零信任架構(gòu)及相關(guān)解決方案綜述

李圣 謝佳 周舟 宋慶紅 夏令

關(guān)鍵詞：零信任；軟件定義邊界；微隔離；身份與訪問管理；多因子認(rèn)證

0 引言

零信任是一組不斷演進(jìn)的網(wǎng)絡(luò)安全范式，它摒棄了傳統(tǒng)防御系統(tǒng)基于安全邊界的思想。網(wǎng)絡(luò)防御的重心從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到了用戶、設(shè)備和資源上[1]。零信任架構(gòu)使用零信任原則來規(guī)劃企業(yè)基礎(chǔ)設(shè)施和工作流。零信任取消了傳統(tǒng)基于用戶的物理或網(wǎng)絡(luò)位置（即，相對公網(wǎng)的內(nèi)部局域網(wǎng)）而授予用戶賬戶或者設(shè)備權(quán)限的隱式信任。認(rèn)證和授權(quán)是與企業(yè)資源建立會話之前執(zhí)行的獨(dú)立步驟。

圖1是傳統(tǒng)訪問和零信任訪問對比圖，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下，同處一個網(wǎng)絡(luò)區(qū)域內(nèi)，訪問主體對資源的訪問是屬于隱式可信的，即默認(rèn)訪問主體可信。而在零信任訪問下，即使同處在一個傳統(tǒng)可信網(wǎng)絡(luò)區(qū)域內(nèi)，每一次由主體對資源的訪問都需要策略決策和執(zhí)行點(diǎn)授權(quán)訪問。一般來說，零信任策略應(yīng)該是基于單個連接的和動態(tài)的。零信任算法應(yīng)該是基于條件或評分的以及基于上下文的。只有那些滿足了信任算法要求的訪問主體才能夠?qū)崿F(xiàn)對企業(yè)資源進(jìn)行訪問。

總體來說，隨著各類新型技術(shù)的誕生和發(fā)展，傳統(tǒng)以邊界防御為主的安全方案已經(jīng)無法滿足市場需求，零信任擁有著廣泛的應(yīng)用前景，能夠滿足包含遠(yuǎn)程辦公、跨企業(yè)協(xié)作等多種復(fù)雜業(yè)務(wù)場景的安全需求，這順應(yīng)了時代發(fā)展的趨勢，將擁有廣泛的應(yīng)用前景[2-4]。

1 零信任架構(gòu)及其邏輯組件

目前，相比西方，國內(nèi)零信任的發(fā)展仍然處于起步階段，沒有強(qiáng)制性的國家標(biāo)準(zhǔn)。而目前世界范圍內(nèi)最權(quán)威的零信任標(biāo)準(zhǔn)來自NIST（National Institute of Standards and Technology，美國國家標(biāo)準(zhǔn)與技術(shù)研究院）發(fā)布的《零信任架構(gòu)》NIST-800-207?！读阈湃渭軜?gòu)》將零散和無序的零信任概念、技術(shù)、架構(gòu)等進(jìn)行了標(biāo)準(zhǔn)化統(tǒng)一，為世界眾多安全廠商、企業(yè)進(jìn)行零信任推廣提供了參考。圖2是NIST發(fā)布的零信任邏輯組件圖[5]，它的架構(gòu)參考了ISO國際標(biāo)準(zhǔn)的訪問管理架構(gòu)[6]，它詳細(xì)地描述了一個零信任架構(gòu)所需的核心邏輯組件及功能組件。核心組件主要包含策略引擎、策略管理器、策略執(zhí)行點(diǎn)。其中策略引擎是組件中的“大腦”，它將企業(yè)自身的安全策略以及外部信息源組成的“信任算法”作為輸入，信任算法決定了訪問主體是否可以訪問特定的資源。策略管理器是零信任架構(gòu)中的“神經(jīng)系統(tǒng)”，它能夠建立或者切斷訪問主體和資源間的通信路徑，同時負(fù)責(zé)將策略引擎下發(fā)的命令傳遞至策略執(zhí)行點(diǎn)，使其執(zhí)行相關(guān)指令。策略執(zhí)行點(diǎn)是零信任架構(gòu)中的“四肢”，它負(fù)責(zé)執(zhí)行策略引擎下發(fā)的指令，啟用或終止主體與資源之間的連接。除了上述核心組件外，策略引擎的決策還需要引入一些功能組件來支撐，這些功能組件分別是數(shù)據(jù)安全模塊、端點(diǎn)安全模塊、身份管理模塊和安全分析模塊。這些功能性支撐組件為策略引擎的決策提供了關(guān)鍵信息源，例如安全分析模塊引入了外網(wǎng)威脅情報系統(tǒng)，能夠幫助策略引擎做出安全、高效的決策。

2 零信任關(guān)鍵解決方案綜述

零信任僅僅只是提供了一系列概念和思想，而真正要使零信任架構(gòu)成功落地成為企業(yè)安全建設(shè)的可能，則需要依賴各類的技術(shù)或解決方案。目前，NIST 將SDP（Software Defined Perimeter，軟件定義邊界）、AMcScGe（sMs iMcraon-aSgeegmmeennt，ta身tio份n，與微訪隔問離管）理、I）A視M為（Id零ent信ity任an架d構(gòu)的核心解決方案。

2.1 SDP 軟件定義邊界

SDP是國際云安全聯(lián)盟CSA于2013年提出的基于零信任理念的新一代網(wǎng)絡(luò)安全模型。SDP拋棄了傳統(tǒng)的邊界防御模型，構(gòu)建了一個虛擬邊界，聚焦于保護(hù)企業(yè)資源[7]。它執(zhí)行的是基于風(fēng)險、動態(tài)的、以身份為中心的、上下文感知的訪問策略，為企業(yè)應(yīng)用和服務(wù)穿上“隱身衣”，使攻擊者無法發(fā)現(xiàn)和識別資源從而發(fā)動不了有效攻擊[8]。

如圖3所示，SDP的架構(gòu)主要由三個邏輯組件構(gòu)成，分別是連接發(fā)起主機(jī)、控制器、接受主機(jī)。SDP的工作流如下：①客戶端連接控制器進(jìn)行身份認(rèn)證；② 身份驗(yàn)證通過后，控制器確定客戶端訪問應(yīng)用網(wǎng)關(guān)列表；③控制器告知接受主機(jī)已授權(quán)的連接發(fā)起主機(jī)清單；④控制器向連接發(fā)起主機(jī)返回可訪問的接受主機(jī)列表；⑤連接發(fā)起主機(jī)向接受主機(jī)發(fā)起驗(yàn)證，然后建立雙向加密隧道。

SDP采用的是SPA（Single Packet Authorization，單包認(rèn)證）協(xié)議，SPA協(xié)議是一種輕量級安全協(xié)議，能夠?qū)崿F(xiàn)客戶端在訪問控制器或者網(wǎng)關(guān)時檢查設(shè)備或用戶身份，實(shí)現(xiàn)了“先認(rèn)證，后連接”的訪問模式。因此，SDP架構(gòu)相比于傳統(tǒng)的邊界防御模型存在以下優(yōu)勢：①訪問前必須進(jìn)行驗(yàn)證，驗(yàn)證成功后才能建立連接，即零信任概念中所謂的“先驗(yàn)證，后鏈接”的概念；② 對于未經(jīng)驗(yàn)證的設(shè)備，SDP可以將資源或者服務(wù)進(jìn)行隱藏，顯著降低了供給面；③SDP默認(rèn)丟棄一切TCP 或者UDP數(shù)據(jù)包，接收端將會無聲處理數(shù)據(jù)包，實(shí)現(xiàn)權(quán)限最小化部署。

總的來說，SDP解決了零信任原則中的許多問題，這兩個概念是高度融合的。考慮到成本以及擴(kuò)展性等因素，SDP已是業(yè)界實(shí)現(xiàn)零信任落地的主流方案[9]。

2.2 MSG 微隔離

MSG 最早由VMWARE 公司提出，近年來又被GARTER連續(xù)數(shù)年列為關(guān)鍵技術(shù)。如果說SDP主要針對的是南北端流量的安全，那么微隔離主要針對的就是東西向的流量安全。近年來，各大勒索病毒和挖礦病毒在內(nèi)部網(wǎng)絡(luò)橫行，造成了大規(guī)模感染中毒，這對傳統(tǒng)的由VLAN、VXLAN、VPC技術(shù)構(gòu)成的虛擬網(wǎng)絡(luò)技術(shù)造成了沖擊，也為一種更為精細(xì)、權(quán)限最小化、易于管理的虛擬網(wǎng)絡(luò)技術(shù)的誕生創(chuàng)造了有利條件[10]。

微隔離可以將數(shù)據(jù)中心在邏輯上劃分為各個工作負(fù)載級別的不同安全段，然后定義安全控制并為每個唯一段提供服務(wù)。微隔離使IT人員可以使用網(wǎng)絡(luò)虛擬化技術(shù)在數(shù)據(jù)中心內(nèi)部靈活地部署安全策略，而不必安裝多個物理防火墻。此外，除了可以用于保護(hù)每一臺虛擬機(jī)，在具有網(wǎng)絡(luò)安全控制的企業(yè)網(wǎng)絡(luò)中，微隔離技術(shù)也可以增強(qiáng)企業(yè)的抵御內(nèi)網(wǎng)橫向攻擊能力[11]。

如圖4所示，MSG的邏輯架構(gòu)圖主要包含兩部分，第一部分是策略控制中心，它是MSG的“大腦”，主要負(fù)責(zé)內(nèi)部節(jié)點(diǎn)劃分、策略下發(fā)、策略自適應(yīng)等功能。第二部分是策略執(zhí)行單元，它是MSG的“四肢”，負(fù)責(zé)隔離內(nèi)部節(jié)點(diǎn)、監(jiān)測數(shù)據(jù)流量、執(zhí)行下發(fā)策略等。

MSG的工作流如下：①確定業(yè)務(wù)主體，按盡可能精細(xì)化的實(shí)際業(yè)務(wù)需求劃分節(jié)點(diǎn)，并將信任算法和訪問控制策略加載至策略控制中心；②訪問主體例如節(jié)點(diǎn)A發(fā)起向節(jié)點(diǎn)B的訪問；③節(jié)點(diǎn)A的請求由策略執(zhí)行單元上傳至策略控制中心，控制中心根據(jù)信任算法和訪控制策略計算結(jié)果，下發(fā)至策略執(zhí)行單元；④策略執(zhí)行單位允許或拒絕A到B的訪問請求。

MSG相較于SDP更加強(qiáng)調(diào)的是資源之間的即東西向流量的隔離，在MSG中，不存在任意一片網(wǎng)絡(luò)區(qū)域是可信任的。一片網(wǎng)絡(luò)區(qū)域被劃分成了無數(shù)節(jié)點(diǎn)，每一個節(jié)點(diǎn)都將受到控制和管理。相較于傳統(tǒng)的邊界防御模型，MSG的主要優(yōu)勢在于：①將原本粗顆粒度的網(wǎng)絡(luò)區(qū)域劃分成了更精細(xì)的顆粒度網(wǎng)絡(luò)區(qū)域，減少了橫向攻擊的范圍；②實(shí)現(xiàn)基于業(yè)務(wù)角色的快速分組能力，自動識別內(nèi)務(wù)業(yè)務(wù)的訪問關(guān)系，并擁有將訪問關(guān)系可視化展示的能力。

MSG也是屬于零信任中的關(guān)鍵技術(shù)之一，MSG可以和SDP在流量訪問層面形成良好的互補(bǔ)，是零信任架構(gòu)中的一個不可替代的解決方案。

2.3 IAM 身份與訪問管理

IAM是一個可以有效控制人或物等不同類型用戶訪問行為和權(quán)限的管理系統(tǒng)，能夠有效控制什么人或物體在什么時間有權(quán)限訪問哪些資源。IAM也同樣被NIST列為零信任三大解決方案之一。IAM是零信任的核心支撐技術(shù)，零信任架構(gòu)是借助IAM框架實(shí)現(xiàn)對人、設(shè)備、系統(tǒng)的全面、動態(tài)、智能的訪問控制。

圖5是IAM的邏輯架構(gòu)圖。IAM架構(gòu)共有3個核心模塊，分別為身份管理模塊、認(rèn)證模塊、授權(quán)模塊。其中身份管理模塊旨在構(gòu)建企業(yè)或組織中的各類用戶在其信息化體系中統(tǒng)一規(guī)范的身份識別和管理體系，是構(gòu)建IAM框架的根基。認(rèn)證模塊旨在驗(yàn)證嘗試訪問受保護(hù)資源的實(shí)體提供的憑據(jù)是否可信，是IAM 可靠性的根基。目前認(rèn)證模塊主要采用的與零信任原則匹配的技術(shù)為MFA（Multi-Factor Authentication， 多因子認(rèn)證技術(shù)）和SSO（Single Sign On，單點(diǎn)登錄技術(shù)）。授權(quán)模塊旨在為訪問主體創(chuàng)建合適的訪問控制策略，保障特定的資源能夠在合適的時間和地點(diǎn)由正確的訪問主體正確地訪問和利用。目前，PBAC （Policy-Based Access Control，基于策略的訪問控制）在最小化授權(quán)和動態(tài)授權(quán)層面存在先天優(yōu)勢，已成為最契合零信任框下的訪問控制模型[12]。

IAM系統(tǒng)工作流如下：①假設(shè)某訪問主體（例如公司員工）在訪問資源之前，已由正規(guī)程序錄入了身份管理模塊，該訪問主體先向認(rèn)證模塊發(fā)送認(rèn)證請求；②認(rèn)證模塊將認(rèn)證信息發(fā)送到身份模塊進(jìn)行校驗(yàn)；③校驗(yàn)通過后，身份模塊向訪問主體返回身份信息；④訪問主體攜帶身份信息訪問授權(quán)模塊；⑤授權(quán)模塊根據(jù)訪問控制策略和權(quán)限管理策略向訪問主體和網(wǎng)關(guān)設(shè)備分配特定的角色和訪問權(quán)限；⑥訪問主體實(shí)施對特定資源的授權(quán)訪問。

相較于傳統(tǒng)的系統(tǒng)孤島、單一口令認(rèn)證形式的認(rèn)證模式，IAM有以下方面的提升：①建立了一套以身份而非網(wǎng)絡(luò)位置為核心的訪問控制體系，為所有的對象（用戶、設(shè)備、程序）賦予了數(shù)字身份，其信任關(guān)系基于每一次連接，而非網(wǎng)絡(luò)位置（例如傳統(tǒng)的內(nèi)網(wǎng)）；② IAM幫助組織實(shí)施了高度有效的身份管理，構(gòu)建了一套統(tǒng)一的身份管理系統(tǒng)，并利用SSO單點(diǎn)登錄技術(shù)打通了資源訪問路徑，使得傳統(tǒng)孤立系統(tǒng)、數(shù)據(jù)庫、賬戶造成的攻擊面擴(kuò)大的風(fēng)險消失；③IAM提供了一套動態(tài)可持續(xù)的驗(yàn)證管理，對資源的訪問權(quán)限由動態(tài)策略決定，所有資源的身份認(rèn)證和授權(quán)均是動態(tài)的。同時，IAM使用MFA提升了用戶憑據(jù)的安全防護(hù)等級，抵御通過盜用口令的破壞者的企圖，降低了口令被盜、釣魚攻擊為組織帶來的風(fēng)險。

零信任強(qiáng)調(diào)以身份為中心進(jìn)行動態(tài)訪問控制，而IAM正是身份數(shù)字化的前提。因此，IAM是實(shí)現(xiàn)零信任架構(gòu)的基石[13]。

3 結(jié)束語

零信任是一種全新的網(wǎng)絡(luò)安全理念，相比傳統(tǒng)的網(wǎng)絡(luò)安全理念，它重點(diǎn)強(qiáng)調(diào)對人和資源的保護(hù)。隨著各類云技術(shù)的快速發(fā)展以及快速增長的遠(yuǎn)程辦公需求，現(xiàn)有的網(wǎng)絡(luò)邊界日益模糊化，傳統(tǒng)安全防護(hù)理念已無法應(yīng)對愈發(fā)先進(jìn)和大規(guī)模的網(wǎng)絡(luò)攻擊。零信任作為新一代的網(wǎng)絡(luò)安全理念，充滿了光明的前景。該文對零信任的相關(guān)概念和架構(gòu)進(jìn)行了介紹，深入綜述了目前主流的三種零信任技術(shù)路線，并分析了其核心技術(shù)和優(yōu)勢。與零信任相關(guān)的綜述工作旨在為國內(nèi)的相關(guān)企業(yè)以及安全廠商提供一定的指導(dǎo)作用，加速零信任產(chǎn)品和框架在國內(nèi)的落地進(jìn)程。