基于“零信任”模型的安全網絡構建

孫梅梅，朱彥斐，劉 剛

（山東電子職業技術學院，山東 濟南250200）

近年來，互聯網技術的飛速發展打破了常規的時空限制，其嘗試把現實社會發生的一切變得數字化和數據化，伴隨著人工智能的興起，在大量黑客面前，任何細微漏洞都可以被捕獲，導致安全風險被無限放大。這使人們不得不對傳統的網絡安全架構進行升級和改造，由傳統的模型轉變為新的安全防護模型，即“零信任”模型。

1 “零信任”模型是什么

“零信任”即企業網絡不自動信任任何內部或者外部節點，對任何試圖進入企業網絡的人、事、物都要進行驗證，簡言之，“零信任”的策略就是不相信任何人。隨著網絡的安全性越來越受到關注，防火墻的引入是為了在互聯網內部以及公共和私人網絡之間建立邊界，然后在企業內部添加額外的防火墻以進一步分割網絡，“零信任”模型是將分段一直進行到網絡邊緣上的每個用戶、設備、服務和應用程序。用戶、設備或應用程序創建的每個會話在允許通信之前必須經過身份驗證、授權和賬戶認證，這也是“零信任”原則的體現，即“Trust no-one.Verify everything”。“零信任”網絡在網絡邊緣強制實施安全策略，并在源頭遏制惡意流量。

在《零信任網絡：在不可信網絡中構建安全系統》一書中，零信任網絡被描述為建立在以下5 個斷言上：①網絡無時無刻不處于危險的環境中；②網絡中始終存在著外部或內部的威脅；③網絡位置不足以決定其可信程度；④所有的用戶、設備和網絡流量都應當經過認證和授權；⑤安全策略必須是動態，并給予盡可能多的數據源計算而來的。

以上斷言很好地闡述了“零信任”的理念，也總結了“零信任”的幾個原則：驗證用戶、驗證設備、合理的訪問規則與權限控制，以及配套的動態機制。零信任網絡架構如圖1 所示。

2 傳統的基于區域的安全模型

“零信任”模型與傳統的基于區域的安全模型是不同的。基于區域的安全模型就是將網絡分解為不同的段或模塊。這種分段將用戶、設備、服務和應用程序定義到不同的信任域中，在給定區域內，用戶、計算機和服務器可以自由地相互通話。因為傳統的防火墻和入侵檢測系統（IDS）主要是針對網絡外部發起的攻擊，而對來自內部的網絡攻擊是無效的。而事實上，60%～80%的網絡濫用事件來自內部網絡。基于企業區域的常見安全模型如圖2 所示。

圖1 零信任網絡架構

防火墻用于控制網絡流量的南北方向移動，并允許段內的任何通信。從圖2 的左上角開始，一旦經過身份驗證，用戶和設備就可以進入受信任的網絡。在此方案中，允許用戶進入受信任的客戶端網絡段或區域內的任何位置。在圖2 的左下部分，不受信任的用戶必須使用虛擬專用網絡（VPN）并通過身份驗證、授權和帳戶認證（AAA，以下AAA 皆代表此含義）進程以獲取私有IP 地址，然后允許他們進入網絡。而且用戶只可以進入演示和語音、視頻區域，不能再進一步訪問其他應用。

傳統的基于區域的安全模型存在諸多缺陷：①在同一網段內的設備或服務器之間可以無障礙進行通信。因此，如果一個數據庫服務器受到攻擊，黑客可以對該區域內的其他數據庫服務器發起攻擊，而不會受到防火墻的檢測或干擾。②允許所有服務器訪問管理區域。因此，如果管理區域受到了威脅，就相當于給攻擊者在服務器中開了“后門”。考慮到這些限制，應該重新審視基于區域的網絡安全架構并添加微分段技術，特別是在公共云托管環境以及私有數據中心。

圖2 基于企業區域的常見安全模型

3 “零信任”模型的機遇和挑戰

“零信任”模型的發展面臨兩個方面的機遇：①隨著互聯網技術的發展，網絡已經把世界上的每一個人都聯系在一起，突破了時間和空間的限制，網絡邊界變得越來越模糊，實際上已經不存在安全的網絡。因此，以賬戶為基礎的安全體系無以為繼，需要把賬戶轉變為身份才可以在這種網絡中安全生存。②現實生活中涉及巨大價值或公共利益時，往往通過“零信任”體系而不是通過可信任體系來解決。數據的價值今非昔比，數據的托管性和多面性總會涉及眾多的公共利益，參照現實模型，“零信任”安全體系可以作為最恰當的數據安全體系架構。

按目前“零信任”網絡的發展來看，“零信任”網絡還有很多不足。比如BGP、身份和訪問管理（IAM）服務等路由協議之間缺乏集成。路由如果足夠智能，可以將具有子IP 地址的源設備存儲在一個子IP 網絡中，并通過IP 地址和應用程序將數據包發送到目標子IP 網絡。此外，雖然現在IAM可以用于網絡，但它并不用于確定數據包是如何路由的。“零信任”網絡正在將路由器的路由表與目錄的AAA 策略結合起來，以允許或拒絕一個包從源到目的地的轉發。與目前的二進制規則相比，更精細的規則可以應用到路由中，可以提高網絡性能和安全控制。

為了使IP 路由與目錄一起工作并實施“零信任”網絡策略，網絡必須能夠保持狀態。盡管防火墻和其他安全設備可保持狀態，但迄今為止的IP 網絡是無狀態的。原本路由器無狀態是為了保持簡單和快速，但現在通過在路由器中添加狀態，可以添加額外的服務，使路由器更加動態、智能和安全。

多年來網絡流量增長迅速，讓路由器不堪重負，所以創建能夠快速處理數據包的路由器尤為重要。現在的網絡需要基于邊緣、分布和核心的體系結構，其中路由是在分發層進行的，交換在邊緣和核心中完成。隨著路由器從專用設備轉向在網絡邊緣運行的軟件，在路由中增加額外安全和智能的限制或可被解除。

與傳統的邊界安全模型不同，“零信任”模型并不以用戶的物理登錄地點或者來源網絡作為訪問服務的判定標準，而是將訪問策略建立在設備信息、狀態以及關聯用戶的基礎上，更偏向于對用戶行為、設備狀態的分析。任何用戶必須使用由公司提供且持續管理的終端設備，通過身份認證，并且符合訪問控制引擎中的策略要求，才能通過專門的訪問代理訪問特定的公司內部資源。相應的，為了保證用戶獲得流暢的資源訪問體驗，“零信任”模型的訪問控制必須能夠準確識別設備及用戶、移除對網絡的信任、通過面向互聯網的訪問代理提供內部應用和工作流，以此實現基于已知設備和用戶的訪問控制，并動態更新設備和用戶信息。

4 結語

安全方案不再是應用層面或網絡層面的單一解法，隨著虛擬化技術的突破，“零信任”的理念也讓人們看到公共和私人網絡的邊界將逐步消除，網絡功能和上層應用也將機動組合，用戶、設備、服務、應用和數據標識細粒度映射到網絡會話，可以靈活地應用底層設備以應對更為豐富的防護策略。無論是物聯網設備的急劇增長，還是黑客行為的增加，勢必將推動企業考慮采用“零信任”等方式升級網絡。