網絡如何支持零信任架構

■ 北京 李先齡

編者按：零信任方法種類繁多，可以在主機操作系統、軟件容器虛擬網絡、虛擬機監視器或具有SDP或IAP的虛擬云基礎架構中實施。本文探討用戶網絡如何支持和實施零信任架構。

簡而言之，零信任要求驗證每個試圖訪問網絡的用戶和設備，并執行嚴格的訪問控制和身份管理，以限制那些授權的用戶僅能訪問其權限之內的資源。

零信任是一種體系架構。因此，有許多潛在的解決方案可用，但這只是適用于網絡領域的一種解決方案。

最小特權

零信任的一個廣泛原則是最小特權，即授予訪問者僅能夠訪問有關資源的最小的權限。那么如何實現這一目的呢？

一種方法是網絡分段，它可以基于身份驗證、信任、用戶角色和拓撲將網絡分隔開來。如果得到有效實施，它可以隔離某個網段上的主機，并最大程度地減少其橫向或東西向通信，從而在主機受到損害時將損失限制在一定范圍。由于主機和應用程序只能訪問它們有權訪問的有限資源，因此分段可以防止攻擊者進入網絡的其他部分。

實體（個人或設備等）根據上下文被授予訪問權限，并被授權訪問資源——個人是誰？使用什么設備訪問網絡？其位置、通信方式以及訪問目的是什么？

還有其他強制分割的方法，最傳統的方法之一是物理隔離。物理隔離是通過將專用安全設備對網絡及主機等進行物理上的隔離，并設置為不同的安全級別。盡管這是一種久經考驗并證明比較有效的方法，但為每個用戶的信任級別和角色構建完全獨立的環境可能會非常昂貴。

二層分段

另一種方法是二層分段，其中最終用戶及其設備是通過設備和訪問交換機之間的內聯安全過濾來進行隔離。但是在每個用戶和交換機之間安裝防火墻可能成本會非常高。

還有一種方法是基于端口的網絡訪問控制，該方法可基于身份驗證或通過請求方證書來授予訪問權限，并將每個節點分配給三層VLAN。

以上這些類型的方法通常是通過802.1X標準和可擴展的身份驗證協議，部署在有線和無線訪問網絡。但是企業可能并不會利用供應商，諸如全套最終用戶角色、身份驗證憑據、設備配置文件和高級流量過濾，來根據用戶的可信度對用戶進行細分。如果用戶按照這些方式進行部署，那么其安全性會得到大大增強。

三層分段

創建應用程序隔離區的常用方法包括將接入線纜和端口分離到三層VLAN中，并執行內聯過濾?？梢酝ㄟ^網絡設備（例如路由器）來執行過濾，也可以通過對用戶身份和角色有一定認知的狀態防火墻或代理服務器來執行。一個典型的示例是標準的三層Web應用程序體系架構，其中Web服務器、App服務器和數據庫服務器位于單獨的子網中。

由此之后的是網絡切片（Network Slicing），是通過SDN方式將網絡在邏輯上分為多個切片，類似于虛擬路由和上下文轉發。

當前的做法是為每臺服務器分配自己的IPv4子網或IPv6/64前綴，并將其子網發布給網絡路由器。該服務器子網內的所有流量都是該服務器內的本地流量，因此該主機內的虛擬網絡上不會發生其他滲透行為。

將流量封裝在IP網絡頂部運行的覆蓋隧道中也可以實現網段隔離，這可以通過多種方式來完成，其中包括虛擬可擴展LAN、使用通用路由封裝的網絡虛擬化、通用網絡虛擬化封裝、無狀態傳輸隧道和TSO（TCP segmentation offload）技術。

數據包標記——使用內部標識符標記數據包——可用于在接口之間建立信任關系，并根據其身份和授權隔離最終用戶設備的數據包?？梢詷擞泤f議，包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec。分段路由則是在IPv6數據包中使用特殊的路由頭部來控制MPLS或IPv6網絡上的通信路徑。

建議

美國國家標準技術研究院（NIST）列舉了零信任體系架構的邏輯組件，并提供了一些部署樣式的定義，包括基于策略決策點和策略執行點來驗證和認證用戶。這類似于云安全聯盟最初構想的軟件定義邊界（SDP）的方式。

此方法通過使用一個SDP控制器，該控制器對用戶進行身份驗證，然后根據用戶的角色和授權通知SDP網關允許訪問特定的應用程序。該過程可以使用傳統的用戶名和密碼，也可以使用帶有一次性密碼、軟件令牌、硬件令牌、移動應用程序或文本消息的新型的多因素身份驗證（MFA）方法。

還有一種可供選擇的的方法稱之為單包認證（SPA，Single Packet Autho rization）或端口碰撞（Port Knocking）技術，是通過使用客戶端瀏覽器或應用程序將一組數據包發送到SDP控制器，以識別相應的用戶及其設備。

其實存在各種各樣的微分段、主機隔離和零信任網絡方法，有些是應用在網絡設備中，有的是在服務器中，或是在身份和訪問控制系統中，或在中間設備（例如代理服務器或防火墻）中實現的。零信任方法種類繁多，可以在主機操作系統、軟件容器虛擬網絡、虛擬機監視器（Hypervisor）或具有SDP或IAP的虛擬云基礎架構中實施。

許多零信任方法還涉及最終用戶節點上的軟件代理以及X.509證書、雙向TLS（mTLS）認證、SPA和MFA。僅僅通過網絡、服務器或安全管理人員無法獨自完全實現所有這些功能。為了實現有效的零信任網絡架構，可以通過與跨部門的IT團隊協作來實現這些技術。