基于零信任的網絡安全模型架構與應用研究

翟福龍

摘要：近年來，隨著互聯網和計算機相關技術的蓬勃發展，用以保護數據安全的傳統安全架構的局限性正逐漸顯露出來。于是，零信任安全的概念應運而生，它直接顛覆了原有的觀念，認為內部用戶與外部用戶都不可信。該文闡述并分析了當今網絡安全的趨勢和現狀，對基于零信任的網絡安全架構進行了詳細闡述，并提出了一套行之有效并易于落地的零信任解決方案。

關鍵詞：網絡安全;零信任;身份認證;權限管理;動態訪問控制

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）03-0037-04

開放科學（資源服務）標識碼（OSID）：

隨著網絡和信息技術的不斷普及，人類產生的數據量正在呈指數級增長，而云計算的誕生更是直接把我們送進了大數據時代。隨之而來的，是從大公司到小公司，從政府機關再到商業機構的有關數據泄露的例子層出不窮。這說明靠邊界劃分可信不可信的方法正在逐步失效。

傳統的內部安全外圍依靠防火墻、VPN來隔離[1]。但隨著員工越來越多地使用自己的手機、自己的電腦、自己的平板，再加上云計算的廣泛普及，整個網絡的邊界越來越模糊。如何能夠更好地適應當今世界的網絡環境，零信任安全[2]的概念應運而生，它認為內部用戶與外部用戶都不可信，并且需要構建動態的訪問控制流程。在以往的案例中，黑客常常利用已掌握的密碼和證書完成攻擊，因此，對這些內部用戶零信任可能是未來減少數據泄露的主要方法。

1 傳統網絡安全趨勢與現狀

根據Grand View Research的研究表明，2021年我國網絡安全產業規模將達到102.2億美元，而到了202年，這個數字將達到172.7億美元，綜合2021-2025年，符合年均增長率在20%以上，遠高于全球增速，領跑全球。隨著《中華人民共和國網絡安全法》的頒布，網絡安全在我國的重視程度更是達到了前所未有的高度，隨后頒布的《網絡安全等級保護條例》（等保2.0）和《密碼法》更是對現有法律體系的有效補充。習近平總書記在全國網絡安全和信息化工作會議上更是做出了“沒有網絡安全，就沒有國家安全”的重要指示。

隨著國家的不斷重視，傳統網絡安全架構的問題也越來越多地暴露在網絡安全行業參與者的面前。下面分別探討終端安全、網絡安全、邊界安全以及應用安全方面存在的主要問題。

1.1 終端安全

目前，我們的網絡接入終端多種多樣，總體來看可以分為移動端和PC端[3]。但很多接入網內的終端設備安全性并未達到安全基線要求，接入網絡后，有將病毒、木馬引入網絡環境的風險;同時，由于終端的防護效果不佳，易于遭到攻擊行為，一旦終端感染木馬病毒，攻擊者以終端為跳板滲入內網業務數據中心竊取、篡改數據，對網絡擁有者的數據安全造成嚴重威脅;另外，接入終端接口被濫用、盜用，導致數據泄露、篡改、污染的安全事件也層出不窮。

1.2 網絡安全

隨著國家等級保護制度（等保）和關鍵信息基礎設施保護制度（關保）的不斷完善，許多企事業單位都為自己的網絡環境架設了防火墻、下一代防火墻、WAF、IPS、IDS、關閘、數據庫審計系統、態勢感知等多種安全設備，但都是單兵作戰，沒有形成有效的網絡安全體系，進而無法將這些設備聯動起來。

1.3 邊界安全

傳統的邊界安全靠的是防火墻、VPN等安全設備來實現，并默認內部用戶不會對網絡安全進行破壞[4]。但隨著大數據的發展以及移動互聯網的普及，整個網絡的邊界越來越模糊，靠邊界劃分可信不可信的方法正在逐步失效。根據有關部門統計數據，近年來，平均每一天就有6起數據泄漏事件發生，而其中源自內部數據泄漏比重占了近三成，并呈現逐年上升的趨勢，內部人員的數據泄漏問題變得越來越嚴峻。

1.4 應用安全

目前，常見的應用安全只提供了基礎的用戶身份認證與訪問控制、應用安全防護和應用開發安全等方面的防護。對訪問應用系統、應用功能、數據、服務接口的權限還沒有進行細粒度控制和動態調整;同時，在應用安全防護方面，還沒完全做到攻擊行為和安全威脅進行防護和阻斷和針對不同應用系統提供有效隔離;對終端的訪問行為、用戶的操作行為等尚未進行完整規范記錄，無法及時發現用戶的異常訪問行為。

2 基于零信任的網絡架構

2.1 零信任

零信任（零信任網絡、模型、架構等）這個概念最早由時任弗雷斯特研究公司的約翰·金德維格（John Kindervag）所提出。他認為通常認為是“可信”的內部環境同外部環境一樣充滿了威脅，并指出“信任是安全的致命弱點”，因此提出了零信任（Zero Trust）概念。他的核心思想是“從不信任，始終在校驗” [5]。

Google公司在2011年之前也是采用傳統的安全防護方式，2009年的APT攻擊“極光行動”推動Google重新搭建整體安全架構，2010年提出零信任概念，并于2013年開始向零信任架構轉型。2017年，作為互聯網的引領者，Google宣布BeyondCorp項目順利完成，這便是基于零信任理念而實踐出的新一代網絡安全架構[6]。隨后各大企業、安全廠商也都緊跟科技的浪潮，積極投身到零信任的方案研發和改進的工作中。

Google認為，現在傳統的網絡安全架構缺少對內部網絡流量的檢查。一旦流量經過了防火墻或VPN的安全檢查策略，那么內部的所有網絡數據均暴露在面前。這樣的一種局面迫使我們需要將安全控制的實施點盡可能地前推到網絡邊緣。同時，將整個系統架構分為控制域和數據域，數據域接收并執行控制域下發的策略和指令。總體的思想是，通過一個權威的、可信的控制中心，基于人、終端、環境、行為等多個維度來執行認證、授權、實時的訪問控制等操作。

零信任模型打破了傳統網絡邊界防護思維，傳統網絡安全體系專注于網絡邊界防御，假定邊界內的任何人員、設備是可信的，攻擊者一旦突破網絡邊界防御，就可以在內部為所欲為。云計算環境中，網絡邊界變得越來越模糊，傳統的基于網絡邊界的訪問控制難以奏效 [7]。

零信任安全體系將身份作為新的安全邊界，通過多因子身份認證、身份與訪問管理（IAM）、編排、分析、加密、安全評級和動態權限調整等技術來確定用戶是否有權限訪問內部應用、數據、服務等，實現對數據“可用可見、可用不可見、不可用不可見”的統一授權管理。

2.2 基于零信任網絡安全模型架構

2.2.1 方案組成

本文中，將零信任體系理解為實現對數據和功能兩大核心資產訪問的行為進行精細化控制，將人、設備、服務和應用的身份均統一抽象成主體身份，通過主體身份的屬性進行動態鑒證和鑒權，實現對數據 “可用可見、可用不可見、不可用不可見”等狀態的統一授權管理。

本文中提到的網絡架構方案適用于各級用戶匯聚節點與數據匯聚節點之間。在平臺兩側分別建設安全防護區，通過統一威脅防護設備，如防火墻等實現安全互聯。總體來看，基于零信任的網絡架構有賴于身份管理中心、權限管理中心、認證管理中心、終端環境感知以及常規的防火墻、安全漏洞掃描、蜜罐、用戶行為分析、數據隔離與交換系統等能力的建設，并與安全管理中心的業務安全策略控制相結合，形成動態、持續、閉環的業務訪問安全，最終形成用戶訪問后端數據的通路。具體來看，本文受篇幅所限，僅對安全接入網關、安全接入網關管理中心、統一身份管理系統和統一權限管理系統這四個部分做詳細闡釋，其余部分暫不涉及[8]。

零信任安全體系是一個動態閉環安全體系。如圖3所示，安全接入網關是整個體系中重要的策略執行點。可信接入網關通過與終端環境感知、統一身份管理系統和統一權限管理系統聯動，實現用戶身份的統一管理、動態的權限控制和策略執行。

用戶通過零信任安全體系，訪問后端應用的信息流轉如圖4所示。首先用戶訪問安全接入網關地址或域名，安全接入網關向安全接入代理管理中心發起認證請求。安全接入代理管理中心向后端的認證服務、身份管理服務、授權服務發起認證申請，并將返回的用戶認證結果Token同步到安全接入網關，用以判斷該用戶是否有權限訪問該網絡環境。在用戶整個訪問的過程中，有終端環境感知持續對該用戶、設備、行為進行實時的感知和監控，一旦發現異常并觸發了預設的阻斷策略，即向安全接入代理管理中心發起異常通知，并由安全接入代理管理中心下發阻斷訪問的通知，實現用戶訪問全流程的管控。

如果希望對數據訪問進行更加精細顆粒度的訪問控制，可以在應用之前加設安全API網安，實現單一應用接口級的訪問控制。流程如圖5。

安全接入代理管理中心同時向后端的認證服務、身份管理服務、授權服務申請用戶Token和應用Token，認證及授權完成后，經過WAF系統進行Web安全檢測和防護，訪問安全API網關.安全API網關通過安全接入代理管理中心進行應用接口鑒權。鑒權通過后，安全API網關轉發API接口調用至后端應用數據，用戶成功訪問應用。

2.2.2 安全接入網關

安全接入網關主要用于完成基于設備證書、用戶證書的訪問流量控制。通過與安全網關管理中心建立https雙向認證的連接，接收來自管理中心發送的管理指令，例如服務更新、服務配置、路由信息、安全策略等，并上報業務日志數據、狀態信息。安全接入網關根據所接收到的路由策略、負載均衡策略、安全策略等信息，結合身份管理中心、授權管理中心、WAF等平臺，完成用戶訪問受控服務的路由代理，完成用戶、終端、受控服務的鑒權[9]。

2.2.3 安全接入網關管理中心

安全接入網關依賴安全接入網關管理中心，以實現統一的配置管理以及狀態監控等功能，完成對所有部署的安全接入網關設備進行管理、維護、日志審計工作。

安全接入網關管理中心分為九個模塊，分別為：安全網關集中配置管理、會話管理、風險感知分析、權限變更訂閱、身份認證對接、權限管理對接、權限判定、風險聯動通報、日志審計。

2.2.4 統一身份管理系統

在“零信任”的架構下，人、設備、應用、服務、崗位、機構、身份類型等自然實體都必須在身份管理中心中注冊并形成數字化身份，確保實體都對應一個唯一的數字身份，并關聯一系列身份屬性，為每個數字身份簽發數字證書[10]。通過身份的全生命周期管理，確保身份的發現、登記、使用、銷毀可控可管。

用戶可根據自身的情況，選擇并采用數字證書、生物特征、單點登錄、FIDO等技術手段實現統一安全認證服務，實現數字證書、生物特征（人臉、指紋、聲紋等）、行為特征等認證憑證與身份關聯管理，為身份鑒別提供基礎服務支撐。

2.2.5 統一權限管理中心

權限管理中心提供權限審批管理、鑒權、授權管理服務，提供設備到網絡、用戶到應用、接口到數據的權限映射功能。

統一權限管理系統包含：授權預審、工作流子系統、授權處理引擎、授權分析引擎、授權管理、授權信息引擎、權限服務接口幾個部分。

授權審批：接收外部授權請求，通過工作流支持引導用戶完成在線動態授權。

工作流子系統：提供工作流引擎和工作流視圖化管理功能，包括工作流設計、表單設計等功能。工作流子系統按預定規則將權限申請信息傳遞至相關人員完成審批操作。

授權處理引擎：對外部授權請求進行實時授權處理，基于授權庫的多維屬性和授權信息引擎提供的實時信息反饋進行授權判斷。

授權分析引擎：通過策略、風險、屬性等因素動態計算，為訪問動態授權引擎提供動態的授權因子。

授權管理：提供規則、策略、屬性等基礎信息管理功能，支持工作流引擎。

授權信息引擎：對統一身份管理系統、分析平臺的外部屬性信息進行對接同步和信息整合。

權限服務接口：提供外部授權接口和協議適配能力。

2.2.6 動態訪問控制

在接入終端部署可信環境感知客戶端，具備安全狀態可信環境感知能力，能夠采集終端上的各種安全狀態信息，如漏洞修復情況、病毒木馬情況、危險項情況、安全配置以及終端各種軟硬件信息，具備設備識別、終端保護、自我保護、安全狀態感知。

可信環境感知系統能夠將安全等級信息實時傳送給安全接入代理管理中心，當環境信息不符合要求時，安全接入代理管理中心可下發策略給安全接入代理，實現對終端訪問的實時阻斷。在用戶訪問的全流程中，持續監測評估終端、用戶行為、網絡等環境的安全狀態，實現身份的持續認證及動態權限調整。

3 總結

零信任安全的本質是以身份為中心進行動態訪問控制，全面身份化是實現零信任安全架構的前提和基石，本文提出的零信任網絡安全模型架構正是基于全面身份化，為零信任網絡的人、設備、應用、系統等物理實體建立統一的數字身份標識和治理流程，并進一步構筑動態訪問控制體系，將安全邊界延伸至身份實體，實現安全架構的關口前移，這也符合當今網絡安全發展的趨勢，值得我們進行更進一步的研究。

參考文獻：

[1] 李俊，柴海新.數字身份安全治理研究[J].信息安全研究，2021，7（7）：598-605.

[2] 呂波.以零信任技術為指導的數據安全體系研究[J].現代信息科技，2020，4（12）：126-130，133.

[3] 何偉，王曉磊，郭江濤，等.電力終端可信身份認證技術研究與應用[J].通訊世界，2020，27（4）：131-132.

[4] 尹蕊，高陽，李凱，等.身份認證技術在電力行業移動應用中的應用[J].中國新通信，2020，22（10）：116.

[5] 魏小強.基于零信任的遠程辦公系統安全模型研究與實現[J].信息安全研究，2020，6（4）：289-295.

[6] 王斯梁，馮暄，蔡友保，等.零信任安全模型解析及應用研究[J].信息安全研究，2020，6（11）：966-971.

[7] 胡印科.零信任技術及其在信息網絡安全方面的應用[J].中國新通信，2020，22（19）：118-119.

[8] 田由輝.基于零信任架構的網絡安全防護思路[J].信息技術與信息化，2020（5）：154-157.

[9] 翟勝軍.新媒體時代的網絡安全發展趨勢——身份零信任，業務流安全[J].中國傳媒科技，2020（1）：7-9.

[10] 蔡冉，張曉兵.零信任身份安全解決方案[J].信息技術與標準化，2019（9）：46-49.

【通聯編輯：代影】