认识零信任安全网络架构

一、前言：

二、什么是零信任网络？

三、为什么选择零信任网络？

四、零信任网络与传统安全模型

五、零信任网络的设计原则

六、零信任架构的逻辑组成

七、零信任架构的部署形式

八、总结

一、前言：

“零信任网络”（亦称零信任架构）自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起，便一直处于安全圈的“风口浪尖”处，成为众人不断争议与讨论的对象，有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地，但无论“零信任”如何饱受争议，不可否认的是随着“零信任”的支撑技术逐渐发展，这个从前只存在于理论上的“安全最优解”正逐步成为现实。

在2019年9月份，工信部公开征求对《关于促进网络安全产业发展的指导意见（征求意见稿）》的意见中，《意见》指出到2025年，要培育形成一批年营收超过20亿的网络安全企业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模要超过2000亿。除了提出对市场规模和网安企业的要求，该《意见》还将“零信任安全”列入网络安全需要重点突破的关键技术。

那么究竟什么是“零信任安全架构”，他与传统的边界模型又有什么区别。美创安全实验室从本周起将分三期带大家详细了解“零信任”的成长始末。

二、什么是零信任网络？

“零信任”是一个安全术语也是一个安全概念，它将网络防御的边界缩小到单个或更小的资源组，其中心思想是企业不应自动信任内部或外部的任何人/事/物、不应该根据物理或网络位置对系统授予完全可信的权限，应在授权前对任何试图接入企业系统的人/事/物进行验证、对数据资源的访问只有当资源需要的时候才授予。

简单来说，**“零信任”的策略就是不相信任何人。除非网络明确知道接入者的身份，否则任谁都无法接入到网络。**现有传统的访问验证模型只需知道IP地址或者主机信息等即可，但在“零信任”模型中需要更加明确的信息才可以，不知道用户身份或者不清楚授权途径的请求一律拒绝。用户的访问权限将不再受到地理位置的影响，但不同用户将因自身不同的权限级别拥有不同的访问资源，而过去从外网登陆内网所需的VPN也将被一道废弃。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。

这与无边界网络概念有点类似。在无边界网络概念中，最终用户并不是所有都位于办公室以及防火墙后，而是在远程工作，使用他们的iPad或者其他移动设备。网络需要了解他们角色的更多信息，并明确哪些用户被允许连接网络来工作。

零信任架构是对企业级网络发展趋势的回应，企业级网络开始包含远程用户和位于企业网络边界的基于云的资产。零信任架构关注于保护资源、而非网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。

三、为什么选择零信任网络？

1. 网络安全形式日趋严峻，急需一种有效的解决方案

美国网络安全公司 CybersecurityVentures 发布的《2017年度网络犯罪报告》预测，到2021年，网络犯罪所致全球经济损失总额将达6万亿美元/年，比2015年的3万亿美元足足翻了一倍。同时，波耐蒙研究所在IBM资助下所做的《2017数据泄露研究》发现，数据泄露事件所致平均损失为362万美元。尽管该数字比上一年有所下降，但数据泄露事件的平均规模却上升了1.8%，达到了平均每起事件泄露2.4万条记录之多。

企业高管们认识到了如果仅仅依靠现有安全方法并不足以应对愈趋严峻的安全态势，他们需要更好的东西，而零信任模型恰好就能得到最好的结果。“零信任模型”基本上打破了旧式边界防护思维，旧式思维专注防御边界，假定已经在边界内的任何事物都不会造成威胁，因而边界内部事务基本畅通无阻，全部拥有访问权限。

但越来越多的安全专家和技术专家并不认同边界防御的效果。尤其是最近几起严重的数据泄露事件都是因为黑客突破了外部防御后，便潜伏于企业内网，利用内部系统漏洞和管理缺陷逐步获得更高级权限，而黑客在公司内网下的横向移动过程中几乎没遇到什么阻碍。这也证明曾经大多数人主张的“内部网络是安全的”这一论点从根本上就是错误的。

IT系统的一个固有问题在于，太多东西可以经由默认连接而“四处巡游“。人们的信任值过高，这也是互联网得以腾飞的原因所在，因为每个人都可以在任何时间任何地点共享任何东西。但“信任”也是一把双刃剑，这也是互联网安全的症结所在：如果你信任所有东西，你就没机会保证任何东西的安全。

2. 云技术的崛起，打破了传统网络架构

如今企业的IT部门为什么急需一种新的安全思维，直接原因是大部分是网络边界已经不存在了，纯内部系统组成的企业数据中心不再存在，企业应用一部分在办公楼里，一部分在云端----分布各地的雇员、合作伙伴和客户通过各种各样的设备访问云端应用。根本原因是云技术近几年的大力发展初显成效，云防火墙技术逐渐成熟、云计算的算力不断提升导致云服务器几乎成为了每家企业的必要设备。

而随着云技术的不断深入可能导致各种人员通过不同方式接入企业网络，对原有的企业内网架构造成冲击，到时候内网可能回和外网一样透明，毫无隐私而言，这一点与当初架构的设计理念可以说是大相径庭，因此我们必须寻求一种能适应云服务的全新架构，而“零信任架构“也能满足这个需求。

综上所述，由于种种宏观变化，都推动了“零信任网络“的发展与流行，面对工作更加移动化和云端化，曾经给过我们无数安全感的”防火墙“不得不逐步退后，割舍自己曾经“主导的阵地”，一直后退到需要保护的资产身边。这也恰恰是“零信任网络”所追求的场景。

四、零信任网络与传统安全模型

传统的安全模型是以边界模型为基础而逐步完善的，传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护。它的核心思想是分区、分层（加强纵深防御）。**边界模型专注防御边界，将攻击者尽可能挡在外面，假定已经在边界内的任何事物都不会造成威胁，**因此边界内部基本畅通无阻。

而反观“零信任架构”，“零信任网络“强调的是永不信任和始终验证，不信任任何人、事、物。JohnKindervag在提出“零信任”概念时提出过三个原则：

① 不应该区分网络位置。
② 所有的访问控制都应该是最小权限且严格限制。
③ 所有的访问都应当被记录和跟踪。

如果说传统网络安全模型是用“城墙”将人民保护在一起，那么“零信任网络”则是“城门大开”，但是每个民众都配备一个士兵保护。相比于用广阔的“城墙”来防护，这种“点到点”的防护策略显得更加灵活与安全。

那么我们是否可以彻底舍弃城墙，完全转为这种灵活的安全策略呢？

答案显然是否定的，传统防火墙至今仍可以抵御80%以上的攻击，如果完全舍弃防火墙一类的传统安全产品全部使用“零信任“的策略，**由于”零信任“需要足够强的带宽来支撑大量的访问控制请求，那么势必会消耗大量的网络资源，造成卡顿，请求超时等等后果还有可能影响业务功能的正常使用。**所以在传统边界防护的基础上搭建”零信任架构“才是最好的选择。

五、零信任网络的设计原则

“零信任架构“提供了旨在消除在信息系统和服务中实施准确访问决策时的不确定性的一系列概念、思想和组件关系（体系结构）。为了减少不确定性，“零信任”在网络认证机制中减少时间延迟的同时更加关注认证、授权、以及可信域。访问规则被限制为最小权限。

在Evan Gilman《零信任网络》一书中，根据“零信任网络”的创建理念在合理的推测下被描述为建立在以下五个基本断言上：

① 应该始终假设网络充满威胁。
② 外部和内部威胁每时每刻都充斥着网络。
③ 不能仅仅依靠网络位置来建立信任关系。
④ 所有设备、用户和网络流量都应该被认证和授权。
⑤ 访问控制策略应该是动态的基于尽量多的数据源进行计算和评估。

五个断言简单易懂但又直击要害，由此可以看出，“零信任”的理念已经从边界模型“信任但验证”转换到“从不信任，始终验证”的模式。所以我们在此基础上进一步推理可以总结出在“零信任架构”的设计下要遵循的六点基本原则：

① 所有的数据源和计算服务都被认为是资源。
② 所有的通信都是安全的，而且安全与网络位置无关。
③ 对单个企业资源的访问的授权是对每次连接的授权。
④ 对资源的访问是通过策略决定的，包括用户身份的状态和要求的系统，可能还包括其他行为属性。
⑤ 企业要确保所有所属的和相关的系统都在尽可能最安全的状态，并对系统进行监控来确保系统仍然在最安全的状态。
⑥ 用户认证是动态的，并且在允许访问前严格执行。

六、零信任架构的逻辑组成

在组织和企业中，构成零信任架构部署的逻辑组件通常有很多，《NIST SP800-207：零信任架构草案》中描述了一种典型的方案逻辑及核心产品组件：

策略引擎（Policy Engine）：该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源（例如IP黑名单，威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问，策略引擎的核心作用是信任评估。
策略管理器（Policy Administrator）：组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关并依赖于其决定最终允许或拒绝连接，策略管理器的核心作用是策略判定点，是零信任动态权限的判定组件。
策略执行点（Policy Enforcement Point）：这实际上是一个组件系统，负责开始，持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件：客户端组件（如用户笔记本电脑上的agent）与资源端组件（如资源前控制访问的网关），策略执行点的核心作用是确保业务的安全访问。

除了以上核心组件外，还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源，具体包括：

持续诊断和缓解计划系统（CDM System）：该系统收集关于企业系统当前状态的信息，并将更新应用到配置和软件组件中。企业CDM系统还提供给策略引擎关于系统访问请求的信息。
行业合规系统（Industry Compliance System）：该系统确保企业与当前政府管理的一致性。包括企业开发的所有策略规则来确保合规。
威胁情报流（Threat Intelligence）：该系统提供帮助策略引擎进行访问决策的信息。
数据访问策略（Data Access Policy）：数据访问策略是企业为企业资源创建的关于数据访问的属性、规则和策略的集合。策略规则集可以编码在策略引擎中或有PE动态生成。
企业公钥基础设施（PKI）：该系统负责生成和记录企业对资源、应用等发布的证书。既包括全局CA生态系统和联邦PKI。
ID管理系统（ID Management）：系统负责创建、保存和管理企业用户帐户和身份记录。系统中既含有必要的用户信息，也含有其他企业特征，比如角色、访问属性、或分配的系统。
安全应急和事件管理系统（SIEM System）：集合了系统日志、网络流量、资源权利和其他信息的企业系统为企业信息系统体佛那个安全态势的反馈。

七、零信任架构的部署形式

基于设备代理/网关的部署

在基于设备代理/网关的部署模型中，PEP（策略执行点）被分为2个组件，位于资源上或在资源之前直接作为组件。比如，每隔企业发布的系统都安装了设备代理，每个资源都有一个前置的组件只网关直接通信，作为资源的逆向代理。网关份额则连接到策略管理员，并允许策略管理员批准的连接。

基于微边界的部署

基于微边界的部署模型是基于设备代理/网关的部署模型的变种。该模型中，无关组件可能位于系统中，也可能位于单个资源之前。一般来说，这些资源是作为单个业务功能，并不直接与网关来通信。该模型中，企业私有云位于网关之后。

基于资源门户的部署

在基于资源门户的部署模型中，PEP作为一个单独的组件作为用户请求的网关。网关门户可以作为单个资源也可以作为单个业务功能集合的微边界。

系统应用沙箱

系统应用沙箱部署模型也是基于代理/网关部署模型的变种，沙箱模型使可信应用在系统中隔离运行。这些隔离的部分可以是虚拟机、也可以是容器和其他实现方式，但目标是一样的：保护系统中运行的主机和应用不受其他应用的影响。

八、总结

回顾一下本期内容，首先我们详细介绍了“零信任”的诞生过程，它是如何自2010年被JohnKindervag提出以及被提出后便一直饱受争议的故事，其次我们从互联网宏观发展环境下论证“零信任网络”为什么是未来三年的互联网主要发展法方向，然后我们对比传统的网路边界模型，总结出“零信任网络”较传统边界模型的优点从而推导出为什么要选择“零信任网络“，之后我们根据互联网环境以及“零信任”设计理念合理推出“零信任网络”的六点设计原则，在已定的设计原则上，我们仔细介绍了“零信任网络”的详细逻辑组件以及工作原理，提出理想化模型后我们又针对此架构的部署方式做了简单说明，提出了对应不同环境的四种部署方式。