零觸碰與零信任

李軍 胡效赫

摘要：隨著網(wǎng)絡規(guī)模持續(xù)增加、應用日益復雜以及動態(tài)性不斷增強，網(wǎng)絡自動化的需求愈發(fā)迫切。網(wǎng)絡轉發(fā)呈現(xiàn)零觸碰的趨勢，以實現(xiàn)策略編排的自動化為目標。網(wǎng)絡安全呈現(xiàn)零信任的趨勢，以實現(xiàn)身份訪問的自動化為目標。從基本理念、核心組成以及工業(yè)實踐的角度對零觸碰和零信任進行分析，闡述網(wǎng)絡自動化的必要性與發(fā)展情形。

關鍵詞：網(wǎng)絡自動化；網(wǎng)絡轉發(fā)；零觸碰；網(wǎng)絡安全；零信任

Abstract： With the increasing scale of networks， complexity of applications， and dynamics of scenarios， there has been an urgent demand of network automation. Network forwarding is becoming zero touch， automating the policy orchestration. Network security is becoming zero trust， automating the identity and access management. Zero touch and zero trust networks are analyzed in three aspects， i.e.， basic concept， core components， and industrial practice， and the necessity and development of network automation are described.

Keywords： network automation； network forwarding； zero touch； network security； zero trust

在學術研究中，研究者有時會把網(wǎng)絡的轉發(fā)與安全“正交化”，即把網(wǎng)絡轉發(fā)與網(wǎng)絡安全“解耦”開來，以便簡化問題、“分而治之”。按照這個原則設計出來的系統(tǒng)架構和解決方案，符合實際管理體系中的人員分工，自然也就比較容易落地應用。然而，網(wǎng)絡的轉發(fā)與安全事實上是高度相關、密不可分的。不發(fā)生網(wǎng)絡轉發(fā)的行為，就不存在網(wǎng)絡安全的問題。而沒有網(wǎng)絡安全的保障，網(wǎng)絡轉發(fā)就容易受到攻擊。網(wǎng)絡轉發(fā)協(xié)議、拓撲和流量的變化，必定會引發(fā)網(wǎng)絡安全的機制設計、技術構成和實現(xiàn)方式的改變。而網(wǎng)絡安全的完備性和有效性，又是與網(wǎng)絡轉發(fā)的私密性、完整性和可靠性交織在一起的。

通常所說的網(wǎng)絡，主要是指交換和路由機制對網(wǎng)包的操作。伴隨著網(wǎng)絡規(guī)模和流速的指數(shù)增長，協(xié)議和應用的日趨紛繁，以及人類生活對網(wǎng)絡依賴性的不斷加劇，通過人工配置來管理網(wǎng)絡的方法經(jīng)常捉襟見肘、狀況百出。網(wǎng)絡管理人員難以應對“復雜大系統(tǒng)”。網(wǎng)絡自動化成為日益迫切的需求。在這樣的背景下，零觸碰網(wǎng)絡應運而生。

同時，隨著網(wǎng)絡虛擬化和動態(tài)化的不斷增強，不但以工作環(huán)境為網(wǎng)絡物理邊界的安全防護早已無法滿足移動辦公和居家辦公的普及要求，大量企業(yè)信息系統(tǒng)“云化”對邏輯邊界的安全需求，以及企業(yè)核心資產(chǎn)面臨的巨大數(shù)據(jù)安全挑戰(zhàn)，也使得原有的“一次認證、一路暢通”的信任模式不再可靠。因此，我們需要建立零信任網(wǎng)絡?；蛘哒f，對用戶或終端的信任只能建立在持續(xù)的認證、鑒權、“健康體檢”和行為監(jiān)測控制的基礎之上。

無論是零觸碰還是零信任，本質(zhì)上都是對網(wǎng)絡自動化迫切需求的反映。

1 網(wǎng)絡轉發(fā)與零觸碰

網(wǎng)絡轉發(fā)主要依靠路由器和交換機來完成，而這些物理資源并不是隨時隨地更換或增減的（至少變化頻率不會很高）。此外，它們在運行軟件時所遵從的協(xié)議，相對而言也是“靜態(tài)”的，不會頻繁切換或升級、卸載。網(wǎng)絡轉發(fā)設備或虛擬設備相互連接構成的網(wǎng)絡拓撲及其承載的具體功能，主要是由策略（涵蓋配置和規(guī)則等說法）編排決定的。

嚴格來說，這些策略也是程序的一部分，但不是在硬編碼和預編譯（機器語言，即二進制代碼）之后才被綁定到物理設備或邏輯設備中的，而是在運行期間甚至運行時，依據(jù)網(wǎng)絡設計目標和資源情形“動態(tài)”注入的。通常這些策略也會需要預編譯，以緊湊的數(shù)據(jù)結構來滿足性能要求。

傳統(tǒng)上，策略編排是由網(wǎng)絡管理員來完成的。他們運用特定的網(wǎng)絡連線和設備配置來完成網(wǎng)絡設計目標。Google研究報告顯示，超過7成的網(wǎng)絡故障發(fā)生在網(wǎng)絡管理操作過程中[1]。在網(wǎng)絡的規(guī)模、復雜性和動態(tài)性遠超過人工能力范疇的情況下，策略編排需要新的范式來保障網(wǎng)絡設計的效率和穩(wěn)定性。

零觸碰的宗旨是最小化網(wǎng)絡管理生命周期中的人工介入，并最大化程序與工具在網(wǎng)絡管理中的占比。其中的關鍵在于實現(xiàn)自動化的策略編排：管理員只需要關注網(wǎng)絡設計的目標“是什么”，無須考慮連線與配置“怎么做”。零觸碰網(wǎng)絡的實現(xiàn)可以參照計算機程序編譯和芯片設計的電子設計自動化（EDA）工具。網(wǎng)絡自動化和程序設計都是把高級語義映射為機器代碼的過程，而芯片設計面對的布局布線約束與網(wǎng)元資源及其連接的約束也有相似之處。

零觸碰網(wǎng)絡的提出不僅源自云計算和網(wǎng)絡代際升級帶來的管理挑戰(zhàn)，還得益于軟件定義網(wǎng)絡（SDN）為網(wǎng)絡開放創(chuàng)新打下的基礎。在SDN的理念下，零觸碰進一步融入閉環(huán)控制、軟件驗證、編程語言等多領域機制。這也充分說明計算機網(wǎng)絡是信息科學中典型的交叉融合應用場景。

零觸碰網(wǎng)絡依托于一整套網(wǎng)絡自動化系統(tǒng)和一系列策略編排核心技術。這主要體現(xiàn)在：（1）在系統(tǒng)設計方面，零觸碰網(wǎng)絡遵循抽象化原則，通過管理閉環(huán)來保障網(wǎng)絡穩(wěn)定性；（2）在管理員接口設計方面，零觸碰網(wǎng)絡遵循聲明式編程范式，以提高系統(tǒng)易用性；（3）在模塊實現(xiàn)方面，零觸碰網(wǎng)絡通過算法優(yōu)化來應對規(guī)模增長帶來的效率問題。

從網(wǎng)絡自動化架構來看（如圖1所示），零觸碰分別體現(xiàn)在3個層面上。

最上層是意圖驅動網(wǎng)絡（IBN）重點關注的，也是零觸碰的關鍵。該層將管理平面用戶或應用的意圖，映射為邏輯集中的控制平面可以理解的策略。這使網(wǎng)絡管理員從龐雜細碎的手工配置中抽出身來，以便他們把主要精力聚焦在網(wǎng)絡設計目標的確定和達成上。這里涉及的主要是策略語言，它包括策略描述的定義和編譯（也稱綜合）。網(wǎng)絡策略通常被分為轉發(fā)策略和其他網(wǎng)絡服務策略，而服務策略主要包括安全策略。

中間層是SDN關注的核心，以控制器的能力來支撐零觸碰。基于網(wǎng)絡拓撲與協(xié)議，同時根據(jù)網(wǎng)絡策略和狀態(tài)，該層可求解策略部署方案，并驗證策略的一致性。其中，策略和狀態(tài)組成閉環(huán)控制的整體。零觸碰根據(jù)特定的網(wǎng)絡狀態(tài)部署相應的策略以實現(xiàn)管理員意圖。細化來看，策略部署的正確性也需要一個下發(fā)和校驗的閉環(huán)來保障，狀態(tài)獲取的針對性也同樣需要一個配置和監(jiān)測的閉環(huán)來支撐。

最下層是分布的數(shù)據(jù)平面。該層完成網(wǎng)絡流量的策略匹配與狀態(tài)監(jiān)測，并執(zhí)行相應的網(wǎng)絡功能。

圖2展示了策略編排在網(wǎng)絡自動化系統(tǒng)架構中對應的核心技術構成。策略語言中定義和編譯環(huán)節(jié)的關鍵在于意圖基元的設計。這種設計背后反映的是對網(wǎng)絡流量、協(xié)議和拓撲的描述，以及對生成、修復等不同管理操作的構建。在策略實施中，策略部署的關鍵在于求解給定網(wǎng)絡約束下策略分配和部署網(wǎng)元（或節(jié)點）選取的優(yōu)化問題，策略校驗的關鍵在于對拓撲和網(wǎng)元的建模以及適應性算法的設計。策略匹配的關鍵在于軟件算法優(yōu)化和硬件平臺加速。整體來看，當前的策略編排技術能夠針對具體的網(wǎng)元和拓撲需求抽象出特定模型，并能應用特定算法。但從系統(tǒng)性的角度看，實現(xiàn)零觸碰的統(tǒng)一化和插件化還有很多工作要做。

零觸碰網(wǎng)絡的理念來源于Google在2016年發(fā)表的學術論文[1]。歐洲電信標準化協(xié)會（ETSI）后續(xù)成立了面向5G的零觸碰網(wǎng)絡與服務管理工作組。與零觸碰相類似的理念包括2016年Juniper公司提出的自動駕駛網(wǎng)絡（SelfDN）和2017年Gartner公司提出的IBN。這些理念的共性都是要實現(xiàn)自動化的策略編排，減少網(wǎng)絡基礎設施的交付時間，并降低網(wǎng)絡故障的發(fā)生頻次。

在零觸碰方面上，走在業(yè)界前沿的是Google、Microsoft、阿里云等大型云計算廠商。零觸碰網(wǎng)絡的業(yè)界實踐可參考Google的設計方案（如圖3所示）。該方案在系統(tǒng)架構上與圖1所描述的網(wǎng)絡自動化架構相似。阿里云在2019年發(fā)表了針對骨干網(wǎng)接入控制的策略編排，定義并實現(xiàn)了特定領域的意圖。擁有面向云數(shù)據(jù)中心和混合云場景的網(wǎng)絡自動化方案的代表性廠商有Apstra、Intentionet等。在零觸碰產(chǎn)品的市場認可和推廣方面，向下需要擴充對底層網(wǎng)元功能和協(xié)議類型的適配廣度，向上需要豐富典型業(yè)務場景的操作意圖參考設計，以滿足網(wǎng)絡連通到網(wǎng)絡安全等多樣需求，實現(xiàn)系統(tǒng)的“能觀”與“能控”。

2 網(wǎng)絡安全與零信任

信任是人際交往和交易中影響效率的重要因素，因此網(wǎng)絡訪問或網(wǎng)絡交互也必然依賴于信任的建立。關于零信任，業(yè)界流傳著這樣一句話：“永遠不要信任，始終進行驗證，實施最小權限。 ”其實，不是“永遠不要信任”，而是“不要永遠信任”。也就是說，應將傳統(tǒng)的一次性認證改為經(jīng)常性查驗，而且不是嚴格意義上的不間斷地“始終進行驗證”。通常，人們還是采用定期采樣或事件觸發(fā)的驗證，并給予一定期限和條件的授權。

零信任的實現(xiàn)，不僅需要引入新技術或新設備，還需要借助微隔離（MSG）以及細粒度的邊界策略。在虛擬網(wǎng)絡特別是云場景中，相對于傳統(tǒng)模式來說，規(guī)模和復雜性增加很多，因而工程實現(xiàn)的難度也將增加。在解決新問題、引進新能力的同時，零信任的實施也牽涉更多的人力和物力資源。適度的信任和自動化，是在特定安全等級下降低成本、提升效率的良好途徑。

當然，面對自帶設備（BYOD）和5G帶來的接入多樣化，應用與系統(tǒng)的日趨云化，以及社會組織、網(wǎng)絡安全的態(tài)勢改變，信任和風險總是相互關聯(lián)的。

零信任的前提是實施最小特權，而零信任的基礎是實踐動態(tài)認證。不同應用場景下的零信任系統(tǒng)，會因地制宜地選擇和融合多種網(wǎng)絡安全和數(shù)據(jù)安全技術。但身份認證和邊界控制是所有零信任實踐的核心。

最小特權也稱最小授權，是信息安全的基本模型之一。最小特權的概念最早源于容錯理論。它涉及特權分離和完全仲裁等一系列原則。在網(wǎng)絡安全實戰(zhàn)中，它可以減少應用的公共可見性，從而顯著減小攻擊面。一般情況下，傳統(tǒng)網(wǎng)絡物理邊界的失效，并不意味著“無邊界”。網(wǎng)絡不同安全區(qū)域之間的邏輯邊界是實施安全分級（等級保護）治理的前提條件。普通用戶對網(wǎng)絡邊界無感并不意味著完全沒有邊界。零信任恰恰是在軟件定義邊界（SDP）和云訪問安全代理（CASB）等技術體系的基礎上整合出來的解決方案。當然，邊界的極致就是終端。零信任也可以在終端側部署，以解決傳統(tǒng)邊界防護在端到端遠程訪問場景下的諸多問題。

動態(tài)認證則是身份權限管理（IAM）中身份驗證和鑒權的延伸。從最簡單的“五元組”接入控制表（ACL），到基于角色的接入控制（RBAC），再到基于屬性的接入控制（ABAC），都是網(wǎng)絡安全中身份認證不斷精細化的體現(xiàn)。然而，除了簡單的定期復檢（超時）外，它們大多不會“與時俱進”，反映即時的變化。而對用戶、設備、網(wǎng)絡“身份”的識別和認證，以及對網(wǎng)絡安全相關狀態(tài)、流量、行為甚至“全息”數(shù)據(jù)的掌控，則是安全身份判定逐步動態(tài)化的體現(xiàn)。實際上，這和大數(shù)據(jù)技術中常用的“用戶畫像”概念十分類似，它們都通過精準定位來服務對象，以達到提供精準服務的目的。零信任正是通過精細化、動態(tài)化的風險評估，才實現(xiàn)了相應的接入或準入控制，在空間和時間上為網(wǎng)絡提供最大程度的防御。

目前，業(yè)界參考的零信任理念大多基于美國國家標準研究院（NIST）于2020年發(fā)布的《零信任架構（ZTA）》（2019年以建議為名發(fā)布第一版草案）。其中，零信任的核心技術被歸納為“SIM”。這里，“S”是SDP，“I”是IAM，“M”是MSG。市場上已經(jīng)推出的零信任產(chǎn)品則是在廠家原有技術基礎上擴充而來的。這些產(chǎn)品或是基于云安全聯(lián)盟（CSA）的SDP規(guī)范（如圖4所示），或是參考Google的BeyondCorp（如圖5所示）。

其實，還有一個技術框架可以被整合、升級，并作為零信任技術的基礎，那就是TNC（可信網(wǎng)絡連接）。TNC經(jīng)歷過Cisco和Microsoft兩大陣營的多年競合，有IETF系列協(xié)議層面的標準RFC支撐，在身份和安全狀態(tài)、情報等數(shù)據(jù)交換格式上具備扎實的基礎，利于推進開放兼容，避免形成廠商鎖定。

3 結束語

近年來，網(wǎng)絡領域最主要的變革都源于網(wǎng)絡虛擬化和SDN。無論是意圖驅動網(wǎng)絡，還是自動駕駛網(wǎng)絡，它們都指向網(wǎng)絡自動化，即零觸碰。而這一切在網(wǎng)絡安全方面的反映，就是零信任。

無論是零觸碰還是零信任，它們的關鍵都是實現(xiàn)閉環(huán)。從業(yè)務的視角看，它們實質(zhì)上是基于反饋控制的網(wǎng)絡編排和信任管控自動化。有趣的是，SDN和零信任都是Google率先驗證和推出的。SDN將控制平面與數(shù)據(jù)平面分離，并將分布、自治的網(wǎng)絡升級為集中與分布式結合的控制系統(tǒng)。作為經(jīng)典實踐，Google的B4顯著提升了網(wǎng)絡帶寬的有效利用率。較為完整的零信任概念由市場分析和咨詢公司Forrester于2010年提出。之后，Google經(jīng)過7年時間，成功地將零信任全面上線部署。

總之，以零觸碰和零信任為目標的網(wǎng)絡自動化，已經(jīng)成為大勢所趨。它正在不斷推進技術創(chuàng)新、產(chǎn)品研發(fā)和服務落地。

參考文獻

[1] KOLEY B. The zero touch network [EB/OL].[2021-03-18]. http：//www.cnsm-conf.org/2016/ presentations/CNSM2016-Keynote1-Koley.pdf

[2] 綠盟科技. 零信任安全解決方案 [EB/OL].[2021-03-18]. https：//www.nsfocus.com.cn/ html/2020/210_0608/129.html

[3] BeyondCorp. Run zero trust security like Google[EB/OL]. [2021-03-18]. https：//beyondcorp.com

作者簡介

李軍，清華大學自動化系研究員、博士生導師，中國電子學會計算機工程與應用分會副主任委員；主要從事網(wǎng)絡與網(wǎng)絡安全等領域的教學和研究工作；主持了多個“863”、國家重點研發(fā)計劃和自然科學基金等項目；作為第一完成人榮獲2014年中國電子學會科學技術獎二等獎；著譯中外教材3部，發(fā)表學術論文100余篇，獲得美國專利2項、中國發(fā)明專利20余項，且多數(shù)成果已商用。

胡效赫，清華大學計算機系博士后；主要從事軟件定義網(wǎng)絡、高性能網(wǎng)絡處理、安全隱私等方向的研究工作；先后參與國家重點研發(fā)計劃和自然科學基金等項目；發(fā)表論文10余篇，獲美國專利1項、中國發(fā)明專利2項。