零信任與可信計算技術(shù)研究

蹇詩婕 趙榮輝 公安部第一研究所

引言

隨著互聯(lián)網(wǎng)時代的發(fā)展，信息技術(shù)已經(jīng)成為人們生活中不可或缺的一部分，與此同時，網(wǎng)絡空間安全威脅愈發(fā)嚴峻，沒有網(wǎng)絡安全就沒有國家安全，安全是發(fā)展的前提。然而，傳統(tǒng)安全架構(gòu)難以抵御日益復雜的新型網(wǎng)絡攻擊，無法滿足新環(huán)境下的網(wǎng)絡安全需求。因此，零信任、可信計算等新興網(wǎng)絡安全防護技術(shù)成為當前工業(yè)界和學術(shù)界重點關(guān)注的內(nèi)容。

零信任[1]是一種以保護資源為核心的安全理念，本質(zhì)是以身份為基石的動態(tài)訪問控制，基于多維因素進行持續(xù)信任評估，并通過信任等級動態(tài)調(diào)整權(quán)限，形成動態(tài)自適應安全閉環(huán)體系。相較于專注防護邊界的傳統(tǒng)安全架構(gòu)，零信任革新了以物理為邊界的安全架構(gòu)思想，默認不存在基于物理和網(wǎng)絡位置的隱性信任關(guān)系。

可信計算[2]是一種主動防御技術(shù)，基于硬件屬性的可信根，形成系統(tǒng)啟動時逐層度量的信任鏈，從而實現(xiàn)系統(tǒng)環(huán)境的安全可信，能夠主動免疫攻擊行為。相較于傳統(tǒng)的防火墻、殺毒軟件等被動防御方式，可信計算從根本上解決計算平臺的安全問題，不僅在攻擊發(fā)生前進行主動防御，而且在攻擊發(fā)生后能夠及時報警和查殺。

為了應對愈發(fā)復雜的攻擊行為，當前，可信計算技術(shù)已經(jīng)逐步應用于公安移動警務系統(tǒng)建設中。本文分別對零信任和可信計算兩種新興技術(shù)的相關(guān)背景、相關(guān)概念進行詳細梳理，并對兩種安全防護架構(gòu)進行對比分析。

一、零信任

（一）相關(guān)背景

1. 內(nèi)部網(wǎng)絡攻擊

據(jù)美國加利福尼亞州舊金山的計算機安全研究所統(tǒng)計分析，60%到80%的網(wǎng)絡濫用事件來自內(nèi)部網(wǎng)絡。橫向移動攻擊作為APT攻擊中的重要環(huán)節(jié)，是攻擊者進入內(nèi)部網(wǎng)絡后實施攻擊的主要手段。

傳統(tǒng)安全架構(gòu)是一種基于區(qū)域的架構(gòu)，采用網(wǎng)絡分段的方式將用戶、設備和服務等定義至不同的信任域中，在給定區(qū)域內(nèi)可以相互通信。傳統(tǒng)安全架構(gòu)通常使用防火墻來監(jiān)控網(wǎng)絡流量，但是由于防火墻購買成本較高，只能創(chuàng)建受保護的信任區(qū)域，導致易遭受攻擊的范圍較大。

傳統(tǒng)安全架構(gòu)更注重對邊界進行防護，認為邊界內(nèi)部不存在威脅，一旦黑客突破防火墻等外部邊界防御后，便可以利用內(nèi)部系統(tǒng)漏洞和管理缺陷逐步獲得更高級別的權(quán)限，進行內(nèi)網(wǎng)橫向移動攻擊，盜取重要數(shù)據(jù)信息，并且不會受到任何阻礙。

傳統(tǒng)安全架構(gòu)假設企業(yè)所有的辦公設備和數(shù)據(jù)資源都在內(nèi)網(wǎng)，默認內(nèi)網(wǎng)完全可信。事實上，內(nèi)網(wǎng)并不安全，僅僅使用基于防火墻等邊界防御方法的傳統(tǒng)安全架構(gòu)難以有效檢測內(nèi)部網(wǎng)絡攻擊。零信任架構(gòu)假設網(wǎng)絡中始終存在外部和內(nèi)部威脅，限制網(wǎng)絡內(nèi)部橫向移動，能夠較好地彌補傳統(tǒng)安全架構(gòu)的缺陷。

2. 云技術(shù)興起

隨著云技術(shù)近幾年的大力發(fā)展，云計算算力不斷提升，企業(yè)數(shù)字化轉(zhuǎn)型持續(xù)深入，越來越多的企業(yè)開始使用云服務器，各企業(yè)的基礎(chǔ)設施和網(wǎng)絡結(jié)構(gòu)日趨復雜。

由于企業(yè)的業(yè)務上云后，應用系統(tǒng)運行所需要的計算、存儲、網(wǎng)絡資源的物理位置不斷變化，網(wǎng)絡邊界變得越來越模糊，純內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不復存在，因此當前企業(yè)的安全部門亟需一種新的安全思維來保護企業(yè)的重要數(shù)據(jù)信息。同時，企業(yè)內(nèi)網(wǎng)接入模式更加多元化，移動辦公、遠程接入等方式導致IP信息動態(tài)變化，對原有企業(yè)內(nèi)網(wǎng)架構(gòu)造成了巨大沖擊，與其最初的設計理念大相徑庭。

隨著企業(yè)辦公愈發(fā)移動化、云端化，管理和維護的難度與成本顯著增加。零信任架構(gòu)是對企業(yè)網(wǎng)絡安全發(fā)展趨勢的積極響應，能夠有效應對企業(yè)數(shù)字化轉(zhuǎn)型過程中遇到的安全問題，適配各類遠程接入場景。

（二）相關(guān)概念

1. 定義

零信任是一種安全架構(gòu)的新理念，根據(jù)美國國家標準與技術(shù)研究院《零信任架構(gòu)標準》中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡環(huán)境已經(jīng)被攻陷的前提下，當執(zhí)行信息系統(tǒng)和服務中的每次訪問請求時，降低其決策準確度的不確定性。

零信任的核心思想是默認情況下，企業(yè)內(nèi)外部的任何人、事、物均不可信，應在授權(quán)前對任何試圖接入網(wǎng)絡和訪問網(wǎng)絡資源的人、事、物進行驗證[3]。零信任的本質(zhì)是以身份為中心進行動態(tài)訪問控制，沒有默認被信任的主體，對任何資源的訪問都需要進行認證授權(quán)，對訪問的主體和過程進行持續(xù)檢測評估，并且動態(tài)調(diào)整訪問控制策略。

2. 零信任架構(gòu)

零信任架構(gòu)是一種基于零信任理念的企業(yè)網(wǎng)絡安全的規(guī)劃，圍繞零信任理念的組件關(guān)系、工作流規(guī)劃與訪問策略構(gòu)建而成。零信任架構(gòu)是一種企業(yè)資源和數(shù)據(jù)安全的端到端的保護方法，將網(wǎng)絡防御的邊界縮小到單個資源組，關(guān)注于保護資源，而非網(wǎng)絡分段，網(wǎng)絡位置不再是資源安全態(tài)勢的主要組成部分。

通用零信任架構(gòu)的總體框架如圖1所示。零信任的安全原則是“永不信任且始終驗證”，對訪問主體和訪問客體之間的數(shù)據(jù)訪問和認證驗證進行處理，控制平面用于邏輯組件之間的網(wǎng)絡通信控制，數(shù)據(jù)平面則是用于應用程序數(shù)據(jù)的通信[3]。

圍1 零信任架構(gòu)的總體框架

訪問主體通過控制平面發(fā)起訪問請求，由信任評估引擎、訪問控制引擎對訪問主體進行身份認證和授權(quán)，確認其信任等級后，動態(tài)配置數(shù)據(jù)平面，建立一次性安全訪問連接，授予最小訪問權(quán)限。信任評估引擎持續(xù)進行信任評估，一旦出現(xiàn)異常，訪問控制引擎將會及時通過訪問代理中斷連接，從而保護資源[3]。

（三）傳統(tǒng)安全架構(gòu)和零信任架構(gòu)的對比

傳統(tǒng)安全架構(gòu)和零信任架構(gòu)的詳細對比如表1所示，傳統(tǒng)安全架構(gòu)對授權(quán)用戶開放的訪問權(quán)限較大，更注重防御邊界，零信任架構(gòu)則是基于身份實現(xiàn)細粒度的訪問控制，注重于保護資源。

表1 傳統(tǒng)安全架構(gòu)和零信任架構(gòu)的對比

由于傳統(tǒng)安全架構(gòu)至今仍能抵御大部分網(wǎng)絡攻擊，而零信任架構(gòu)需要消耗大量網(wǎng)絡資源來支撐大量的訪問控制請求。如果使用零信任架構(gòu)全面替換傳統(tǒng)安全架構(gòu)，將會造成卡頓、請求超時等后果，影響業(yè)務功能的正常使用。

因此，在傳統(tǒng)安全架構(gòu)的基礎(chǔ)上搭建零信任架構(gòu)才能更好地維護網(wǎng)絡空間安全。同時，零信任架構(gòu)提出的訪問控制目標較理想化，技術(shù)實現(xiàn)存在較大難度，還需要長期探索才能真正落地實施。

二、可信計算

（一）相關(guān)背景

傳統(tǒng)網(wǎng)絡安全系統(tǒng)主要是由防火墻、病毒查殺、入侵檢測等組成，并針對安全問題打補丁。而這些方法均屬于被動的防御方式，存在諸多弊端：防火墻難以防護內(nèi)部網(wǎng)絡安全，內(nèi)網(wǎng)橫向移動攻擊較嚴重；病毒查殺和基于簽名的入侵檢測只能防御已知特征庫中的攻擊，難以檢測未知的攻擊行為；打補丁的方式有可能帶來新的漏洞和后門，甚至導致某些軟件無法正常使用。

總結(jié)而言，傳統(tǒng)網(wǎng)絡安全系統(tǒng)有如下三項缺點：（1）僅僅依靠被動修補或積累攻擊特征的方式難以應對利用邏輯缺陷的攻擊和新型未知威脅，反而會增加自身脆弱性；（2）超級權(quán)限用戶的存在違背了最小特權(quán)安全原則；（3）傳統(tǒng)網(wǎng)絡安全系統(tǒng)一旦被攻擊者利用，會成為新的網(wǎng)絡攻擊平臺[4]。

因此，主動有效的網(wǎng)絡安全防護方法成為當前學者們研究的重點內(nèi)容，而可信計算體系就是一種主動免疫的安全防御體系。

（二）相關(guān)概念

1. 定義

可信計算（Trusted Computing，TC）是保障信息系統(tǒng)可預期性的技術(shù)，是指在計算的同時進行安全防護，使計算結(jié)果總是與預期值一樣，使計算全程可測可控，不受干擾[5]。可信計算是一種主動應對攻擊的防御體系，核心目標是保證系統(tǒng)和應用的完整性，從而確定系統(tǒng)或軟件運行在設計目標期望的可信狀態(tài)。

可信并不代表安全，但是可信是安全的基礎(chǔ)，因為安全方案和策略只有運行在未被篡改的環(huán)境下才能進一步確保安全。由于大部分攻擊均會篡改計算環(huán)境，所以保證系統(tǒng)和應用的完整性，能夠確保使用正確的軟件棧，并在軟件棧受到攻擊后及時響應。因此，可信計算能夠減小由于使用未知或遭到篡改的系統(tǒng)、軟件，而遭受攻擊的可能性。

2. 度量和驗證

可信計算的實現(xiàn)手段主要包含度量和驗證。度量是指對系統(tǒng)完整性和行為安全性進行測量、評估和判定的動作。驗證則是將度量結(jié)果和可信基準庫中的參考值進行比對，查看二者是否一致，如果一致表示驗證通過，如果不一致則表示驗證失敗。其中，度量又分為靜態(tài)度量和動態(tài)度量，分別針對啟動前和運行時的完整性檢查以及合法性判斷。

可信計算的基本思想是：在計算機系統(tǒng)中，建立一個可信根，從可信根開始，到硬件平臺、操作系統(tǒng)、應用，一級度量一級，一級信任一級，把這種信任擴展到整個計算機系統(tǒng)，并采取防護措施，確保計算資源的數(shù)據(jù)完整性和行為的預期性，從而提高計算機系統(tǒng)的可信性。

可信根的可信性由物理安全、技術(shù)安全與管理安全共同確保。基于可信根，結(jié)合度量和驗證技術(shù)，在計算系統(tǒng)啟動和運行過程中，使用完整性度量方法在部件之間所建立的信任傳遞關(guān)系稱為信任鏈。信任鏈的具體傳遞過程如圖2所示。

圖2 信任鏈傳遞過程

3. 可信計算發(fā)展歷程

可信計算體系結(jié)構(gòu)的發(fā)展歷程如表2所示。可信1.0針對計算機部件不穩(wěn)定的問題，采取冗余備份、容錯算法等技術(shù)，確保信息系統(tǒng)在局部故障的情況下仍能保持運行，但是沒有對黑客攻擊等威脅提出針對性解決方案?？尚?.0通過可信根、可信軟件棧等可信功能模塊，向系統(tǒng)提供被動的可信度量機制，但是沒有從計算機體系結(jié)構(gòu)上入手來解決可信問題，屬于被動的防護?？尚?.0借鑒生物免疫的思想，通過在計算節(jié)點構(gòu)建“宿主+可信”雙節(jié)點可信免疫架構(gòu)，在傳統(tǒng)系統(tǒng)之外構(gòu)建了一個邏輯上獨立的可信計算子系統(tǒng)作為可信節(jié)點，通過可信節(jié)點間的可信協(xié)作形成完整的可信體系，從而對系統(tǒng)實施主動監(jiān)控，為應用提供可信支撐[5]。

表2 可信計算體系結(jié)構(gòu)發(fā)展歷程

如圖3所示，可信計算雙體系架構(gòu)構(gòu)造了獨立于傳統(tǒng)馮諾依曼架構(gòu)的可信部件組成的子系統(tǒng)，解耦了計算部件和可信部件（即防護部件），減小了對傳統(tǒng)架構(gòu)的影響。同時，由于屏蔽了計算部件對可信部件的訪問，保障了可信部件的可信性。在計算模式方面，雙體系架構(gòu)能夠?qū)踩尚朋w系從系統(tǒng)中分離，通過可信部件進行統(tǒng)一組織管理，構(gòu)造安全管理中心集中管理的防御體系。

圖3 可信計算雙體系架構(gòu)

三、零信任和可信計算的對比

零信任架構(gòu)和可信計算架構(gòu)的對比如表3所示。零信任和可信計算是基于不同維度的安全方案。零信任更注重防護，通過持續(xù)驗證、動態(tài)授權(quán)的方式，不斷退后到需要保護的資源所在位置，防止外界攻擊。而可信計算則是更注重從內(nèi)部構(gòu)建安全環(huán)境，保障安全方案和策略運行在未被篡改的環(huán)境下，從而保障安全。由此可見，零信任和可信計算并不沖突，屬于互補的關(guān)系。

表3 零信任架構(gòu)和可信計算架構(gòu)的對比

零信任和可信計算構(gòu)成的網(wǎng)絡安全防御體系如圖4所示，零信任發(fā)揮功能的是黃色區(qū)域，可信計算發(fā)揮功能的是藍色區(qū)域。

圖4 零信任和可信計算構(gòu)成的網(wǎng)絡安全防御體系

當外界用戶想訪問第三方應用時，首先需要零信任Agent代理通過區(qū)域邊界中的零信任網(wǎng)關(guān)和后臺的零信任服務進行通信，從而對用戶身份進行驗證。用戶身份通過驗證后，允許用戶訪問第三方應用以及核心資源和數(shù)據(jù)。可信計算在這個過程中則是確保底層硬件和密碼設施、操作系統(tǒng)的完整性，確定系統(tǒng)或軟件運行在期望的可信狀態(tài)。因此，零信任和可信計算防護的是不同的內(nèi)容，將二者相結(jié)合，能夠更好地構(gòu)建網(wǎng)絡安全防御體系。

移動警務系統(tǒng)作為公安信息化建設中的重要環(huán)節(jié)，為維護社會公共安全提供了有力支撐。采用零信任技術(shù)在移動警務區(qū)域邊界及核心業(yè)務區(qū)對用戶身份進行合法性驗證，并結(jié)合可信計算技術(shù)保障移動警務硬件芯片到操作系統(tǒng)可信，從外部和內(nèi)部兩個方面共同提升移動警務系統(tǒng)的安全防護能力。

四、結(jié)語

網(wǎng)絡安全風險通常是由外部人為攻擊和信息系統(tǒng)內(nèi)部存在邏輯缺陷造成的。零信任默認不信任任何人、事、物，基于對訪問客體的持續(xù)評估，動態(tài)授予所需最小權(quán)限，能夠防護外部攻擊?？尚庞嬎阕鳛橐环N基于整體安全思想的主動防御技術(shù)，為各類計算環(huán)境提供安全基石，能夠從內(nèi)部保障安全環(huán)境。零信任和可信計算都擁有廣闊的發(fā)展應用前景，因此，尤其在設計公安移動警務系統(tǒng)網(wǎng)絡安全防御體系時，將零信任和可信計算相結(jié)合能夠更好地筑牢網(wǎng)絡安全防線。