摘　要：隨著高級威脅和內部風險的日益增強，云計算、大數(shù)據(jù)、移動互聯(lián)的飛速發(fā)展，遠程辦公、異地分支的大量應用，網(wǎng)絡邊界越來越模糊，傳統(tǒng)的網(wǎng)絡安全架構已難以滿足安全新需求。零信任網(wǎng)絡打破了傳統(tǒng)的認證即信任、邊界防護、靜態(tài)訪問控制，以網(wǎng)絡為中心等思維，建立起一套以資源為中心，以識別、認證、動態(tài)訪問控制、授權、審計以及監(jiān)測為鏈條，以最小化實時授權為核心，以多維信任算法為基礎，認證達末端的動態(tài)安全架構。

　　內容目錄：

　　0　引　言

　　1　概　念 

　　2　傳統(tǒng)網(wǎng)絡架構

　　3　零信任網(wǎng)絡安全架構

　　3.1　架構模型

　　3.2　信任評估算法

　　3.3　核心思想

　　3.3.1　懷疑一切

　　3.3.2　核心保護對象為資源

　　3.3.3　精細化、最小化授權

　　3.3.4　持續(xù)驗證每個訪問請求的可信性

　　3.4　特　點

　　3.4.1　由網(wǎng)絡中心化向身份中心化轉變

　　3.4.2　安全防護層面由網(wǎng)絡防護向應用防護轉變

　　3.4.3　無邊界化

　　3.4.4　認證控制向末端延伸

　　3.4.5　向細粒化方向發(fā)展

　　3.4.6　向泛在化方向發(fā)展

　　3.4.7　授權時機由門檻式授權向動態(tài)授權發(fā)展

　　4　結　語

00　引 言

　　零信任網(wǎng)絡(亦稱零信任架構)概念最早是John Kindervag(約翰·金德維格)于2010年提出的，開始幾年并未得到廣泛關注。隨著高級威脅和內部風險層出不窮，云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的飛速發(fā)展，遠程辦公、企業(yè)異地分支等的大量應用，網(wǎng)絡邊界的物理界限越來越模糊。另外，傳統(tǒng)網(wǎng)絡的安全短板日益明顯。2017年9月，美國發(fā)生了史上最大的用戶數(shù)據(jù)泄露事件——Equifax數(shù)據(jù)泄露事件，造成美國1.43億人的個人信息泄露。美國最大的移動運營商Verizon報告分析指出，81%的黑客成功利用偷來的口令或者弱口令，可輕而易舉地獲得數(shù)據(jù)的訪問權限，成功竊取數(shù)據(jù)。根據(jù)《2018 Insider Threat Report》顯示，內部威脅是造成數(shù)據(jù)泄露的第二大原因。零信任網(wǎng)絡的內生驅動力持續(xù)加強。

　　谷歌在2011年啟動BeyondCorp計劃，于2017年成功完成，為零信任在大型、新型網(wǎng)絡的實踐提供了參考架構。在BeyondCorp計劃中，訪問只依賴于設備和用戶憑證，而與用戶所處的網(wǎng)絡位置無關。美國網(wǎng)絡安全廠商PaloAlto利用其下一代防火墻產(chǎn)品，實現(xiàn)了零信任網(wǎng)絡架構。另一家美國網(wǎng)絡安全廠商Cyxtera提出了AppGateSDP方案，實現(xiàn)了CSA的SDP架構。其他網(wǎng)絡安全和IT廠商，如Symantec、Cisco、VMWare等，相繼推出了自己的零信任產(chǎn)品或架構。隨著各大廠商的進入與推進，零信任在業(yè)界持續(xù)升溫，在RSAC 2019年展會達到高潮。

01　概 念

　　零信任網(wǎng)絡是在不依賴網(wǎng)絡傳輸層物理安全機制的前提下，有效保護網(wǎng)絡通信和業(yè)務訪問。

　　零信任，顧名思義，即對任何事務均建立在不信任的基礎之上。中心思想是不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入系統(tǒng)的人/事/物進行驗證。

　　零信任網(wǎng)絡不是完全摒棄已有的安全技術另起爐灶。傳統(tǒng)網(wǎng)絡中的安全技術，如身份認證、訪問控制等依然可用，只是將認證與控制的大門從“小區(qū)大門”移到了各戶的“家門”。

　　零信任模型基本上打破了舊式邊界防護思維。舊有思維專注防御邊界，假定已經(jīng)在邊界內的任何事物都不會造成威脅，因而邊界內部事物基本暢通無阻，全都擁有訪問權限。它要企業(yè)根據(jù)用戶、用戶所處位置和其他數(shù)據(jù)等條件，利用微隔離和細粒度邊界規(guī)則來確定是否信任請求企業(yè)特定范圍訪問權的用戶/主機/應用。傳統(tǒng)模式下是以系統(tǒng)為中心的安全，在零信任網(wǎng)絡下是以資源為中心的安全。把安全聚焦在資源本身，圍繞著資源的全生命周期建設部署安全。

02　傳統(tǒng)網(wǎng)絡架構

　　傳統(tǒng)網(wǎng)絡一般在網(wǎng)絡邊界上設置隔離認證區(qū)進行認證與控制。而零信任網(wǎng)絡沒有圍墻和大門的概念，將門從單位圍墻處移到了辦公室，甚至每一個辦公桌小間。

　　一個存在內、外網(wǎng)互聯(lián)需求的傳統(tǒng)網(wǎng)絡，建立基于網(wǎng)絡位置的可信控制模型，將網(wǎng)絡劃分為內部網(wǎng)絡和外部網(wǎng)絡。一般認為內部網(wǎng)絡是可信的，外部網(wǎng)絡是不可信的。內部網(wǎng)絡可以根據(jù)業(yè)務系統(tǒng)的需要劃分為若干個在物理或邏輯上相隔離的子網(wǎng)絡。子網(wǎng)絡內用戶間的通信是自由的。為維護內部網(wǎng)絡安全，內外網(wǎng)之間通過邊界隔離設備進行連接可控通信。邊界防護如單位大門一樣，訪客在單位大門口的接待區(qū)辦理完手續(xù)后即可進入，在單位內部可隨心所欲溜達。傳統(tǒng)網(wǎng)絡存在信任過度問題，面對從內部網(wǎng)絡發(fā)起的內部攻擊毫無招架之力。即使攻擊來自于外部，只要穿過邊界防護這道大門，在內部網(wǎng)絡可以肆意穿梭。傳統(tǒng)網(wǎng)絡架構，如圖1所示。

圖1　傳統(tǒng)網(wǎng)絡架構

03　零信任網(wǎng)絡安全架構

　　3.1　架構模型

　　零信任網(wǎng)絡在任何一個用戶，任何一臺設備，發(fā)起的任何一次連接，申請的任何一次服務，在通過認證策略判決前均認為是不可信的。它的認證不再是一站式服務，而是細化到了一事一論。零信任網(wǎng)絡邏輯如圖2所示。

　　零信任網(wǎng)絡邏輯體系由策略判決、策略執(zhí)行、監(jiān)測系統(tǒng)、風險分析系統(tǒng)、數(shù)據(jù)訪問策略、身份管理系統(tǒng)、設備管理系統(tǒng)、安全管理系統(tǒng)以及證書系統(tǒng)等組成。

　　在零信任網(wǎng)絡中，主體對客體的訪問服務請求是否通過，由策略判決模塊完成，并將判決結果告知策略執(zhí)行模塊，由策略執(zhí)行模塊決定訪問通道是否打開或關閉。策略判決模塊可分為策略引擎和策略管理兩部分。策略引擎負責通過信任算法進行信任評分。

　　監(jiān)測系統(tǒng)。監(jiān)測系統(tǒng)主要監(jiān)測、收集網(wǎng)絡自身的狀態(tài)信息，包括操作系統(tǒng)和應用程序版本、補丁安裝情況以及系統(tǒng)是否存在已知漏洞等。監(jiān)測系統(tǒng)將收集的上述信息提供給策略引擎，作為信任評分函數(shù)的輸入?yún)?shù)。

　　風險分析系統(tǒng)。風險分析系統(tǒng)主要是搜集和分析來自于網(wǎng)絡外部的風險信息，并將分析結果提供給策略引擎作為信任評分函數(shù)的輸入。它包括新發(fā)現(xiàn)的攻擊或漏洞、DNS黑名單以及發(fā)現(xiàn)的惡意軟件等。

　　數(shù)據(jù)訪問策略。它是根據(jù)資源屬性而創(chuàng)建的一組關于數(shù)據(jù)訪問的屬性和規(guī)則組合。該策略根據(jù)組織任務需求而建立，為網(wǎng)絡中的用戶、設備以及應用程序提供基本的訪問特權。這是資源訪問權限的基點，而不是全部。

　　證書系統(tǒng)。證書系統(tǒng)負責為用戶、設備、應用程序等產(chǎn)生并頒發(fā)證書，形成記錄。

　　身份管理系統(tǒng)。身份管理系統(tǒng)負責創(chuàng)建、存儲和管理用戶賬戶和身份信息。該系統(tǒng)包含姓名、身份證書、Email地址、崗位、角色以及訪問屬性等用戶信息。

　　安全管理系統(tǒng)。安全管理系統(tǒng)匯總系統(tǒng)日志、網(wǎng)絡流量、資源授權等進行系統(tǒng)安全態(tài)勢分析，可依據(jù)分析進行策略優(yōu)化，或警告可能對網(wǎng)絡進行的主動攻擊。零信任將安全的自動化置于“安全運維”的中心地位。

　　3.2　信任評估算法

　　信任評估算法是零信任網(wǎng)絡的大腦，維護整個零信任網(wǎng)絡的正常運轉。信任算法的輸入包括用戶信息、設備狀態(tài)、訪問信息、行為屬性、訪問策略以及外部威脅情報等。用戶信息包括用戶ID、用戶憑證、用戶屬性和角色等。設備信息包括設備ID號、設備所處位置等。設備狀態(tài)包括已安裝的操作系統(tǒng)及應用軟件版本、補丁修補情況和網(wǎng)絡位置等。訪問信息包括待訪問資源的屬性、類別和級別等。行為屬性包括用戶訪問業(yè)務的行為、操作習慣、訪問時間、設備分析、來源IP地址、來源地理位置、訪問頻度以及使用模式偏差等。外部威脅情報包括監(jiān)測到的惡意攻擊、已知漏洞等。信任評估算法模型，如圖3所示。

圖3　信任評估算法模型

　　進行信任評估時，采集當前的用戶信息、設備狀態(tài)、訪問信息以及行為屬性，與存儲在策略引擎中的相應基準值進行比較，計算其偏差，將上述偏差值匯總風險分析系統(tǒng)分析所得的風險，結合所要訪問資源的屬性進行最終的判斷?；鶞手悼梢詣討B(tài)調整。

　　3.3　核心思想

　　3.3.1　懷疑一切

　　不再以網(wǎng)絡邊界為限，將內部網(wǎng)絡定義為可信任的。無論是遠程來自于企業(yè)網(wǎng)絡之外的用戶還是近端來自于企業(yè)網(wǎng)絡內部的用戶，無論是企業(yè)配置的專用設備還是個人私有設備，在建立連接前均需進行認證授權。不再認為一個合法用戶、合法設備的訪問是永遠合法的。原有的基于系統(tǒng)的物理或網(wǎng)絡位置而存在的隱式信任盡量縮小或消除。認證和授權是零信任體制下的兩個基本領域。零信任網(wǎng)絡對資源的訪問授權一事一議按需受理，不再橫向關聯(lián)。

　　3.3.2　核心保護對象為資源

　　隨著移動辦公需求的日益加強，隨著企業(yè)基礎設施云端化的發(fā)展，企業(yè)內部網(wǎng)絡的界面越來越模糊，零信任網(wǎng)絡將對網(wǎng)絡邊界的保護轉變?yōu)閷ζ髽I(yè)所擁有的所有資源的保護，保護重點是資源的訪問限制，確定哪些資源可以被哪些用戶訪問。資源包括數(shù)據(jù)庫中存儲的數(shù)據(jù)、打印機打印以及部署于云端的計算資源、存儲資源等。

　　3.3.3　精細化、最小化授權

　　最小權限原則是零信任倚賴的監(jiān)管策略之一，也就是只賦予用戶完成特定工作所需的最小訪問權限，實施精確訪問決策。在認證與授權過程中，從參與者(包括用戶、設備、應用程序)到數(shù)據(jù)的每個流均進行身份驗證和授權，并以動態(tài)和細粒度的方式持續(xù)分析和評估訪問請求。

　　3.3.4　持續(xù)驗證每個訪問請求的可信性

　　主體對客體的訪問控制不是門檻式靜態(tài)部署配置，而是基于外在風險，結合用戶的歷史行為等進行動態(tài)評估，根據(jù)評估結果進行訪問策略的動態(tài)調整。

　　零信任網(wǎng)絡下，信任體系的建立包括用戶的可信、設備的可信和應用的可信。用戶、設備和應用在訪問資源前，需要通過身份管理系統(tǒng)進行身份鑒別。用戶的可信建立在對用戶進行認證的基礎上。用戶提供動態(tài)口令、人臉識別、指紋識別以及認證令牌等方式進行身份鑒別，結合用戶行為、地理位置、訪問時間等進行風險分析與判斷，并實時做出調整。

　　3.4　特　點

　　3.4.1　由網(wǎng)絡中心化向身份中心化轉變

　　零信任網(wǎng)絡引導安全體系架構從網(wǎng)絡中心化走向身份中心化，本質訴求是以身份為中心進行細粒度的、自適應的、對資源的訪問控制。

　　3.4.2　安全防護層面由網(wǎng)絡防護向應用防護轉變

　　安全防護層面由網(wǎng)絡防護向應用防護轉變。零信任網(wǎng)絡認為網(wǎng)絡是不可信的，因此不再在網(wǎng)絡層面增強防護措施應對風險，而是把防護措施建立在應用層面，針對服務應用進行認證、訪問控制和加密保護。

　　3.4.3　無邊界化

　　網(wǎng)絡防御由關注廣泛的網(wǎng)絡邊界轉移到每一個或每一組資源，旨在消除網(wǎng)絡內尤其是內部網(wǎng)絡內橫向移動的未經(jīng)授權的訪問操作。

　　3.4.4　認證控制向末端延伸

　　認證的邊界由網(wǎng)絡邊界向用戶、設備和應用延伸。

　　3.4.5　向細粒化方向發(fā)展

　　細化到每一個服務，每一個數(shù)據(jù)流。零信任是分布式信任的高度細?；刂?。

　　3.4.6　向泛在化方向發(fā)展

　　所有通信數(shù)據(jù)均加密，所有訪問都審計，做到全程可視。

　　3.4.7　授權時機由門檻式授權向動態(tài)授權發(fā)展

　　在動態(tài)授權中，基于信任算法將設備和用戶的多元數(shù)據(jù)作為輸入進行計算，獲得動態(tài)的信任度評估值，基于主體的評估值和客體的屬性確定是否授權。

04　結 語

　　零信任網(wǎng)絡必將成為網(wǎng)絡安全流行框架之一，尤其是在云環(huán)境、遠程辦公等應用需求下。零信任網(wǎng)絡打破了傳統(tǒng)網(wǎng)絡模式下的防護機制、管理模式，而非安全技術自身。機制的打破不是一蹴而就的，要面臨著企業(yè)已有資產(chǎn)的再利用等問題。在很長一段時間內，零信任網(wǎng)絡將與傳統(tǒng)網(wǎng)絡共同作戰(zhàn)，結合零信任中管理風險的方法與身份認證、持續(xù)監(jiān)測等技術，共同防護面臨的威脅。在向零信任網(wǎng)絡遷移時，需要根據(jù)現(xiàn)有設備的配置情況，對現(xiàn)有業(yè)務流程進行重新梳理和設計，最大化有效利用現(xiàn)有設備，增大已有資產(chǎn)的有效利用，減少資金再投入比例。

　　作者簡介 >>>

　　曾玲(1975—)，女，碩士，高級工程師，主要研究方向為保密通信;

　　劉星江(1984—)，男，碩士，高級工程師，主要研究方向為保密通信。

　　選自《通信技術》2020年第七期(為便于排版，已省去原文參考文獻)