基于零信任的網(wǎng)絡(luò)安全模型架構(gòu)與應(yīng)用研究

翟福龍

摘要：近年來，隨著互聯(lián)網(wǎng)和計算機相關(guān)技術(shù)的蓬勃發(fā)展，用以保護數(shù)據(jù)安全的傳統(tǒng)安全架構(gòu)的局限性正逐漸顯露出來。于是，零信任安全的概念應(yīng)運而生，它直接顛覆了原有的觀念，認為內(nèi)部用戶與外部用戶都不可信。該文闡述并分析了當今網(wǎng)絡(luò)安全的趨勢和現(xiàn)狀，對基于零信任的網(wǎng)絡(luò)安全架構(gòu)進行了詳細闡述，并提出了一套行之有效并易于落地的零信任解決方案。

關(guān)鍵詞：網(wǎng)絡(luò)安全;零信任;身份認證;權(quán)限管理;動態(tài)訪問控制

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）03-0037-04

開放科學（資源服務(wù)）標識碼（OSID）：

隨著網(wǎng)絡(luò)和信息技術(shù)的不斷普及，人類產(chǎn)生的數(shù)據(jù)量正在呈指數(shù)級增長，而云計算的誕生更是直接把我們送進了大數(shù)據(jù)時代。隨之而來的，是從大公司到小公司，從政府機關(guān)再到商業(yè)機構(gòu)的有關(guān)數(shù)據(jù)泄露的例子層出不窮。這說明靠邊界劃分可信不可信的方法正在逐步失效。

傳統(tǒng)的內(nèi)部安全外圍依靠防火墻、VPN來隔離[1]。但隨著員工越來越多地使用自己的手機、自己的電腦、自己的平板，再加上云計算的廣泛普及，整個網(wǎng)絡(luò)的邊界越來越模糊。如何能夠更好地適應(yīng)當今世界的網(wǎng)絡(luò)環(huán)境，零信任安全[2]的概念應(yīng)運而生，它認為內(nèi)部用戶與外部用戶都不可信，并且需要構(gòu)建動態(tài)的訪問控制流程。在以往的案例中，黑客常常利用已掌握的密碼和證書完成攻擊，因此，對這些內(nèi)部用戶零信任可能是未來減少數(shù)據(jù)泄露的主要方法。

1 傳統(tǒng)網(wǎng)絡(luò)安全趨勢與現(xiàn)狀

根據(jù)Grand View Research的研究表明，2021年我國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模將達到102.2億美元，而到了202年，這個數(shù)字將達到172.7億美元，綜合2021-2025年，符合年均增長率在20%以上，遠高于全球增速，領(lǐng)跑全球。隨著《中華人民共和國網(wǎng)絡(luò)安全法》的頒布，網(wǎng)絡(luò)安全在我國的重視程度更是達到了前所未有的高度，隨后頒布的《網(wǎng)絡(luò)安全等級保護條例》（等保2.0）和《密碼法》更是對現(xiàn)有法律體系的有效補充。習近平總書記在全國網(wǎng)絡(luò)安全和信息化工作會議上更是做出了“沒有網(wǎng)絡(luò)安全，就沒有國家安全”的重要指示。

隨著國家的不斷重視，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的問題也越來越多地暴露在網(wǎng)絡(luò)安全行業(yè)參與者的面前。下面分別探討終端安全、網(wǎng)絡(luò)安全、邊界安全以及應(yīng)用安全方面存在的主要問題。

1.1 終端安全

目前，我們的網(wǎng)絡(luò)接入終端多種多樣，總體來看可以分為移動端和PC端[3]。但很多接入網(wǎng)內(nèi)的終端設(shè)備安全性并未達到安全基線要求，接入網(wǎng)絡(luò)后，有將病毒、木馬引入網(wǎng)絡(luò)環(huán)境的風險;同時，由于終端的防護效果不佳，易于遭到攻擊行為，一旦終端感染木馬病毒，攻擊者以終端為跳板滲入內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)中心竊取、篡改數(shù)據(jù)，對網(wǎng)絡(luò)擁有者的數(shù)據(jù)安全造成嚴重威脅;另外，接入終端接口被濫用、盜用，導(dǎo)致數(shù)據(jù)泄露、篡改、污染的安全事件也層出不窮。

1.2 網(wǎng)絡(luò)安全

隨著國家等級保護制度（等保）和關(guān)鍵信息基礎(chǔ)設(shè)施保護制度（關(guān)保）的不斷完善，許多企事業(yè)單位都為自己的網(wǎng)絡(luò)環(huán)境架設(shè)了防火墻、下一代防火墻、WAF、IPS、IDS、關(guān)閘、數(shù)據(jù)庫審計系統(tǒng)、態(tài)勢感知等多種安全設(shè)備，但都是單兵作戰(zhàn)，沒有形成有效的網(wǎng)絡(luò)安全體系，進而無法將這些設(shè)備聯(lián)動起來。

1.3 邊界安全

傳統(tǒng)的邊界安全靠的是防火墻、VPN等安全設(shè)備來實現(xiàn)，并默認內(nèi)部用戶不會對網(wǎng)絡(luò)安全進行破壞[4]。但隨著大數(shù)據(jù)的發(fā)展以及移動互聯(lián)網(wǎng)的普及，整個網(wǎng)絡(luò)的邊界越來越模糊，靠邊界劃分可信不可信的方法正在逐步失效。根據(jù)有關(guān)部門統(tǒng)計數(shù)據(jù)，近年來，平均每一天就有6起數(shù)據(jù)泄漏事件發(fā)生，而其中源自內(nèi)部數(shù)據(jù)泄漏比重占了近三成，并呈現(xiàn)逐年上升的趨勢，內(nèi)部人員的數(shù)據(jù)泄漏問題變得越來越嚴峻。

1.4 應(yīng)用安全

目前，常見的應(yīng)用安全只提供了基礎(chǔ)的用戶身份認證與訪問控制、應(yīng)用安全防護和應(yīng)用開發(fā)安全等方面的防護。對訪問應(yīng)用系統(tǒng)、應(yīng)用功能、數(shù)據(jù)、服務(wù)接口的權(quán)限還沒有進行細粒度控制和動態(tài)調(diào)整;同時，在應(yīng)用安全防護方面，還沒完全做到攻擊行為和安全威脅進行防護和阻斷和針對不同應(yīng)用系統(tǒng)提供有效隔離;對終端的訪問行為、用戶的操作行為等尚未進行完整規(guī)范記錄，無法及時發(fā)現(xiàn)用戶的異常訪問行為。

2 基于零信任的網(wǎng)絡(luò)架構(gòu)

2.1 零信任

零信任（零信任網(wǎng)絡(luò)、模型、架構(gòu)等）這個概念最早由時任弗雷斯特研究公司的約翰·金德維格（John Kindervag）所提出。他認為通常認為是“可信”的內(nèi)部環(huán)境同外部環(huán)境一樣充滿了威脅，并指出“信任是安全的致命弱點”，因此提出了零信任（Zero Trust）概念。他的核心思想是“從不信任，始終在校驗” [5]。

Google公司在2011年之前也是采用傳統(tǒng)的安全防護方式，2009年的APT攻擊“極光行動”推動Google重新搭建整體安全架構(gòu)，2010年提出零信任概念，并于2013年開始向零信任架構(gòu)轉(zhuǎn)型。2017年，作為互聯(lián)網(wǎng)的引領(lǐng)者，Google宣布BeyondCorp項目順利完成，這便是基于零信任理念而實踐出的新一代網(wǎng)絡(luò)安全架構(gòu)[6]。隨后各大企業(yè)、安全廠商也都緊跟科技的浪潮，積極投身到零信任的方案研發(fā)和改進的工作中。

Google認為，現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)缺少對內(nèi)部網(wǎng)絡(luò)流量的檢查。一旦流量經(jīng)過了防火墻或VPN的安全檢查策略，那么內(nèi)部的所有網(wǎng)絡(luò)數(shù)據(jù)均暴露在面前。這樣的一種局面迫使我們需要將安全控制的實施點盡可能地前推到網(wǎng)絡(luò)邊緣。同時，將整個系統(tǒng)架構(gòu)分為控制域和數(shù)據(jù)域，數(shù)據(jù)域接收并執(zhí)行控制域下發(fā)的策略和指令?？傮w的思想是，通過一個權(quán)威的、可信的控制中心，基于人、終端、環(huán)境、行為等多個維度來執(zhí)行認證、授權(quán)、實時的訪問控制等操作。

零信任模型打破了傳統(tǒng)網(wǎng)絡(luò)邊界防護思維，傳統(tǒng)網(wǎng)絡(luò)安全體系專注于網(wǎng)絡(luò)邊界防御，假定邊界內(nèi)的任何人員、設(shè)備是可信的，攻擊者一旦突破網(wǎng)絡(luò)邊界防御，就可以在內(nèi)部為所欲為。云計算環(huán)境中，網(wǎng)絡(luò)邊界變得越來越模糊，傳統(tǒng)的基于網(wǎng)絡(luò)邊界的訪問控制難以奏效 [7]。

零信任安全體系將身份作為新的安全邊界，通過多因子身份認證、身份與訪問管理（IAM）、編排、分析、加密、安全評級和動態(tài)權(quán)限調(diào)整等技術(shù)來確定用戶是否有權(quán)限訪問內(nèi)部應(yīng)用、數(shù)據(jù)、服務(wù)等，實現(xiàn)對數(shù)據(jù)“可用可見、可用不可見、不可用不可見”的統(tǒng)一授權(quán)管理。

2.2 基于零信任網(wǎng)絡(luò)安全模型架構(gòu)

2.2.1 方案組成

本文中，將零信任體系理解為實現(xiàn)對數(shù)據(jù)和功能兩大核心資產(chǎn)訪問的行為進行精細化控制，將人、設(shè)備、服務(wù)和應(yīng)用的身份均統(tǒng)一抽象成主體身份，通過主體身份的屬性進行動態(tài)鑒證和鑒權(quán)，實現(xiàn)對數(shù)據(jù) “可用可見、可用不可見、不可用不可見”等狀態(tài)的統(tǒng)一授權(quán)管理。

本文中提到的網(wǎng)絡(luò)架構(gòu)方案適用于各級用戶匯聚節(jié)點與數(shù)據(jù)匯聚節(jié)點之間。在平臺兩側(cè)分別建設(shè)安全防護區(qū)，通過統(tǒng)一威脅防護設(shè)備，如防火墻等實現(xiàn)安全互聯(lián)?？傮w來看，基于零信任的網(wǎng)絡(luò)架構(gòu)有賴于身份管理中心、權(quán)限管理中心、認證管理中心、終端環(huán)境感知以及常規(guī)的防火墻、安全漏洞掃描、蜜罐、用戶行為分析、數(shù)據(jù)隔離與交換系統(tǒng)等能力的建設(shè)，并與安全管理中心的業(yè)務(wù)安全策略控制相結(jié)合，形成動態(tài)、持續(xù)、閉環(huán)的業(yè)務(wù)訪問安全，最終形成用戶訪問后端數(shù)據(jù)的通路。具體來看，本文受篇幅所限，僅對安全接入網(wǎng)關(guān)、安全接入網(wǎng)關(guān)管理中心、統(tǒng)一身份管理系統(tǒng)和統(tǒng)一權(quán)限管理系統(tǒng)這四個部分做詳細闡釋，其余部分暫不涉及[8]。

零信任安全體系是一個動態(tài)閉環(huán)安全體系。如圖3所示，安全接入網(wǎng)關(guān)是整個體系中重要的策略執(zhí)行點?？尚沤尤刖W(wǎng)關(guān)通過與終端環(huán)境感知、統(tǒng)一身份管理系統(tǒng)和統(tǒng)一權(quán)限管理系統(tǒng)聯(lián)動，實現(xiàn)用戶身份的統(tǒng)一管理、動態(tài)的權(quán)限控制和策略執(zhí)行。

用戶通過零信任安全體系，訪問后端應(yīng)用的信息流轉(zhuǎn)如圖4所示。首先用戶訪問安全接入網(wǎng)關(guān)地址或域名，安全接入網(wǎng)關(guān)向安全接入代理管理中心發(fā)起認證請求。安全接入代理管理中心向后端的認證服務(wù)、身份管理服務(wù)、授權(quán)服務(wù)發(fā)起認證申請，并將返回的用戶認證結(jié)果Token同步到安全接入網(wǎng)關(guān)，用以判斷該用戶是否有權(quán)限訪問該網(wǎng)絡(luò)環(huán)境。在用戶整個訪問的過程中，有終端環(huán)境感知持續(xù)對該用戶、設(shè)備、行為進行實時的感知和監(jiān)控，一旦發(fā)現(xiàn)異常并觸發(fā)了預(yù)設(shè)的阻斷策略，即向安全接入代理管理中心發(fā)起異常通知，并由安全接入代理管理中心下發(fā)阻斷訪問的通知，實現(xiàn)用戶訪問全流程的管控。

如果希望對數(shù)據(jù)訪問進行更加精細顆粒度的訪問控制，可以在應(yīng)用之前加設(shè)安全API網(wǎng)安，實現(xiàn)單一應(yīng)用接口級的訪問控制。流程如圖5。

安全接入代理管理中心同時向后端的認證服務(wù)、身份管理服務(wù)、授權(quán)服務(wù)申請用戶Token和應(yīng)用Token，認證及授權(quán)完成后，經(jīng)過WAF系統(tǒng)進行Web安全檢測和防護，訪問安全API網(wǎng)關(guān).安全API網(wǎng)關(guān)通過安全接入代理管理中心進行應(yīng)用接口鑒權(quán)。鑒權(quán)通過后，安全API網(wǎng)關(guān)轉(zhuǎn)發(fā)API接口調(diào)用至后端應(yīng)用數(shù)據(jù)，用戶成功訪問應(yīng)用。

2.2.2 安全接入網(wǎng)關(guān)

安全接入網(wǎng)關(guān)主要用于完成基于設(shè)備證書、用戶證書的訪問流量控制。通過與安全網(wǎng)關(guān)管理中心建立https雙向認證的連接，接收來自管理中心發(fā)送的管理指令，例如服務(wù)更新、服務(wù)配置、路由信息、安全策略等，并上報業(yè)務(wù)日志數(shù)據(jù)、狀態(tài)信息。安全接入網(wǎng)關(guān)根據(jù)所接收到的路由策略、負載均衡策略、安全策略等信息，結(jié)合身份管理中心、授權(quán)管理中心、WAF等平臺，完成用戶訪問受控服務(wù)的路由代理，完成用戶、終端、受控服務(wù)的鑒權(quán)[9]。

2.2.3 安全接入網(wǎng)關(guān)管理中心

安全接入網(wǎng)關(guān)依賴安全接入網(wǎng)關(guān)管理中心，以實現(xiàn)統(tǒng)一的配置管理以及狀態(tài)監(jiān)控等功能，完成對所有部署的安全接入網(wǎng)關(guān)設(shè)備進行管理、維護、日志審計工作。

安全接入網(wǎng)關(guān)管理中心分為九個模塊，分別為：安全網(wǎng)關(guān)集中配置管理、會話管理、風險感知分析、權(quán)限變更訂閱、身份認證對接、權(quán)限管理對接、權(quán)限判定、風險聯(lián)動通報、日志審計。

2.2.4 統(tǒng)一身份管理系統(tǒng)

在“零信任”的架構(gòu)下，人、設(shè)備、應(yīng)用、服務(wù)、崗位、機構(gòu)、身份類型等自然實體都必須在身份管理中心中注冊并形成數(shù)字化身份，確保實體都對應(yīng)一個唯一的數(shù)字身份，并關(guān)聯(lián)一系列身份屬性，為每個數(shù)字身份簽發(fā)數(shù)字證書[10]。通過身份的全生命周期管理，確保身份的發(fā)現(xiàn)、登記、使用、銷毀可控可管。

用戶可根據(jù)自身的情況，選擇并采用數(shù)字證書、生物特征、單點登錄、FIDO等技術(shù)手段實現(xiàn)統(tǒng)一安全認證服務(wù)，實現(xiàn)數(shù)字證書、生物特征（人臉、指紋、聲紋等）、行為特征等認證憑證與身份關(guān)聯(lián)管理，為身份鑒別提供基礎(chǔ)服務(wù)支撐。

2.2.5 統(tǒng)一權(quán)限管理中心

權(quán)限管理中心提供權(quán)限審批管理、鑒權(quán)、授權(quán)管理服務(wù)，提供設(shè)備到網(wǎng)絡(luò)、用戶到應(yīng)用、接口到數(shù)據(jù)的權(quán)限映射功能。

統(tǒng)一權(quán)限管理系統(tǒng)包含：授權(quán)預(yù)審、工作流子系統(tǒng)、授權(quán)處理引擎、授權(quán)分析引擎、授權(quán)管理、授權(quán)信息引擎、權(quán)限服務(wù)接口幾個部分。

授權(quán)審批：接收外部授權(quán)請求，通過工作流支持引導(dǎo)用戶完成在線動態(tài)授權(quán)。

工作流子系統(tǒng)：提供工作流引擎和工作流視圖化管理功能，包括工作流設(shè)計、表單設(shè)計等功能。工作流子系統(tǒng)按預(yù)定規(guī)則將權(quán)限申請信息傳遞至相關(guān)人員完成審批操作。

授權(quán)處理引擎：對外部授權(quán)請求進行實時授權(quán)處理，基于授權(quán)庫的多維屬性和授權(quán)信息引擎提供的實時信息反饋進行授權(quán)判斷。

授權(quán)分析引擎：通過策略、風險、屬性等因素動態(tài)計算，為訪問動態(tài)授權(quán)引擎提供動態(tài)的授權(quán)因子。

授權(quán)管理：提供規(guī)則、策略、屬性等基礎(chǔ)信息管理功能，支持工作流引擎。

授權(quán)信息引擎：對統(tǒng)一身份管理系統(tǒng)、分析平臺的外部屬性信息進行對接同步和信息整合。

權(quán)限服務(wù)接口：提供外部授權(quán)接口和協(xié)議適配能力。

2.2.6 動態(tài)訪問控制

在接入終端部署可信環(huán)境感知客戶端，具備安全狀態(tài)可信環(huán)境感知能力，能夠采集終端上的各種安全狀態(tài)信息，如漏洞修復(fù)情況、病毒木馬情況、危險項情況、安全配置以及終端各種軟硬件信息，具備設(shè)備識別、終端保護、自我保護、安全狀態(tài)感知。

可信環(huán)境感知系統(tǒng)能夠?qū)踩燃壭畔崟r傳送給安全接入代理管理中心，當環(huán)境信息不符合要求時，安全接入代理管理中心可下發(fā)策略給安全接入代理，實現(xiàn)對終端訪問的實時阻斷。在用戶訪問的全流程中，持續(xù)監(jiān)測評估終端、用戶行為、網(wǎng)絡(luò)等環(huán)境的安全狀態(tài)，實現(xiàn)身份的持續(xù)認證及動態(tài)權(quán)限調(diào)整。

3 總結(jié)

零信任安全的本質(zhì)是以身份為中心進行動態(tài)訪問控制，全面身份化是實現(xiàn)零信任安全架構(gòu)的前提和基石，本文提出的零信任網(wǎng)絡(luò)安全模型架構(gòu)正是基于全面身份化，為零信任網(wǎng)絡(luò)的人、設(shè)備、應(yīng)用、系統(tǒng)等物理實體建立統(tǒng)一的數(shù)字身份標識和治理流程，并進一步構(gòu)筑動態(tài)訪問控制體系，將安全邊界延伸至身份實體，實現(xiàn)安全架構(gòu)的關(guān)口前移，這也符合當今網(wǎng)絡(luò)安全發(fā)展的趨勢，值得我們進行更進一步的研究。

參考文獻：

[1] 李俊，柴海新.數(shù)字身份安全治理研究[J].信息安全研究，2021，7（7）：598-605.

[2] 呂波.以零信任技術(shù)為指導(dǎo)的數(shù)據(jù)安全體系研究[J].現(xiàn)代信息科技，2020，4（12）：126-130，133.

[3] 何偉，王曉磊，郭江濤，等.電力終端可信身份認證技術(shù)研究與應(yīng)用[J].通訊世界，2020，27（4）：131-132.

[4] 尹蕊，高陽，李凱，等.身份認證技術(shù)在電力行業(yè)移動應(yīng)用中的應(yīng)用[J].中國新通信，2020，22（10）：116.

[5] 魏小強.基于零信任的遠程辦公系統(tǒng)安全模型研究與實現(xiàn)[J].信息安全研究，2020，6（4）：289-295.

[6] 王斯梁，馮暄，蔡友保，等.零信任安全模型解析及應(yīng)用研究[J].信息安全研究，2020，6（11）：966-971.

[7] 胡印科.零信任技術(shù)及其在信息網(wǎng)絡(luò)安全方面的應(yīng)用[J].中國新通信，2020，22（19）：118-119.

[8] 田由輝.基于零信任架構(gòu)的網(wǎng)絡(luò)安全防護思路[J].信息技術(shù)與信息化，2020（5）：154-157.

[9] 翟勝軍.新媒體時代的網(wǎng)絡(luò)安全發(fā)展趨勢——身份零信任，業(yè)務(wù)流安全[J].中國傳媒科技，2020（1）：7-9.

[10] 蔡冉，張曉兵.零信任身份安全解決方案[J].信息技術(shù)與標準化，2019（9）：46-49.

【通聯(lián)編輯：代影】