網(wǎng)絡(luò)如何支持零信任架構(gòu)

■ 北京 李先齡

編者按：零信任方法種類繁多，可以在主機操作系統(tǒng)、軟件容器虛擬網(wǎng)絡(luò)、虛擬機監(jiān)視器或具有SDP或IAP的虛擬云基礎(chǔ)架構(gòu)中實施。本文探討用戶網(wǎng)絡(luò)如何支持和實施零信任架構(gòu)。

簡而言之，零信任要求驗證每個試圖訪問網(wǎng)絡(luò)的用戶和設(shè)備，并執(zhí)行嚴(yán)格的訪問控制和身份管理，以限制那些授權(quán)的用戶僅能訪問其權(quán)限之內(nèi)的資源。

零信任是一種體系架構(gòu)。因此，有許多潛在的解決方案可用，但這只是適用于網(wǎng)絡(luò)領(lǐng)域的一種解決方案。

最小特權(quán)

零信任的一個廣泛原則是最小特權(quán)，即授予訪問者僅能夠訪問有關(guān)資源的最小的權(quán)限。那么如何實現(xiàn)這一目的呢？

一種方法是網(wǎng)絡(luò)分段，它可以基于身份驗證、信任、用戶角色和拓撲將網(wǎng)絡(luò)分隔開來。如果得到有效實施，它可以隔離某個網(wǎng)段上的主機，并最大程度地減少其橫向或東西向通信，從而在主機受到損害時將損失限制在一定范圍。由于主機和應(yīng)用程序只能訪問它們有權(quán)訪問的有限資源，因此分段可以防止攻擊者進入網(wǎng)絡(luò)的其他部分。

實體（個人或設(shè)備等）根據(jù)上下文被授予訪問權(quán)限，并被授權(quán)訪問資源——個人是誰？使用什么設(shè)備訪問網(wǎng)絡(luò)？其位置、通信方式以及訪問目的是什么？

還有其他強制分割的方法，最傳統(tǒng)的方法之一是物理隔離。物理隔離是通過將專用安全設(shè)備對網(wǎng)絡(luò)及主機等進行物理上的隔離，并設(shè)置為不同的安全級別。盡管這是一種久經(jīng)考驗并證明比較有效的方法，但為每個用戶的信任級別和角色構(gòu)建完全獨立的環(huán)境可能會非常昂貴。

二層分段

另一種方法是二層分段，其中最終用戶及其設(shè)備是通過設(shè)備和訪問交換機之間的內(nèi)聯(lián)安全過濾來進行隔離。但是在每個用戶和交換機之間安裝防火墻可能成本會非常高。

還有一種方法是基于端口的網(wǎng)絡(luò)訪問控制，該方法可基于身份驗證或通過請求方證書來授予訪問權(quán)限，并將每個節(jié)點分配給三層VLAN。

以上這些類型的方法通常是通過802.1X標(biāo)準(zhǔn)和可擴展的身份驗證協(xié)議，部署在有線和無線訪問網(wǎng)絡(luò)。但是企業(yè)可能并不會利用供應(yīng)商，諸如全套最終用戶角色、身份驗證憑據(jù)、設(shè)備配置文件和高級流量過濾，來根據(jù)用戶的可信度對用戶進行細分。如果用戶按照這些方式進行部署，那么其安全性會得到大大增強。

三層分段

創(chuàng)建應(yīng)用程序隔離區(qū)的常用方法包括將接入線纜和端口分離到三層VLAN中，并執(zhí)行內(nèi)聯(lián)過濾?？梢酝ㄟ^網(wǎng)絡(luò)設(shè)備（例如路由器）來執(zhí)行過濾，也可以通過對用戶身份和角色有一定認(rèn)知的狀態(tài)防火墻或代理服務(wù)器來執(zhí)行。一個典型的示例是標(biāo)準(zhǔn)的三層Web應(yīng)用程序體系架構(gòu)，其中Web服務(wù)器、App服務(wù)器和數(shù)據(jù)庫服務(wù)器位于單獨的子網(wǎng)中。

由此之后的是網(wǎng)絡(luò)切片（Network Slicing），是通過SDN方式將網(wǎng)絡(luò)在邏輯上分為多個切片，類似于虛擬路由和上下文轉(zhuǎn)發(fā)。

當(dāng)前的做法是為每臺服務(wù)器分配自己的IPv4子網(wǎng)或IPv6/64前綴，并將其子網(wǎng)發(fā)布給網(wǎng)絡(luò)路由器。該服務(wù)器子網(wǎng)內(nèi)的所有流量都是該服務(wù)器內(nèi)的本地流量，因此該主機內(nèi)的虛擬網(wǎng)絡(luò)上不會發(fā)生其他滲透行為。

將流量封裝在IP網(wǎng)絡(luò)頂部運行的覆蓋隧道中也可以實現(xiàn)網(wǎng)段隔離，這可以通過多種方式來完成，其中包括虛擬可擴展LAN、使用通用路由封裝的網(wǎng)絡(luò)虛擬化、通用網(wǎng)絡(luò)虛擬化封裝、無狀態(tài)傳輸隧道和TSO（TCP segmentation offload）技術(shù)。

數(shù)據(jù)包標(biāo)記——使用內(nèi)部標(biāo)識符標(biāo)記數(shù)據(jù)包——可用于在接口之間建立信任關(guān)系，并根據(jù)其身份和授權(quán)隔離最終用戶設(shè)備的數(shù)據(jù)包。可以標(biāo)記協(xié)議，包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec。分段路由則是在IPv6數(shù)據(jù)包中使用特殊的路由頭部來控制MPLS或IPv6網(wǎng)絡(luò)上的通信路徑。

建議

美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）列舉了零信任體系架構(gòu)的邏輯組件，并提供了一些部署樣式的定義，包括基于策略決策點和策略執(zhí)行點來驗證和認(rèn)證用戶。這類似于云安全聯(lián)盟最初構(gòu)想的軟件定義邊界（SDP）的方式。

此方法通過使用一個SDP控制器，該控制器對用戶進行身份驗證，然后根據(jù)用戶的角色和授權(quán)通知SDP網(wǎng)關(guān)允許訪問特定的應(yīng)用程序。該過程可以使用傳統(tǒng)的用戶名和密碼，也可以使用帶有一次性密碼、軟件令牌、硬件令牌、移動應(yīng)用程序或文本消息的新型的多因素身份驗證（MFA）方法。

還有一種可供選擇的的方法稱之為單包認(rèn)證（SPA，Single Packet Autho rization）或端口碰撞（Port Knocking）技術(shù)，是通過使用客戶端瀏覽器或應(yīng)用程序?qū)⒁唤M數(shù)據(jù)包發(fā)送到SDP控制器，以識別相應(yīng)的用戶及其設(shè)備。

其實存在各種各樣的微分段、主機隔離和零信任網(wǎng)絡(luò)方法，有些是應(yīng)用在網(wǎng)絡(luò)設(shè)備中，有的是在服務(wù)器中，或是在身份和訪問控制系統(tǒng)中，或在中間設(shè)備（例如代理服務(wù)器或防火墻）中實現(xiàn)的。零信任方法種類繁多，可以在主機操作系統(tǒng)、軟件容器虛擬網(wǎng)絡(luò)、虛擬機監(jiān)視器（Hypervisor）或具有SDP或IAP的虛擬云基礎(chǔ)架構(gòu)中實施。

許多零信任方法還涉及最終用戶節(jié)點上的軟件代理以及X.509證書、雙向TLS（mTLS）認(rèn)證、SPA和MFA。僅僅通過網(wǎng)絡(luò)、服務(wù)器或安全管理人員無法獨自完全實現(xiàn)所有這些功能。為了實現(xiàn)有效的零信任網(wǎng)絡(luò)架構(gòu)，可以通過與跨部門的IT團隊協(xié)作來實現(xiàn)這些技術(shù)。