1. 零信任简介

1.1 零信任的概念

抛开营销的噱头不论，零信任并非“一夜成名”。安全技术本身具有附加性（跟随着IT架构演进）、伴生性（作为对抗中被动的一方，安全一定与行业场景结合），以及发展的内在属性（数学、芯片、算法等会推动其进步）。而作为新安全框架的“零信任”，与云计算带来的去边界趋势，与各行业的数字化进程，与摩尔定律的溢出效应都息息相关。

现代的网络设计和应用模式，已经使得传统的、基于网络边界的安全防护模式逐渐失去原有的价值。因此，网络边界的安全防护一旦被突破，即使只有一台计算机被攻陷，攻击者也能够在“安全的”数据中心内部自由移动。

如果网络的位置对于网络安全失去价值，那么诸如VPN等网络安全设备也会失去其原有的价值。当然，这也迫使我们把安全控制的实施点尽可能地前推到网络边缘，这同时也减轻了网络核心设备的安全责任。

如果要考虑边界安全模型之外的其他方案，那么首先必须准确地理解什么是可信的，什么是不可信的。

什么是零信任网络？顾名思义，就是一个完全不可信的网络。

零信任模型认为，主机无论处于网络的什么位置，都应当被视为互联网主机。它们所在的网络，无论是互联网还是内部网络，都必须被视为充满威胁的危险网络。只有认识到这一点，才能建立安全通信。

零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型没有基于网络位置建立信任，而是在不依赖网络传输层物理安全机制的前提下，有效地保护网络通信和业务访问。

1.2 零信任的技术实现

构建零信任网络并不需要太多新的技术，而是采用全新的方式使用现有技术。

零信任网络有3个关键组件：用户/应用程序认证、设备认证、信任。

零信任模型需要计算出“信任评分”（Trust Score），并将应用程序、设备和信任评分绑定在一起形成“代理”（Agent），然后基于代理实施安全策略，进行访问请求的授权。

传统的VPN提供了类似的安全特性，用来实现内部网络的安全访问。但是，这种安全能力在网络流量到达VPN设备之后就会终止。很显然，网络管理员知道互联网安全应该怎么实现，只是他们没有把这些安全措施贯彻到整个网络。

1.3 零信任在云环境下的部署

零信任非常适合在云环境中部署，原因很明显：你完全不需要信任公有云环境中的网络！

在零信任模型中，计算资源不依赖IP地址或网络的安全性即可进行身份验证和安全通信，这种能力意味着可以最大程度地把计算资源商品化。

由于零信任模型主张加密所有通信数据，哪怕通信双方位于同一个数据中心内部，因此管理员不需要操心哪些数据包流经互联网，哪些不流经互联网。

2. 信任管理

2.1 零信任威胁模型

定义威胁模型是设计安全架构的第一步。威胁模型用来描述潜在的攻击者及其能力、资源以及意图攻击的目标。

零信任网络充分考虑了端点设备被攻陷的情形。

面对端点设备可能遭受的攻击，通常的应对方式是首先对端点操作系统进行安全加固，然后采用端点系统安全扫描、系统活动行为分析等方式来进行攻击检测。

此外，定期升级端点设备中的软件，定期更换端点设备的登录凭证，甚至定期更换端点设备本身等，也能够缓解针对端点设备的攻击。

2.2 身份认证

零信任网络中的攻击者能够使用任意IP地址进行通信，还能够将自己置于两台远程通信的计算机之间发起中间人攻击。因此，零信任网络中的每个访问请求都需要经过强身份认证。

PKI是零信任模型身份认证的基石，大多数零信任网络都采用PKI来证明身份的真实性。

假设客户端A要和服务器B通信。

证书申请流程如下：

CA机构为可信任线下机构(类似于公安局)，所有人都有CA的公钥。
服务器B向CA机构提交个人信息、注册秘钥信息。
CA机构依据注册秘钥生成非对称加密算法秘钥对，并将该密钥对的公钥、个人信息封装成一张数字证书。
CA机构将生成的数字证书（包含公钥）与生成的密钥对的私钥一同反还给服务器

通讯流程如下：

服务器B将数字证书发送给客户端A，客户端A拿服务器B的证书去CA官方检测证书有效性。
服务器B通过CA颁发的证书证明自己是真的。
客户端A利用“证书中的密钥”，将内容进行加密，然后发送给服务器B。
用“证书中的密钥”加密过的内容，只能用服务器B自己才能解密。如果内容被他人窃取的话，他人也无法解密。

2.3 权限/信任管理

零信任网络中的特权比传统网络更具有动态性。

传统网络中的安全策略往往是静态的，如果遇到需要更高特权的情形，则特权的请求者通常需要说服系统管理员变更安全策略。

与传统网络使用的静态安全策略不同，零信任网络依靠网络活动的诸多属性来分析当前访问请求的风险。

比如，用户在正常工作时间从其正常地理位置访问数据库的请求应该被授权，但是从新的地理位置或者在非工作时间访问数据库的请求则被要求使用多因子身份认证。

零信任网络不再给网络参与者定义和分配基于二元决策的策略，而是持续监视参与者的网络活动，并据此持续更新其信任评分，然后使用这个评分作为授权策略判定的依据之一。

由于零信任网络中的所有网络流量都是加密的，因此传统的流量监听方法很难达到预期的效果。但是，如果网络访问请求的路径中部署了负载均衡设备或代理服务器，那么就能够看到应用数据，也就有机会进行深度包检测和授权操作。

2.4 控制平面和数据平面

控制平面和数据平面是网络系统经常使用的概念。

数据平面的作用是转发网络流量，它需要高速处理数据包，因此其处理逻辑相对简单，通常使用专用硬件。
零信任网络中的数据平面由直接处理网络流量的应用程序、防火墙、代理服务器和路由器组成。
控制平面可以看作是网络设备的大脑，系统管理员用它来配置管理网络设备，因此控制平面会随着策略的变化而变化。
控制平面的强可塑性导致其无法处理高速网络数据包流量。因此，控制平面和数据平面之间的接口定义需要遵循这样的原则：任何在数据平面执行的策略行为，都要尽可能减少向控制平面发送请求。
零信任网络中的控制平面由一系列组件构成，这些组件接收并处理来自数据平面的请求，这些请求或者是希望访问网络资源，或者是授予网络资源的访问权限。

数据平面和控制平面系统之间的交互请求必须使用私有PKI系统进行身份认证和加密，以确保接收方的可信度。控制平面和数据平面之间的接口应当类似于操作系统内核空间和用户空间之间的接口，为了防止提权攻击，两个系统之间的交互需要进行高度隔离。

3. 网络代理

3.1 网络代理的概念

网络代理指在网络请求中用于描述请求发起者的信息集合，一般包括用户、应用程序和设备共3类实体信息。

在传统实现方案中，一般对这些实体进行单独授权，但是在零信任网络中，策略基于这3类实体信息的组合整体进行制定。

用户、应用程序和设备信息是访问请求密不可分的上下文，将其作为整体进行授权，可以有效地应对凭证窃取等安全威胁。

网络代理代表的是用户和设备各个维度的属性在授权时刻的实时状态。

3.2 网络代理的内容

网络代理包含的不同类型的数据，其优先级、粒度都有所差异，典型的网络代理可能包含如下数据：

网络代理信任评分
用户信任评分
用户角色或群组
用户居住地
用户认证方式
设备信任评分
设备制造厂商
TPM制造厂商和版本号
当前设备位置
IP地址

4. Google BeyondCorp

Google的BeyondCorp项目从2010年年底开始启动，如今已经到了收尾阶段。

Google为实现BeyondCorp投入了大量的时间和资源，也收获了可喜的成果，目前大部分Google雇员已经完全可以在BeyondCorp模式下工作。

4.1 设备识别

以设备清单库为基础的设备追踪和采购流程是BeyoundCorp安全模型的基石之一。
所有受控设备都要具备唯一的标识，用于索引设备清单库里相关设备的信息。为每台设备签发专用的设备证书是其中一种实现方式。

4.2 用户识别

BeyondCorp能够追踪并管理用户数据库和群组数据库中的所有用户。这些数据库和Google的HR流程紧密集成，管理着所有用户的岗位分类、用户名和群组成员关系等。

单点登录（SSO）系统是BeyondCorp的集中式用户认证门户，它负责对请求访问企业资源的用户进行双因子认证，用户认证需要使用用户数据库和群组数据库。用户认证成功之后，SSO系统会生成短时令牌，它可以作为特定资源访问授权过程的一部分。

4.3 应用访问代理

Google的所有企业应用都通过面向互联网的访问代理开放给外部和内部客户端，该代理对客户端和企业应用之间的通信数据进行强制加密处理。

4.4 访问控制

BeyondCorp能够通过查询多个不同的数据源，动态推断用户或设备的信任等级。

比如：

如果某个设备没有安装最新的操作系统安全补丁，那么其信任等级会被降低。
某一类特定设备，比如特定型号的移动电话或平板电脑，可以被分配特定的信任等级。
如果有必要，访问控制引擎也可以执行基于地理位置的访问控制。
只有全职工程师使用工程师设备时才可以访问Google的软件缺陷追踪系统

4.5 策略评估

为了评估策略，传统的做法是在每个后端应用上集成设备信任评估服务，但是这种做法会显著降低产品安装和更换的效率。

BeyondCorp利用Google现有的前端（GFE）架构作为访问策略强制执行的逻辑中心。因为所有的访问请求都汇集到这个逻辑中心进行处理，所以自然就可以在此基础上扩展GFE的功能，比如自助服务开通、认证、授权和集中式日志记录等。

5. 参考

《零信任网络：在不可信网络中构建安全系统》

什么是零信任--用户/应用/设备--识别/认证/权限/信任相关推荐

ios13管理信任设备_如何取消对我已信任iOS 7设备的计算机的信任？
ios13管理信任设备 How to un-trust a computer that I have trusted with iOS 7 device, such as iPhone? 如何取消对我 ...
信任用户证书(CA)，实现Android7及以上HTTPS抓包
信任用户CA,实现Android7及以上HTTPS抓包 Android7以后,系统不再信任用户级的证书,只信任系统级的证书,所以我们要让APP信任用户自己的证书. 注:需要源码,或者反编译没有源码的 ...
微软零信任用户访问架构解读
概述微软对零信任的理解和基于微软自身安全产品的实践,提出了零信任战略.原则及建设的关键举措和步骤,并围绕Azure AD构建零信任用户访问参考架构.本文对微软零信任访问的安全架构进行简要阐述和解读. ...
零信任网络的一个重要功能：信任管理
信任管理是零信任网络的一个重要功能.人们对信任这个概念并不陌生,比如,你会信任自己的家人,但不会信任大街上的陌生人,当然更不可能信任面露凶相的陌生人.为什么会这样?信任是如何产生的? 首先,你确实了解 ...
win7移动设备管理器_win7系统usb设备识别不了的解决方案
小编给大家浅析win7系统usb设备识别不了的解决方案,使用win7系统过程中,有时会遇到电脑无法识别USB设备的问题,遇到此问题的用户,请来看看下面的解决方案吧. 最近使用win7系统的用户就在跟小 ...
python识别魔方色块_【雕爷学编程】MicroPython动手做（08）——零基础学MaixPy之识别颜色...
早上用百度搜了一下"颜色识别",多少有了一点大致的概念,还是老办法,动手做,多实验,往前走,还请各位老师多多指点. OpenCV(百度百科) 是一个基于BSD许可(开源)发行的跨平 ...
用c语言实现用户摘挂机识别功能,程控交换原理考试复习.(DOC)
一.填空题 1.时分接线器在输出控制方式中CM单元里填写的是话音信号在SM上的读出地址: 在输入控制方式中CM单元里填写的是话音信号在SM上的写入地址. 2.程控交换机的处理机按控制方式分类,有 ...
【原创】IP摄像头技术纵览（一）---linux 内核编译，USB摄像头设备识别
IP摄像头技术纵览(一)- linux 内核编译,USB摄像头设备识别开始正文之前先来认识一下我的开发环境: 系统:ubuntu 10.04 开发板:AT91SAM9260 + Linux-2.6. ...
4、Qt设备识别（简单的密钥生成器）
一.介绍在很多商业软件中,需要提供一些可以试运行的版本,这样就需要配套密钥机制来控制,纵观大部分的试用版软件,基本上采用以下几种机制来控制. 1.远程联网激活,每次启动都联网查看使用 ...
浅析计算机用户身份识别技术,一种计算机系统及其用户的身份识别方法和系统与流程...
技术领域本发明涉及身份识别领域,具体涉及一种计算机系统及其用户的身份识别方法和系统. 背景技术: 随着移动互联网技术的普及,移动支付已经成为人们工作.学习.娱乐.生活中非常重要的一部分.随之,移动支付 ...

什么是零信任--用户/应用/设备--识别/认证/权限/信任