藺旭冉，毛天宇

(中核核信信息技術(shù)(北京)有限公司，北京 100048)

隨著移動互聯(lián)、云計算、大數(shù)據(jù)和人工智能等新興信息技術(shù)的快速發(fā)展和應(yīng)用，各級企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施規(guī)模和復(fù)雜程度大幅提高，靈活動態(tài)和更大范圍的業(yè)務(wù)數(shù)據(jù)訪問需求持續(xù)增加，網(wǎng)絡(luò)邊界不斷模糊。原有通過防火墻、VPN、IDS等設(shè)備進行防護、基于邊界實現(xiàn)內(nèi)外網(wǎng)隔離的傳統(tǒng)靜態(tài)安全架構(gòu)局限性日益凸顯，越來越難以滿足業(yè)務(wù)動態(tài)發(fā)展的安全需求和合規(guī)性監(jiān)管要求，企業(yè)網(wǎng)絡(luò)安全防護和管控能力建設(shè)面臨新的挑戰(zhàn)。

業(yè)務(wù)需求和新技術(shù)應(yīng)用驅(qū)動安全架構(gòu)發(fā)展，零信任(Zero Trust，ZT)技術(shù)應(yīng)運而生。零信任對傳統(tǒng)邊界安全架構(gòu)思想進行重新評估和審視，其核心思想是在默認情況下不應(yīng)信任網(wǎng)絡(luò)內(nèi)部或外部的任何人/設(shè)備/系統(tǒng)，基于認證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。2010年，約翰·金德維格(John Kindervag)正式提出零信任的核心概念：

1)資源的安全訪問與位置無關(guān)。

2)遵循最小權(quán)限原則并強制實施訪問控制。

3)檢核記錄所有流量。

在此基礎(chǔ)上，Google和微軟分別于2017年和2018年進一步研究并建立了零信任體系和模型。其中Google Beyond Corp項目歷時六年多時間，擯棄特權(quán)網(wǎng)絡(luò)概念重構(gòu)了網(wǎng)絡(luò)安全架構(gòu)，逐步建立了所有訪問授權(quán)與位置無關(guān)，均依賴用戶和設(shè)備憑證，并能夠針對不同資源進行細粒度訪問控制的零信任安全體系。

零信任是一組架構(gòu)理念和原則，沒有明確對應(yīng)專有技術(shù)產(chǎn)品，需要緊密融合企業(yè)自身業(yè)務(wù)安全需求，結(jié)合網(wǎng)絡(luò)現(xiàn)狀進行全面規(guī)劃設(shè)計和分步改造遷移。盡管已經(jīng)過多年的研究實踐，也不乏成功案例支撐，但零信任架構(gòu)實際建設(shè)和落地場景仍在少數(shù)，尤其是國內(nèi)大部分企業(yè)仍以傳統(tǒng)的邊界防護架構(gòu)為主。隨著當前內(nèi)外部網(wǎng)絡(luò)安全威脅持續(xù)加劇，一方面企業(yè)對大范圍移動互聯(lián)和大數(shù)據(jù)中心等新業(yè)務(wù)場景的安全需求快速增加；另一方面包括身份認證和安全檢測等企業(yè)自身安全防護體系建設(shè)已相對完善，基礎(chǔ)能力逐步具備條件；同時，相關(guān)安全解決方案和實踐經(jīng)驗不斷增加，零信任的整體實施推廣和應(yīng)用的技術(shù)基礎(chǔ)也逐漸具備起來。因此，本文對零信任架構(gòu)進行了基礎(chǔ)技術(shù)研究分析和應(yīng)用實踐探討，為各企業(yè)進一步熟悉了解零信任，加快開展實踐和落地工作提供幫助。

1 技術(shù)研究

1.1 基本原則

零信任提供了一組概念和設(shè)計思想，旨在減少在信息系統(tǒng)和服務(wù)中實施快速、準確訪問決策的不確定性，其理念構(gòu)成的基本原則如下：

1)所有數(shù)據(jù)源和計算服務(wù)都被視為資源。包括企業(yè)終端、網(wǎng)絡(luò)、存儲、服務(wù)器等在內(nèi)的所有處理、傳輸和存儲數(shù)據(jù)的設(shè)備及相關(guān)功能部件都應(yīng)納入資源管理。

2)無論網(wǎng)絡(luò)位置如何，所有通信都應(yīng)該是安全的。信任與位置無關(guān)，所有訪問請求都必須滿足相同的安全策略，都應(yīng)以最安全的方式進行。

3)對單個企業(yè)資源的訪問是在每個會話的基礎(chǔ)上授予的。

4)對資源的訪問由動態(tài)策略決定，包括客戶端標識、應(yīng)用程序和請求資產(chǎn)的可見狀態(tài)，以及其他行為屬性。

5)企業(yè)確保所擁有的資產(chǎn)和相關(guān)的設(shè)備均處于最安全的狀態(tài)，并持續(xù)監(jiān)控以確保處于最安全狀態(tài)?？山⒁粋€持續(xù)診斷和監(jiān)控軟硬件資產(chǎn)設(shè)備安全狀態(tài)的技術(shù)平臺，并根據(jù)需要應(yīng)用補丁/修復(fù)程序。

6)所有資源的身份驗證和授權(quán)都是動態(tài)的，并且在允許訪問之前必須嚴格執(zhí)行。應(yīng)實現(xiàn)驗證授權(quán)前置，在整個用戶交互過程中不斷重新進行身份驗證和授權(quán)的動態(tài)監(jiān)控。

7)企業(yè)盡可能多地收集網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信系統(tǒng)當前的狀態(tài)信息，以提升其網(wǎng)絡(luò)安全狀況。

1.2 技術(shù)架構(gòu)

零信任架構(gòu)(ZTA)是利用零信任概念建立的網(wǎng)絡(luò)安全計劃，包含組件關(guān)系、工作流程規(guī)劃和訪問策略等內(nèi)容。技術(shù)本質(zhì)是構(gòu)建以身份為基石的業(yè)務(wù)動態(tài)可信訪問控制機制，其訪問主體包括所有人員用戶、設(shè)備和應(yīng)用程序(見圖1)。

圖1 零信任架構(gòu)Fig.1 Zero trust architecture

零信任架構(gòu)的核心邏輯組件負責實現(xiàn)安全策略管理、動態(tài)信任評估和最終訪問授權(quán)控制，一般包括策略引擎、策略管理器和策略執(zhí)行點：

1)策略引擎(PE)：通過獲取多方數(shù)據(jù)來最終決定是否允許指定的主體可以對資源進行訪問。數(shù)據(jù)源通過持續(xù)診斷和緩解系統(tǒng)、威脅情報系統(tǒng)、數(shù)據(jù)訪問策略、PKI系統(tǒng)、用戶身份管理系統(tǒng)和日志收集系統(tǒng)等輔助系統(tǒng)提供，結(jié)合策略引擎的信任算法計算信任評分，實現(xiàn)數(shù)據(jù)資源的最終授權(quán)或拒絕訪問。其中針對用戶行為的信任評估需要應(yīng)用機器學(xué)習(xí)算法，實現(xiàn)動態(tài)和自動化的準確計算。

2)策略管理器(PA)：建立或關(guān)閉主體與資源之間的連接，生成終端用來訪問資源的任何身份驗證，令牌或憑據(jù)。策略管理器與策略引擎緊密相關(guān)，依賴于策略引擎決定最終允許還是拒絕連接。

3)策略執(zhí)行點(PEP)：啟用、監(jiān)視并最終執(zhí)行主體與企業(yè)資源之間的連接控制?？梢苑譃榻K端側(cè)和資源側(cè)兩個不同的代理組件，通過可信代理網(wǎng)關(guān)組件實現(xiàn)接入訪問控制。

基于網(wǎng)絡(luò)默認不可信的基本理念，零信任架構(gòu)通過對所有訪問主體進行強認證來建立信任關(guān)系，包括用戶應(yīng)用身份認證授權(quán)和設(shè)備的接入認證，依托核心邏輯組件針對每一個主體訪問的每一個客體，建立一對一封閉的安全隧道，實現(xiàn)端對端的網(wǎng)絡(luò)訪問流量均經(jīng)過認證、授權(quán)和加密，建立動態(tài)可信的安全訪問平臺。

1.3 核心技術(shù)

零信任架構(gòu)真正落地需要通過相關(guān)安全組件和平臺工具實現(xiàn)核心技術(shù)支持，主要包括軟件定義邊界(SDP)、身份權(quán)限管理(IAM)和微隔離(MSG)。

(1)SDP

SDP允許應(yīng)用程序所有者能夠在需要時部署安全邊界，以“應(yīng)用訪問安全”為基本原則，實現(xiàn)單次動態(tài)的最小訪問權(quán)限生成。為保障應(yīng)用側(cè)的訪問安全，零信任SDP要求用戶通過統(tǒng)一入口來訪問應(yīng)用，通過SPA協(xié)議強制執(zhí)行“連接前授權(quán)和驗證”，實現(xiàn)設(shè)備或用戶的身份在網(wǎng)絡(luò)訪問PEP之前前置驗證，最大限度減小非授權(quán)網(wǎng)絡(luò)攻擊。

(2)IAM

身份管理技術(shù)在企業(yè)現(xiàn)有安全架構(gòu)廣泛應(yīng)用，為所有用戶,應(yīng)用程序和數(shù)據(jù)啟用并保護數(shù)字身份。通過定義客體對哪些主體具有哪種訪問權(quán)限來管理訪問權(quán)限控制，是零信任安全架構(gòu)的核心基礎(chǔ)。

當需要進行資源的訪問權(quán)限時，零信任架構(gòu)以身份為中心，按需配置任意粒度的權(quán)限和身份載體，不必再共享訪問密鑰，從而做到對接入客體的全方位統(tǒng)一管控，構(gòu)筑端到端的邏輯身份邊界。

(3)MSG

微隔離技術(shù)通過數(shù)據(jù)中心和云平臺部署中創(chuàng)建安全區(qū)域，可以將數(shù)據(jù)中心在邏輯上劃分為各個工作負載級別的不同安全段,定義安全控制并為每個唯一段提供服務(wù)。

1.4 技術(shù)分析

傳統(tǒng)的邊界防護架構(gòu)假定內(nèi)部網(wǎng)絡(luò)在一定程度上可信，通過識別和控制用戶身份、IP地址或物理位置等相對單一因素，配置靜態(tài)安全策略防護目標資源。零信任架構(gòu)假定整個網(wǎng)絡(luò)不可信，通過綜合評估用戶、設(shè)備和應(yīng)用信任等級，結(jié)合靜態(tài)策略動態(tài)評估細粒度的控制數(shù)據(jù)資源訪問，提升整體安全防護能力。

以邊界防護架構(gòu)典型的VPN接入方式為例，綜合零信任架構(gòu)和核心技術(shù)優(yōu)勢，技術(shù)分析情況如表1所示：

表1 VPN接入方式技術(shù)分析Table 1 The technological analysis of VPN

邊界防護架構(gòu)對于網(wǎng)絡(luò)訪問行為的認證授權(quán)和加密防護能力僅能到達邊界設(shè)備，缺乏全局性防護和安全策略的強制動態(tài)執(zhí)行。零信任架構(gòu)把安全防護能力貫徹到整個網(wǎng)絡(luò)內(nèi)，滿足大范圍、復(fù)雜和敏感的業(yè)務(wù)應(yīng)用安全訪問需求，把安全控制提升到了更高的水平。

2 應(yīng)用場景

隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進，數(shù)據(jù)已經(jīng)成為企業(yè)最為核心的資產(chǎn)。為了支撐日益復(fù)雜的大數(shù)據(jù)業(yè)務(wù)需求，將多機構(gòu)、多業(yè)務(wù)、多平臺的數(shù)據(jù)匯聚融合統(tǒng)一管理和共享的企業(yè)大數(shù)據(jù)中心成為零信任架構(gòu)的主要應(yīng)用場景，以打破業(yè)務(wù)線和地域之間的網(wǎng)絡(luò)隔離，實現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全可信、高質(zhì)量、低成本的接入和使用。

2.1 場景需求分析

基于云計算與大數(shù)據(jù)技術(shù)的大數(shù)據(jù)中心已廣泛建設(shè)和應(yīng)用，作為大部分企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)支撐平臺，尤其是大規(guī)模集團性企業(yè)或提供技術(shù)資源服務(wù)型平臺，訪問請求可能由內(nèi)外部各級人員的各類終端設(shè)備隨時隨地發(fā)起，面臨更復(fù)雜的安全風險和管控需求。

(1)數(shù)據(jù)的大規(guī)模匯聚和集中帶來安全風險的集中，外部網(wǎng)絡(luò)安全攻擊力度和頻度可能大幅提升，由于業(yè)務(wù)訪問權(quán)限復(fù)雜多變也可能導(dǎo)致內(nèi)部非授權(quán)數(shù)據(jù)被泄露甚至竊取的風險增大，需要將用戶、設(shè)備和應(yīng)用程序等主體進行多維度和精細化識別認證，確保每一項接入訪問行為安全可信。

(2)現(xiàn)有傳統(tǒng)的網(wǎng)絡(luò)接入和邊界防御存在單一防護點安全防護強度不足的問題，面對大數(shù)據(jù)共享和大量靈活的用戶接入的需求，例如VPN網(wǎng)關(guān)和網(wǎng)閘擺渡等方式，容易被高風險漏洞利用等方式攻破導(dǎo)致系統(tǒng)設(shè)備被大范圍攻破和數(shù)據(jù)泄露。需要對訪問控制層面進行整合強化，將安全防護能力貫徹到整個網(wǎng)絡(luò)內(nèi)，降低網(wǎng)絡(luò)邊界設(shè)備或關(guān)鍵節(jié)點的安全防護壓力。

(3)移動訪問大量增加和訪問設(shè)備方式的靈活多變將帶來多種新的威脅和風險，靜態(tài)訪問控制和授權(quán)模式將難以滿足實時的訪問權(quán)限最小化原則。需要建立綜合安全威脅監(jiān)測、戶行為分析和設(shè)備安全狀態(tài)等信息的動態(tài)評估和授權(quán)機制，在不影響業(yè)務(wù)效率的前提下，確保資源訪問權(quán)限安全可控，應(yīng)對大數(shù)據(jù)的動態(tài)流動風險。

2.2 安全架構(gòu)設(shè)計

根據(jù)應(yīng)用場景的安全風險和需求分析，可基于零信任理念設(shè)計終端到服務(wù)端交互的整體安全框架，以身份為中心建立持續(xù)信任評估和動態(tài)訪問控制核心能力，有效抵御內(nèi)外部安全威脅(見圖2)。

圖2 安全架構(gòu)設(shè)計Fig.2 Security architecture and design

在該場景下應(yīng)首先確保所有訪問主體的終端設(shè)備安全可信。所有終端設(shè)備用戶發(fā)起的訪問請求都由可信代理網(wǎng)關(guān)接管，通過可信訪問控制平臺聯(lián)動信任分析評估系統(tǒng)對用戶身份進行強認證和細粒度授權(quán)。信任分析評估系統(tǒng)通過收集環(huán)境感知、可信訪問代理、身份管理等系統(tǒng)傳遞的安全日志或流量信息結(jié)合靜態(tài)訪問控制列表進行動態(tài)評判，實現(xiàn)對所有訪問行為的認證、加密和授權(quán)。

(1)全面識別所有訪問設(shè)備，實現(xiàn)安全受控和動態(tài)評估

所有設(shè)備均需被識別和跟蹤，包括移動設(shè)備、虛擬機和容器等，可通過建立設(shè)備數(shù)據(jù)庫或利用已有的配置管理庫(CMDB)對設(shè)備詳細信息和生命周期內(nèi)變更進行記錄和監(jiān)控，并對受控設(shè)備配發(fā)唯一標識。設(shè)備的標識和認證可通過X.509證書結(jié)合TPM綁定和存儲實現(xiàn)。同時可在各類終端設(shè)備中部署可信環(huán)境感知Agent，持續(xù)采集終端環(huán)境安全狀態(tài)，作為可信評估的重要輸入實時傳遞至可信環(huán)境感知系統(tǒng)。

(2)實現(xiàn)用戶安全身份認證和權(quán)限管理

可首先利用已有4A、IAM、AD/LDAP、PKI等身份及權(quán)限管理基礎(chǔ)平臺進行應(yīng)用程序/用戶身份權(quán)限的全生命周期管理，聯(lián)動信任分析評估系統(tǒng)和訪問控制平臺實現(xiàn)對用戶身份評估認證和授權(quán)。后續(xù)再根據(jù)業(yè)務(wù)需求進行身份管理機制的優(yōu)化整合，打造集中化的身份管理平臺，對人員、設(shè)備和應(yīng)用程序提供多維度綜合管控，實現(xiàn)身份歸一化管理。

(3)前置可信訪問代理，構(gòu)建動態(tài)可信的訪問控制機制

開放式前置部署可信訪問代理，允許所有來自互聯(lián)網(wǎng)的設(shè)備和用戶訪問?？尚旁L問代理基于每一項應(yīng)用進行安全訪問配置，實現(xiàn)訪問流量數(shù)據(jù)的加密處理，可以綜合單點登錄、復(fù)雜均衡和行為審計等通用特性?？尚旁L問代理自身無法對安全策略和權(quán)限進行管理，與控制平臺分離，僅作為策略執(zhí)行點建立安全通道，并通過SDP技術(shù)實現(xiàn)前置驗證，進一步降低自身安全風險。

結(jié)合業(yè)務(wù)應(yīng)用架構(gòu)和安全防護等級，也可以構(gòu)建應(yīng)用及數(shù)據(jù)接口的安全訪問控制點，使用API可信代理對應(yīng)用前置與接口數(shù)據(jù)之間的API調(diào)用進行安全接入認證和強制訪問控制，進一步提升整體安全防護能力。

(4)構(gòu)建持續(xù)的風險感知和信任評估能力

以可信訪問控制平臺聯(lián)動信任分析評估系統(tǒng)為核心實現(xiàn)動態(tài)、集中和自動化的訪問控制管理能力，建立訪問控制策略、應(yīng)用接口服務(wù)和用戶認證授權(quán)的統(tǒng)一和集中管理，關(guān)聯(lián)環(huán)境風險和訪問行為匯聚分析，具備全面審計功能。

信任分析評估系統(tǒng)可同時使用靜態(tài)規(guī)則，并收集主體、客體和環(huán)境分風險感知信息，接收其他組建平臺日志，利用數(shù)據(jù)分析和機器學(xué)習(xí)算法，構(gòu)建信任評估模型，進行用戶行為進行綜合風險關(guān)聯(lián)判定，為動態(tài)訪問控制提供信任等級評估。環(huán)境感知系統(tǒng)可以整合或利用已有終端、網(wǎng)絡(luò)和應(yīng)用安全防護產(chǎn)品功能組件，如防病毒、主機防護、網(wǎng)絡(luò)準入、威脅情報等，對設(shè)備運行和網(wǎng)絡(luò)環(huán)境進行驗證評估。

大數(shù)據(jù)中心應(yīng)用場景的零信任架構(gòu)實現(xiàn)需要全面評估信息系統(tǒng)現(xiàn)狀，充分利用原有技術(shù)防護措施，權(quán)衡選擇安全組件和實施策略，分區(qū)域分階段逐步實現(xiàn)新框架落地和業(yè)務(wù)遷移。

3 實施路徑

零信任概念和框架從提出到落地已近10年，實踐經(jīng)驗相對豐富已進入快速落地的階段，但由于其架構(gòu)龐大且復(fù)雜，實施落地仍然非常困難，需要長建設(shè)周期和高成本投入。因此，企業(yè)應(yīng)按照規(guī)劃先行、新建業(yè)務(wù)優(yōu)先的基本思路，結(jié)合自身業(yè)務(wù)現(xiàn)狀，分階段分步穩(wěn)定推進，逐步完成改造遷移。根據(jù)企業(yè)大數(shù)據(jù)中心業(yè)務(wù)場景實現(xiàn)的初步探討，參考業(yè)界最佳實踐，思考和提出以下實施路徑建議。

(1)選擇業(yè)務(wù)切入點

考慮選擇集中化的遠程辦公作為快速切入點。針對遠程辦公、遠程開發(fā)、遠程測試、遠程業(yè)務(wù)開展等快速增長的業(yè)務(wù)需求，目前以VPN為主的安全架構(gòu)難以滿足大規(guī)模全方面業(yè)務(wù)訪問的安全需求，可通過零信任體系實現(xiàn)訪問主體信任等級的持續(xù)評估和動態(tài)調(diào)整，帶動整體安全架構(gòu)落地。

(2)界定保護范圍，梳理核心資產(chǎn)

開展數(shù)據(jù)分類分級梳理的基礎(chǔ)上，首要明確核心業(yè)務(wù)系統(tǒng)并梳理核信資產(chǎn)，將所有接入網(wǎng)絡(luò)設(shè)備均納入資產(chǎn)管理，全面梳理主體到客體的訪問路徑、暴露面和保護面。

(3)深度介入業(yè)務(wù)流轉(zhuǎn)，梳理相關(guān)各訪問路徑的主體身份和權(quán)限

針對各種訪問路徑，枚舉分析網(wǎng)絡(luò)流量，梳理通過此訪問路徑對業(yè)務(wù)和數(shù)據(jù)發(fā)起訪問的主體是什么，明確哪些人、設(shè)備、應(yīng)用可能訪問此業(yè)務(wù)和數(shù)據(jù)，并進一步明確應(yīng)該賦予的訪問權(quán)限。

(4)評估環(huán)境風險并制定安全策略，逐步搭建零信任環(huán)境

先以終端環(huán)境風險評估作為基礎(chǔ)訪問控制依據(jù)，針對用戶訪問大數(shù)據(jù)中心的應(yīng)用、外部應(yīng)用或應(yīng)用前置訪問大數(shù)據(jù)中心的服務(wù)API接口、外部數(shù)據(jù)平臺通過API接口和大數(shù)據(jù)中心進行數(shù)據(jù)交換等場景設(shè)計訪問控制點。通過可信代理結(jié)合訪問控制中心，分段建立用戶動態(tài)多因素身份認證和接入設(shè)備安全狀態(tài)評估能力。同時，可針對數(shù)據(jù)安全泄露風險應(yīng)部署聯(lián)動的安全審計和防泄漏工具，建立追蹤溯源能力。

(5)建立持續(xù)完善和維護機制

基于零信任技術(shù)環(huán)境相關(guān)邏輯組件和平臺工具，實時采集包括安全日志、用戶行為、資產(chǎn)信息等各種動態(tài)數(shù)據(jù)，進行縱深安全分析，不斷調(diào)整信任狀況，盡可能實現(xiàn)自動化管控，執(zhí)行持續(xù)防御和動態(tài)訪問控制，保障安全體系有效運行并不斷完善安全防護體系。

4 結(jié)束語

零信任技術(shù)正在快速推動網(wǎng)絡(luò)安全技術(shù)的發(fā)展和變革，能夠真正實現(xiàn)安全和業(yè)務(wù)的聚合并形成內(nèi)生安全。核電行業(yè)網(wǎng)絡(luò)信息系統(tǒng)規(guī)模大結(jié)構(gòu)復(fù)雜，結(jié)合云平臺、大數(shù)據(jù)應(yīng)用及物聯(lián)網(wǎng)等新技術(shù)的快速推廣和應(yīng)用，可以通過零信任架構(gòu)的落地實施改進和完善安全防控體系，滿足集中化和高度敏感數(shù)據(jù)資源的安全可控訪問需求，全面提升網(wǎng)絡(luò)安全防護水平。

本文研究分析了零信任體系架構(gòu)和核心技術(shù)，對大數(shù)據(jù)中心的典型應(yīng)用場景進行了初步探討并提出實施路徑建議，可為核行業(yè)企業(yè)后續(xù)加快啟動和落地零信任工作技術(shù)提供參考和支撐。