SOA安全加固产品ZT-V(Zero Trust for Vehicle)是基于零信任思想面向智能汽车,解决SOA开放架构的安全风险而生的安全产品。零信任思想是永不信任,持续验证。通过实现SOA应用隔离、数据存储隔离、外部设备隔离、网络隔离、系统敏感资源隔离、系统调用限制、系统权限限制、CPU资源的使用限制、内存资源的使用限制、对SOA服务的访问控制等技术手段来保护智能汽车的安全资产。
1. SOA安全产品的设计思想
如前所述,运行在开放平台上的SOA应用的安全风险会被放大,导致后果也是最严重的。采用NIST安全技术标准的零信任理念,在技术上核心实施:访问控制、身份认证、微隔离三要素,从零信任达到信任可控。
图 6-基于SOA的安全加固设计思想
2. SOA安全产品的设计方案
用上述设计思想来解决智能汽车SOA面临的安全课题,为主机厂提供下图的安全方案。其方案主要由策略决策点PDP和策略执行点PEP组成,在后台由安全责任主体对应用实施按需分配的访问控制授权,即策略决策。在车端通过身份认证、微隔离执行后台下发的策略,即策略执行,从而保护SOA架构下的安全资产。
图 7-零信任架构安全设计方案
方案整体赋予主机厂在后台统一管理访问控制、策略配置更灵活、易扩展,支持动态下发策略,在车端强制执行的特点,极大地降低了不可控因素。对SOA安全资源访问都可提供进程级别的安全日志、安全审计、告警机制,提高用户的安全性的同时,也保护了主机厂的利益。
本方案是面向SOA的安全加固,其本身的安全也必须考虑,即纵深防御。在设计时,既需要对后台的安全做了加固,更需要在车端对加固产品自身以及相关的密钥证书做安全增强,从而达到整体的安全防护。既符合合规性要求,又增强了主动防御效果。
1)安全课题
- SOA开放架构的风险不可控;
- SOA应用的风险被放大;
- SOA敏感资源的非法访问;
- SOA系统资源的非法访问;
- SOA重要数据敏感信息保护。
2)方案思想
- 零信任理念:持续验证,永不信任;
- 设计思路:身份认证 + 授权 + 微隔离。
3. SOA安全加固产品ZT-V的功能全景图
产品整体主要由PDP、PEP、PIP三大部分构成,分布在主机厂后台和车端。产品具备开放性和持续性的特点,既可以扩展到整个SOA安全需求,也可以组合其他安全组件,例如:后台的PKI/KMS服务、车端安全可信环境的安全存储和安全加密等功能;同时,本产品也支持ECU间的访问控制,将安全由点到面进行扩展,提高智能整体的安全防护。
图 8-SOA安全加固产品ZT-V的功能全景图
主要组件说明
1)后台的PDP主要包括策略模板、策略决策、风险监控。
- 策略模板:是基于车端的安全风险点形成,包括PIP安全信息点采集。
- 策略决策:是责任主体评审应用是否准入,即是否允许在车端运行;其次是责任主体基于策略模板对应用授权。
- 风险监控:是根据车端上报信息,确定是否有安全风险,通知给责任主体和相关者。
2)车端PEP主要包括策略、策略执行、微隔离、PEP本身安全保护。
- 策略执行:目标是执行应用的安全策略,采用微隔离机制,即采用安全机制将安全资产最细化隔离,达到访问受控;颗粒越细,策略越细、访问权限越细、越可控。
- PEP保护:指PEP执行器和策略如何防止被破坏,从安全闭环角度来说是需要的。所有这些保护,包括身份认证、微隔离、系统防护等措施均是为了使得策略不失效。
4. SOA安全产品特点和价值
1)产品特点
- 合规性:基于TARA分析的安全需求;
- 主动防御:建立SOA开放平台的安全防护;
- 数据安全:奠定数据资产和个人信息保护体系的基础;
- 动态强制:策略动态调整和下发;
- 入微隔离:颗粒细化到进程和接口;
- 产品性能:低内存、低CPU使用率;
- 解耦性:与SOA系统代码解耦;
- 可移植:同SOA系统可移植;
- 安全性:方案的安全性闭环;
- 测试套件:提供可验收产品的测试工具。
2)产品落地
- 产品落地:已落地某主机厂的车型;
- 产品效果:通过主机厂台架验收;
- 成果物:包括车端和后台服务组件。
3)产品价值
- 合规性:满足法规标准的安全需求;
- 主动防御:建立SOA开放平台的安全防护体系,保护车端的安全资产。
通过上述介绍,相信大家对SOA安全加固产品(ZT-V)也有了更为深入的了解。关于实际应用示例,将在系列文章(三)中为您详细介绍,敬请关注!
(未完待续)