超级会员免费看
端点设备管理与代理架构解析
1. 端点设备管理
1.1 数据验证与清除
代理能够验证 SKSU 签名和数据结构,但无法对本地信息进行全面验证,因为代理本身可能被攻破。所以,代理会将 SKSU 证明报告发送到中央服务,以便根据已知的良好值进行进一步验证。中央服务随后会指示代理是正常继续运行,还是采取纠正措施,如清除设备中的数据、密钥和应用程序。
如果设备被盗且被攻破,代理功能也会受到影响,因为它只是设备上的另一个应用程序。不过,这通常不会构成严重的安全威胁,因为 SKSU 及其私钥应该仍然是安全的,但这意味着永远无法确认擦除设备的请求。目标不是对设备进行完全的远程控制,而是在允许企业注册设备上的用户连接到企业服务之前,执行基本的合规规则。企业端点服务撤销对没有有效证明报告的设备的访问权限,可降低设备成为新的漏洞点的风险。
1.2 数据请求处理
除了标准的 SKSU 证明外,还可以向代理查询设备本身或其他本地服务提供的其他本地数据。例如,可以请求全球定位系统 (GPS) 位置信息或服务提供商信息。代理只是简单地转发所提供的信息,并将其重新打包,以供中央服务使用。由于代理可能是设备中被攻破的部分,不能信任它会转发正确的信息。原始数据提供者会使用数字签名等额外的安全措施来保证数据的完整性。禁用签名或其他完整性或安全功能被视为恶意行为,可能会导致端点被禁用。
对于企业内的固定资产(如桌面计算机)的代理,会报告设备的位置信息,并与注册位置进行比较。通常,注册位置包括静态配置到机器中的地址或房间号。由于这些设备在企业的控制范围内,不需要动态位置数据,必要时个人可以验证位置。
对于移动资产的代理,会根据最佳可用信息(如 Wi-Fi 接入点名称、移动信号塔标识符、GPS 坐标、高度计等)提供位置信息。由于这些设备经常移动并从网络外部进行连接,动态位置信息对于访问控制或其他决策非常重要。由于本地设备可能被攻破,不能信任它提供的此类信息。外部来源(如 Wi-Fi 连接信息、GPS 数据或无线信号塔连接信息)可能提供有价值的位置数据,但通常不提供诸如可信签名之类的安全保证。由于设备的移动性,某些类型信息的可用性不确定,因此会根据当前环境和可用服务尽力提供信息。端点管理器会使用企业提供的逻辑来确定位置测量的准确性,并可能在动态文件中记录“未知”值。
1.3 端点设备管理总结
端点设备的管理对于安全和效率都是必需的。在高保证环境中,必须对设备和用户进行严格控制。
2. 端点代理架构
2.1 代理架构概述
企业及其信息的防御重点已从中央网络转移到边缘设备。网络监控提供了一种集中式方法,可以拦截、记录所有通信,分析其恶意意图,并在需要时进行修改。然而,当前的威胁和操作实践使这一过程变得复杂。
广泛使用的加密 HTTPS 流量要求网络扫描器充当中央解密点。这可以通过将服务器私钥与网络设备共享来实现,但这种方法会破坏企业内的每个安全连接,违反端到端安全原则。此外,这些网络设备成为攻击的中心点,使攻击者能够访问所有流量,并冒充企业内的任何实体。这种基于网络的方法存在严重的安全缺陷。
将防御转移到网络边缘具有多个优势。无需破坏端到端安全连接,不存在可以破坏所有连接并冒充任何实体的中央攻击点。防御工具可以在端点实时检测恶意行为并直接做出响应,而不是基于网络流量预测攻击并在损害发生后进行远程响应。
不过,边缘防御模型也有一些缺点。防御的分布式性质带来了数据协调和关联的挑战。端到端安全需要新的方法来解密数据进行分析。此外,端点的软件代理(通常是轻量级应用程序)必须执行安全操作并启动安全通信通道。
2.2 相关工作
网络监控可以提供对底层资源和通信的重要见解,但由于广泛使用 HTTPS 等协议,无法访问高层内容。Web 应用防火墙 (WAF) 试图通过为服务器解密内容、分析和修改以确保安全,并将清理后的内容传递给服务器来弥补这一差距。WAF 甚至可能打开文件并执行代码,以确定某些内容是否对接收方构成危险。这种方法可以捕获网络监控和基于模式的检测遗漏的许多攻击,但会破坏端到端安全模型,引入通信延迟,并且不能阻止所有攻击。
端点代理架构设计有不同的目标。有的描述了一种可以延长移动设备电池寿命的代理架构,有的探讨了在物联网应用中使用代理的潜在好处,还有的研究了在不同主机之间迁移的代理的安全性等。但我们关注的是使用代理监控设备本身,而不是进行跨设备的代理计算。
2.3 ELS 代理方法
将端点设备代理集成到 ELS 架构中,同时遵循并利用现有的 ELS 概念、组件和协议,面临着一些挑战。ELS 模型基于端点之间的安全前提,但端点是任何信息系统中最脆弱的区域之一。因此,ELS 需要强有力的保证,确保端点未被攻破。例如,被盗的智能卡凭证会危及个人安全,但丢失凭证的人通常会很快报告此类问题。然而,被攻破的设备可以在很长一段时间内秘密监控用户活动并冒充用户,而用户却没有明显察觉。因此,需要一种系统的方法来监控设备是否被攻破以及是否存在恶意行为。
此外,ELS 基础设施还包括其他类型的代理,如日志记录和监控代理以及端点设备管理代理。
在安全环境中,代理面临的主要挑战包括:
- 与外部实体建立安全的代理通信
- 将代理通信与其主机设备绑定
第一个挑战要求所有端点(无论是人员、服务器还是企业中的其他活跃实体)都使用相同的 ELS 方法进行通信。作为与中央服务器、网关或收集系统进行通信的发起者,代理属于此类活跃实体,必须确保其安全性与拥有基于硬件的 PKI 凭证的用户相当。这具有挑战性,因为代理的操作方式与普通用户或其他活跃实体不同。
第二个挑战涉及端点请求者和设备本身的单独认证方法。例如,用户可以使用智能卡,服务器可以使用 HSM 从不同的底层硬件平台甚至虚拟机进行认证。然而,硬件认证必须通过不同的方式进行,因为它必须与硬件平台本身绑定。代理的挑战在于将代理与其数字身份绑定,然后将其数字身份与基于硬件的设备身份绑定。
2.4 端点代理结果
2.4.1 移动设备管理 (MdM) 代理
随着从桌面和笔记本电脑向手机和平板电脑等移动设备的转变,企业的边缘发生了变化。过去员工在企业大楼内的企业网络上使用企业机器登录的日子已经一去不复返了。现在,用户可以通过商业蜂窝网络,使用公共空间中的个人移动设备进行登录。这促使我们关注端点设备管理的用例。这些端点包括移动设备以及更传统的笔记本电脑、桌面计算机和服务器。
设备管理代理必须有一个软件组件来运行代理代码,同时还必须利用设备上的硬件密钥存储。与 ELS 认证不同,在 ELS 认证中,密钥与使用设备的用户或其他实体绑定,而代理认证必须与设备硬件绑定。
这样的代理本身不需要任何安全认证信息。实际上,代理不应包含任何安全信息,因为这些信息很容易从软件元素中复制或提取。代理类似于桌面计算机上的 Web 浏览器,浏览器本身不会向服务器进行认证,而是为用户提供认证和请求或提供内容的手段。代理的性质类似,它依赖现有的设备密钥和证书进行认证和安全通信。代理密钥的来源必须是设备硬件,而不是便携式或外部密钥存储,因为此类代理代表设备本身,而不是可以在不同设备之间迁移的人员或服务器等其他实体。
这带来了一些复杂性。首先,代理是与基于硬件的密钥分离的软件。因此,任何获得真实代理密钥的代理(无论是真实的还是恶意的)都可以充当真实代理。在软件实例和它使用的硬件密钥之间可能存在多种攻击方式。这与在云中保护密钥的挑战类似,都存在密钥和软件分离的问题。代理以及整个端点安全必须依赖设备本身来监控自身,包括其上的软件,因为不能单独信任代理。
设备上的 SKSU(如 TPM)具有执行证明的能力,这种证明对于确保设备运行正确的代理和其他软件是必需的。证明报告列出了设备上硬件和软件的状态,并使用与设备上特定 SKSU 模块关联的密钥提供签名。SKSU 硬件模块是所有基于设备的通信的信任根。
证明报告必须涵盖硬件、操作系统、任何虚拟化或容器化,以及安装在设备上的应用程序和代理。为了使代理能够安全通信,它必须首先生成一份证明报告,表明设备当前按预期运行,没有恶意实体或配置修改。这通常通过批准软件的白名单来实现。
代理调用 TPM 生成具有所需参数的证明报告。证明报告涵盖的元素包括可能影响代理的所有组件,代理作为容器中的应用程序运行。如果容器化和容器能够充分隔离其中的应用程序,那么其他应用程序或容器无需验证。但如果容器化或容器存在已知漏洞或保护和隔离能力不足,证明报告则必须涵盖其他组件。一般来说,证明报告必须涵盖设备及其软件中可能对代理与外部实体安全通信能力产生负面影响的所有元素。
信任从硬件开始,逐步向上扩展。SKSU 首先验证设备硬件是否正常运行,然后验证操作系统是否正确,包括检查操作系统是否被“root”、安装的版本以及软件是否正确安装(例如,通过将可执行文件的哈希值与已知值进行比较)。容器化和应用程序(包括代理本身)也以类似的方式进行验证。
在一个具有可信 SKSU、有效代理与其他有效应用程序在有效容器化方法的有效容器中、运行在有效操作系统和有效硬件上的环境中,可以对代理功能建立高度信任。特别是,可以高度信任代理的私钥操作确实是由代理本身发起的。这是因为在 SKSU 本身没有外部方法(如 PIN 或生物识别信息)来验证代理的请求。SKSU 与完整验证的软件栈相结合,对于确保代理使用私钥的安全性是必需的。如果没有这样的验证,其他实体可能会使用该密钥,从而阻止代理向中央服务器进行正确的认证。
代理携带其证明报告与外部实体(通常是许多设备代理的聚合点)进行通信。认证后,代理可以根据标准的 ELS 访问规则,向外部端点发送 SAML 令牌以获取访问权限。另一种更简单的选择是让代理使用基于身份的授权。在这种情况下,服务器维护一个已知部署的设备代理的 ACL。这减少了对 SAML 令牌的需求,但消除了 ELS 为管理大型组的 ACR 提供的效率。
外部实体必须配置为期望并验证代理请求的证明报告。代理的凭证存储在 TPM 或其他 SKSU 模块中。仅靠这样的凭证不足以进行 ELS 认证,因为恶意软件可能已经攻破了设备并使用了代理密钥。为了防范这种攻击,证明报告验证在与代理通信时,正确的软件已安装并正在运行。
SKSU 模块本身也可能被攻破,攻击者可能会为被攻破的设备生成有效的证明报告。可以通过选择能够防止此类攻击的硬件设备来解决这个问题。这种硬件正成为手机的标准配置,在这些设备上生成的密钥很难被提取。
从代理到外部实体的完整安全通信序列如下:
1. 代理向 SKSU 模块请求证明报告。
2. SKSU 模块验证硬件。
3. SKSU 模块验证操作系统版本、配置和哈希值。
4. SKSU 模块验证容器化机制或其他隔离机制(如果适用)。
5. SKSU 模块验证代理所在的容器或其他隔离单元(如果适用)。
6. SKSU 验证与代理在同一容器中的其他应用程序。
7. SKSU 验证代理本身。
8. SKSU 向代理提供证明报告。
9. 代理发起与外部实体的安全连接,并验证外部实体的凭证。
10. 外部实体请求代理进行认证。
11. 代理请求对存储在 SKSU 中的代理密钥进行私钥操作。
12. SKSU 返回私钥操作的结果。
13. 代理使用私钥操作向外部实体进行认证,并通过安全连接提供证明报告。
外部实体必须验证证明报告具有来自可信源的有效签名,并且设备列出的项目符合设备的有效配置。此时,代理已使用 SKSU 中的设备密钥成功向外部实体进行了认证,利用 SKSU 及其内部密钥作为信任根。
外部实体可能会请求访问令牌,或者根据 ACL 检查代理的身份进行授权。此过程与正常的 ELS SAML 请求类似,唯一的区别是向令牌服务器进行认证时也使用上述流程,利用 SKSU 及其证明报告进行认证。
2.4.2 监控代理
除了设备管理代理,ELS 还需要用于监控端点设备的代理。由于端到端安全的原因,无法直接监控端点之间的通信内容,因此必须使用代理从端点收集这些信息。这些代理在服务器和用户设备上都可以运行。
监控代理会监控可能的恶意输入和输出,类似于基于网络的监控系统。不过,监控代理只处理单个设备的通信,这有助于通过在所有企业设备上分配负载来提高性能。但是,为了实现跨设备的关联分析,需要将一些数据共享给中央实体。代理负责与中央聚合器进行通信,并定期或根据请求发送相关数据。同时,代理还会响应中央聚合器根据不断变化的监控需求推送的配置更改。
监控代理处理与设备、操作系统或应用程序异常和被攻破相关的安全敏感信息,并且作为活跃实体发起传输,因此必须像端点设备管理代理一样进行认证。监控代理的密钥存储在 TPM 中,并用于发起与中央服务器的 TLS 连接。代理使用其密钥进行认证,并结合端点设备管理代理的证明报告,该报告证明了设备的运行状态。由于监控代理和端点设备管理代理都是标准 ELS 基础设施的一部分,这些证明报告可以通过公共存储系统在后端服务器之间共享。
通过端点设备管理系统的 TPM 证明报告,可以确定设备的状态为“干净”。这样的干净设备可以被信任进行认证,并为证明报告涵盖的所有代理(包括监控代理)提供正确的信息。监控代理随后会提供有关设备本身潜在恶意活动的进一步信息。
下面是移动设备管理代理安全通信流程的 mermaid 流程图:
graph LR
A[代理] -->|请求证明报告| B[SKSU 模块]
B -->|验证硬件| B
B -->|验证操作系统| B
B -->|验证容器化| B
B -->|验证容器| B
B -->|验证其他应用程序| B
B -->|验证代理| B
B -->|提供证明报告| A
A -->|发起安全连接| C[外部实体]
A -->|验证外部实体凭证| C
C -->|请求认证| A
A -->|请求私钥操作| B
B -->|返回私钥操作结果| A
A -->|认证并提供证明报告| C
C -->|验证证明报告| C
C -->|请求访问令牌或检查 ACL| C
端点设备管理和代理架构在保障企业安全和提高效率方面起着至关重要的作用。通过合理配置和管理代理,以及利用硬件密钥存储和证明报告等安全机制,可以有效降低设备被攻击的风险,确保企业信息的安全。
3. 端点设备管理与代理架构的关键要点总结
3.1 端点设备管理要点
| 管理方面 | 具体内容 |
|---|---|
| 数据验证与清除 | 代理验证 SKSU 签名和数据结构,但需中央服务进一步验证本地信息。若设备被盗,虽 SKSU 及私钥安全,但擦除请求无法确认,目标是执行合规规则,撤销无有效证明报告设备的访问权限。 |
| 数据请求处理 | 可向代理查询本地数据,如 GPS 位置、服务提供商信息。代理转发信息,原始数据提供者用数字签名保证完整性。固定资产代理报告静态位置,移动资产代理提供动态位置,端点管理器确定位置准确性。 |
| 管理总结 | 端点设备管理对安全和效率至关重要,高保证环境需严格控制设备和用户。 |
3.2 端点代理架构要点
| 架构方面 | 具体内容 |
|---|---|
| 架构概述 | 防御从中央网络转移到边缘设备,边缘防御无需破坏端到端安全,但存在数据协调和关联挑战,端点软件代理需执行安全操作。 |
| 相关工作 | 网络监控无法访问高层内容,WAF 可弥补但破坏端到端安全。不同目标的端点代理架构设计多样,本文关注设备监控。 |
| ELS 代理方法 | 集成端点设备代理到 ELS 架构面临与外部实体建立安全通信和将代理通信与主机设备绑定的挑战。 |
| 端点代理结果 - 移动设备管理 (MdM) 代理 | 代理认证与设备硬件绑定,依赖设备密钥和证书。通过 SKSU 证明报告确保设备运行正确软件,代理与外部实体通信时需验证证明报告。 |
| 端点代理结果 - 监控代理 | 用于监控端点设备,处理安全敏感信息,需像设备管理代理一样认证,结合设备管理代理的证明报告提供设备潜在恶意活动信息。 |
4. 实际应用中的考虑因素
4.1 安全策略制定
在实际应用中,企业需要根据自身的安全需求和业务场景制定合理的安全策略。例如,对于涉及敏感信息的设备,应加强数据验证和清除的频率,确保即使设备被盗或被攻破,也能最大程度减少信息泄露的风险。同时,对于不同类型的代理,如移动设备管理代理和监控代理,应制定不同的认证和授权策略,以保证代理的安全性和可靠性。
4.2 硬件选择
选择合适的硬件对于保证端点设备和代理的安全性至关重要。如 SKSU 模块,应选择能够防止被攻破的硬件设备,确保其生成的密钥难以被提取。对于移动设备,应优先选择支持硬件密钥存储和安全认证的设备,以提高设备的整体安全性。
4.3 系统兼容性
在部署端点设备管理和代理架构时,需要考虑系统的兼容性。不同的操作系统、应用程序和硬件平台可能对代理的运行和认证产生影响。因此,在选择代理和相关软件时,应确保其与企业现有的系统环境兼容,避免出现兼容性问题导致安全漏洞。
4.4 人员培训
企业员工的安全意识和操作技能对于端点设备管理和代理架构的有效运行至关重要。因此,企业应加强对员工的安全培训,提高员工对设备安全和代理认证的认识,避免因员工误操作或安全意识不足导致的安全事故。
5. 未来发展趋势
5.1 智能化发展
随着人工智能和机器学习技术的不断发展,端点设备管理和代理架构将更加智能化。例如,通过机器学习算法对设备的行为和数据进行分析,能够更准确地检测出潜在的恶意活动,提前采取防范措施。同时,智能化的代理可以根据不同的场景和需求自动调整安全策略,提高系统的自适应能力。
5.2 融合发展
未来,端点设备管理和代理架构将与其他安全技术进行更深度的融合。例如,与区块链技术相结合,利用区块链的分布式账本和不可篡改特性,提高代理认证和数据传输的安全性。此外,还可能与物联网安全技术融合,为物联网设备提供更全面的安全保障。
5.3 标准化发展
为了促进端点设备管理和代理架构的广泛应用和互操作性,未来将出现更多的行业标准和规范。这些标准将涵盖代理的设计、开发、部署和管理等各个方面,使得不同企业和组织之间的端点设备和代理能够更好地协同工作,提高整个行业的安全水平。
下面是端点设备管理与代理架构整体流程的 mermaid 流程图:
graph LR
A[端点设备] -->|数据验证与请求处理| B[代理]
B -->|证明报告| C[中央服务]
C -->|指令| B
B -->|安全通信| D[外部实体]
E[监控代理] -->|监控信息| F[中央聚合器]
F -->|配置更改| E
B -->|共享证明报告| E
端点设备管理和代理架构是企业信息安全的重要组成部分。通过深入理解其原理和关键要点,结合实际应用中的考虑因素和未来发展趋势,企业可以更好地部署和管理这些架构,保障企业信息的安全和业务的正常运行。在未来的发展中,随着技术的不断进步,端点设备管理和代理架构将不断完善和创新,为企业提供更强大的安全保障。
扫一扫
11万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
