淺談“零信任”網(wǎng)絡安全

姚旺

摘要：近兩年來，零信任（Zero Trust）在安全圈著實火熱。安全從業(yè)者需要理解“零信任”這個概念，零信任網(wǎng)絡的方案應該包含哪些模塊，和傳統(tǒng)安全架構的區(qū)別和優(yōu)勢。對于企業(yè)而言，要考慮如何成功實現(xiàn)零信任項目，如何在將來采用這一架構做好準備。本文會從這些角度，討論零信任相關概念和零信任解決方案。

關鍵詞：零信任;安全網(wǎng)絡架構;云計算

一、零信任理念

零信任代表了新一代的網(wǎng)絡安全防護理念，它的關鍵在于打破默認的“信任”，用一句通俗的話來概括，就是“持續(xù)驗證，永不信任”。默認不信任企業(yè)網(wǎng)絡內外的任何人、設備和系統(tǒng)，基于身份認證和授權重新構建訪問控制的信任基礎，從而確保身份可信、設備可信、應用可信和鏈路可信?；诹阈湃卧瓌t，可以保障辦公系統(tǒng)的三個“安全”：終端安全、鏈路安全和訪問控制安全。

任何設備和用戶在訪問應用前，先取得認證和授權才能訪問資源。與防火墻訪問控制不同。防火墻訪問控制規(guī)則，資源（應用或者服務）是開放的，用戶先訪問資源，然后根據(jù)系統(tǒng)需要來認證和授權。此外，基于位置和IP地址的訪問控制策略，不足以確認訪問實體是否合法（比如被入侵的客戶端）。

零信任網(wǎng)絡不是簡單地依賴于“用戶名/密碼”來控制訪問。理想的零信任模型，包含多個屬性的評估。設備的身份屬性，用戶身份，設備當前安全性（比如重要補丁，關鍵注冊表項，用戶，程序，當前進程等），這些訪問相關的上下文語境，構成了信任的基礎。只有超過預設的信任等級，才能被授予訪問權限。

訪問初始的信任，不是一次性的，而是需要持續(xù)性地評估。這得益于UEBA（用戶和實體行為分析）技術的發(fā)展，持續(xù)對接入設備的行為分析，確保沒有惡意行為發(fā)生。一旦發(fā)現(xiàn)訪問實體的異常行為，比如掃描或者暴力破解，意味著信任等級的降低，零信任網(wǎng)絡可以切斷這種訪問，從而降低安全風險。最小權限意味著設備或用戶獲得完成任務的最小權限。微隔離技術，根據(jù)服務和區(qū)域，將網(wǎng)絡切片隔離，避免攻擊的橫向擴展，常常應用在零信任網(wǎng)絡中。

上面對零信任的理念作了解釋?？梢钥闯觯阈湃尾⑽匆胄碌募夹g。而且很多技術（比如認證、授權、設備安全，包括UEBA）企業(yè)或多或少都有部署。然而，將這些技術重新排列組合，卻是新穎的方式。

二、零信任網(wǎng)絡形式

零信任網(wǎng)絡是多個技術的組合，相關的組件和產(chǎn)品，既可以部署在企業(yè)側，也可以架構在云端，實現(xiàn)方式亦有不同。

（一）本地部署和云端部署

1.本地部署

本地部署包含了設備身份、用戶身份、接入代理、訪問控制規(guī)則引擎等組件。零信任網(wǎng)絡借助這些組件的協(xié)作，判斷設備和用戶的身份、設備的安全性等，成功后根據(jù)用權限，訪問數(shù)據(jù)應用。

2.云端部署

零信任網(wǎng)絡的云端部署，適用于訪問在云端數(shù)據(jù)中心應用的場景。云端包含了安全接入、身份認證與管理、威脅防護等模塊。

（二）客戶端發(fā)起和服務端發(fā)起

基于零信任的網(wǎng)絡訪問控制，咨詢機構Gartner將其分為客戶端發(fā)起和服務端發(fā)起兩種類型。

1.客戶端發(fā)起的零信任網(wǎng)絡

客戶發(fā)起，需要在客戶端上安全裝認證訪問的組件，比如客戶端軟件，基于BS架構的應用訪問，可以在瀏覽器上安裝插件。例如，CSA在2014年提出的SDP規(guī)范。

2.服務端發(fā)起的零信任網(wǎng)絡

服務端發(fā)起的零信任網(wǎng)絡，類似于上文提到的谷歌BeyondCorp案例。服務端發(fā)起的好處，在于客戶端可以不用安裝組件。

三、零信任網(wǎng)絡建設步驟

疫情催生大規(guī)模的遠程工作，讓網(wǎng)絡環(huán)境變得更復雜多變。在這樣混亂的網(wǎng)絡環(huán)境中，黑客最容易找到網(wǎng)絡漏洞，發(fā)生了多個勒索攻擊的事件，傳統(tǒng)的基于系統(tǒng)的安全防護部署已經(jīng)不能滿足當前的要求。在這樣的背景下，零信任方法歷史性地成為了安全行業(yè)的新希望。

那么，組織應該如何應用“零信任”藍圖來解決其新的復雜網(wǎng)絡問題？

1.識別和分段數(shù)據(jù)

數(shù)據(jù)是實施“零信任”的最復雜領域之一，因為在實施該方法錢，組織需要確定哪些數(shù)據(jù)是敏感的。在嚴格監(jiān)管環(huán)境中運營的企業(yè)可能已經(jīng)知道敏感數(shù)據(jù)是什么，因為監(jiān)管機構一直要求對此類數(shù)據(jù)進行監(jiān)管，因此將敏感數(shù)據(jù)的網(wǎng)段與數(shù)據(jù)中心服務器分離是有意義的。

2.映射敏感數(shù)據(jù)的流量并將其與業(yè)務應用程序關聯(lián)

將敏感數(shù)據(jù)識別分段后，下一步就是知道數(shù)據(jù)的去向、用途以及應用。如果您不了解有關您的數(shù)據(jù)的信息，則無法有效地保護它，使用正確的工具讓您可以了解需要允許哪些流程，這樣就可以進入“零信任”規(guī)則，判定“其他所有內容都將不被允許”。

3.構建網(wǎng)絡

在知道哪些流量被允許訪問后，組織就可以著手設計網(wǎng)絡體系結構以及執(zhí)行網(wǎng)絡微邊界的過濾策略。組織可以將過濾策略放置在網(wǎng)絡中的任何位置，并可以在不同區(qū)域和段之間放置邊界，這是要實現(xiàn)的控制量與安全性之間的平衡。由于存在許多連接或微細分的孤島，因此您必須要考慮需要花費多少時間來設置和管理它們。

4.監(jiān)控

想要知道網(wǎng)絡是否存在問題的唯一方法是始終監(jiān)視整個基礎架構上的流量。監(jiān)控除了可以檢驗我們的的數(shù)據(jù)是否合規(guī)，還可以監(jiān)視網(wǎng)絡以了解其中的所有流情況，并根據(jù)它們的意圖對其進行分析，這允許您在編寫策略規(guī)則之前查看哪些流是必要的。在這里，你可以從默認的“允許”策略到默認的“拒絕”策略或組織的“D-DAY”政策進行大的轉換。

5.自動化和協(xié)調

進入“D-DAY”的唯一途徑是借助策略引擎，這是整個網(wǎng)絡策略背后的中心“大腦”。由自動化流程啟用的策略引擎能夠將任何更改請求與您定義為合法業(yè)務連接要求的內容進行比較，如果您必須使用各種不同的技術（有各自的復雜性和配置要求）將更改部署到潛在的數(shù)百個不同的執(zhí)行點中，沒有智能自動化系統(tǒng)，幾乎不可能完成此更改請求過程。

四、小結

零信任網(wǎng)絡是一個演進的網(wǎng)絡安全框架。零信任網(wǎng)絡解決方案，構建在已有的安全技術能力之上，核心是基于信任的訪問。圍繞這個理念，零信任評估訪問的用戶、設備的安全性，并且在訪問周期內持續(xù)評估，以此確保訪問始終是信任的。成熟且有效的零信任網(wǎng)絡能夠極大提高安全等級。

參考文獻

[1]羅慶俊，張艷軍，王陸瀟.基于物聯(lián)網(wǎng)的環(huán)境監(jiān)測綜合管理平臺設計[J].四川環(huán)境，2016，35（ 6） ： 82-86.