都经常且容易被黑客攻击,容易受到僵尸网络掠夺性蠕虫和中间人(MITM)攻击。
尽管其局限性现在经常暴露出来,但在过去的二十多年里,TLS一直是数据安全的历史默认选择,这是有原因的。与IPSec协议相比,其从根本上更安全、更快、更简单,因此更不容易受到攻击,并且在动态网络条件下更灵活。
新范式、新要求
当将TLS与物联网的安全需求进行比较时,很明显TLS是一个整体安全模型。其可以通过智能手机和计算机等高性能端点在网络上有效运行。然而,其无法满足物联网所需的精确度。此外,需要新的插件来增强其功能。
我们生活在一个几乎所有东西都是数字化连接的时代,嵌入式物联网设备扩展到无数应用领域,包括自动驾驶汽车、智能电表、智能家居、能源管理等等。TLS对于任务关键型物联网应用来说是不够的。数据真实性和完整性是可信数据的基石,必须从头到尾得到保证。要做到这一点,数据必须在传输过程中受到保护(与TLS一样),而且在数据穿越各种负载均衡器、网关和集线器时,也必须在静态时受到保护。最终,为了确保系统安全,数据只能在受保护的环境中处理。有了这个基石,我们可以更进一步,实现建立在这个真实性和完整性基础上的授权框架。
我们现在还处于一个新时代,关键基础设施攻击的规模和贪婪程度可能会损害企业的声誉,并导致损失数亿美元的集体诉讼。
关键基础设施的一个最新例子是2021年5月的Colonial Pipeline网络攻击,黑客通过窃取一个密码中断了美国东南部的燃料供应,导致Colonial Pipeline支付了近500万美元才能重新获得访问权限。另一个例子是据报道对美国几个关键基础设施组织进行间谍活动,包括交通枢纽和电信,其细节于今年5月公布。
这就是维护关键基础设施的重要性,拜登-哈里斯政府于2023年3月宣布了一项国家网络安全战略,指出“我们面临着复杂的威胁环境,国家和非国家行为者正在制定和执行新的活动来威胁我们的利益”。与此同时,下一代技术正在加速成熟,为创新创造新途径,同时增加数字相互依赖性。这一战略为解决这些威胁和确保我们数字化未来的承诺指明了一条道路。其实施将保护我们在重建基础设施、发展清洁能源行业以及重新支持技术和制造基地方面的投资。”这是在2022年9月宣布的欧盟《网络弹性法案》的支持下做出的。
在这个新环境中,我们有新的威胁模型、新的攻击面,这需要新的方法。正如企业网络需要VPN,电子商务需要TLS一样,现在的重点是确保管道、物联网网络中的实际连接以及数据在传输过程中的任何地方的安全技术。
零信任和高级数据保护协议
零信任是一种安全框架,要求所有连接,无论是企业内部还是外部,在获得数据和应用访问权限之前都经过身份验证、授权和持续验证。其假设不存在“传统”网络边缘,并且网络可以位于任何地方——本地、云端、远程位置。每个连接和端点都被视为威胁,因此为零信任,并确保默认情况下无法访问数据和资源。
考虑到零信任,不断涌现的技术提供了满足零信任网络架构需求的数据保护协议。这些新的应用层协议是对VPN的重大改进,VPN仅为数据所经过的网络链路提供加密隧道。一旦离开VPN连接,数据就不再受到保护,并受到新环境中实施的任何安全功能的支配。现在,无论数据位于何种网络或设备,都可以得到一致的保护。现在可以持久地端到端地、静态地保护数据,而不是仅仅保护管道。
这种新的应用层协议适用于零信任网络架构,既可通过不安全协议产品协议和网络堆栈实现安全隧道,如带有Modbus或Zigbee的SCADA,也可桥接OT和IT环境。数据始终在防篡改、安全的执行环境中受到保护和处理,确保关键任务应用的数据真实性和完整性。
这些新协议还使网络堆栈能够升级为纯粹的应用驱动的安全模型。对于初学者而言,身份验证和授权的准确性都是基于密钥的。此外,不再对所有应用进行相同的处理,因为传感器数据操作的影响小于执行器操作,并且也需要相互隔离。此外,应用根据其目的进行了明确的身份验证,且不能再进行通用的身份验证,并且其操作是明确定义的,而不是相反,这使得其很难被招募到DDoS僵尸网络中
总之,我们现在正处于一个网络战争的新时代,随着关键基础设施开始成为经济恐怖主义的焦点,不良行为者和风险不断上升。虽然传统的安全方法仍然能达到其目的,但现在必须拥有基于零信任的高级数据保护应用层,以保护数据在其传输过程中。时间就是生命。
参与评论 (0)