零信任架構及相關解決方案綜述

李圣 謝佳 周舟 宋慶紅 夏令

關鍵詞：零信任；軟件定義邊界；微隔離；身份與訪問管理；多因子認證

0 引言

零信任是一組不斷演進的網絡安全范式，它摒棄了傳統防御系統基于安全邊界的思想。網絡防御的重心從靜態的、基于網絡的邊界轉移到了用戶、設備和資源上[1]。零信任架構使用零信任原則來規劃企業基礎設施和工作流。零信任取消了傳統基于用戶的物理或網絡位置（即，相對公網的內部局域網）而授予用戶賬戶或者設備權限的隱式信任。認證和授權是與企業資源建立會話之前執行的獨立步驟。

圖1是傳統訪問和零信任訪問對比圖，傳統網絡架構下，同處一個網絡區域內，訪問主體對資源的訪問是屬于隱式可信的，即默認訪問主體可信。而在零信任訪問下，即使同處在一個傳統可信網絡區域內，每一次由主體對資源的訪問都需要策略決策和執行點授權訪問。一般來說，零信任策略應該是基于單個連接的和動態的。零信任算法應該是基于條件或評分的以及基于上下文的。只有那些滿足了信任算法要求的訪問主體才能夠實現對企業資源進行訪問。

總體來說，隨著各類新型技術的誕生和發展，傳統以邊界防御為主的安全方案已經無法滿足市場需求，零信任擁有著廣泛的應用前景，能夠滿足包含遠程辦公、跨企業協作等多種復雜業務場景的安全需求，這順應了時代發展的趨勢，將擁有廣泛的應用前景[2-4]。

1 零信任架構及其邏輯組件

目前，相比西方，國內零信任的發展仍然處于起步階段，沒有強制性的國家標準。而目前世界范圍內最權威的零信任標準來自NIST（National Institute of Standards and Technology，美國國家標準與技術研究院）發布的《零信任架構》NIST-800-207。《零信任架構》將零散和無序的零信任概念、技術、架構等進行了標準化統一，為世界眾多安全廠商、企業進行零信任推廣提供了參考。圖2是NIST發布的零信任邏輯組件圖[5]，它的架構參考了ISO國際標準的訪問管理架構[6]，它詳細地描述了一個零信任架構所需的核心邏輯組件及功能組件。核心組件主要包含策略引擎、策略管理器、策略執行點。其中策略引擎是組件中的“大腦”，它將企業自身的安全策略以及外部信息源組成的“信任算法”作為輸入，信任算法決定了訪問主體是否可以訪問特定的資源。策略管理器是零信任架構中的“神經系統”，它能夠建立或者切斷訪問主體和資源間的通信路徑，同時負責將策略引擎下發的命令傳遞至策略執行點，使其執行相關指令。策略執行點是零信任架構中的“四肢”，它負責執行策略引擎下發的指令，啟用或終止主體與資源之間的連接。除了上述核心組件外，策略引擎的決策還需要引入一些功能組件來支撐，這些功能組件分別是數據安全模塊、端點安全模塊、身份管理模塊和安全分析模塊。這些功能性支撐組件為策略引擎的決策提供了關鍵信息源，例如安全分析模塊引入了外網威脅情報系統，能夠幫助策略引擎做出安全、高效的決策。

2 零信任關鍵解決方案綜述

零信任僅僅只是提供了一系列概念和思想，而真正要使零信任架構成功落地成為企業安全建設的可能，則需要依賴各類的技術或解決方案。目前，NIST 將SDP（Software Defined Perimeter，軟件定義邊界）、AMcScGe（sMs iMcraon-aSgeegmmeennt，ta身tio份n，與微訪隔問離管）理、I）A視M為（Id零ent信ity任an架d構的核心解決方案。

2.1 SDP 軟件定義邊界

SDP是國際云安全聯盟CSA于2013年提出的基于零信任理念的新一代網絡安全模型。SDP拋棄了傳統的邊界防御模型，構建了一個虛擬邊界，聚焦于保護企業資源[7]。它執行的是基于風險、動態的、以身份為中心的、上下文感知的訪問策略，為企業應用和服務穿上“隱身衣”，使攻擊者無法發現和識別資源從而發動不了有效攻擊[8]。

如圖3所示，SDP的架構主要由三個邏輯組件構成，分別是連接發起主機、控制器、接受主機。SDP的工作流如下：①客戶端連接控制器進行身份認證；② 身份驗證通過后，控制器確定客戶端訪問應用網關列表；③控制器告知接受主機已授權的連接發起主機清單；④控制器向連接發起主機返回可訪問的接受主機列表；⑤連接發起主機向接受主機發起驗證，然后建立雙向加密隧道。

SDP采用的是SPA（Single Packet Authorization，單包認證）協議，SPA協議是一種輕量級安全協議，能夠實現客戶端在訪問控制器或者網關時檢查設備或用戶身份，實現了“先認證，后連接”的訪問模式。因此，SDP架構相比于傳統的邊界防御模型存在以下優勢：①訪問前必須進行驗證，驗證成功后才能建立連接，即零信任概念中所謂的“先驗證，后鏈接”的概念；② 對于未經驗證的設備，SDP可以將資源或者服務進行隱藏，顯著降低了供給面；③SDP默認丟棄一切TCP 或者UDP數據包，接收端將會無聲處理數據包，實現權限最小化部署。

總的來說，SDP解決了零信任原則中的許多問題，這兩個概念是高度融合的。考慮到成本以及擴展性等因素，SDP已是業界實現零信任落地的主流方案[9]。

2.2 MSG 微隔離

MSG 最早由VMWARE 公司提出，近年來又被GARTER連續數年列為關鍵技術。如果說SDP主要針對的是南北端流量的安全，那么微隔離主要針對的就是東西向的流量安全。近年來，各大勒索病毒和挖礦病毒在內部網絡橫行，造成了大規模感染中毒，這對傳統的由VLAN、VXLAN、VPC技術構成的虛擬網絡技術造成了沖擊，也為一種更為精細、權限最小化、易于管理的虛擬網絡技術的誕生創造了有利條件[10]。

微隔離可以將數據中心在邏輯上劃分為各個工作負載級別的不同安全段，然后定義安全控制并為每個唯一段提供服務。微隔離使IT人員可以使用網絡虛擬化技術在數據中心內部靈活地部署安全策略，而不必安裝多個物理防火墻。此外，除了可以用于保護每一臺虛擬機，在具有網絡安全控制的企業網絡中，微隔離技術也可以增強企業的抵御內網橫向攻擊能力[11]。

如圖4所示，MSG的邏輯架構圖主要包含兩部分，第一部分是策略控制中心，它是MSG的“大腦”，主要負責內部節點劃分、策略下發、策略自適應等功能。第二部分是策略執行單元，它是MSG的“四肢”，負責隔離內部節點、監測數據流量、執行下發策略等。

MSG的工作流如下：①確定業務主體，按盡可能精細化的實際業務需求劃分節點，并將信任算法和訪問控制策略加載至策略控制中心；②訪問主體例如節點A發起向節點B的訪問；③節點A的請求由策略執行單元上傳至策略控制中心，控制中心根據信任算法和訪控制策略計算結果，下發至策略執行單元；④策略執行單位允許或拒絕A到B的訪問請求。

MSG相較于SDP更加強調的是資源之間的即東西向流量的隔離，在MSG中，不存在任意一片網絡區域是可信任的。一片網絡區域被劃分成了無數節點，每一個節點都將受到控制和管理。相較于傳統的邊界防御模型，MSG的主要優勢在于：①將原本粗顆粒度的網絡區域劃分成了更精細的顆粒度網絡區域，減少了橫向攻擊的范圍；②實現基于業務角色的快速分組能力，自動識別內務業務的訪問關系，并擁有將訪問關系可視化展示的能力。

MSG也是屬于零信任中的關鍵技術之一，MSG可以和SDP在流量訪問層面形成良好的互補，是零信任架構中的一個不可替代的解決方案。

2.3 IAM 身份與訪問管理

IAM是一個可以有效控制人或物等不同類型用戶訪問行為和權限的管理系統，能夠有效控制什么人或物體在什么時間有權限訪問哪些資源。IAM也同樣被NIST列為零信任三大解決方案之一。IAM是零信任的核心支撐技術，零信任架構是借助IAM框架實現對人、設備、系統的全面、動態、智能的訪問控制。

圖5是IAM的邏輯架構圖。IAM架構共有3個核心模塊，分別為身份管理模塊、認證模塊、授權模塊。其中身份管理模塊旨在構建企業或組織中的各類用戶在其信息化體系中統一規范的身份識別和管理體系，是構建IAM框架的根基。認證模塊旨在驗證嘗試訪問受保護資源的實體提供的憑據是否可信，是IAM 可靠性的根基。目前認證模塊主要采用的與零信任原則匹配的技術為MFA（Multi-Factor Authentication， 多因子認證技術）和SSO（Single Sign On，單點登錄技術）。授權模塊旨在為訪問主體創建合適的訪問控制策略，保障特定的資源能夠在合適的時間和地點由正確的訪問主體正確地訪問和利用。目前，PBAC （Policy-Based Access Control，基于策略的訪問控制）在最小化授權和動態授權層面存在先天優勢，已成為最契合零信任框下的訪問控制模型[12]。

IAM系統工作流如下：①假設某訪問主體（例如公司員工）在訪問資源之前，已由正規程序錄入了身份管理模塊，該訪問主體先向認證模塊發送認證請求；②認證模塊將認證信息發送到身份模塊進行校驗；③校驗通過后，身份模塊向訪問主體返回身份信息；④訪問主體攜帶身份信息訪問授權模塊；⑤授權模塊根據訪問控制策略和權限管理策略向訪問主體和網關設備分配特定的角色和訪問權限；⑥訪問主體實施對特定資源的授權訪問。

相較于傳統的系統孤島、單一口令認證形式的認證模式，IAM有以下方面的提升：①建立了一套以身份而非網絡位置為核心的訪問控制體系，為所有的對象（用戶、設備、程序）賦予了數字身份，其信任關系基于每一次連接，而非網絡位置（例如傳統的內網）；② IAM幫助組織實施了高度有效的身份管理，構建了一套統一的身份管理系統，并利用SSO單點登錄技術打通了資源訪問路徑，使得傳統孤立系統、數據庫、賬戶造成的攻擊面擴大的風險消失；③IAM提供了一套動態可持續的驗證管理，對資源的訪問權限由動態策略決定，所有資源的身份認證和授權均是動態的。同時，IAM使用MFA提升了用戶憑據的安全防護等級，抵御通過盜用口令的破壞者的企圖，降低了口令被盜、釣魚攻擊為組織帶來的風險。

零信任強調以身份為中心進行動態訪問控制，而IAM正是身份數字化的前提。因此，IAM是實現零信任架構的基石[13]。

3 結束語

零信任是一種全新的網絡安全理念，相比傳統的網絡安全理念，它重點強調對人和資源的保護。隨著各類云技術的快速發展以及快速增長的遠程辦公需求，現有的網絡邊界日益模糊化，傳統安全防護理念已無法應對愈發先進和大規模的網絡攻擊。零信任作為新一代的網絡安全理念，充滿了光明的前景。該文對零信任的相關概念和架構進行了介紹，深入綜述了目前主流的三種零信任技術路線，并分析了其核心技術和優勢。與零信任相關的綜述工作旨在為國內的相關企業以及安全廠商提供一定的指導作用，加速零信任產品和框架在國內的落地進程。