零信任安全架構(gòu)技術(shù)研究和應(yīng)用思考

藺旭冉，毛天宇

(中核核信信息技術(shù)(北京)有限公司，北京 100048)

隨著移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)和人工智能等新興信息技術(shù)的快速發(fā)展和應(yīng)用，各級(jí)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施規(guī)模和復(fù)雜程度大幅提高，靈活動(dòng)態(tài)和更大范圍的業(yè)務(wù)數(shù)據(jù)訪問(wèn)需求持續(xù)增加，網(wǎng)絡(luò)邊界不斷模糊。原有通過(guò)防火墻、VPN、IDS等設(shè)備進(jìn)行防護(hù)、基于邊界實(shí)現(xiàn)內(nèi)外網(wǎng)隔離的傳統(tǒng)靜態(tài)安全架構(gòu)局限性日益凸顯，越來(lái)越難以滿足業(yè)務(wù)動(dòng)態(tài)發(fā)展的安全需求和合規(guī)性監(jiān)管要求，企業(yè)網(wǎng)絡(luò)安全防護(hù)和管控能力建設(shè)面臨新的挑戰(zhàn)。

業(yè)務(wù)需求和新技術(shù)應(yīng)用驅(qū)動(dòng)安全架構(gòu)發(fā)展，零信任(Zero Trust，ZT)技術(shù)應(yīng)運(yùn)而生。零信任對(duì)傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行重新評(píng)估和審視，其核心思想是在默認(rèn)情況下不應(yīng)信任網(wǎng)絡(luò)內(nèi)部或外部的任何人/設(shè)備/系統(tǒng)，基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。2010年，約翰·金德維格(John Kindervag)正式提出零信任的核心概念：

1)資源的安全訪問(wèn)與位置無(wú)關(guān)。

2)遵循最小權(quán)限原則并強(qiáng)制實(shí)施訪問(wèn)控制。

3)檢核記錄所有流量。

在此基礎(chǔ)上，Google和微軟分別于2017年和2018年進(jìn)一步研究并建立了零信任體系和模型。其中Google Beyond Corp項(xiàng)目歷時(shí)六年多時(shí)間，擯棄特權(quán)網(wǎng)絡(luò)概念重構(gòu)了網(wǎng)絡(luò)安全架構(gòu)，逐步建立了所有訪問(wèn)授權(quán)與位置無(wú)關(guān)，均依賴用戶和設(shè)備憑證，并能夠針對(duì)不同資源進(jìn)行細(xì)粒度訪問(wèn)控制的零信任安全體系。

零信任是一組架構(gòu)理念和原則，沒(méi)有明確對(duì)應(yīng)專有技術(shù)產(chǎn)品，需要緊密融合企業(yè)自身業(yè)務(wù)安全需求，結(jié)合網(wǎng)絡(luò)現(xiàn)狀進(jìn)行全面規(guī)劃設(shè)計(jì)和分步改造遷移。盡管已經(jīng)過(guò)多年的研究實(shí)踐，也不乏成功案例支撐，但零信任架構(gòu)實(shí)際建設(shè)和落地場(chǎng)景仍在少數(shù)，尤其是國(guó)內(nèi)大部分企業(yè)仍以傳統(tǒng)的邊界防護(hù)架構(gòu)為主。隨著當(dāng)前內(nèi)外部網(wǎng)絡(luò)安全威脅持續(xù)加劇，一方面企業(yè)對(duì)大范圍移動(dòng)互聯(lián)和大數(shù)據(jù)中心等新業(yè)務(wù)場(chǎng)景的安全需求快速增加；另一方面包括身份認(rèn)證和安全檢測(cè)等企業(yè)自身安全防護(hù)體系建設(shè)已相對(duì)完善，基礎(chǔ)能力逐步具備條件；同時(shí)，相關(guān)安全解決方案和實(shí)踐經(jīng)驗(yàn)不斷增加，零信任的整體實(shí)施推廣和應(yīng)用的技術(shù)基礎(chǔ)也逐漸具備起來(lái)。因此，本文對(duì)零信任架構(gòu)進(jìn)行了基礎(chǔ)技術(shù)研究分析和應(yīng)用實(shí)踐探討，為各企業(yè)進(jìn)一步熟悉了解零信任，加快開展實(shí)踐和落地工作提供幫助。

1 技術(shù)研究

1.1 基本原則

零信任提供了一組概念和設(shè)計(jì)思想，旨在減少在信息系統(tǒng)和服務(wù)中實(shí)施快速、準(zhǔn)確訪問(wèn)決策的不確定性，其理念構(gòu)成的基本原則如下：

1)所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源。包括企業(yè)終端、網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器等在內(nèi)的所有處理、傳輸和存儲(chǔ)數(shù)據(jù)的設(shè)備及相關(guān)功能部件都應(yīng)納入資源管理。

2)無(wú)論網(wǎng)絡(luò)位置如何，所有通信都應(yīng)該是安全的。信任與位置無(wú)關(guān)，所有訪問(wèn)請(qǐng)求都必須滿足相同的安全策略，都應(yīng)以最安全的方式進(jìn)行。

3)對(duì)單個(gè)企業(yè)資源的訪問(wèn)是在每個(gè)會(huì)話的基礎(chǔ)上授予的。

4)對(duì)資源的訪問(wèn)由動(dòng)態(tài)策略決定，包括客戶端標(biāo)識(shí)、應(yīng)用程序和請(qǐng)求資產(chǎn)的可見(jiàn)狀態(tài)，以及其他行為屬性。

5)企業(yè)確保所擁有的資產(chǎn)和相關(guān)的設(shè)備均處于最安全的狀態(tài)，并持續(xù)監(jiān)控以確保處于最安全狀態(tài)?？山⒁粋€(gè)持續(xù)診斷和監(jiān)控軟硬件資產(chǎn)設(shè)備安全狀態(tài)的技術(shù)平臺(tái)，并根據(jù)需要應(yīng)用補(bǔ)丁/修復(fù)程序。

6)所有資源的身份驗(yàn)證和授權(quán)都是動(dòng)態(tài)的，并且在允許訪問(wèn)之前必須嚴(yán)格執(zhí)行。應(yīng)實(shí)現(xiàn)驗(yàn)證授權(quán)前置，在整個(gè)用戶交互過(guò)程中不斷重新進(jìn)行身份驗(yàn)證和授權(quán)的動(dòng)態(tài)監(jiān)控。

7)企業(yè)盡可能多地收集網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信系統(tǒng)當(dāng)前的狀態(tài)信息，以提升其網(wǎng)絡(luò)安全狀況。

1.2 技術(shù)架構(gòu)

零信任架構(gòu)(ZTA)是利用零信任概念建立的網(wǎng)絡(luò)安全計(jì)劃，包含組件關(guān)系、工作流程規(guī)劃和訪問(wèn)策略等內(nèi)容。技術(shù)本質(zhì)是構(gòu)建以身份為基石的業(yè)務(wù)動(dòng)態(tài)可信訪問(wèn)控制機(jī)制，其訪問(wèn)主體包括所有人員用戶、設(shè)備和應(yīng)用程序(見(jiàn)圖1)。

圖1 零信任架構(gòu)Fig.1 Zero trust architecture

零信任架構(gòu)的核心邏輯組件負(fù)責(zé)實(shí)現(xiàn)安全策略管理、動(dòng)態(tài)信任評(píng)估和最終訪問(wèn)授權(quán)控制，一般包括策略引擎、策略管理器和策略執(zhí)行點(diǎn)：

1)策略引擎(PE)：通過(guò)獲取多方數(shù)據(jù)來(lái)最終決定是否允許指定的主體可以對(duì)資源進(jìn)行訪問(wèn)。數(shù)據(jù)源通過(guò)持續(xù)診斷和緩解系統(tǒng)、威脅情報(bào)系統(tǒng)、數(shù)據(jù)訪問(wèn)策略、PKI系統(tǒng)、用戶身份管理系統(tǒng)和日志收集系統(tǒng)等輔助系統(tǒng)提供，結(jié)合策略引擎的信任算法計(jì)算信任評(píng)分，實(shí)現(xiàn)數(shù)據(jù)資源的最終授權(quán)或拒絕訪問(wèn)。其中針對(duì)用戶行為的信任評(píng)估需要應(yīng)用機(jī)器學(xué)習(xí)算法，實(shí)現(xiàn)動(dòng)態(tài)和自動(dòng)化的準(zhǔn)確計(jì)算。

2)策略管理器(PA)：建立或關(guān)閉主體與資源之間的連接，生成終端用來(lái)訪問(wèn)資源的任何身份驗(yàn)證，令牌或憑據(jù)。策略管理器與策略引擎緊密相關(guān)，依賴于策略引擎決定最終允許還是拒絕連接。

3)策略執(zhí)行點(diǎn)(PEP)：?jiǎn)⒂谩⒈O(jiān)視并最終執(zhí)行主體與企業(yè)資源之間的連接控制?？梢苑譃榻K端側(cè)和資源側(cè)兩個(gè)不同的代理組件，通過(guò)可信代理網(wǎng)關(guān)組件實(shí)現(xiàn)接入訪問(wèn)控制。

基于網(wǎng)絡(luò)默認(rèn)不可信的基本理念，零信任架構(gòu)通過(guò)對(duì)所有訪問(wèn)主體進(jìn)行強(qiáng)認(rèn)證來(lái)建立信任關(guān)系，包括用戶應(yīng)用身份認(rèn)證授權(quán)和設(shè)備的接入認(rèn)證，依托核心邏輯組件針對(duì)每一個(gè)主體訪問(wèn)的每一個(gè)客體，建立一對(duì)一封閉的安全隧道，實(shí)現(xiàn)端對(duì)端的網(wǎng)絡(luò)訪問(wèn)流量均經(jīng)過(guò)認(rèn)證、授權(quán)和加密，建立動(dòng)態(tài)可信的安全訪問(wèn)平臺(tái)。

1.3 核心技術(shù)

零信任架構(gòu)真正落地需要通過(guò)相關(guān)安全組件和平臺(tái)工具實(shí)現(xiàn)核心技術(shù)支持，主要包括軟件定義邊界(SDP)、身份權(quán)限管理(IAM)和微隔離(MSG)。

(1)SDP

SDP允許應(yīng)用程序所有者能夠在需要時(shí)部署安全邊界，以“應(yīng)用訪問(wèn)安全”為基本原則，實(shí)現(xiàn)單次動(dòng)態(tài)的最小訪問(wèn)權(quán)限生成。為保障應(yīng)用側(cè)的訪問(wèn)安全，零信任SDP要求用戶通過(guò)統(tǒng)一入口來(lái)訪問(wèn)應(yīng)用，通過(guò)SPA協(xié)議強(qiáng)制執(zhí)行“連接前授權(quán)和驗(yàn)證”，實(shí)現(xiàn)設(shè)備或用戶的身份在網(wǎng)絡(luò)訪問(wèn)PEP之前前置驗(yàn)證，最大限度減小非授權(quán)網(wǎng)絡(luò)攻擊。

(2)IAM

身份管理技術(shù)在企業(yè)現(xiàn)有安全架構(gòu)廣泛應(yīng)用，為所有用戶,應(yīng)用程序和數(shù)據(jù)啟用并保護(hù)數(shù)字身份。通過(guò)定義客體對(duì)哪些主體具有哪種訪問(wèn)權(quán)限來(lái)管理訪問(wèn)權(quán)限控制，是零信任安全架構(gòu)的核心基礎(chǔ)。

當(dāng)需要進(jìn)行資源的訪問(wèn)權(quán)限時(shí)，零信任架構(gòu)以身份為中心，按需配置任意粒度的權(quán)限和身份載體，不必再共享訪問(wèn)密鑰，從而做到對(duì)接入客體的全方位統(tǒng)一管控，構(gòu)筑端到端的邏輯身份邊界。

(3)MSG

微隔離技術(shù)通過(guò)數(shù)據(jù)中心和云平臺(tái)部署中創(chuàng)建安全區(qū)域，可以將數(shù)據(jù)中心在邏輯上劃分為各個(gè)工作負(fù)載級(jí)別的不同安全段,定義安全控制并為每個(gè)唯一段提供服務(wù)。

1.4 技術(shù)分析

傳統(tǒng)的邊界防護(hù)架構(gòu)假定內(nèi)部網(wǎng)絡(luò)在一定程度上可信，通過(guò)識(shí)別和控制用戶身份、IP地址或物理位置等相對(duì)單一因素，配置靜態(tài)安全策略防護(hù)目標(biāo)資源。零信任架構(gòu)假定整個(gè)網(wǎng)絡(luò)不可信，通過(guò)綜合評(píng)估用戶、設(shè)備和應(yīng)用信任等級(jí)，結(jié)合靜態(tài)策略動(dòng)態(tài)評(píng)估細(xì)粒度的控制數(shù)據(jù)資源訪問(wèn)，提升整體安全防護(hù)能力。

以邊界防護(hù)架構(gòu)典型的VPN接入方式為例，綜合零信任架構(gòu)和核心技術(shù)優(yōu)勢(shì)，技術(shù)分析情況如表1所示：

表1 VPN接入方式技術(shù)分析Table 1 The technological analysis of VPN

邊界防護(hù)架構(gòu)對(duì)于網(wǎng)絡(luò)訪問(wèn)行為的認(rèn)證授權(quán)和加密防護(hù)能力僅能到達(dá)邊界設(shè)備，缺乏全局性防護(hù)和安全策略的強(qiáng)制動(dòng)態(tài)執(zhí)行。零信任架構(gòu)把安全防護(hù)能力貫徹到整個(gè)網(wǎng)絡(luò)內(nèi)，滿足大范圍、復(fù)雜和敏感的業(yè)務(wù)應(yīng)用安全訪問(wèn)需求，把安全控制提升到了更高的水平。

2 應(yīng)用場(chǎng)景

隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn)，數(shù)據(jù)已經(jīng)成為企業(yè)最為核心的資產(chǎn)。為了支撐日益復(fù)雜的大數(shù)據(jù)業(yè)務(wù)需求，將多機(jī)構(gòu)、多業(yè)務(wù)、多平臺(tái)的數(shù)據(jù)匯聚融合統(tǒng)一管理和共享的企業(yè)大數(shù)據(jù)中心成為零信任架構(gòu)的主要應(yīng)用場(chǎng)景，以打破業(yè)務(wù)線和地域之間的網(wǎng)絡(luò)隔離，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全可信、高質(zhì)量、低成本的接入和使用。

2.1 場(chǎng)景需求分析

基于云計(jì)算與大數(shù)據(jù)技術(shù)的大數(shù)據(jù)中心已廣泛建設(shè)和應(yīng)用，作為大部分企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)支撐平臺(tái)，尤其是大規(guī)模集團(tuán)性企業(yè)或提供技術(shù)資源服務(wù)型平臺(tái)，訪問(wèn)請(qǐng)求可能由內(nèi)外部各級(jí)人員的各類終端設(shè)備隨時(shí)隨地發(fā)起，面臨更復(fù)雜的安全風(fēng)險(xiǎn)和管控需求。

(1)數(shù)據(jù)的大規(guī)模匯聚和集中帶來(lái)安全風(fēng)險(xiǎn)的集中，外部網(wǎng)絡(luò)安全攻擊力度和頻度可能大幅提升，由于業(yè)務(wù)訪問(wèn)權(quán)限復(fù)雜多變也可能導(dǎo)致內(nèi)部非授權(quán)數(shù)據(jù)被泄露甚至竊取的風(fēng)險(xiǎn)增大，需要將用戶、設(shè)備和應(yīng)用程序等主體進(jìn)行多維度和精細(xì)化識(shí)別認(rèn)證，確保每一項(xiàng)接入訪問(wèn)行為安全可信。

(2)現(xiàn)有傳統(tǒng)的網(wǎng)絡(luò)接入和邊界防御存在單一防護(hù)點(diǎn)安全防護(hù)強(qiáng)度不足的問(wèn)題，面對(duì)大數(shù)據(jù)共享和大量靈活的用戶接入的需求，例如VPN網(wǎng)關(guān)和網(wǎng)閘擺渡等方式，容易被高風(fēng)險(xiǎn)漏洞利用等方式攻破導(dǎo)致系統(tǒng)設(shè)備被大范圍攻破和數(shù)據(jù)泄露。需要對(duì)訪問(wèn)控制層面進(jìn)行整合強(qiáng)化，將安全防護(hù)能力貫徹到整個(gè)網(wǎng)絡(luò)內(nèi)，降低網(wǎng)絡(luò)邊界設(shè)備或關(guān)鍵節(jié)點(diǎn)的安全防護(hù)壓力。

(3)移動(dòng)訪問(wèn)大量增加和訪問(wèn)設(shè)備方式的靈活多變將帶來(lái)多種新的威脅和風(fēng)險(xiǎn)，靜態(tài)訪問(wèn)控制和授權(quán)模式將難以滿足實(shí)時(shí)的訪問(wèn)權(quán)限最小化原則。需要建立綜合安全威脅監(jiān)測(cè)、戶行為分析和設(shè)備安全狀態(tài)等信息的動(dòng)態(tài)評(píng)估和授權(quán)機(jī)制，在不影響業(yè)務(wù)效率的前提下，確保資源訪問(wèn)權(quán)限安全可控，應(yīng)對(duì)大數(shù)據(jù)的動(dòng)態(tài)流動(dòng)風(fēng)險(xiǎn)。

2.2 安全架構(gòu)設(shè)計(jì)

根據(jù)應(yīng)用場(chǎng)景的安全風(fēng)險(xiǎn)和需求分析，可基于零信任理念設(shè)計(jì)終端到服務(wù)端交互的整體安全框架，以身份為中心建立持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制核心能力，有效抵御內(nèi)外部安全威脅(見(jiàn)圖2)。

圖2 安全架構(gòu)設(shè)計(jì)Fig.2 Security architecture and design

在該場(chǎng)景下應(yīng)首先確保所有訪問(wèn)主體的終端設(shè)備安全可信。所有終端設(shè)備用戶發(fā)起的訪問(wèn)請(qǐng)求都由可信代理網(wǎng)關(guān)接管，通過(guò)可信訪問(wèn)控制平臺(tái)聯(lián)動(dòng)信任分析評(píng)估系統(tǒng)對(duì)用戶身份進(jìn)行強(qiáng)認(rèn)證和細(xì)粒度授權(quán)。信任分析評(píng)估系統(tǒng)通過(guò)收集環(huán)境感知、可信訪問(wèn)代理、身份管理等系統(tǒng)傳遞的安全日志或流量信息結(jié)合靜態(tài)訪問(wèn)控制列表進(jìn)行動(dòng)態(tài)評(píng)判，實(shí)現(xiàn)對(duì)所有訪問(wèn)行為的認(rèn)證、加密和授權(quán)。

(1)全面識(shí)別所有訪問(wèn)設(shè)備，實(shí)現(xiàn)安全受控和動(dòng)態(tài)評(píng)估

所有設(shè)備均需被識(shí)別和跟蹤，包括移動(dòng)設(shè)備、虛擬機(jī)和容器等，可通過(guò)建立設(shè)備數(shù)據(jù)庫(kù)或利用已有的配置管理庫(kù)(CMDB)對(duì)設(shè)備詳細(xì)信息和生命周期內(nèi)變更進(jìn)行記錄和監(jiān)控，并對(duì)受控設(shè)備配發(fā)唯一標(biāo)識(shí)。設(shè)備的標(biāo)識(shí)和認(rèn)證可通過(guò)X.509證書結(jié)合TPM綁定和存儲(chǔ)實(shí)現(xiàn)。同時(shí)可在各類終端設(shè)備中部署可信環(huán)境感知Agent，持續(xù)采集終端環(huán)境安全狀態(tài)，作為可信評(píng)估的重要輸入實(shí)時(shí)傳遞至可信環(huán)境感知系統(tǒng)。

(2)實(shí)現(xiàn)用戶安全身份認(rèn)證和權(quán)限管理

可首先利用已有4A、IAM、AD/LDAP、PKI等身份及權(quán)限管理基礎(chǔ)平臺(tái)進(jìn)行應(yīng)用程序/用戶身份權(quán)限的全生命周期管理，聯(lián)動(dòng)信任分析評(píng)估系統(tǒng)和訪問(wèn)控制平臺(tái)實(shí)現(xiàn)對(duì)用戶身份評(píng)估認(rèn)證和授權(quán)。后續(xù)再根據(jù)業(yè)務(wù)需求進(jìn)行身份管理機(jī)制的優(yōu)化整合，打造集中化的身份管理平臺(tái)，對(duì)人員、設(shè)備和應(yīng)用程序提供多維度綜合管控，實(shí)現(xiàn)身份歸一化管理。

(3)前置可信訪問(wèn)代理，構(gòu)建動(dòng)態(tài)可信的訪問(wèn)控制機(jī)制

開放式前置部署可信訪問(wèn)代理，允許所有來(lái)自互聯(lián)網(wǎng)的設(shè)備和用戶訪問(wèn)。可信訪問(wèn)代理基于每一項(xiàng)應(yīng)用進(jìn)行安全訪問(wèn)配置，實(shí)現(xiàn)訪問(wèn)流量數(shù)據(jù)的加密處理，可以綜合單點(diǎn)登錄、復(fù)雜均衡和行為審計(jì)等通用特性?？尚旁L問(wèn)代理自身無(wú)法對(duì)安全策略和權(quán)限進(jìn)行管理，與控制平臺(tái)分離，僅作為策略執(zhí)行點(diǎn)建立安全通道，并通過(guò)SDP技術(shù)實(shí)現(xiàn)前置驗(yàn)證，進(jìn)一步降低自身安全風(fēng)險(xiǎn)。

結(jié)合業(yè)務(wù)應(yīng)用架構(gòu)和安全防護(hù)等級(jí)，也可以構(gòu)建應(yīng)用及數(shù)據(jù)接口的安全訪問(wèn)控制點(diǎn)，使用API可信代理對(duì)應(yīng)用前置與接口數(shù)據(jù)之間的API調(diào)用進(jìn)行安全接入認(rèn)證和強(qiáng)制訪問(wèn)控制，進(jìn)一步提升整體安全防護(hù)能力。

(4)構(gòu)建持續(xù)的風(fēng)險(xiǎn)感知和信任評(píng)估能力

以可信訪問(wèn)控制平臺(tái)聯(lián)動(dòng)信任分析評(píng)估系統(tǒng)為核心實(shí)現(xiàn)動(dòng)態(tài)、集中和自動(dòng)化的訪問(wèn)控制管理能力，建立訪問(wèn)控制策略、應(yīng)用接口服務(wù)和用戶認(rèn)證授權(quán)的統(tǒng)一和集中管理，關(guān)聯(lián)環(huán)境風(fēng)險(xiǎn)和訪問(wèn)行為匯聚分析，具備全面審計(jì)功能。

信任分析評(píng)估系統(tǒng)可同時(shí)使用靜態(tài)規(guī)則，并收集主體、客體和環(huán)境分風(fēng)險(xiǎn)感知信息，接收其他組建平臺(tái)日志，利用數(shù)據(jù)分析和機(jī)器學(xué)習(xí)算法，構(gòu)建信任評(píng)估模型，進(jìn)行用戶行為進(jìn)行綜合風(fēng)險(xiǎn)關(guān)聯(lián)判定，為動(dòng)態(tài)訪問(wèn)控制提供信任等級(jí)評(píng)估。環(huán)境感知系統(tǒng)可以整合或利用已有終端、網(wǎng)絡(luò)和應(yīng)用安全防護(hù)產(chǎn)品功能組件，如防病毒、主機(jī)防護(hù)、網(wǎng)絡(luò)準(zhǔn)入、威脅情報(bào)等，對(duì)設(shè)備運(yùn)行和網(wǎng)絡(luò)環(huán)境進(jìn)行驗(yàn)證評(píng)估。

大數(shù)據(jù)中心應(yīng)用場(chǎng)景的零信任架構(gòu)實(shí)現(xiàn)需要全面評(píng)估信息系統(tǒng)現(xiàn)狀，充分利用原有技術(shù)防護(hù)措施，權(quán)衡選擇安全組件和實(shí)施策略，分區(qū)域分階段逐步實(shí)現(xiàn)新框架落地和業(yè)務(wù)遷移。

3 實(shí)施路徑

零信任概念和框架從提出到落地已近10年，實(shí)踐經(jīng)驗(yàn)相對(duì)豐富已進(jìn)入快速落地的階段，但由于其架構(gòu)龐大且復(fù)雜，實(shí)施落地仍然非常困難，需要長(zhǎng)建設(shè)周期和高成本投入。因此，企業(yè)應(yīng)按照規(guī)劃先行、新建業(yè)務(wù)優(yōu)先的基本思路，結(jié)合自身業(yè)務(wù)現(xiàn)狀，分階段分步穩(wěn)定推進(jìn)，逐步完成改造遷移。根據(jù)企業(yè)大數(shù)據(jù)中心業(yè)務(wù)場(chǎng)景實(shí)現(xiàn)的初步探討，參考業(yè)界最佳實(shí)踐，思考和提出以下實(shí)施路徑建議。

(1)選擇業(yè)務(wù)切入點(diǎn)

考慮選擇集中化的遠(yuǎn)程辦公作為快速切入點(diǎn)。針對(duì)遠(yuǎn)程辦公、遠(yuǎn)程開發(fā)、遠(yuǎn)程測(cè)試、遠(yuǎn)程業(yè)務(wù)開展等快速增長(zhǎng)的業(yè)務(wù)需求，目前以VPN為主的安全架構(gòu)難以滿足大規(guī)模全方面業(yè)務(wù)訪問(wèn)的安全需求，可通過(guò)零信任體系實(shí)現(xiàn)訪問(wèn)主體信任等級(jí)的持續(xù)評(píng)估和動(dòng)態(tài)調(diào)整，帶動(dòng)整體安全架構(gòu)落地。

(2)界定保護(hù)范圍，梳理核心資產(chǎn)

開展數(shù)據(jù)分類分級(jí)梳理的基礎(chǔ)上，首要明確核心業(yè)務(wù)系統(tǒng)并梳理核信資產(chǎn)，將所有接入網(wǎng)絡(luò)設(shè)備均納入資產(chǎn)管理，全面梳理主體到客體的訪問(wèn)路徑、暴露面和保護(hù)面。

(3)深度介入業(yè)務(wù)流轉(zhuǎn)，梳理相關(guān)各訪問(wèn)路徑的主體身份和權(quán)限

針對(duì)各種訪問(wèn)路徑，枚舉分析網(wǎng)絡(luò)流量，梳理通過(guò)此訪問(wèn)路徑對(duì)業(yè)務(wù)和數(shù)據(jù)發(fā)起訪問(wèn)的主體是什么，明確哪些人、設(shè)備、應(yīng)用可能訪問(wèn)此業(yè)務(wù)和數(shù)據(jù)，并進(jìn)一步明確應(yīng)該賦予的訪問(wèn)權(quán)限。

(4)評(píng)估環(huán)境風(fēng)險(xiǎn)并制定安全策略，逐步搭建零信任環(huán)境

先以終端環(huán)境風(fēng)險(xiǎn)評(píng)估作為基礎(chǔ)訪問(wèn)控制依據(jù)，針對(duì)用戶訪問(wèn)大數(shù)據(jù)中心的應(yīng)用、外部應(yīng)用或應(yīng)用前置訪問(wèn)大數(shù)據(jù)中心的服務(wù)API接口、外部數(shù)據(jù)平臺(tái)通過(guò)API接口和大數(shù)據(jù)中心進(jìn)行數(shù)據(jù)交換等場(chǎng)景設(shè)計(jì)訪問(wèn)控制點(diǎn)。通過(guò)可信代理結(jié)合訪問(wèn)控制中心，分段建立用戶動(dòng)態(tài)多因素身份認(rèn)證和接入設(shè)備安全狀態(tài)評(píng)估能力。同時(shí)，可針對(duì)數(shù)據(jù)安全泄露風(fēng)險(xiǎn)應(yīng)部署聯(lián)動(dòng)的安全審計(jì)和防泄漏工具，建立追蹤溯源能力。

(5)建立持續(xù)完善和維護(hù)機(jī)制

基于零信任技術(shù)環(huán)境相關(guān)邏輯組件和平臺(tái)工具，實(shí)時(shí)采集包括安全日志、用戶行為、資產(chǎn)信息等各種動(dòng)態(tài)數(shù)據(jù)，進(jìn)行縱深安全分析，不斷調(diào)整信任狀況，盡可能實(shí)現(xiàn)自動(dòng)化管控，執(zhí)行持續(xù)防御和動(dòng)態(tài)訪問(wèn)控制，保障安全體系有效運(yùn)行并不斷完善安全防護(hù)體系。

4 結(jié)束語(yǔ)

零信任技術(shù)正在快速推動(dòng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展和變革，能夠真正實(shí)現(xiàn)安全和業(yè)務(wù)的聚合并形成內(nèi)生安全。核電行業(yè)網(wǎng)絡(luò)信息系統(tǒng)規(guī)模大結(jié)構(gòu)復(fù)雜，結(jié)合云平臺(tái)、大數(shù)據(jù)應(yīng)用及物聯(lián)網(wǎng)等新技術(shù)的快速推廣和應(yīng)用，可以通過(guò)零信任架構(gòu)的落地實(shí)施改進(jìn)和完善安全防控體系，滿足集中化和高度敏感數(shù)據(jù)資源的安全可控訪問(wèn)需求，全面提升網(wǎng)絡(luò)安全防護(hù)水平。

本文研究分析了零信任體系架構(gòu)和核心技術(shù)，對(duì)大數(shù)據(jù)中心的典型應(yīng)用場(chǎng)景進(jìn)行了初步探討并提出實(shí)施路徑建議，可為核行業(yè)企業(yè)后續(xù)加快啟動(dòng)和落地零信任工作技術(shù)提供參考和支撐。