基于零信任的系統架構應用

張夢杰

摘要：當前，網絡攻擊、文件破壞、數據泄露等網絡安全事件頻頻發生，內網訪問和VPN訪問的安全模式已經難以適應當前網絡安全要求。為解決影響企業發展的網絡安全問題，零信任的系統框架以用戶為中心、以動態認證和最小授權為機制，通過終端、鏈路、節點全方位的安全監測為企業提供全過程的安全保障。在零信任機制上搭建的統一身份認證平臺不僅解決了系統整合問題，也實現了統一管理、統一授權。

中圖分類號：TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）06-0036-04

開放科學（資源服務）標識碼（OSID）：

1 概述

當前社會信息技術飛速發展，信息化越來越成為企業綜合競爭的核心要素，網絡安全是信息化的保障，與信息化發展相輔相成。飛快的網絡速度、龐大的用戶群體、靈活的訪問模式使得傳統網絡防護逐漸失效，零信任安全架構以其動態的訪問控制、持續的身份驗證、最小的訪問權限最大限度地減少被攻擊的概率，保障數據的安全。文章通過介紹零信任的理念、架構和其核心機制，并列舉零信任架構的實際應用，希望在這個萬物互聯的時代，給予網絡安全工作一個解決思路。

云安全聯盟定義了SDP模型[1]成為全球廣泛應用的零信任技術解決方案，該方案對用戶身份和設備進行識別校驗，從而實施行為管控;谷歌公司提出了beyondcorp網絡安全零信任架構[2]，明確的用戶、設備、應用的零信任體系，通過不信任的持續性的認證機制來建立一條信任鏈;學者張澤洲介紹了新形勢下的零信任安全模型[3];學者李先齡介紹了網絡如何支持零信任[4];學者胡志軍講述了央行對于零信任的應用[5]。

2 零信任簡介

零信任既不是產品也不是新技術，而是網絡安全的一種理念。是假定當前網絡環境已經淪陷的情況下，在進行系統請求和訪問的過程中，降低其決策準確度的不確定性。零信任的框架是在零信任理念的基礎上，企業單位根據其組件之間的關系、工作流程規劃和訪問策略等建立而成。零信任架構是以用戶身份為中心、進行動態訪問與控制的新型網絡架構，使網絡安全架構從之前的網絡中心化向用戶身份中心化轉變，其核心是基于認證和授權訪問的基礎，實現以用戶身份為中心的訪問機制。

3 當前網絡安全架構的缺陷

目前，網絡安全架構基本是采用傳統的網絡隔離的方式，通過防火墻、VPN、IPS、行為審計防護設備建立網絡安全防御架構，劃分企業的內網和外網，形成以網絡邊界為中心的安全體系。對于外界訪問用戶（通過互聯網訪問）防火墻等防御設備具有較深度的防御能力，增加了被攻擊的難度，但是對于內部訪問用戶基本無監管，一旦內部用戶發生數據盜竊問題則無法避免，所以內網環境中可能會存在內部攻擊，此攻擊完美避開了邊界防護。

在互聯網高速發展的今天，網絡環境復雜多變，隨著大數據、云計算、移動互聯等新興技術不斷發展，網絡安全逐步成為焦點問題，數據泄露、賬號密碼安全、設備風險等諸多外部因素威脅網絡安全，以網絡邊界為中心的安全架構亟待重組。

4 零信任網絡安全架構

零信任網絡安全架構的思想是假定所有網絡均不可信，任何訪問行為需要進行信任評估以后才能被允許訪問，安全評估系統會不斷地分析和評估訪問行為的信任度，“可信”的訪問會被允許，“不可信”的訪問會被禁止。對于“可信”的訪問權限均按資源最小化去設定，以減少受攻擊的概率。

綜上所述，零信任網絡安全架構的核心關系就是訪問主體、運行環境、業務應用之間的“信任”紐帶的建立，該紐帶是通過建立持續健全的可信機制來確保訪問者對業務系統的安全性訪問。

在零信任機制中，企業或者單位的內外網絡并不是可信的，它的任何訪問行為都需要通過策略管理實行信任評估，評估通過的行為由網關給予通行，評估不通過的則會被禁止訪問。詳細零信任架構如圖1所示。

對于用戶的訪問行為，決策的依據主要有用戶的身份、終端運行的環境、應用系統對網絡威脅信息的收集，從而形成網絡安全態勢，為決策提供依據。

（1） 威脅情報源：收集內部和外部網絡中的威脅。

（2） 網絡日志：網絡訪問、資源訪問等操作記錄。

（3） CDM：收集狀態數據，主要有操作系統、應用程序等。

（4） SIEM：收集各類網絡安全事件，以供做出正確決策。

（5） 策略引擎：對于請求的主體給予相應的資源訪問權限，是實現持續信任評估的核心組件為策略管理器提供信任的評估結果，供其判斷。

（6） 策略管理器：策略管理器決定訪問主體和客體之間是建立或關閉連接，它與策略引擎緊密關聯，相互作用，根據策略引擎做出對應的決策，具體決策行為由策略執行點執行。

（7） ID管理：存儲和管理訪問主體的身份信息。

（8） PKI：生成和記錄數字證書，并發送給訪問主體和客體。

（9） 策略執行點：是確保安全訪問的第一道關口，對訪問行為進行動態訪問控制。

首先訪問主體提出訪問請求，策略執行點把情況向安全決策機制反饋需求，策略引擎會收集訪問主體、訪問客體、第三方安全報告動態分析信任度，并把決策返回給策略執行點，決策執行點根據決策，允許或禁止訪問行為。

零信任網絡機制的主要環節可以分為以下幾種。

（1） 搭接信任鏈路

零信任的理論和機制決定其是根據數字身份信息來對訪問主體身份實現可信任的識別，根據設備終端安全技術實現對訪問設備的可信任識別，根據應用系統的黑白名單信息實現應用的可信任識別。提供3個方位的可信任識別，從而實現可信任的用戶使用可信任的設備通過可信任的應用對訪問客體進行信任鏈路的搭接和訪問。

（2） 零信任評估原則

在整個訪問環節，策略機制對訪問主體進行動態監控，進行持續性的信任評估，根據訪問需要不斷調整訪問權限，從而形成完整、安全的訪問評估，具體信任評估原則有以下幾點：

①不可信原則

任何用戶、任何網絡、任何設備在整個訪問過程中都是不可信的，即使之前授權過或者認證過。

②動態評估

訪問主體對客體中資源的訪問都需要進行動態評估，主要是對安全事件、安全數據和安全環境進行評估，滿足信任標準才會被允許訪問。

③最小權限原則

對于通過信任評估的訪問行為，按照最小授權原則授予該行為最小滿足權限，實現該訪問行為對資源的最小權限訪問。

5 零信任的適用場景

（1） 開放場景

API開放場景在服務類企業中比較常見，零信任安全對各類API服務提供管理和發布，對第三方申請訪問的服務進行動態調控，還可以控制流量，保障API安全防護能力。

（2） 遠程服務場景

隨著大數據、云計算等新興技術的興起，遠程會議、遠程協助、遠程辦公等遠程服務得到迅猛發展，遠程服務的安全性成為限制發展的主要因素，利用零信任機制，以身份為核心、評估為基礎進行動態控制。

（3） 跨平臺協作場景

跨平臺協作是現在企業都需要面臨的問題，隨著信息化的提高，各類網站、系統層出不窮，面對各自獨立的系統，怎樣相互融合、相互協作成了問題。零信任機制在安全層面給予了支撐，例如單點登錄的應用，使得多系統可以用統一的賬號密碼登錄，并且在內部交互時無須重新登錄系統。

6 零信任架構的應用

隨著公司業務不斷發展，累積的各類業務管理系統已過半百。系統建立之初的目標是幫助企業提升業務水平、管理水平，因信息化水平逐步提升，各類大大小小的業務都已經推行信息化。隨之帶來的問題也越發凸顯，例如賬號密碼難以記住，經常需要管理員修改、登錄網址繁多，瀏覽器收藏夾幾乎都是各類系統地址等。現對信息化系統架構進行全面升級改造，主要包括網絡鏈路、統一身份認證登錄、數據加密，立足于解決當前系統煩瑣的問題，并確保系統之間的安全。

6.1 網絡鏈路

從網絡安全性考慮，對企業內網和互聯網的連接做出改變。把企業網絡分為兩個獨立的網絡，第一是有線網絡，主要是用于電腦、打印機、機房各類設備的網絡連接;第二是無線網絡，主要用于員工手機上網和訪客臨時上網。無線網通過防火墻直接和互聯網連接，有線網則是經過交換機、上網管理器、入侵檢測設備、防火墻等設備，通過專線連接訪問外網，其中有線網和無線網通過網閘設備做了物理隔斷，確保有線網絡的安全，部分網絡拓撲圖如圖2所示。

6.2 統一身份認證平臺搭建

在內部各系統之間，建立統一身份認證平臺，用于各系統的用戶身份統一管理，有利于驗證訪問者的身份，同時可以把各系統連接起來，通過驗證用戶身份后，根據用戶的權限級別，個性化展示與權限匹配的辦公系統。

（1） 訪問機制

統一認證平臺的訪問機制對于內部網絡環境基于密碼、短信、手機客戶端實現動態登錄。對于密碼方式登錄，只適用于單位內網且登錄設備是常用設備，在系統后臺會設置員工常用設備庫，用于記錄常用設備，以便進行設備管理;短信和手機客戶端登錄方式適用于非常用設備，選擇短信方式登錄系統會根據登錄申請通過運營商短信功能發送隨機驗證碼至綁定手機號，選擇手機客戶端掃碼登錄，手機客戶端會彈出登錄確認提醒，手機端確認后電腦端才會登錄。為便于員工在互聯網環境訪問系統，需為每位員工定制UK設備，內置個人數字驗證ID，在登錄過程中首先驗證UK，確定員工身份，再通過網絡環境動態驗證登錄信息，以保證系統數據安全。此類網絡安全的保障離不開大數據分析、認證技術與算法及攻擊監測，這些新技術的應用，滿足了統一身份平臺多環境認證，提升了整體安全水平。

（2） 權限配置

企業內部都有自己的分工協作體系，不同的工作崗位負責不同的工作內容，對于崗位職責之外的事情，員工通常不具備知情權及參與權。若是人員權限無限制或無匹配，員工可以看到系統內所有的信息，參與所有的事情，會對企業的分工協作體系造成巨大的災難，導致企業內部管理的混亂，也為非法謀取利益提供了渠道，只有崗位、權限分配得當，才能保障企業運行流程，維護企業信息安全。統一身份認證平臺對于權限的配置分為三個層級結構。第一層是用戶訪問管理層，主要用來驗證用戶身份，保障用戶登錄統一平臺;第二層是用戶信息權限匹配層，根據系統中用戶信息和組織架構信息判斷用戶權限范圍;第三層是應用系統層，根據人員權限的匹配結果顯示對應的應用系統。如圖3所示。

通過單點登錄方式，用戶可以直達權限范圍內的各系統，不用再記錄各系統網址，方便員工操作，提升工作效率。

6.3 數據加密

數據是信息系統價值的源泉，數據的安全性影響整個系統的運行，為保障信息系統數據安全，在設備端、數據鏈路端和數據交換節點都設置了加密算法。

（1） 設備端加密

所謂設備端加密是指在應用端和服務器端數據傳輸過程中不存在中間節點解密行為，而是在設備端進行解密操作。端到端的加密方式為通信提供了最高標準，黑客無法訪問服務器上的數據，因為他們沒有私鑰去解密數據，也很難操控用戶終端設備，增加了數據破解的難度。這種加密方式被稱為不對稱加密，采用公鑰和私鑰兩種形式，公鑰被用于加密消息，并相互通信，私鑰用于解密被公鑰加密的數據，而私鑰只有所有者才有，其他人無法解密數據，即使解密也不會得到正確的數據。

（2） 鏈路加密

鏈路加密是在物理層進行加密，加密的信息包括數據信息、路由信息、各類協議信息等，發送者和接收者之間所經過的路由設備都需要對鏈路解密后才能進行下一步操作。由于數據都是經過加密的，即使黑客截取了數據內容，也無法解析出數據的結構，也就無法知道數據的交換雙方信息、信息長度、通信時間等。鏈路加密也不太復雜，只需要鏈路的兩端有共同的密鑰，它們可以獨立地更換密鑰，而不用考慮網絡中的其他部分，當信息發送時候，鏈路進行加密，黑客無法知道通信的開始時間和結束時間，得到的僅僅是無窮盡的隨機位流。由于路由信息鏈路上一切數據都是密文形式存在，需要進行大量的解密、加密操作，對于資源和時間的消耗比較多，另外由于異步信息傳遞情況存在，信息的重復傳遞、漏傳甚至丟失的情況出現，這就需要對鏈路設備做好管理工作。

（3） 節點加密

節點加密和鏈路加密類似，都是在中間過程對信息進行先解密再加密的操作，不同點在于它不允許消息在網絡節點以明文的形式存在，它先把消息進行解密操作，再在安全模塊中用不同的密鑰進行加密。節點加密允許報頭和路由信息以明文方式傳輸，方便其他節點知道如何處理信息，此方式在防止黑客攻擊的情況具有一定的安全隱患。

7 總結

基于零信任思維的系統架構是對人員、設備、應用系統、數據等要素進行的精細化訪問控制，并且可以根據需求進行動態調整。通過對網絡架構、系統集成權限、驗證機制、數據加密的升級改造，強化對網絡安全的保障，通過統一身份認證登錄動態驗證人員身份、網絡環境并匹配對應的權限。對于“信任”的訪問行為，可以在同一平臺連接進入權限范圍內的系統，實現跨系統操作，提升信息化系統架構。突然爆發的新冠肺炎疫情也加速了零信任架構的部署，原本企業都用VPN來獲取信任鏈路，疫情導致遠程辦公、遠程會議等需求暴增，VPN需求量早已達到瓶頸，而且VPN 的安全漏洞也正威脅著網絡安全，許多企業正考慮采用零信任架構替代VPN模式。零信任思維和架構越來越成為面對新型辦公環境下網絡安全的機制。

參考文獻：

[1] 云安全聯盟.CSA GCR發布零信任架構草案[EB/OL].[2020-06-09]. https：//www.sohu.com/a/400731440_785543

[2] Google.谷歌的零信任安全架構實踐[EB/OL].[2018-02-24].https：//www.sohu.com/a/223839510_256833

[3] 張澤洲.新IT環境下的零信任安全架構[J].網絡安全和信息化，2021（2）：50-51.

[4] 李先齡.網絡如何支持零信任架構[J].網絡安全和信息化，2020（10）：111-112.

[5] 胡志軍.零信任架構在央行安全體系中的應用思考[J].金融科技時代，2021，29（11）：68-72.

【通聯編輯：代影】