淺談“零信任”網絡安全

姚旺

摘要：近兩年來，零信任（Zero Trust）在安全圈著實火熱。安全從業者需要理解“零信任”這個概念，零信任網絡的方案應該包含哪些模塊，和傳統安全架構的區別和優勢。對于企業而言，要考慮如何成功實現零信任項目，如何在將來采用這一架構做好準備。本文會從這些角度，討論零信任相關概念和零信任解決方案。

關鍵詞：零信任;安全網絡架構;云計算

一、零信任理念

零信任代表了新一代的網絡安全防護理念，它的關鍵在于打破默認的“信任”，用一句通俗的話來概括，就是“持續驗證，永不信任”。默認不信任企業網絡內外的任何人、設備和系統，基于身份認證和授權重新構建訪問控制的信任基礎，從而確保身份可信、設備可信、應用可信和鏈路可信。基于零信任原則，可以保障辦公系統的三個“安全”：終端安全、鏈路安全和訪問控制安全。

任何設備和用戶在訪問應用前，先取得認證和授權才能訪問資源。與防火墻訪問控制不同。防火墻訪問控制規則，資源（應用或者服務）是開放的，用戶先訪問資源，然后根據系統需要來認證和授權。此外，基于位置和IP地址的訪問控制策略，不足以確認訪問實體是否合法（比如被入侵的客戶端）。

零信任網絡不是簡單地依賴于“用戶名/密碼”來控制訪問。理想的零信任模型，包含多個屬性的評估。設備的身份屬性，用戶身份，設備當前安全性（比如重要補丁，關鍵注冊表項，用戶，程序，當前進程等），這些訪問相關的上下文語境，構成了信任的基礎。只有超過預設的信任等級，才能被授予訪問權限。

訪問初始的信任，不是一次性的，而是需要持續性地評估。這得益于UEBA（用戶和實體行為分析）技術的發展，持續對接入設備的行為分析，確保沒有惡意行為發生。一旦發現訪問實體的異常行為，比如掃描或者暴力破解，意味著信任等級的降低，零信任網絡可以切斷這種訪問，從而降低安全風險。最小權限意味著設備或用戶獲得完成任務的最小權限。微隔離技術，根據服務和區域，將網絡切片隔離，避免攻擊的橫向擴展，常常應用在零信任網絡中。

上面對零信任的理念作了解釋。可以看出，零信任并未引入新的技術。而且很多技術（比如認證、授權、設備安全，包括UEBA）企業或多或少都有部署。然而，將這些技術重新排列組合，卻是新穎的方式。

二、零信任網絡形式

零信任網絡是多個技術的組合，相關的組件和產品，既可以部署在企業側，也可以架構在云端，實現方式亦有不同。

（一）本地部署和云端部署

1.本地部署

本地部署包含了設備身份、用戶身份、接入代理、訪問控制規則引擎等組件。零信任網絡借助這些組件的協作，判斷設備和用戶的身份、設備的安全性等，成功后根據用權限，訪問數據應用。

2.云端部署

零信任網絡的云端部署，適用于訪問在云端數據中心應用的場景。云端包含了安全接入、身份認證與管理、威脅防護等模塊。

（二）客戶端發起和服務端發起

基于零信任的網絡訪問控制，咨詢機構Gartner將其分為客戶端發起和服務端發起兩種類型。

1.客戶端發起的零信任網絡

客戶發起，需要在客戶端上安全裝認證訪問的組件，比如客戶端軟件，基于BS架構的應用訪問，可以在瀏覽器上安裝插件。例如，CSA在2014年提出的SDP規范。

2.服務端發起的零信任網絡

服務端發起的零信任網絡，類似于上文提到的谷歌BeyondCorp案例。服務端發起的好處，在于客戶端可以不用安裝組件。

三、零信任網絡建設步驟

疫情催生大規模的遠程工作，讓網絡環境變得更復雜多變。在這樣混亂的網絡環境中，黑客最容易找到網絡漏洞，發生了多個勒索攻擊的事件，傳統的基于系統的安全防護部署已經不能滿足當前的要求。在這樣的背景下，零信任方法歷史性地成為了安全行業的新希望。

那么，組織應該如何應用“零信任”藍圖來解決其新的復雜網絡問題？

1.識別和分段數據

數據是實施“零信任”的最復雜領域之一，因為在實施該方法錢，組織需要確定哪些數據是敏感的。在嚴格監管環境中運營的企業可能已經知道敏感數據是什么，因為監管機構一直要求對此類數據進行監管，因此將敏感數據的網段與數據中心服務器分離是有意義的。

2.映射敏感數據的流量并將其與業務應用程序關聯

將敏感數據識別分段后，下一步就是知道數據的去向、用途以及應用。如果您不了解有關您的數據的信息，則無法有效地保護它，使用正確的工具讓您可以了解需要允許哪些流程，這樣就可以進入“零信任”規則，判定“其他所有內容都將不被允許”。

3.構建網絡

在知道哪些流量被允許訪問后，組織就可以著手設計網絡體系結構以及執行網絡微邊界的過濾策略。組織可以將過濾策略放置在網絡中的任何位置，并可以在不同區域和段之間放置邊界，這是要實現的控制量與安全性之間的平衡。由于存在許多連接或微細分的孤島，因此您必須要考慮需要花費多少時間來設置和管理它們。

4.監控

想要知道網絡是否存在問題的唯一方法是始終監視整個基礎架構上的流量。監控除了可以檢驗我們的的數據是否合規，還可以監視網絡以了解其中的所有流情況，并根據它們的意圖對其進行分析，這允許您在編寫策略規則之前查看哪些流是必要的。在這里，你可以從默認的“允許”策略到默認的“拒絕”策略或組織的“D-DAY”政策進行大的轉換。

5.自動化和協調

進入“D-DAY”的唯一途徑是借助策略引擎，這是整個網絡策略背后的中心“大腦”。由自動化流程啟用的策略引擎能夠將任何更改請求與您定義為合法業務連接要求的內容進行比較，如果您必須使用各種不同的技術（有各自的復雜性和配置要求）將更改部署到潛在的數百個不同的執行點中，沒有智能自動化系統，幾乎不可能完成此更改請求過程。

四、小結

零信任網絡是一個演進的網絡安全框架。零信任網絡解決方案，構建在已有的安全技術能力之上，核心是基于信任的訪問。圍繞這個理念，零信任評估訪問的用戶、設備的安全性，并且在訪問周期內持續評估，以此確保訪問始終是信任的。成熟且有效的零信任網絡能夠極大提高安全等級。

參考文獻

[1]羅慶俊，張艷軍，王陸瀟.基于物聯網的環境監測綜合管理平臺設計[J].四川環境，2016，35（ 6） ： 82-86.