基于“零信任”模型的安全網(wǎng)絡(luò)構(gòu)建

孫梅梅，朱彥斐，劉 剛

（山東電子職業(yè)技術(shù)學(xué)院，山東 濟(jì)南250200）

近年來(lái)，互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展打破了常規(guī)的時(shí)空限制，其嘗試把現(xiàn)實(shí)社會(huì)發(fā)生的一切變得數(shù)字化和數(shù)據(jù)化，伴隨著人工智能的興起，在大量黑客面前，任何細(xì)微漏洞都可以被捕獲，導(dǎo)致安全風(fēng)險(xiǎn)被無(wú)限放大。這使人們不得不對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)進(jìn)行升級(jí)和改造，由傳統(tǒng)的模型轉(zhuǎn)變?yōu)樾碌陌踩雷o(hù)模型，即“零信任”模型。

1 “零信任”模型是什么

“零信任”即企業(yè)網(wǎng)絡(luò)不自動(dòng)信任任何內(nèi)部或者外部節(jié)點(diǎn)，對(duì)任何試圖進(jìn)入企業(yè)網(wǎng)絡(luò)的人、事、物都要進(jìn)行驗(yàn)證，簡(jiǎn)言之，“零信任”的策略就是不相信任何人。隨著網(wǎng)絡(luò)的安全性越來(lái)越受到關(guān)注，防火墻的引入是為了在互聯(lián)網(wǎng)內(nèi)部以及公共和私人網(wǎng)絡(luò)之間建立邊界，然后在企業(yè)內(nèi)部添加額外的防火墻以進(jìn)一步分割網(wǎng)絡(luò)，“零信任”模型是將分段一直進(jìn)行到網(wǎng)絡(luò)邊緣上的每個(gè)用戶(hù)、設(shè)備、服務(wù)和應(yīng)用程序。用戶(hù)、設(shè)備或應(yīng)用程序創(chuàng)建的每個(gè)會(huì)話(huà)在允許通信之前必須經(jīng)過(guò)身份驗(yàn)證、授權(quán)和賬戶(hù)認(rèn)證，這也是“零信任”原則的體現(xiàn)，即“Trust no-one.Verify everything”?！傲阈湃巍本W(wǎng)絡(luò)在網(wǎng)絡(luò)邊緣強(qiáng)制實(shí)施安全策略，并在源頭遏制惡意流量。

在《零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》一書(shū)中，零信任網(wǎng)絡(luò)被描述為建立在以下5 個(gè)斷言上：①網(wǎng)絡(luò)無(wú)時(shí)無(wú)刻不處于危險(xiǎn)的環(huán)境中；②網(wǎng)絡(luò)中始終存在著外部或內(nèi)部的威脅；③網(wǎng)絡(luò)位置不足以決定其可信程度；④所有的用戶(hù)、設(shè)備和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過(guò)認(rèn)證和授權(quán)；⑤安全策略必須是動(dòng)態(tài)，并給予盡可能多的數(shù)據(jù)源計(jì)算而來(lái)的。

以上斷言很好地闡述了“零信任”的理念，也總結(jié)了“零信任”的幾個(gè)原則：驗(yàn)證用戶(hù)、驗(yàn)證設(shè)備、合理的訪(fǎng)問(wèn)規(guī)則與權(quán)限控制，以及配套的動(dòng)態(tài)機(jī)制。零信任網(wǎng)絡(luò)架構(gòu)如圖1 所示。

2 傳統(tǒng)的基于區(qū)域的安全模型

“零信任”模型與傳統(tǒng)的基于區(qū)域的安全模型是不同的?；趨^(qū)域的安全模型就是將網(wǎng)絡(luò)分解為不同的段或模塊。這種分段將用戶(hù)、設(shè)備、服務(wù)和應(yīng)用程序定義到不同的信任域中，在給定區(qū)域內(nèi)，用戶(hù)、計(jì)算機(jī)和服務(wù)器可以自由地相互通話(huà)。因?yàn)閭鹘y(tǒng)的防火墻和入侵檢測(cè)系統(tǒng)（IDS）主要是針對(duì)網(wǎng)絡(luò)外部發(fā)起的攻擊，而對(duì)來(lái)自?xún)?nèi)部的網(wǎng)絡(luò)攻擊是無(wú)效的。而事實(shí)上，60%～80%的網(wǎng)絡(luò)濫用事件來(lái)自?xún)?nèi)部網(wǎng)絡(luò)。基于企業(yè)區(qū)域的常見(jiàn)安全模型如圖2 所示。

圖1 零信任網(wǎng)絡(luò)架構(gòu)

防火墻用于控制網(wǎng)絡(luò)流量的南北方向移動(dòng)，并允許段內(nèi)的任何通信。從圖2 的左上角開(kāi)始，一旦經(jīng)過(guò)身份驗(yàn)證，用戶(hù)和設(shè)備就可以進(jìn)入受信任的網(wǎng)絡(luò)。在此方案中，允許用戶(hù)進(jìn)入受信任的客戶(hù)端網(wǎng)絡(luò)段或區(qū)域內(nèi)的任何位置。在圖2 的左下部分，不受信任的用戶(hù)必須使用虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）并通過(guò)身份驗(yàn)證、授權(quán)和帳戶(hù)認(rèn)證（AAA，以下AAA 皆代表此含義）進(jìn)程以獲取私有IP 地址，然后允許他們進(jìn)入網(wǎng)絡(luò)。而且用戶(hù)只可以進(jìn)入演示和語(yǔ)音、視頻區(qū)域，不能再進(jìn)一步訪(fǎng)問(wèn)其他應(yīng)用。

傳統(tǒng)的基于區(qū)域的安全模型存在諸多缺陷：①在同一網(wǎng)段內(nèi)的設(shè)備或服務(wù)器之間可以無(wú)障礙進(jìn)行通信。因此，如果一個(gè)數(shù)據(jù)庫(kù)服務(wù)器受到攻擊，黑客可以對(duì)該區(qū)域內(nèi)的其他數(shù)據(jù)庫(kù)服務(wù)器發(fā)起攻擊，而不會(huì)受到防火墻的檢測(cè)或干擾。②允許所有服務(wù)器訪(fǎng)問(wèn)管理區(qū)域。因此，如果管理區(qū)域受到了威脅，就相當(dāng)于給攻擊者在服務(wù)器中開(kāi)了“后門(mén)”?？紤]到這些限制，應(yīng)該重新審視基于區(qū)域的網(wǎng)絡(luò)安全架構(gòu)并添加微分段技術(shù)，特別是在公共云托管環(huán)境以及私有數(shù)據(jù)中心。

圖2 基于企業(yè)區(qū)域的常見(jiàn)安全模型

3 “零信任”模型的機(jī)遇和挑戰(zhàn)

“零信任”模型的發(fā)展面臨兩個(gè)方面的機(jī)遇：①隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)把世界上的每一個(gè)人都聯(lián)系在一起，突破了時(shí)間和空間的限制，網(wǎng)絡(luò)邊界變得越來(lái)越模糊，實(shí)際上已經(jīng)不存在安全的網(wǎng)絡(luò)。因此，以賬戶(hù)為基礎(chǔ)的安全體系無(wú)以為繼，需要把賬戶(hù)轉(zhuǎn)變?yōu)樯矸莶趴梢栽谶@種網(wǎng)絡(luò)中安全生存。②現(xiàn)實(shí)生活中涉及巨大價(jià)值或公共利益時(shí)，往往通過(guò)“零信任”體系而不是通過(guò)可信任體系來(lái)解決。數(shù)據(jù)的價(jià)值今非昔比，數(shù)據(jù)的托管性和多面性總會(huì)涉及眾多的公共利益，參照現(xiàn)實(shí)模型，“零信任”安全體系可以作為最恰當(dāng)?shù)臄?shù)據(jù)安全體系架構(gòu)。

按目前“零信任”網(wǎng)絡(luò)的發(fā)展來(lái)看，“零信任”網(wǎng)絡(luò)還有很多不足。比如BGP、身份和訪(fǎng)問(wèn)管理（IAM）服務(wù)等路由協(xié)議之間缺乏集成。路由如果足夠智能，可以將具有子IP 地址的源設(shè)備存儲(chǔ)在一個(gè)子IP 網(wǎng)絡(luò)中，并通過(guò)IP 地址和應(yīng)用程序?qū)?shù)據(jù)包發(fā)送到目標(biāo)子IP 網(wǎng)絡(luò)。此外，雖然現(xiàn)在IAM可以用于網(wǎng)絡(luò)，但它并不用于確定數(shù)據(jù)包是如何路由的?！傲阈湃巍本W(wǎng)絡(luò)正在將路由器的路由表與目錄的AAA 策略結(jié)合起來(lái)，以允許或拒絕一個(gè)包從源到目的地的轉(zhuǎn)發(fā)。與目前的二進(jìn)制規(guī)則相比，更精細(xì)的規(guī)則可以應(yīng)用到路由中，可以提高網(wǎng)絡(luò)性能和安全控制。

為了使IP 路由與目錄一起工作并實(shí)施“零信任”網(wǎng)絡(luò)策略，網(wǎng)絡(luò)必須能夠保持狀態(tài)。盡管防火墻和其他安全設(shè)備可保持狀態(tài)，但迄今為止的IP 網(wǎng)絡(luò)是無(wú)狀態(tài)的。原本路由器無(wú)狀態(tài)是為了保持簡(jiǎn)單和快速，但現(xiàn)在通過(guò)在路由器中添加狀態(tài)，可以添加額外的服務(wù)，使路由器更加動(dòng)態(tài)、智能和安全。

多年來(lái)網(wǎng)絡(luò)流量增長(zhǎng)迅速，讓路由器不堪重負(fù)，所以創(chuàng)建能夠快速處理數(shù)據(jù)包的路由器尤為重要。現(xiàn)在的網(wǎng)絡(luò)需要基于邊緣、分布和核心的體系結(jié)構(gòu)，其中路由是在分發(fā)層進(jìn)行的，交換在邊緣和核心中完成。隨著路由器從專(zhuān)用設(shè)備轉(zhuǎn)向在網(wǎng)絡(luò)邊緣運(yùn)行的軟件，在路由中增加額外安全和智能的限制或可被解除。

與傳統(tǒng)的邊界安全模型不同，“零信任”模型并不以用戶(hù)的物理登錄地點(diǎn)或者來(lái)源網(wǎng)絡(luò)作為訪(fǎng)問(wèn)服務(wù)的判定標(biāo)準(zhǔn)，而是將訪(fǎng)問(wèn)策略建立在設(shè)備信息、狀態(tài)以及關(guān)聯(lián)用戶(hù)的基礎(chǔ)上，更偏向于對(duì)用戶(hù)行為、設(shè)備狀態(tài)的分析。任何用戶(hù)必須使用由公司提供且持續(xù)管理的終端設(shè)備，通過(guò)身份認(rèn)證，并且符合訪(fǎng)問(wèn)控制引擎中的策略要求，才能通過(guò)專(zhuān)門(mén)的訪(fǎng)問(wèn)代理訪(fǎng)問(wèn)特定的公司內(nèi)部資源。相應(yīng)的，為了保證用戶(hù)獲得流暢的資源訪(fǎng)問(wèn)體驗(yàn)，“零信任”模型的訪(fǎng)問(wèn)控制必須能夠準(zhǔn)確識(shí)別設(shè)備及用戶(hù)、移除對(duì)網(wǎng)絡(luò)的信任、通過(guò)面向互聯(lián)網(wǎng)的訪(fǎng)問(wèn)代理提供內(nèi)部應(yīng)用和工作流，以此實(shí)現(xiàn)基于已知設(shè)備和用戶(hù)的訪(fǎng)問(wèn)控制，并動(dòng)態(tài)更新設(shè)備和用戶(hù)信息。

4 結(jié)語(yǔ)

安全方案不再是應(yīng)用層面或網(wǎng)絡(luò)層面的單一解法，隨著虛擬化技術(shù)的突破，“零信任”的理念也讓人們看到公共和私人網(wǎng)絡(luò)的邊界將逐步消除，網(wǎng)絡(luò)功能和上層應(yīng)用也將機(jī)動(dòng)組合，用戶(hù)、設(shè)備、服務(wù)、應(yīng)用和數(shù)據(jù)標(biāo)識(shí)細(xì)粒度映射到網(wǎng)絡(luò)會(huì)話(huà)，可以靈活地應(yīng)用底層設(shè)備以應(yīng)對(duì)更為豐富的防護(hù)策略。無(wú)論是物聯(lián)網(wǎng)設(shè)備的急劇增長(zhǎng)，還是黑客行為的增加，勢(shì)必將推動(dòng)企業(yè)考慮采用“零信任”等方式升級(jí)網(wǎng)絡(luò)。