零信任落地路徑研究*

秦益飛，張英濤，張曉東

（江蘇易安聯(lián)網(wǎng)絡技術有限公司，江蘇 南京 210012）

0 引 言

零信任的概念已經(jīng)深入人心，一夜之間，仿佛每個安全廠家都有了自己的零信任產(chǎn)品，每個企業(yè)都在準備零信任轉型，然而，面對企業(yè)網(wǎng)錯綜繁瑣的應用系統(tǒng)和紛雜散亂的安全產(chǎn)品，如何再去部署一套零信任的產(chǎn)品、如何才能在不影響現(xiàn)有業(yè)務的前提下完成改造、如何才能最大化的遵循零信任的理念、如何才能構筑統(tǒng)一的安全管理平臺，一系列的問題擺在了企業(yè)領導和安全負責人的面前。

1 零信任落地路徑概述

1.1 零信任理念已被廣泛接受

隨著信息技術的快速發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、人工智能等新興技術為政府部門、各類企業(yè)的信息化發(fā)展及現(xiàn)代化建設帶來了新的生產(chǎn)力，但同時也給信息安全帶來了新挑戰(zhàn)。一方面，云計算、移動互聯(lián)導致的企業(yè)邊界瓦解，難以繼續(xù)基于邊界構筑企業(yè)的安全防線；另一方面，外部攻擊和內部攻擊愈演愈烈，各種高級持續(xù)攻擊仍然能找到各種漏洞突破企業(yè)的邊界，同時，內部業(yè)務的非授權訪問、雇員犯錯、有意的數(shù)據(jù)竊取等內部威脅層出不窮[1]。

傳統(tǒng)的網(wǎng)絡安全模型基于邊界防護的思想，已經(jīng)無法適應當前的需求，零信任網(wǎng)絡安全技術應運而生，零信任的不做任何假設、不相信任何人事物、任何事物都要驗證等理念逐步被認可和接受。并迅速成為當前網(wǎng)絡空間安全技術研究熱點[2-3]。

1.2 企事業(yè)零信任轉型的普遍目標

零信任打造了一種全新安全訪問模式，但對于目前絕大多數(shù)企事業(yè)單位來說，主要還是用零信任解決遠程辦公、身份管理和應用微隔離三方面的問題：

（1）近年來由于VPN漏洞造成的數(shù)據(jù)泄露事件頻頻發(fā)生，因而眾多企事業(yè)單位將目光轉向了零信任網(wǎng)絡安全，通過零信任安全改造，解決員工、分支機構和三方人員的遠程安全接入問題；

（2）隨著企事業(yè)的數(shù)字化發(fā)展，用戶賬號的分布更加復雜和多樣化，身份認證方式從傳統(tǒng)的“賬號+密碼”逐漸向“社交賬號+多因素認證”方式轉變，因此有效的身份管理成為保障組織各項數(shù)字業(yè)務安全、高效開展的前提條件；

（3）同時為了防止東西向的風險，眾多企事業(yè)單位考慮在傳統(tǒng)的物理隔離基礎上進行基于零信任的應用隔離，這種應用微隔離方式不需要考慮應用的網(wǎng)絡和物理位置，只需要考慮應用的類別和邏輯關系，可以對每個類別的應用制定對應的安全策略。

1.3 零信任落地的方式和步驟

各企事業(yè)單位的網(wǎng)絡基礎設施已經(jīng)變得越來越復雜，零信任的落地方式也沒有標準的流程可依，目前有兩種主流的方式：一是按照物理或網(wǎng)絡位置按片區(qū)逐步部署的方式；二是基于應用邏輯分類的落地方式。前者的優(yōu)點是部署便捷、對網(wǎng)絡和應用幾乎無任何影響，缺點是僅對端側和訪問通道進行防護；后者的優(yōu)點是可以對企業(yè)的應用和數(shù)據(jù)進行徹底的零信任改造，缺點是部署和實施周期長，可能涉及應用的改造[4]。

零信任的宗旨是保護數(shù)據(jù)和應用，零信任架構構建了從用戶到應用的安全訪問空間，因此零信任的落地實施路徑應該以數(shù)據(jù)和應用的分類、改造為起點，以用戶和設備的識別為基礎，以SDP架構為核心，以用戶角色為依據(jù)，以過渡白名單為保障，在業(yè)務使用影響最小的前提下實現(xiàn)對數(shù)據(jù)、應用和用戶的零信任改造，逐步實現(xiàn)企事業(yè)單位的零信任轉型。

2 基于應用分類和用戶角色的零信任落地路徑

零信任落地路徑，包括應用、用戶、策略幾個方面。

2.1 應用分類，界定保護范圍

零信任改造是一個過程，面對企事業(yè)單位少則上百多則上千的應用，不建議也不可能一次改造完成，畢其功于一役的想法是不能存在的。正確的做法首先是要把所有的應用按照邏輯和場景進行梳理，基于業(yè)務類別分類，同時要保證業(yè)務連續(xù)性并考慮實施難度，選取部分應用進行零信任改造。對于首次改造，主要考慮兩類應用，核心應用和需要遠程訪問的應用（如圖1所示）。

圖1 應用邏輯分類

2.2 應用微隔離

通過在所有待保護的應用上安裝應用訪問網(wǎng)關插件，實現(xiàn)對被保護應用的代理和隱藏，所有對應用的訪問，都需要通過應用網(wǎng)關，以保障每一次應用訪問的安全和細粒度的權限控制。同時基于業(yè)務分類進行應用級的邏輯隔離，對每類應用制定特有的安全策略，不同類別之間的調用需要通過部署API網(wǎng)關實現(xiàn)統(tǒng)一的API驗證和調用，規(guī)范各應用類別之間、各微服務間的API接口，快速完成組織內部系統(tǒng)的前后端分離，實現(xiàn)可視化的安全互訪，解決業(yè)務開展、數(shù)據(jù)共享、數(shù)據(jù)安全的問題，同時API網(wǎng)關減小了惡意軟件或病毒在內網(wǎng)的傳播和擴散，對接口的統(tǒng)一管理也便于新增業(yè)務的部署和內外網(wǎng)業(yè)務的調用（如圖2所示）。對于同一類別下各個應用之間，考慮彼此之間的互相調用和訪問頻繁程度，采用ACL方式控制，后續(xù)可以根據(jù)企事業(yè)對零信任的要求和業(yè)務改造的實際情況逐步遷移到通過API網(wǎng)關統(tǒng)一管理。

圖2 應用邏輯隔離

為了保障企事業(yè)單位的數(shù)據(jù)安全，在部署API網(wǎng)關的同時，還需要對企業(yè)的數(shù)據(jù)庫進行安全審計，尤其是針對運維場景中運維人員的訪問及操作。通過數(shù)據(jù)庫審計系統(tǒng)對各類操作進行審計，包括嵌套、函數(shù)、綁定變量、長語句、返回結果、腳本等復雜和隱秘統(tǒng)方等，構建立體防御系統(tǒng)，深度識別和立體分析，準確防范各種危險統(tǒng)方等行為。審計不僅僅是數(shù)據(jù)庫審計，還要包括對應的應用，精準定位到“人”，同時與零信任安全策略中心聯(lián)動，進行策略管控及行為審計日志上報，當異常情況發(fā)生時，可以通過告警、調整權限、阻斷等方式規(guī)避風險并精準溯源，保障組織的數(shù)據(jù)安全。

2.3 統(tǒng)一身份認證

零信任的基本要求就是對用戶持續(xù)的驗證，對用戶和設備的識別是零信任改造的基礎和前提，需要用戶管理系統(tǒng)（Identity and Access Management，IAM），對企業(yè)復雜的賬號和權限體系進行統(tǒng)一治理，統(tǒng)一管理用戶在各個應用系統(tǒng)中的賬號，提供用戶的全生命周期管理，當員工入職、轉崗或離職時，數(shù)據(jù)庫都要相應更新，以保障用戶身份的可信。

零信任針對內外網(wǎng)絡數(shù)據(jù)的核實，從而高強度把控多種數(shù)據(jù)身份，針對多種不可信的訪問信息尋求多重信息關卡設置，增加加密權限以及綜合認證，強化總體信息權限，集合整理多種關聯(lián)性的信息內容，并對其采取零信任的管理方式，在多次登錄中進行多重的安全檢驗，此種信任程度會根據(jù)動態(tài)的權限變化從而做出調整，促使在最終的訪問限制結構中可以遵循相對應的權限客體，從而創(chuàng)建一層動態(tài)化的綜合信任聯(lián)系[5]。

用戶管理系統(tǒng)不僅要管理所有用戶的崗位分類、用戶名和群組成員關系，為用戶提供統(tǒng)一的認證接口，根據(jù)用戶的權限級別來確保對應業(yè)務安全級別的準確性，同時還需要支持多因素認證能力，包括但不限于：密碼、郵箱、手機、令牌、X.509證書、智能卡、定制表單和生物識別，及多種認證方法組合。多因素認證應該滿足的基本原則：同一安全域之間鑒權方式簡單易用滿足一定的多因子交叉，跨安全域（尤其是低級向高級訪問時）需要增加二次驗證，保證安全性提升。簡言之，同級安全域之間保證單點能力的便捷性，而跨域時保證安全性前提下，滿足便捷性。

2.4 可信設備識別

除了身份可信，還需要設備可信，所有訪問應用的設備都必須是可管可控的設備，只有受控設備才能訪問企業(yè)應用。設備管理確保用戶每次接入網(wǎng)絡的設備是可信的，系統(tǒng)要為每個設備生成唯一的硬件識別碼，并關聯(lián)用戶賬號，確保用戶每次登陸都使用的是合規(guī)、可信的設備，對非可信的設備要進行強身份認證，用戶通過后則允許新設備入網(wǎng)。對可信設備的管理還包括設備狀態(tài)的識別，比如識別設備當前的狀態(tài)是否通過安全基線，殺毒軟件、系統(tǒng)補丁等，確保設備自身狀態(tài)足夠安全。

系統(tǒng)在確保用戶在正確的設備上使用正確的賬號登錄的同時，對賬戶的登錄時間、登錄地點及IP地址進行嚴格控制，以防止非法人員非法接入業(yè)務系統(tǒng)，而且一次授權不會伴隨終生，信任度和風險度會隨著時間和空間發(fā)生變化，系統(tǒng)會根據(jù)安全等級要求，環(huán)境因素，不斷評估，達到信任和風險的平衡，對疑似違規(guī)的用戶，系統(tǒng)會降低其訪問權限或者直接強制下線。

2.5 構建零信任架構

完成了應用分類、身份認證、設備可信這些基礎準備工作之后，就可以開始部署零信任架構了?；谠瓢踩?lián)盟提出的零信任SDP架構，考慮企事業(yè)單位對系統(tǒng)可靠性的要求，常見的部署方式有主備模式和集群模式。集群模式也被稱作高可用方案，是指將SDP方案中的控制中心和應用網(wǎng)關分別集群化部署、同時提供接入網(wǎng)關實現(xiàn)訪問接入和負載均衡。

高可用方案將安全接入網(wǎng)關部署在被保護的應用系統(tǒng)之前，作為負載分擔將業(yè)務有序的發(fā)送至對應的控制器，由控制器下發(fā)策略到應用網(wǎng)關上，控制中心建立集群方式承擔所有請求，當其中某一臺設備出現(xiàn)故障后不影響業(yè)務的快速轉發(fā)，應用網(wǎng)關同樣采用集群方式，可以根據(jù)需要彈性擴展，同時有效規(guī)避了單點故障對應用訪問的影響（如圖3所示）。

圖3 零信任架構

相比較主備模式，首先高可用方案將控制中心和應用網(wǎng)關分離，實現(xiàn)了控制流和數(shù)據(jù)流的分離，為應用提供了更好的安全防護，其次高可用方案具備更好的穩(wěn)定性，實現(xiàn)單點故障無感知，保障系統(tǒng)持續(xù)穩(wěn)定運行和應用訪問無間斷，最后高可用方案具備彈性擴展的能力，后續(xù)擴容僅需要增加應用網(wǎng)關虛擬機即可，不需要改造網(wǎng)絡或變更設備。

2.6 應用統(tǒng)一門戶

提供企事業(yè)單位應用訪問統(tǒng)一門戶，實現(xiàn)企事業(yè)單位互聯(lián)網(wǎng)統(tǒng)一入口，實現(xiàn)跨設備的統(tǒng)一管理，一方面提升用戶的使用體驗；另一方面隱藏原有的需要對外開放的應用和端口，保障數(shù)據(jù)與應用安全。用戶通過統(tǒng)一入口登錄后，用戶首頁僅顯示用戶角色有權限訪問的應用快捷鏈接，并且基于動態(tài)權限控制允許用戶訪問其角色范圍內的全部或部分應用，同時支持單點登陸(SSO)功能，實現(xiàn)應用程序、業(yè)務門戶、統(tǒng)一安全訪問域的各業(yè)務系統(tǒng)一次登錄，多業(yè)務共享登錄標識，無需再次登錄鑒權。通過單點登錄和統(tǒng)一鑒權，解決系統(tǒng)多應用，多賬戶的問題，實現(xiàn)細粒度的用戶權限集中控制。

2.7 制定零信任策略

部署零信任產(chǎn)品，遵循零信任訪問模式，這僅僅是零信任改造的開始，零信任理念是要持續(xù)監(jiān)測用戶的行為和環(huán)境的狀態(tài)，不斷地驗證和動態(tài)調整訪問策略，因此一個好的訪問策略，是零信任成功落地的關鍵。在企事業(yè)單位零信任改造過程中，需要制定基于信任得分的動態(tài)訪問策略（如圖4所示）。

圖4 動態(tài)訪問策略

在這種訪問策略下，用戶每一次訪問應用都會對用戶身份、使用設備和接入環(huán)境進行驗證并給出信任級別分數(shù)，同時對每個應用設置安全等級分數(shù)，只有信任級別分數(shù)大于安全等級分數(shù)，才允許用戶訪問應用，否則將限制或者拒絕本次訪問。這種基于得分的訪問策略可以靈活的細化為針對具體應用的訪問策略，比如限制只有最高信任等級的受控設備可以訪問；限制只有最高信任等級的全職和兼職工程師可以訪問；限制只有全職工程師且使用工程設備才可以登錄研發(fā)類系統(tǒng)；限制只有財務部門的全職和兼職員工使用受控的非工程設備才可以訪問財務系統(tǒng)（如表1所示）。

表1 用戶信任級別和應用安全級別

每個用戶和/或設備的訪問級別可能隨時改變。通過查詢多個數(shù)據(jù)源，能夠動態(tài)推斷出分配給設備或用戶的信任等級。例如，如果一個設備沒有安裝操作系統(tǒng)的最新補丁，或者沒有安裝殺毒軟件，其信任等級會被降低；某一類特定設備，比如特定型號的手機或者平板電腦，會被分配特定的信任等級；一個設備長期未使用，會被降低信任等級；一個從新位置訪問應用的用戶會被分配與以往不同的信任等級。信任等級可以通過靜態(tài)規(guī)則和啟發(fā)式方法來綜合確定。

動態(tài)訪問策略的有效執(zhí)行，離不開日志審查和異常行為關聯(lián)分析。在傳統(tǒng)網(wǎng)絡安全架構中，一般都是在網(wǎng)絡邊界處布置防火墻，檢查進/出流量。但是現(xiàn)在，邊界安全已不再滿足需要?，F(xiàn)代網(wǎng)絡安全控制必須深入所有網(wǎng)段，審查橫向流量、云端網(wǎng)絡通信，以及根本不觸及公司網(wǎng)絡的SaaS遠程網(wǎng)絡通信。換句話說，所有網(wǎng)絡流量都應納入審查覆蓋范圍。網(wǎng)絡安全檢測和保護的觸角越來越往用戶和應用服務處延伸。

基于零信任架構，網(wǎng)絡和應用的操作和訪問信息都可以在控制中心統(tǒng)一管理。用戶側，客戶端將用戶的每一次網(wǎng)絡登陸訪問操作的信息(比如時間、IP地址)、用戶的環(huán)境信息(比如操作系統(tǒng)版本和補丁號，病毒庫信息)、用戶的驗證信息、用戶訪問請求信息等實時同步到控制中心日志中心。服務器側，零信任網(wǎng)關記錄用戶的每一次應用訪問信息，這個訪問信息一般都是對于一個URL資源的訪問信息，同時網(wǎng)關側接收到的異常信息，也可以以告警的形式，同步到控制中心?？刂浦行模墙y(tǒng)一的用戶日志和策略中心，日志記錄以用戶為中心，記錄操作和訪問的行為，從用戶請求網(wǎng)絡連接開始，到訪問服務返回結果結束，真正能夠做到端到端的行為記錄。

通過日志審查，可以發(fā)現(xiàn)各種異常情況，并作為動態(tài)訪問策略的輸入條件。這些異常情況包括用戶訪問行為異常，網(wǎng)絡入侵異常和內部威脅異常等。例如，頻繁更換賬號登錄、登錄地點變更、頻繁更換登錄設備、頻繁登錄失敗、瞬時訪問流量過大、非正常時間段訪問、密碼暴力破解、端口掃描、Web入侵等。

2.8 基于應用類別和用戶角色逐步遷移

零信任轉型不是一步到位，而是一個過程，首次進行零信任改造的企事業(yè)單位應該只選擇部分應用和部分用戶，即便如此，這部分應用和部分用戶也要逐步遷移，以不影響業(yè)務為前提完成零信任的切換。

（1）使用應用網(wǎng)關代理遠程辦公類應用和選中的核心應用。被代理的應用提供通過應用網(wǎng)關代理訪問的方式，同時保留原來的通過內網(wǎng)直接訪問的方式；對于原來需要在外網(wǎng)通過VPN訪問的應用，保留原有的VPN方式，同時增加通過應用網(wǎng)關代理訪問的方式。

（2）確定需要使用零信任訪問的用戶，包括原有的使用VPN的用戶和內部需要訪問核心數(shù)據(jù)的用戶，考慮用戶的使用習慣，我們首先將原有的使用VPN的用戶按照部門確定用戶群組遷移的優(yōu)先級并逐步遷移到零信任體系下，然后再將內部需要訪問核心數(shù)據(jù)的用戶逐步遷移到零信任體系下。

（3）隨著原來使用VPN 的用戶逐步通過訪問代理訪問，我們開始阻止用戶使用VPN，包括：刪除VPN用戶的訪問權限；只有經(jīng)證實確有需要的用戶才能使用VPN訪問。對于內部訪問核心數(shù)據(jù)的用戶，公司前期強制要求使用零信任客戶端訪問，后期通過應用和端口隱藏或訪問控制列表的方式禁止用戶直接訪問。

（4）過渡白名單策略，為了不影響企業(yè)業(yè)務的正常訪問，在零信任轉型的過程中，需要考慮過渡白名單策略，即通過白名單允許用戶通過原有的方式訪問應用，待用戶已經(jīng)遷移到零信任訪問模式下并運行一段時間經(jīng)過驗證沒有問題之后，再逐步修正白名單的內容直至最后完全遷移成功。

3 結 語

零信任落地沒有統(tǒng)一的標準路徑，各個企事業(yè)單位可以按照自身的特點選擇最合適的方式和步驟，基于應用分類和用戶角色的零信任落地路徑能夠幫助企事業(yè)單位快速完成零信任轉型的第一步，實現(xiàn)對遠程接入用戶、內網(wǎng)訪問敏感數(shù)據(jù)用戶，和內網(wǎng)核心應用的零信任改造，給遠程用戶提供統(tǒng)一安全接入門戶，同時對核心應用數(shù)據(jù)進行了微隔離處理，在保障外網(wǎng)訪問安全的同時，也減少內網(wǎng)東西向擴展的可能，全方位提升企業(yè)的安全。

零信任改造的終極目標是完全摒棄內外網(wǎng)的差別，所有的用戶都采用統(tǒng)一的訪問方式，所有的應用都需要隱藏保護和微隔離處理，同時還需要和已有的傳統(tǒng)安全產(chǎn)品對接以形成完整統(tǒng)一的安全管理平臺。因此徹底的零信任之路是很漫長的，這取決于領導者的決心、零信任本身的技術以及企業(yè)的成熟度等多種因素。