基于零信任的安全架构

引用本文：曾玲，刘星江.基于零信任的安全架构[J].通信技术，2020，53（07）：1750-1754.

ZENG Ling,LIU Xing-jiang.Security Architecture Based on Zero Trust[J].Communications Technology,2020,53(07):1750-1754.

摘　要：随着高级威胁和内部风险的日益增强，云计算、大数据、移动互联的飞速发展，远程办公、异地分支的大量应用，网络边界越来越模糊，传统的网络安全架构已难以满足安全新需求。零信任网络打破了传统的认证即信任、边界防护、静态访问控制，以网络为中心等思维，建立起一套以资源为中心，以识别、认证、动态访问控制、授权、审计以及监测为链条，以最小化实时授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。

关键词：边界防护；传统网络；零信任；动态访问；最小化授权

内容目录：

0　引　言

1　概　念

2　传统网络架构

3　零信任网络安全架构

3.1　架构模型

3.2　信任评估算法

3.3　核心思想

3.3.1　怀疑一切

3.3.2　核心保护对象为资源
3.3.3　精细化、最小化授权

3.3.4　持续验证每个访问请求的可信性

3.4　特　点

3.4.1　由网络中心化向身份中心化转变

3.4.2　安全防护层面由网络防护向应用防护转变
3.4.3　无边界化

3.4.4　认证控制向末端延伸

3.4.5　向细粒化方向发展

3.4.6　向泛在化方向发展

3.4.7　授权时机由门槛式授权向动态授权发展

4　结　语

00

引 言

零信任网络（亦称零信任架构）概念最早是John Kindervag（约翰·金德维格）于2010年提出的，开始几年并未得到广泛关注。随着高级威胁和内部风险层出不穷，云计算、大数据、移动互联网的飞速发展，远程办公、企业异地分支等的大量应用，网络边界的物理界限越来越模糊。另外，传统网络的安全短板日益明显。2017年9月，美国发生了史上最大的用户数据泄露事件——Equifax数据泄露事件，造成美国1.43亿人的个人信息泄露。美国最大的移动运营商Verizon报告分析指出，81%的黑客成功利用偷来的口令或者弱口令，可轻而易举地获得数据的访问权限，成功窃取数据。根据《2018 Insider Threat Report》显示，内部威胁是造成数据泄露的第二大原因。零信任网络的内生驱动力持续加强。

谷歌在2011年启动BeyondCorp计划，于2017年成功完成，为零信任在大型、新型网络的实践提供了参考架构。在BeyondCorp计划中，访问只依赖于设备和用户凭证，而与用户所处的网络位置无关。美国网络安全厂商PaloAlto利用其下一代防火墙产品，实现了零信任网络架构。另一家美国网络安全厂商Cyxtera提出了AppGateSDP方案，实现了CSA的SDP架构。其他网络安全和IT厂商，如Symantec、Cisco、VMWare等，相继推出了自己的零信任产品或架构。随着各大厂商的进入与推进，零信任在业界持续升温，在RSAC 2019年展会达到高潮。

01

概 念

零信任网络是在不依赖网络传输层物理安全机制的前提下，有效保护网络通信和业务访问。

零信任，顾名思义，即对任何事务均建立在不信任的基础之上。中心思想是不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入系统的人/事/物进行验证。

零信任网络不是完全摒弃已有的安全技术另起炉灶。传统网络中的安全技术，如身份认证、访问控制等依然可用，只是将认证与控制的大门从“小区大门”移到了各户的“家门”。

零信任模型基本上打破了旧式边界防护思维。旧有思维专注防御边界，假定已经在边界内的任何事物都不会造成威胁，因而边界内部事物基本畅通无阻，全都拥有访问权限。它要企业根据用户、用户所处位置和其他数据等条件，利用微隔离和细粒度边界规则来确定是否信任请求企业特定范围访问权的用户/主机/应用。传统模式下是以系统为中心的安全，在零信任网络下是以资源为中心的安全。把安全聚焦在资源本身，围绕着资源的全生命周期建设部署安全。

02

传统网络架构

传统网络一般在网络边界上设置隔离认证区进行认证与控制。而零信任网络没有围墙和大门的概念，将门从单位围墙处移到了办公室，甚至每一个办公桌小间。

一个存在内、外网互联需求的传统网络，建立基于网络位置的可信控制模型，将网络划分为内部网络和外部网络。一般认为内部网络是可信的，外部网络是不可信的。内部网络可以根据业务系统的需要划分为若干个在物理或逻辑上相隔离的子网络。子网络内用户间的通信是自由的。为维护内部网络安全，内外网之间通过边界隔离设备进行连接可控通信。边界防护如单位大门一样，访客在单位大门口的接待区办理完手续后即可进入，在单位内部可随心所欲溜达。传统网络存在信任过度问题，面对从内部网络发起的内部攻击毫无招架之力。即使攻击来自于外部，只要穿过边界防护这道大门，在内部网络可以肆意穿梭。

传统网络架构，如图1所示。

图1　传统网络架构

03

零信任网络安全架构

3.1　架构模型

零信任网络在任何一个用户，任何一台设备，发起的任何一次连接，申请的任何一次服务，在通过认证策略判决前均认为是不可信的。它的认证不再是一站式服务，而是细化到了一事一论。零信任网络逻辑如图2所示。

图2　零信任网络逻辑

零信任网络逻辑体系由策略判决、策略执行、监测系统、风险分析系统、数据访问策略、身份管理系统、设备管理系统、安全管理系统以及证书系统等组成。

在零信任网络中，主体对客体的访问服务请求是否通过，由策略判决模块完成，并将判决结果告知策略执行模块，由策略执行模块决定访问通道是否打开或关闭。策略判决模块可分为策略引擎和策略管理两部分。策略引擎负责通过信任算法进行信任评分。

监测系统。监测系统主要监测、收集网络自身的状态信息，包括操作系统和应用程序版本、补丁安装情况以及系统是否存在已知漏洞等。监测系统将收集的上述信息提供给策略引擎，作为信任评分函数的输入参数。

风险分析系统。风险分析系统主要是搜集和分析来自于网络外部的风险信息，并将分析结果提供给策略引擎作为信任评分函数的输入。它包括新发现的攻击或漏洞、DNS黑名单以及发现的恶意软件等。

数据访问策略。它是根据资源属性而创建的一组关于数据访问的属性和规则组合。该策略根据组织任务需求而建立，为网络中的用户、设备以及应用程序提供基本的访问特权。这是资源访问权限的基点，而不是全部。

证书系统。证书系统负责为用户、设备、应用程序等产生并颁发证书，形成记录。

身份管理系统。身份管理系统负责创建、存储和管理用户账户和身份信息。该系统包含姓名、身份证书、Email地址、岗位、角色以及访问属性等用户信息。

安全管理系统。安全管理系统汇总系统日志、网络流量、资源授权等进行系统安全态势分析，可依据分析进行策略优化，或警告可能对网络进行的主动攻击。零信任将安全的自动化置于“安全运维”的中心地位。

3.2　信任评估算法

信任评估算法是零信任网络的大脑，维护整个零信任网络的正常运转。信任算法的输入包括用户信息、设备状态、访问信息、行为属性、访问策略以及外部威胁情报等。用户信息包括用户ID、用户凭证、用户属性和角色等。设备信息包括设备ID号、设备所处位置等。设备状态包括已安装的操作系统及应用软件版本、补丁修补情况和网络位置等。访问信息包括待访问资源的属性、类别和级别等。行为属性包括用户访问业务的行为、操作习惯、访问时间、设备分析、来源IP地址、来源地理位置、访问频度以及使用模式偏差等。外部威胁情报包括监测到的恶意攻击、已知漏洞等。信任评估算法模型，如图3所示。

图3　信任评估算法模型

进行信任评估时，采集当前的用户信息、设备状态、访问信息以及行为属性，与存储在策略引擎中的相应基准值进行比较，计算其偏差，将上述偏差值汇总风险分析系统分析所得的风险，结合所要访问资源的属性进行最终的判断。基准值可以动态调整。

3.3　核心思想

3.3.1　怀疑一切

不再以网络边界为限，将内部网络定义为可信任的。无论是远程来自于企业网络之外的用户还是近端来自于企业网络内部的用户，无论是企业配置的专用设备还是个人私有设备，在建立连接前均需进行认证授权。不再认为一个合法用户、合法设备的访问是永远合法的。原有的基于系统的物理或网络位置而存在的隐式信任尽量缩小或消除。认证和授权是零信任体制下的两个基本领域。零信任网络对资源的访问授权一事一议按需受理，不再横向关联。

3.3.2　核心保护对象为资源

随着移动办公需求的日益加强，随着企业基础设施云端化的发展，企业内部网络的界面越来越模糊，零信任网络将对网络边界的保护转变为对企业所拥有的所有资源的保护，保护重点是资源的访问限制，确定哪些资源可以被哪些用户访问。资源包括数据库中存储的数据、打印机打印以及部署于云端的计算资源、存储资源等。

3.3.3　精细化、最小化授权

最小权限原则是零信任倚赖的监管策略之一，也就是只赋予用户完成特定工作所需的最小访问权限，实施精确访问决策。在认证与授权过程中，从参与者（包括用户、设备、应用程序）到数据的每个流均进行身份验证和授权，并以动态和细粒度的方式持续分析和评估访问请求。

3.3.4　持续验证每个访问请求的可信性

主体对客体的访问控制不是门槛式静态部署配置，而是基于外在风险，结合用户的历史行为等进行动态评估，根据评估结果进行访问策略的动态调整。

零信任网络下，信任体系的建立包括用户的可信、设备的可信和应用的可信。用户、设备和应用在访问资源前，需要通过身份管理系统进行身份鉴别。用户的可信建立在对用户进行认证的基础上。用户提供动态口令、人脸识别、指纹识别以及认证令牌等方式进行身份鉴别，结合用户行为、地理位置、访问时间等进行风险分析与判断，并实时做出调整。

3.4　特　点

3.4.1　由网络中心化向身份中心化转变

零信任网络引导安全体系架构从网络中心化走向身份中心化，本质诉求是以身份为中心进行细粒度的、自适应的、对资源的访问控制。

3.4.2　安全防护层面由网络防护向应用防护转变

安全防护层面由网络防护向应用防护转变。零信任网络认为网络是不可信的，因此不再在网络层面增强防护措施应对风险，而是把防护措施建立在应用层面，针对服务应用进行认证、访问控制和加密保护。

3.4.3　无边界化

网络防御由关注广泛的网络边界转移到每一个或每一组资源，旨在消除网络内尤其是内部网络内横向移动的未经授权的访问操作。

3.4.4　认证控制向末端延伸

认证的边界由网络边界向用户、设备和应用延伸。

3.4.5　向细粒化方向发展

细化到每一个服务，每一个数据流。零信任是分布式信任的高度细粒化控制。

3.4.6　向泛在化方向发展

所有通信数据均加密，所有访问都审计，做到全程可视。

3.4.7　授权时机由门槛式授权向动态授权发展

在动态授权中，基于信任算法将设备和用户的多元数据作为输入进行计算，获得动态的信任度评估值，基于主体的评估值和客体的属性确定是否授权。

04

结 语

零信任网络必将成为网络安全流行框架之一，尤其是在云环境、远程办公等应用需求下。零信任网络打破了传统网络模式下的防护机制、管理模式，而非安全技术自身。机制的打破不是一蹴而就的，要面临着企业已有资产的再利用等问题。在很长一段时间内，零信任网络将与传统网络共同作战，结合零信任中管理风险的方法与身份认证、持续监测等技术，共同防护面临的威胁。在向零信任网络迁移时，需要根据现有设备的配置情况，对现有业务流程进行重新梳理和设计，最大化有效利用现有设备，增大已有资产的有效利用，减少资金再投入比例。

作者简介 >>>

曾玲（1975—），女，硕士，高级工程师，主要研究方向为保密通信；

刘星江（1984—），男，硕士，高级工程师，主要研究方向为保密通信。

选自《通信技术》2020年第七期（为便于排版，已省去原文参考文献）