零信任安全架構技術研究和應用思考

藺旭冉，毛天宇

(中核核信信息技術(北京)有限公司，北京 100048)

隨著移動互聯、云計算、大數據和人工智能等新興信息技術的快速發展和應用，各級企業網絡基礎設施規模和復雜程度大幅提高，靈活動態和更大范圍的業務數據訪問需求持續增加，網絡邊界不斷模糊。原有通過防火墻、VPN、IDS等設備進行防護、基于邊界實現內外網隔離的傳統靜態安全架構局限性日益凸顯，越來越難以滿足業務動態發展的安全需求和合規性監管要求，企業網絡安全防護和管控能力建設面臨新的挑戰。

業務需求和新技術應用驅動安全架構發展，零信任(Zero Trust，ZT)技術應運而生。零信任對傳統邊界安全架構思想進行重新評估和審視，其核心思想是在默認情況下不應信任網絡內部或外部的任何人/設備/系統，基于認證和授權重構訪問控制的信任基礎。2010年，約翰·金德維格(John Kindervag)正式提出零信任的核心概念：

1)資源的安全訪問與位置無關。

2)遵循最小權限原則并強制實施訪問控制。

3)檢核記錄所有流量。

在此基礎上，Google和微軟分別于2017年和2018年進一步研究并建立了零信任體系和模型。其中Google Beyond Corp項目歷時六年多時間，擯棄特權網絡概念重構了網絡安全架構，逐步建立了所有訪問授權與位置無關，均依賴用戶和設備憑證，并能夠針對不同資源進行細粒度訪問控制的零信任安全體系。

零信任是一組架構理念和原則，沒有明確對應專有技術產品，需要緊密融合企業自身業務安全需求，結合網絡現狀進行全面規劃設計和分步改造遷移。盡管已經過多年的研究實踐，也不乏成功案例支撐，但零信任架構實際建設和落地場景仍在少數，尤其是國內大部分企業仍以傳統的邊界防護架構為主。隨著當前內外部網絡安全威脅持續加劇，一方面企業對大范圍移動互聯和大數據中心等新業務場景的安全需求快速增加；另一方面包括身份認證和安全檢測等企業自身安全防護體系建設已相對完善，基礎能力逐步具備條件；同時，相關安全解決方案和實踐經驗不斷增加，零信任的整體實施推廣和應用的技術基礎也逐漸具備起來。因此，本文對零信任架構進行了基礎技術研究分析和應用實踐探討，為各企業進一步熟悉了解零信任，加快開展實踐和落地工作提供幫助。

1 技術研究

1.1 基本原則

零信任提供了一組概念和設計思想，旨在減少在信息系統和服務中實施快速、準確訪問決策的不確定性，其理念構成的基本原則如下：

1)所有數據源和計算服務都被視為資源。包括企業終端、網絡、存儲、服務器等在內的所有處理、傳輸和存儲數據的設備及相關功能部件都應納入資源管理。

2)無論網絡位置如何，所有通信都應該是安全的。信任與位置無關，所有訪問請求都必須滿足相同的安全策略，都應以最安全的方式進行。

3)對單個企業資源的訪問是在每個會話的基礎上授予的。

4)對資源的訪問由動態策略決定，包括客戶端標識、應用程序和請求資產的可見狀態，以及其他行為屬性。

5)企業確保所擁有的資產和相關的設備均處于最安全的狀態，并持續監控以確保處于最安全狀態。可建立一個持續診斷和監控軟硬件資產設備安全狀態的技術平臺，并根據需要應用補丁/修復程序。

6)所有資源的身份驗證和授權都是動態的，并且在允許訪問之前必須嚴格執行。應實現驗證授權前置，在整個用戶交互過程中不斷重新進行身份驗證和授權的動態監控。

7)企業盡可能多地收集網絡基礎設施和通信系統當前的狀態信息，以提升其網絡安全狀況。

1.2 技術架構

零信任架構(ZTA)是利用零信任概念建立的網絡安全計劃，包含組件關系、工作流程規劃和訪問策略等內容。技術本質是構建以身份為基石的業務動態可信訪問控制機制，其訪問主體包括所有人員用戶、設備和應用程序(見圖1)。

圖1 零信任架構Fig.1 Zero trust architecture

零信任架構的核心邏輯組件負責實現安全策略管理、動態信任評估和最終訪問授權控制，一般包括策略引擎、策略管理器和策略執行點：

1)策略引擎(PE)：通過獲取多方數據來最終決定是否允許指定的主體可以對資源進行訪問。數據源通過持續診斷和緩解系統、威脅情報系統、數據訪問策略、PKI系統、用戶身份管理系統和日志收集系統等輔助系統提供，結合策略引擎的信任算法計算信任評分，實現數據資源的最終授權或拒絕訪問。其中針對用戶行為的信任評估需要應用機器學習算法，實現動態和自動化的準確計算。

2)策略管理器(PA)：建立或關閉主體與資源之間的連接，生成終端用來訪問資源的任何身份驗證，令牌或憑據。策略管理器與策略引擎緊密相關，依賴于策略引擎決定最終允許還是拒絕連接。

3)策略執行點(PEP)：啟用、監視并最終執行主體與企業資源之間的連接控制。可以分為終端側和資源側兩個不同的代理組件，通過可信代理網關組件實現接入訪問控制。

基于網絡默認不可信的基本理念，零信任架構通過對所有訪問主體進行強認證來建立信任關系，包括用戶應用身份認證授權和設備的接入認證，依托核心邏輯組件針對每一個主體訪問的每一個客體，建立一對一封閉的安全隧道，實現端對端的網絡訪問流量均經過認證、授權和加密，建立動態可信的安全訪問平臺。

1.3 核心技術

零信任架構真正落地需要通過相關安全組件和平臺工具實現核心技術支持，主要包括軟件定義邊界(SDP)、身份權限管理(IAM)和微隔離(MSG)。

(1)SDP

SDP允許應用程序所有者能夠在需要時部署安全邊界，以“應用訪問安全”為基本原則，實現單次動態的最小訪問權限生成。為保障應用側的訪問安全，零信任SDP要求用戶通過統一入口來訪問應用，通過SPA協議強制執行“連接前授權和驗證”，實現設備或用戶的身份在網絡訪問PEP之前前置驗證，最大限度減小非授權網絡攻擊。

(2)IAM

身份管理技術在企業現有安全架構廣泛應用，為所有用戶,應用程序和數據啟用并保護數字身份。通過定義客體對哪些主體具有哪種訪問權限來管理訪問權限控制，是零信任安全架構的核心基礎。

當需要進行資源的訪問權限時，零信任架構以身份為中心，按需配置任意粒度的權限和身份載體，不必再共享訪問密鑰，從而做到對接入客體的全方位統一管控，構筑端到端的邏輯身份邊界。

(3)MSG

微隔離技術通過數據中心和云平臺部署中創建安全區域，可以將數據中心在邏輯上劃分為各個工作負載級別的不同安全段,定義安全控制并為每個唯一段提供服務。

1.4 技術分析

傳統的邊界防護架構假定內部網絡在一定程度上可信，通過識別和控制用戶身份、IP地址或物理位置等相對單一因素，配置靜態安全策略防護目標資源。零信任架構假定整個網絡不可信，通過綜合評估用戶、設備和應用信任等級，結合靜態策略動態評估細粒度的控制數據資源訪問，提升整體安全防護能力。

以邊界防護架構典型的VPN接入方式為例，綜合零信任架構和核心技術優勢，技術分析情況如表1所示：

表1 VPN接入方式技術分析Table 1 The technological analysis of VPN

邊界防護架構對于網絡訪問行為的認證授權和加密防護能力僅能到達邊界設備，缺乏全局性防護和安全策略的強制動態執行。零信任架構把安全防護能力貫徹到整個網絡內，滿足大范圍、復雜和敏感的業務應用安全訪問需求，把安全控制提升到了更高的水平。

2 應用場景

隨著企業數字化轉型的推進，數據已經成為企業最為核心的資產。為了支撐日益復雜的大數據業務需求，將多機構、多業務、多平臺的數據匯聚融合統一管理和共享的企業大數據中心成為零信任架構的主要應用場景，以打破業務線和地域之間的網絡隔離，實現業務數據的安全可信、高質量、低成本的接入和使用。

2.1 場景需求分析

基于云計算與大數據技術的大數據中心已廣泛建設和應用，作為大部分企業數字化轉型的基礎支撐平臺，尤其是大規模集團性企業或提供技術資源服務型平臺，訪問請求可能由內外部各級人員的各類終端設備隨時隨地發起，面臨更復雜的安全風險和管控需求。

(1)數據的大規模匯聚和集中帶來安全風險的集中，外部網絡安全攻擊力度和頻度可能大幅提升，由于業務訪問權限復雜多變也可能導致內部非授權數據被泄露甚至竊取的風險增大，需要將用戶、設備和應用程序等主體進行多維度和精細化識別認證，確保每一項接入訪問行為安全可信。

(2)現有傳統的網絡接入和邊界防御存在單一防護點安全防護強度不足的問題，面對大數據共享和大量靈活的用戶接入的需求，例如VPN網關和網閘擺渡等方式，容易被高風險漏洞利用等方式攻破導致系統設備被大范圍攻破和數據泄露。需要對訪問控制層面進行整合強化，將安全防護能力貫徹到整個網絡內，降低網絡邊界設備或關鍵節點的安全防護壓力。

(3)移動訪問大量增加和訪問設備方式的靈活多變將帶來多種新的威脅和風險，靜態訪問控制和授權模式將難以滿足實時的訪問權限最小化原則。需要建立綜合安全威脅監測、戶行為分析和設備安全狀態等信息的動態評估和授權機制，在不影響業務效率的前提下，確保資源訪問權限安全可控，應對大數據的動態流動風險。

2.2 安全架構設計

根據應用場景的安全風險和需求分析，可基于零信任理念設計終端到服務端交互的整體安全框架，以身份為中心建立持續信任評估和動態訪問控制核心能力，有效抵御內外部安全威脅(見圖2)。

圖2 安全架構設計Fig.2 Security architecture and design

在該場景下應首先確保所有訪問主體的終端設備安全可信。所有終端設備用戶發起的訪問請求都由可信代理網關接管，通過可信訪問控制平臺聯動信任分析評估系統對用戶身份進行強認證和細粒度授權。信任分析評估系統通過收集環境感知、可信訪問代理、身份管理等系統傳遞的安全日志或流量信息結合靜態訪問控制列表進行動態評判，實現對所有訪問行為的認證、加密和授權。

(1)全面識別所有訪問設備，實現安全受控和動態評估

所有設備均需被識別和跟蹤，包括移動設備、虛擬機和容器等，可通過建立設備數據庫或利用已有的配置管理庫(CMDB)對設備詳細信息和生命周期內變更進行記錄和監控，并對受控設備配發唯一標識。設備的標識和認證可通過X.509證書結合TPM綁定和存儲實現。同時可在各類終端設備中部署可信環境感知Agent，持續采集終端環境安全狀態，作為可信評估的重要輸入實時傳遞至可信環境感知系統。

(2)實現用戶安全身份認證和權限管理

可首先利用已有4A、IAM、AD/LDAP、PKI等身份及權限管理基礎平臺進行應用程序/用戶身份權限的全生命周期管理，聯動信任分析評估系統和訪問控制平臺實現對用戶身份評估認證和授權。后續再根據業務需求進行身份管理機制的優化整合，打造集中化的身份管理平臺，對人員、設備和應用程序提供多維度綜合管控，實現身份歸一化管理。

(3)前置可信訪問代理，構建動態可信的訪問控制機制

開放式前置部署可信訪問代理，允許所有來自互聯網的設備和用戶訪問。可信訪問代理基于每一項應用進行安全訪問配置，實現訪問流量數據的加密處理，可以綜合單點登錄、復雜均衡和行為審計等通用特性。可信訪問代理自身無法對安全策略和權限進行管理，與控制平臺分離，僅作為策略執行點建立安全通道，并通過SDP技術實現前置驗證，進一步降低自身安全風險。

結合業務應用架構和安全防護等級，也可以構建應用及數據接口的安全訪問控制點，使用API可信代理對應用前置與接口數據之間的API調用進行安全接入認證和強制訪問控制，進一步提升整體安全防護能力。

(4)構建持續的風險感知和信任評估能力

以可信訪問控制平臺聯動信任分析評估系統為核心實現動態、集中和自動化的訪問控制管理能力，建立訪問控制策略、應用接口服務和用戶認證授權的統一和集中管理，關聯環境風險和訪問行為匯聚分析，具備全面審計功能。

信任分析評估系統可同時使用靜態規則，并收集主體、客體和環境分風險感知信息，接收其他組建平臺日志，利用數據分析和機器學習算法，構建信任評估模型，進行用戶行為進行綜合風險關聯判定，為動態訪問控制提供信任等級評估。環境感知系統可以整合或利用已有終端、網絡和應用安全防護產品功能組件，如防病毒、主機防護、網絡準入、威脅情報等，對設備運行和網絡環境進行驗證評估。

大數據中心應用場景的零信任架構實現需要全面評估信息系統現狀，充分利用原有技術防護措施，權衡選擇安全組件和實施策略，分區域分階段逐步實現新框架落地和業務遷移。

3 實施路徑

零信任概念和框架從提出到落地已近10年，實踐經驗相對豐富已進入快速落地的階段，但由于其架構龐大且復雜，實施落地仍然非常困難，需要長建設周期和高成本投入。因此，企業應按照規劃先行、新建業務優先的基本思路，結合自身業務現狀，分階段分步穩定推進，逐步完成改造遷移。根據企業大數據中心業務場景實現的初步探討，參考業界最佳實踐，思考和提出以下實施路徑建議。

(1)選擇業務切入點

考慮選擇集中化的遠程辦公作為快速切入點。針對遠程辦公、遠程開發、遠程測試、遠程業務開展等快速增長的業務需求，目前以VPN為主的安全架構難以滿足大規模全方面業務訪問的安全需求，可通過零信任體系實現訪問主體信任等級的持續評估和動態調整，帶動整體安全架構落地。

(2)界定保護范圍，梳理核心資產

開展數據分類分級梳理的基礎上，首要明確核心業務系統并梳理核信資產，將所有接入網絡設備均納入資產管理，全面梳理主體到客體的訪問路徑、暴露面和保護面。

(3)深度介入業務流轉，梳理相關各訪問路徑的主體身份和權限

針對各種訪問路徑，枚舉分析網絡流量，梳理通過此訪問路徑對業務和數據發起訪問的主體是什么，明確哪些人、設備、應用可能訪問此業務和數據，并進一步明確應該賦予的訪問權限。

(4)評估環境風險并制定安全策略，逐步搭建零信任環境

先以終端環境風險評估作為基礎訪問控制依據，針對用戶訪問大數據中心的應用、外部應用或應用前置訪問大數據中心的服務API接口、外部數據平臺通過API接口和大數據中心進行數據交換等場景設計訪問控制點。通過可信代理結合訪問控制中心，分段建立用戶動態多因素身份認證和接入設備安全狀態評估能力。同時，可針對數據安全泄露風險應部署聯動的安全審計和防泄漏工具，建立追蹤溯源能力。

(5)建立持續完善和維護機制

基于零信任技術環境相關邏輯組件和平臺工具，實時采集包括安全日志、用戶行為、資產信息等各種動態數據，進行縱深安全分析，不斷調整信任狀況，盡可能實現自動化管控，執行持續防御和動態訪問控制，保障安全體系有效運行并不斷完善安全防護體系。

4 結束語

零信任技術正在快速推動網絡安全技術的發展和變革，能夠真正實現安全和業務的聚合并形成內生安全。核電行業網絡信息系統規模大結構復雜，結合云平臺、大數據應用及物聯網等新技術的快速推廣和應用，可以通過零信任架構的落地實施改進和完善安全防控體系，滿足集中化和高度敏感數據資源的安全可控訪問需求，全面提升網絡安全防護水平。

本文研究分析了零信任體系架構和核心技術，對大數據中心的典型應用場景進行了初步探討并提出實施路徑建議，可為核行業企業后續加快啟動和落地零信任工作技術提供參考和支撐。