摘　要：隨著高級(jí)威脅和內(nèi)部風(fēng)險(xiǎn)的日益增強(qiáng)，云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)的飛速發(fā)展，遠(yuǎn)程辦公、異地分支的大量應(yīng)用，網(wǎng)絡(luò)邊界越來(lái)越模糊，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)已難以滿足安全新需求。零信任網(wǎng)絡(luò)打破了傳統(tǒng)的認(rèn)證即信任、邊界防護(hù)、靜態(tài)訪問(wèn)控制，以網(wǎng)絡(luò)為中心等思維，建立起一套以資源為中心，以識(shí)別、認(rèn)證、動(dòng)態(tài)訪問(wèn)控制、授權(quán)、審計(jì)以及監(jiān)測(cè)為鏈條，以最小化實(shí)時(shí)授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證達(dá)末端的動(dòng)態(tài)安全架構(gòu)。

　　內(nèi)容目錄：

　　0　引　言

　　1　概　念 

　　2　傳統(tǒng)網(wǎng)絡(luò)架構(gòu)

　　3　零信任網(wǎng)絡(luò)安全架構(gòu)

　　3.1　架構(gòu)模型

　　3.2　信任評(píng)估算法

　　3.3　核心思想

　　3.3.1　懷疑一切

　　3.3.2　核心保護(hù)對(duì)象為資源

　　3.3.3　精細(xì)化、最小化授權(quán)

　　3.3.4　持續(xù)驗(yàn)證每個(gè)訪問(wèn)請(qǐng)求的可信性

　　3.4　特　點(diǎn)

　　3.4.1　由網(wǎng)絡(luò)中心化向身份中心化轉(zhuǎn)變

　　3.4.2　安全防護(hù)層面由網(wǎng)絡(luò)防護(hù)向應(yīng)用防護(hù)轉(zhuǎn)變

　　3.4.3　無(wú)邊界化

　　3.4.4　認(rèn)證控制向末端延伸

　　3.4.5　向細(xì)粒化方向發(fā)展

　　3.4.6　向泛在化方向發(fā)展

　　3.4.7　授權(quán)時(shí)機(jī)由門(mén)檻式授權(quán)向動(dòng)態(tài)授權(quán)發(fā)展

　　4　結(jié)　語(yǔ)

00　引 言

　　零信任網(wǎng)絡(luò)(亦稱(chēng)零信任架構(gòu))概念最早是John Kindervag(約翰·金德維格)于2010年提出的，開(kāi)始幾年并未得到廣泛關(guān)注。隨著高級(jí)威脅和內(nèi)部風(fēng)險(xiǎn)層出不窮，云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，遠(yuǎn)程辦公、企業(yè)異地分支等的大量應(yīng)用，網(wǎng)絡(luò)邊界的物理界限越來(lái)越模糊。另外，傳統(tǒng)網(wǎng)絡(luò)的安全短板日益明顯。2017年9月，美國(guó)發(fā)生了史上最大的用戶數(shù)據(jù)泄露事件——Equifax數(shù)據(jù)泄露事件，造成美國(guó)1.43億人的個(gè)人信息泄露。美國(guó)最大的移動(dòng)運(yùn)營(yíng)商Verizon報(bào)告分析指出，81%的黑客成功利用偷來(lái)的口令或者弱口令，可輕而易舉地獲得數(shù)據(jù)的訪問(wèn)權(quán)限，成功竊取數(shù)據(jù)。根據(jù)《2018 Insider Threat Report》顯示，內(nèi)部威脅是造成數(shù)據(jù)泄露的第二大原因。零信任網(wǎng)絡(luò)的內(nèi)生驅(qū)動(dòng)力持續(xù)加強(qiáng)。

　　谷歌在2011年啟動(dòng)BeyondCorp計(jì)劃，于2017年成功完成，為零信任在大型、新型網(wǎng)絡(luò)的實(shí)踐提供了參考架構(gòu)。在BeyondCorp計(jì)劃中，訪問(wèn)只依賴(lài)于設(shè)備和用戶憑證，而與用戶所處的網(wǎng)絡(luò)位置無(wú)關(guān)。美國(guó)網(wǎng)絡(luò)安全廠商PaloAlto利用其下一代防火墻產(chǎn)品，實(shí)現(xiàn)了零信任網(wǎng)絡(luò)架構(gòu)。另一家美國(guó)網(wǎng)絡(luò)安全廠商Cyxtera提出了AppGateSDP方案，實(shí)現(xiàn)了CSA的SDP架構(gòu)。其他網(wǎng)絡(luò)安全和IT廠商，如Symantec、Cisco、VMWare等，相繼推出了自己的零信任產(chǎn)品或架構(gòu)。隨著各大廠商的進(jìn)入與推進(jìn)，零信任在業(yè)界持續(xù)升溫，在RSAC 2019年展會(huì)達(dá)到高潮。

01　概 念

　　零信任網(wǎng)絡(luò)是在不依賴(lài)網(wǎng)絡(luò)傳輸層物理安全機(jī)制的前提下，有效保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問(wèn)。

　　零信任，顧名思義，即對(duì)任何事務(wù)均建立在不信任的基礎(chǔ)之上。中心思想是不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對(duì)任何試圖接入系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。

　　零信任網(wǎng)絡(luò)不是完全摒棄已有的安全技術(shù)另起爐灶。傳統(tǒng)網(wǎng)絡(luò)中的安全技術(shù)，如身份認(rèn)證、訪問(wèn)控制等依然可用，只是將認(rèn)證與控制的大門(mén)從“小區(qū)大門(mén)”移到了各戶的“家門(mén)”。

　　零信任模型基本上打破了舊式邊界防護(hù)思維。舊有思維專(zhuān)注防御邊界，假定已經(jīng)在邊界內(nèi)的任何事物都不會(huì)造成威脅，因而邊界內(nèi)部事物基本暢通無(wú)阻，全都擁有訪問(wèn)權(quán)限。它要企業(yè)根據(jù)用戶、用戶所處位置和其他數(shù)據(jù)等條件，利用微隔離和細(xì)粒度邊界規(guī)則來(lái)確定是否信任請(qǐng)求企業(yè)特定范圍訪問(wèn)權(quán)的用戶/主機(jī)/應(yīng)用。傳統(tǒng)模式下是以系統(tǒng)為中心的安全，在零信任網(wǎng)絡(luò)下是以資源為中心的安全。把安全聚焦在資源本身，圍繞著資源的全生命周期建設(shè)部署安全。

02　傳統(tǒng)網(wǎng)絡(luò)架構(gòu)

　　傳統(tǒng)網(wǎng)絡(luò)一般在網(wǎng)絡(luò)邊界上設(shè)置隔離認(rèn)證區(qū)進(jìn)行認(rèn)證與控制。而零信任網(wǎng)絡(luò)沒(méi)有圍墻和大門(mén)的概念，將門(mén)從單位圍墻處移到了辦公室，甚至每一個(gè)辦公桌小間。

　　一個(gè)存在內(nèi)、外網(wǎng)互聯(lián)需求的傳統(tǒng)網(wǎng)絡(luò)，建立基于網(wǎng)絡(luò)位置的可信控制模型，將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。一般認(rèn)為內(nèi)部網(wǎng)絡(luò)是可信的，外部網(wǎng)絡(luò)是不可信的。內(nèi)部網(wǎng)絡(luò)可以根據(jù)業(yè)務(wù)系統(tǒng)的需要?jiǎng)澐譃槿舾蓚€(gè)在物理或邏輯上相隔離的子網(wǎng)絡(luò)。子網(wǎng)絡(luò)內(nèi)用戶間的通信是自由的。為維護(hù)內(nèi)部網(wǎng)絡(luò)安全，內(nèi)外網(wǎng)之間通過(guò)邊界隔離設(shè)備進(jìn)行連接可控通信。邊界防護(hù)如單位大門(mén)一樣，訪客在單位大門(mén)口的接待區(qū)辦理完手續(xù)后即可進(jìn)入，在單位內(nèi)部可隨心所欲溜達(dá)。傳統(tǒng)網(wǎng)絡(luò)存在信任過(guò)度問(wèn)題，面對(duì)從內(nèi)部網(wǎng)絡(luò)發(fā)起的內(nèi)部攻擊毫無(wú)招架之力。即使攻擊來(lái)自于外部，只要穿過(guò)邊界防護(hù)這道大門(mén)，在內(nèi)部網(wǎng)絡(luò)可以肆意穿梭。傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，如圖1所示。

圖1　傳統(tǒng)網(wǎng)絡(luò)架構(gòu)

03　零信任網(wǎng)絡(luò)安全架構(gòu)

　　3.1　架構(gòu)模型

　　零信任網(wǎng)絡(luò)在任何一個(gè)用戶，任何一臺(tái)設(shè)備，發(fā)起的任何一次連接，申請(qǐng)的任何一次服務(wù)，在通過(guò)認(rèn)證策略判決前均認(rèn)為是不可信的。它的認(rèn)證不再是一站式服務(wù)，而是細(xì)化到了一事一論。零信任網(wǎng)絡(luò)邏輯如圖2所示。

　　零信任網(wǎng)絡(luò)邏輯體系由策略判決、策略執(zhí)行、監(jiān)測(cè)系統(tǒng)、風(fēng)險(xiǎn)分析系統(tǒng)、數(shù)據(jù)訪問(wèn)策略、身份管理系統(tǒng)、設(shè)備管理系統(tǒng)、安全管理系統(tǒng)以及證書(shū)系統(tǒng)等組成。

　　在零信任網(wǎng)絡(luò)中，主體對(duì)客體的訪問(wèn)服務(wù)請(qǐng)求是否通過(guò)，由策略判決模塊完成，并將判決結(jié)果告知策略執(zhí)行模塊，由策略執(zhí)行模塊決定訪問(wèn)通道是否打開(kāi)或關(guān)閉。策略判決模塊可分為策略引擎和策略管理兩部分。策略引擎負(fù)責(zé)通過(guò)信任算法進(jìn)行信任評(píng)分。

　　監(jiān)測(cè)系統(tǒng)。監(jiān)測(cè)系統(tǒng)主要監(jiān)測(cè)、收集網(wǎng)絡(luò)自身的狀態(tài)信息，包括操作系統(tǒng)和應(yīng)用程序版本、補(bǔ)丁安裝情況以及系統(tǒng)是否存在已知漏洞等。監(jiān)測(cè)系統(tǒng)將收集的上述信息提供給策略引擎，作為信任評(píng)分函數(shù)的輸入?yún)?shù)。

　　風(fēng)險(xiǎn)分析系統(tǒng)。風(fēng)險(xiǎn)分析系統(tǒng)主要是搜集和分析來(lái)自于網(wǎng)絡(luò)外部的風(fēng)險(xiǎn)信息，并將分析結(jié)果提供給策略引擎作為信任評(píng)分函數(shù)的輸入。它包括新發(fā)現(xiàn)的攻擊或漏洞、DNS黑名單以及發(fā)現(xiàn)的惡意軟件等。

　　數(shù)據(jù)訪問(wèn)策略。它是根據(jù)資源屬性而創(chuàng)建的一組關(guān)于數(shù)據(jù)訪問(wèn)的屬性和規(guī)則組合。該策略根據(jù)組織任務(wù)需求而建立，為網(wǎng)絡(luò)中的用戶、設(shè)備以及應(yīng)用程序提供基本的訪問(wèn)特權(quán)。這是資源訪問(wèn)權(quán)限的基點(diǎn)，而不是全部。

　　證書(shū)系統(tǒng)。證書(shū)系統(tǒng)負(fù)責(zé)為用戶、設(shè)備、應(yīng)用程序等產(chǎn)生并頒發(fā)證書(shū)，形成記錄。

　　身份管理系統(tǒng)。身份管理系統(tǒng)負(fù)責(zé)創(chuàng)建、存儲(chǔ)和管理用戶賬戶和身份信息。該系統(tǒng)包含姓名、身份證書(shū)、Email地址、崗位、角色以及訪問(wèn)屬性等用戶信息。

　　安全管理系統(tǒng)。安全管理系統(tǒng)匯總系統(tǒng)日志、網(wǎng)絡(luò)流量、資源授權(quán)等進(jìn)行系統(tǒng)安全態(tài)勢(shì)分析，可依據(jù)分析進(jìn)行策略?xún)?yōu)化，或警告可能對(duì)網(wǎng)絡(luò)進(jìn)行的主動(dòng)攻擊。零信任將安全的自動(dòng)化置于“安全運(yùn)維”的中心地位。

　　3.2　信任評(píng)估算法

　　信任評(píng)估算法是零信任網(wǎng)絡(luò)的大腦，維護(hù)整個(gè)零信任網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。信任算法的輸入包括用戶信息、設(shè)備狀態(tài)、訪問(wèn)信息、行為屬性、訪問(wèn)策略以及外部威脅情報(bào)等。用戶信息包括用戶ID、用戶憑證、用戶屬性和角色等。設(shè)備信息包括設(shè)備ID號(hào)、設(shè)備所處位置等。設(shè)備狀態(tài)包括已安裝的操作系統(tǒng)及應(yīng)用軟件版本、補(bǔ)丁修補(bǔ)情況和網(wǎng)絡(luò)位置等。訪問(wèn)信息包括待訪問(wèn)資源的屬性、類(lèi)別和級(jí)別等。行為屬性包括用戶訪問(wèn)業(yè)務(wù)的行為、操作習(xí)慣、訪問(wèn)時(shí)間、設(shè)備分析、來(lái)源IP地址、來(lái)源地理位置、訪問(wèn)頻度以及使用模式偏差等。外部威脅情報(bào)包括監(jiān)測(cè)到的惡意攻擊、已知漏洞等。信任評(píng)估算法模型，如圖3所示。

圖3　信任評(píng)估算法模型

　　進(jìn)行信任評(píng)估時(shí)，采集當(dāng)前的用戶信息、設(shè)備狀態(tài)、訪問(wèn)信息以及行為屬性，與存儲(chǔ)在策略引擎中的相應(yīng)基準(zhǔn)值進(jìn)行比較，計(jì)算其偏差，將上述偏差值匯總風(fēng)險(xiǎn)分析系統(tǒng)分析所得的風(fēng)險(xiǎn)，結(jié)合所要訪問(wèn)資源的屬性進(jìn)行最終的判斷。基準(zhǔn)值可以動(dòng)態(tài)調(diào)整。

　　3.3　核心思想

　　3.3.1　懷疑一切

　　不再以網(wǎng)絡(luò)邊界為限，將內(nèi)部網(wǎng)絡(luò)定義為可信任的。無(wú)論是遠(yuǎn)程來(lái)自于企業(yè)網(wǎng)絡(luò)之外的用戶還是近端來(lái)自于企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶，無(wú)論是企業(yè)配置的專(zhuān)用設(shè)備還是個(gè)人私有設(shè)備，在建立連接前均需進(jìn)行認(rèn)證授權(quán)。不再認(rèn)為一個(gè)合法用戶、合法設(shè)備的訪問(wèn)是永遠(yuǎn)合法的。原有的基于系統(tǒng)的物理或網(wǎng)絡(luò)位置而存在的隱式信任盡量縮小或消除。認(rèn)證和授權(quán)是零信任體制下的兩個(gè)基本領(lǐng)域。零信任網(wǎng)絡(luò)對(duì)資源的訪問(wèn)授權(quán)一事一議按需受理，不再橫向關(guān)聯(lián)。

　　3.3.2　核心保護(hù)對(duì)象為資源

　　隨著移動(dòng)辦公需求的日益加強(qiáng)，隨著企業(yè)基礎(chǔ)設(shè)施云端化的發(fā)展，企業(yè)內(nèi)部網(wǎng)絡(luò)的界面越來(lái)越模糊，零信任網(wǎng)絡(luò)將對(duì)網(wǎng)絡(luò)邊界的保護(hù)轉(zhuǎn)變?yōu)閷?duì)企業(yè)所擁有的所有資源的保護(hù)，保護(hù)重點(diǎn)是資源的訪問(wèn)限制，確定哪些資源可以被哪些用戶訪問(wèn)。資源包括數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)、打印機(jī)打印以及部署于云端的計(jì)算資源、存儲(chǔ)資源等。

　　3.3.3　精細(xì)化、最小化授權(quán)

　　最小權(quán)限原則是零信任倚賴(lài)的監(jiān)管策略之一，也就是只賦予用戶完成特定工作所需的最小訪問(wèn)權(quán)限，實(shí)施精確訪問(wèn)決策。在認(rèn)證與授權(quán)過(guò)程中，從參與者(包括用戶、設(shè)備、應(yīng)用程序)到數(shù)據(jù)的每個(gè)流均進(jìn)行身份驗(yàn)證和授權(quán)，并以動(dòng)態(tài)和細(xì)粒度的方式持續(xù)分析和評(píng)估訪問(wèn)請(qǐng)求。

　　3.3.4　持續(xù)驗(yàn)證每個(gè)訪問(wèn)請(qǐng)求的可信性

　　主體對(duì)客體的訪問(wèn)控制不是門(mén)檻式靜態(tài)部署配置，而是基于外在風(fēng)險(xiǎn)，結(jié)合用戶的歷史行為等進(jìn)行動(dòng)態(tài)評(píng)估，根據(jù)評(píng)估結(jié)果進(jìn)行訪問(wèn)策略的動(dòng)態(tài)調(diào)整。

　　零信任網(wǎng)絡(luò)下，信任體系的建立包括用戶的可信、設(shè)備的可信和應(yīng)用的可信。用戶、設(shè)備和應(yīng)用在訪問(wèn)資源前，需要通過(guò)身份管理系統(tǒng)進(jìn)行身份鑒別。用戶的可信建立在對(duì)用戶進(jìn)行認(rèn)證的基礎(chǔ)上。用戶提供動(dòng)態(tài)口令、人臉識(shí)別、指紋識(shí)別以及認(rèn)證令牌等方式進(jìn)行身份鑒別，結(jié)合用戶行為、地理位置、訪問(wèn)時(shí)間等進(jìn)行風(fēng)險(xiǎn)分析與判斷，并實(shí)時(shí)做出調(diào)整。

　　3.4　特　點(diǎn)

　　3.4.1　由網(wǎng)絡(luò)中心化向身份中心化轉(zhuǎn)變

　　零信任網(wǎng)絡(luò)引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，本質(zhì)訴求是以身份為中心進(jìn)行細(xì)粒度的、自適應(yīng)的、對(duì)資源的訪問(wèn)控制。

　　3.4.2　安全防護(hù)層面由網(wǎng)絡(luò)防護(hù)向應(yīng)用防護(hù)轉(zhuǎn)變

　　安全防護(hù)層面由網(wǎng)絡(luò)防護(hù)向應(yīng)用防護(hù)轉(zhuǎn)變。零信任網(wǎng)絡(luò)認(rèn)為網(wǎng)絡(luò)是不可信的，因此不再在網(wǎng)絡(luò)層面增強(qiáng)防護(hù)措施應(yīng)對(duì)風(fēng)險(xiǎn)，而是把防護(hù)措施建立在應(yīng)用層面，針對(duì)服務(wù)應(yīng)用進(jìn)行認(rèn)證、訪問(wèn)控制和加密保護(hù)。

　　3.4.3　無(wú)邊界化

　　網(wǎng)絡(luò)防御由關(guān)注廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到每一個(gè)或每一組資源，旨在消除網(wǎng)絡(luò)內(nèi)尤其是內(nèi)部網(wǎng)絡(luò)內(nèi)橫向移動(dòng)的未經(jīng)授權(quán)的訪問(wèn)操作。

　　3.4.4　認(rèn)證控制向末端延伸

　　認(rèn)證的邊界由網(wǎng)絡(luò)邊界向用戶、設(shè)備和應(yīng)用延伸。

　　3.4.5　向細(xì)?；较虬l(fā)展

　　細(xì)化到每一個(gè)服務(wù)，每一個(gè)數(shù)據(jù)流。零信任是分布式信任的高度細(xì)?；刂?。

　　3.4.6　向泛在化方向發(fā)展

　　所有通信數(shù)據(jù)均加密，所有訪問(wèn)都審計(jì)，做到全程可視。

　　3.4.7　授權(quán)時(shí)機(jī)由門(mén)檻式授權(quán)向動(dòng)態(tài)授權(quán)發(fā)展

　　在動(dòng)態(tài)授權(quán)中，基于信任算法將設(shè)備和用戶的多元數(shù)據(jù)作為輸入進(jìn)行計(jì)算，獲得動(dòng)態(tài)的信任度評(píng)估值，基于主體的評(píng)估值和客體的屬性確定是否授權(quán)。

04　結(jié) 語(yǔ)

　　零信任網(wǎng)絡(luò)必將成為網(wǎng)絡(luò)安全流行框架之一，尤其是在云環(huán)境、遠(yuǎn)程辦公等應(yīng)用需求下。零信任網(wǎng)絡(luò)打破了傳統(tǒng)網(wǎng)絡(luò)模式下的防護(hù)機(jī)制、管理模式，而非安全技術(shù)自身。機(jī)制的打破不是一蹴而就的，要面臨著企業(yè)已有資產(chǎn)的再利用等問(wèn)題。在很長(zhǎng)一段時(shí)間內(nèi)，零信任網(wǎng)絡(luò)將與傳統(tǒng)網(wǎng)絡(luò)共同作戰(zhàn)，結(jié)合零信任中管理風(fēng)險(xiǎn)的方法與身份認(rèn)證、持續(xù)監(jiān)測(cè)等技術(shù)，共同防護(hù)面臨的威脅。在向零信任網(wǎng)絡(luò)遷移時(shí)，需要根據(jù)現(xiàn)有設(shè)備的配置情況，對(duì)現(xiàn)有業(yè)務(wù)流程進(jìn)行重新梳理和設(shè)計(jì)，最大化有效利用現(xiàn)有設(shè)備，增大已有資產(chǎn)的有效利用，減少資金再投入比例。

　　作者簡(jiǎn)介 >>>

　　曾玲(1975—)，女，碩士，高級(jí)工程師，主要研究方向?yàn)楸Ｃ芡ㄐ?

　　劉星江(1984—)，男，碩士，高級(jí)工程師，主要研究方向?yàn)楸Ｃ芡ㄐ拧?/span>

　　選自《通信技術(shù)》2020年第七期(為便于排版，已省去原文參考文獻(xiàn))