零信任架構構建安全網絡環境

■ 云南 王軍峰

編者按：如今傳統的網絡安全邊界變得越來越模糊，目前的網絡防御技術存在諸多漏洞，為黑客攻擊提供了極大的便利。隨著網絡攻擊演變得更加復雜，新的網絡安全防御思維應運而生。

由公安部第三研究所網絡安全法律研究中心與百度聯合發布的2019年《網絡犯罪治理防范白皮書》中披露，每分鐘因網絡犯罪導致的經濟損失高達290萬美元，每分鐘泄露的可標識數據記錄為8100條，數據表明，33.9%數據泄露事件與內部威脅有關。

認識到了現有安全防御的不足以及應對愈趨嚴峻的安全態勢，我們需要更好的東西，而零信任模型恰好就能得到最好的結果。

網絡先天存在的缺陷

1.網絡協議的缺陷

TCP/IP協議是建立在可信的環境之下，由于在其設計初期人們過分強調其開發性和便利性，沒有仔細考慮其安全性，因此很多的網絡協議都存在嚴重的安全漏洞，給Internet留下了許多安全隱患。

2.終端系統漏洞

互聯網的飛速發展打破了常規的時間、空間限制，使我們可以服務的人群變得無限多。然而，互聯網帶來無限多客戶的同時也帶來了無限多的黑客。在黑客面前，任何細微漏洞都可能被捕獲，導致安全風險被無限放大。特別是兩個基本假設的成立讓我們無所適從：

任何應用程序都會存在漏洞；黑客總是比用戶更早地發現漏洞。

3.邊界防火墻的缺陷

由于傳統的防御體系側重于互聯網、第三方等邊界的網絡安全防護，認為只要構筑了企業的數字護城河，通過防火墻、WAF、IPS等邊界安全產品或方案，就能實現企業的網絡安全。

這種網絡安全架構假設或默認了內網比外網更安全，在某種程度上預設了對內網中的人、設備和系統的信任，從而忽視內網安全措施的加強。網絡邊界的安全防護一旦被突破，即使只有一臺計算機被攻陷，攻擊者也能夠在安全的網絡中心內部自由移動。

網絡安全面臨的重大挑戰

在網絡新時代，網絡攻擊給我們帶來了新威脅和大挑戰，主要面臨著6大新威脅。

第一，網絡攻擊正在威脅國家安全。敵對勢力通過網絡攻擊可以在敵對國家內部的網絡空間搞破壞，最終達到影響民意等目的，甚至實現“顏色革命”。

第二，網絡戰威脅國防安全。網絡戰已經成為國際沖突的常見形式，網絡戰時時刻刻都在發生，網絡戰會成為未來戰爭的首選，給國家國防安全帶來了嚴重威脅。

第三，網絡攻擊也在威脅國家關鍵基礎設施安全。物聯網、工業互聯網正在把虛擬世界和物理世界打通，所有原先虛擬世界的攻擊都可以直接影響現實物理世界，通過網絡就可以破壞水、電、氣、交通、能源等關鍵基礎設施。

第四，網絡攻擊威脅社會穩定和公共安全。現在整個社會的運轉、公共服務、老百姓的吃喝玩樂都建立在網絡之上。一旦遭受網絡攻擊，社會秩序就會混亂。

第五，網絡攻擊威脅金融和經濟安全。互聯網金融已經深入大眾生活，而針對金融系統的網絡攻擊也層出不窮，威脅金融和經濟安全。例如區塊鏈的火熱也讓虛擬貨幣已經成為黑客攻擊的新目標。

第六，網絡攻擊威脅用戶個人安全。數據顯示，網絡犯罪正在成為第一大犯罪類型，未來絕大多數犯罪都可能借助網絡實施。網絡犯罪除了造成用戶隱私泄露、財產損失外，甚至也在影響人身安全。

傳統的可信任網絡體系面臨巨大挑戰，無法滿足安全的需求。我們需要構建零信任體系，以管理戰略情報的思維來管理數據。

零信任網絡構建提升網絡安全

互聯網給我們帶來了很多的安全方面的經驗教訓，人們意識到舊的網絡防護體系需要打破。

2010年John Kindervag提出信任網絡（亦稱零信任架構）模型，零信任是一個安全概念，中心思想是不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入內部系統的人/事/物進行驗證。

簡言之，零信任的策略就是不相信任何人。除非網絡明確知道接入者的身份，否則任誰都別想進入。什么IP地址、主機之類的，不知道用戶身份或者不清楚授權途徑的，統統不放進來。

零信任架構假設網絡自始至終充滿外部和內部威脅，不能僅憑網絡位置來評估信任，從傳統的以網絡為中心轉變為以身份為中心進行訪問控制，這種轉變的必然性是因為網絡邊界正在瓦解，已經無法區分內外網，因此，索性將內網按照互聯網安全的思路進行建設，而互聯網對業務的安全防護的典型解決方案就是基于身份與訪問控制。因此，零信任安全自然而然的將身份和訪問控制作為信任重建的基石。

1.加強用戶身份驗證

每個人都有身份，它是現實社會中個體的象征，是個體進行社會活動的基礎，在網絡系統中，身份就是社會人/用戶所對應的數字個體的標識，是用戶在網絡系統中活動的基礎。認證對于零信任網絡至關重要，它是強制行為，在現行的網絡結構中主要包括密碼認證、生物特征認證和安全令牌認證。

密碼是常用的認證機制，安全性高的密碼需要具備以下的特征。

長度足夠長：最近的NIST密碼標準建議密碼長度最小為8位，但是具有高度安全意識的個人通常使用的密碼長度為20位以上。

難以猜測：最好利用隨機數生成器生成的數值作為密碼，每個應用和服務都選用不同的、位數足夠長且難以猜測的密碼。

生物特征識別更加便捷安全，如指紋、虹膜掃描、掌紋、人臉識別等技術。雖然生物特征識別有助于提高系統安全性，但是這種機制的一些天然缺陷也不可忽略：生物特征認證極大依賴于物理特征的精準度量，攻擊者可能欺騙傳感器；另一個缺點是它們不可變更。

安全令牌是一種應用于用戶認證的硬件設備，隨做安全企業的發展，越來越多的企業傾向于使用硬件機制認證用戶身份，將用戶身份與硬件設備綁定，大大減小了用戶憑證被復制和盜竊的風險。

2.建立設備信任

在零信任網路中建立設備信任至關重要，建立設備信任是基石，直接影響零信任網絡架構的成敗。

大多數網絡安全事件都和攻擊者獲得信任設備的控制性相關，這種情況一旦發生，信任就將被徹底瓦解，無法通過設備來確保安全信任鏈的建立。必須確保使用標準化的健康合規要求，對網絡生態系統中對接入的設備進行一致的掃描和監測，如果沒有這些措施，將很難在整個網絡上運行健康檢查，也將為惡意行為體提供訪問網絡和網絡資源的機會。網絡環境已經延伸到了接觸生態系統的每一臺設備，這一切都要做好抵御攻擊的防護，包括受管和非受管的端點：移動設備、平板電腦以及物聯網設備。

有效的零信任安全戰略意味著您必須審核每臺設備；確保其值得信賴；授予訪問權限；然后隨時隔離、保護和控制每臺接觸網絡的設備。因為設備驗證屬于一個重要環節，因此要對設備進行清點。

3.加密認證

在零信任網絡中，系統接收到的所有數據包都是不可信的，因此在處理封裝與數據包中的數據之前必須嚴格檢查這些數據包，強認證機制是完成該項該項檢查的受選方案。

加密是零信任安全的一個關鍵組件，因為它假定網絡本身不可信任，網絡上的任何數據都必須相應地受到保護。還應考慮與過程/處理中數據相關的風險，并對該階段的數據管理進行加密，此外還應考慮傳輸或靜止的數據。

加密和認證通常是緊密相關的，盡管其目的截然不同。加密提供機密性，用于確保只有接收者才能讀取發送的數據；認證則用于接收者可以驗證消息確實是由所聲明的對象發送的。

4.審查訪問行為

有效的零信任策略包括監控訪問行為和分析模式和趨勢。為了增加從開關中使用抽象的流量分析管道，在整個網絡的安裝了流量監控的用戶設備來模擬非特權網絡中的行為。

這個流量監控檢測作為每一個設備的基礎服務，檢查所有輸入和輸出流量，長期記錄并分析網絡流量，能夠發現現有網絡中存在哪些類型的網絡連接。

收集并記錄所有網絡流量后，基于高級系統連接對網絡流量進行分類，有了這些網絡定義，就可以更好的執行已知連接的訪問控制，感知網絡中通信模式的變化。

網絡流量和網絡上用戶/設備行為的日志和監控，這將提供對網絡映射的更好理解，并使識別可能指示對網絡資源的未經許可訪問的異常行為變得更加容易。用諸如安全信息管理、高級安全分析平臺、安全用戶行為分析和其他分析系統這樣的工具，使安全專家能夠實時地觀察正在發生的事情和更智能地定向防御。對網絡相關事件數據的分析，有助于在實際事件發生之前制定主動安全措施。

結語

零信任是一個演進式的框架，而不是革命性的方法。它建立在現有的安全概念之上，并沒有引入一種全新的網絡安全方法。與大多數安全概念一樣，零信任依賴于對組織的服務、數據、用戶、端點的基本理解。關于前期資源投資，沒有“免費午餐”。策略定義、部署概念、信任確定（和衰退）、執行機制、日志聚合等，都需要在部署解決方案之前考慮。