基于零信任的企業安全架構

舒玉鳳

（中電福富信息科技有限公司 福建省福州市 350013）

1 網絡安全趨勢介紹及引入零信任

傳統的網絡安全架構是基于邊界的，這種網絡安全架構默認或者假設內網的人和設備是可信任，安全就是構筑企業的數字護城河，基于傳統的安全理念,在企業發展初期,可以相對簡單的實現網絡安全防護，如圖1所示其認為網絡內部的人員與設備是可信的，通過防火墻、VPN、IPS/IDS 等設備建立企業的網絡邊界，這種安全架構在傳統網絡安全防護上被證實是安全可靠的。

但是隨著企業、網絡及信息化的快速發展，典型的IT 基礎架構變得越來越復雜，如一家企業可能運營多個內部網絡，擁有本地基礎設施的分支機構，遠程辦公接入和移動辦公的個人，以及云上的服務等，IT 基礎網絡架構演示進如圖2所示，從開始單純的內網訪問，逐步增加分公司/辦事處，再到企業資源上云，遠程辦公，移動辦公等等應用的使用，安全邊界越來越模糊，這已經超越了傳統的基于邊界防御的網絡安全策略，因為沒有單一的、可以清晰辨別的企業邊界。此外，基于邊界防御的網絡安全控制已顯示出明顯的不足，一旦攻擊者突破了邊界，進一步的橫向攻擊將不受阻礙導致內網全部失陷。

因此，需要在現有的邊界安全體系之上，疊加一層基于身份的邏輯安全邊界，把訪問控制從粗粒度的網絡層面，遷移到細粒度的人、設備和業務層面，對所有的人、設備、訪問請求進行身份驗證和細粒度權限管控，重構以身份為基石的信任體系，這種安全理念和方法稱之為零信任。

2 零信任的本質

零信任的核心思想是默認不應該以網絡環境信任任何人、設備或系統，而是以認證和授權構建安全的訪問控制體系，將原本基于網絡位置的訪問控制體系轉變為以身份為中心的訪問控制體系。其本質是在訪問過程中構建以身份為基石的動態訪問控制體系，通過以身份為基石、業務安全、持續信任評估和動態訪問控制的關鍵能力，對默認不可信的所有訪問請求進行加密、認證和強制授權、持續信任評估，并根據實際需求動態對權限進行調整，最終在訪問主體和客體之間建立一種動態的信任關系，如圖3所示，所有的訪問都是默認不可信的，只有經過可信認證之后的才能看到授權訪問的資源列表。

以身份為中心構建訪問控制體系，需要為網絡中的人、設備或者系統賦予數字身份，將數字化身份化的人、設備或者系統進行運行時組合構建訪問主體并為其設定其最小權限。訪問主體在訪問資源時必須先完成數字化身份的認證，確認訪問者的身份，根據其身份給予特定的訪問資源的權限。

業務安全訪問針對要保護的核心業務資產構建安全訪問的屏障，這些業務包括應用、服務、接口等等。這些業務在網絡中默認是隱藏不可見的，要根據通過身份驗證的訪問者的授權結果進行最小限度的開放，所有業務訪問請求都進行全流量加密和強制授權，這樣對于無身份和權限的攻擊者來說所有的應用、服務及接口對他都是不可見的，沒有攻擊目標就不能形成攻擊行為。

持續信任評估自動收集盡可能多的“線索”，如訪問上下文、行為信息等等，通過不依賴于特征的人工智能深度機器學習能力進行綜合判斷，有效發現訪問行為和環境存在的風險，并且能實時調整信任等級，動態控制接入和訪問的權限。

動態訪問控制是零信任安全架構的重要部分，可通過RBAC 基于角色的權限控制、ABAC 基于屬性的權限控制這兩種控制方式的組合授權實現靈活的訪問控制基線，基于數字化身份的信任等級實現對業務的分級訪問。同時當用戶訪問上下文和環境存在風險時，可即時對訪問主體的權限進行實時干預并通過持續信任評估判斷對訪問主體的信任級別進行降級處理。

3 基于零信任的企業安全架構

依靠網絡邊界的傳統安全架構的構建是基于內網位置的信任體系，認為網絡內部的人員與設備是可信的，通過防火墻、VPN、IPS/IDS 等設備建立企業的網絡邊界，其訪問過程是先連接后認證，以網絡為邊界。基于零信任的架構把防護重心從網段轉移到資源本身，是基于用戶行為的持續信任評估安全模型，其訪問過程是先認證后連接，以身份為邊界。

3.1 基于零信任企業安全架構的介紹

企業安全架構實現了“沒有認證進不去，未經授權拿不走，操作行為賴不掉”全過程安全防護體系，如圖4所示，所有的訪問都需先經過身份和設備的認證即沒有認證進不去，根據其擁有的權限進行訪問連接即未經授權拿不走，訪問過程全程審計即操作行為賴不掉的效果。

3.2 基于零信任企業安全架構的防護說明

基于零信任企業安全架構有全面身份數字化、多源信任評估、動態訪問控制、統一安全審計四個方面的特點，基于信任和風險的閉環，實現“精確而足夠”的安全

全面身份數字化是通過前置安全接入網關，強制所有訪問都必須經過認證、授權和加密；基于零信任企業安全架構的關鍵就是身份數字化，把人、設備和系統進行全面的身份數字化，必須先認證后連接，以身份為邊界進行安全防護。統一身份認證支持統一身份管理和多因素的統一認證，還可根據人員在企業的入職、變更、離職全生命周期和安全聯動起來，從而實時調整身份的權限、安全策略，以提高整體安全系數。

多源信任評估包括人員可信和設備可信評估，人員可信實現基于動態令牌，人臉識別等多因素身份認證，減少人員冒用的風險，保證了人員可信。設備可信構建了終端安全狀態評估能力，用戶終端出現風險事件如感染了病毒，木馬，開啟錄屏等，基于零信任的安全架構能自動感知并可自動拒絕該用戶的訪問。

動態訪問控制是零信任安全架構的重要體現。其通過RBAC 和ABAC 的組合授權實現靈活的訪問控制基線，基于信任等級實現分級的業務訪問，同時監測用戶的身份、行為及環境，若其發生變化且可能存在風險時，通過持續信任評估判斷是否對訪問主體的信任進行降級，通過主體的信任等級和客體的信任等級加上已有的靜態授權,實現動態的訪問權限控制。

統一安全審計是抗抵賴和訪問溯源的重要體現。基于零信任的安全架構通過采集用戶訪問流量和用戶訪問操作日志，基于人工智能AI 進行威脅建模，進行流量和用戶訪問操作日志的審計，還原用戶的訪問鏈，從而實現對用戶訪問操作溯源和操作抗抵賴。

4 結語

在當今，信息安全越來越重，同樣保障企業信息資源不被泄漏保障也同樣越來越重要，但是傳統的以網絡為邊界的安全越來越難以保護信息資源的安全性，基于零信任的企業安全架構提出一種以身份為邊界的全新網絡架構，為現階段的安全態勢提出合理解決方案。