姚旺

摘要：近兩年來，零信任（Zero Trust）在安全圈著實火熱。安全從業(yè)者需要理解“零信任”這個概念，零信任網(wǎng)絡(luò)的方案應(yīng)該包含哪些模塊，和傳統(tǒng)安全架構(gòu)的區(qū)別和優(yōu)勢。對于企業(yè)而言，要考慮如何成功實現(xiàn)零信任項目，如何在將來采用這一架構(gòu)做好準備。本文會從這些角度，討論零信任相關(guān)概念和零信任解決方案。

關(guān)鍵詞：零信任;安全網(wǎng)絡(luò)架構(gòu);云計算

一、零信任理念

零信任代表了新一代的網(wǎng)絡(luò)安全防護理念，它的關(guān)鍵在于打破默認的“信任”，用一句通俗的話來概括，就是“持續(xù)驗證，永不信任”。默認不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信?；诹阈湃卧瓌t，可以保障辦公系統(tǒng)的三個“安全”：終端安全、鏈路安全和訪問控制安全。

任何設(shè)備和用戶在訪問應(yīng)用前，先取得認證和授權(quán)才能訪問資源。與防火墻訪問控制不同。防火墻訪問控制規(guī)則，資源（應(yīng)用或者服務(wù)）是開放的，用戶先訪問資源，然后根據(jù)系統(tǒng)需要來認證和授權(quán)。此外，基于位置和IP地址的訪問控制策略，不足以確認訪問實體是否合法（比如被入侵的客戶端）。

零信任網(wǎng)絡(luò)不是簡單地依賴于“用戶名/密碼”來控制訪問。理想的零信任模型，包含多個屬性的評估。設(shè)備的身份屬性，用戶身份，設(shè)備當(dāng)前安全性（比如重要補丁，關(guān)鍵注冊表項，用戶，程序，當(dāng)前進程等），這些訪問相關(guān)的上下文語境，構(gòu)成了信任的基礎(chǔ)。只有超過預(yù)設(shè)的信任等級，才能被授予訪問權(quán)限。

訪問初始的信任，不是一次性的，而是需要持續(xù)性地評估。這得益于UEBA（用戶和實體行為分析）技術(shù)的發(fā)展，持續(xù)對接入設(shè)備的行為分析，確保沒有惡意行為發(fā)生。一旦發(fā)現(xiàn)訪問實體的異常行為，比如掃描或者暴力破解，意味著信任等級的降低，零信任網(wǎng)絡(luò)可以切斷這種訪問，從而降低安全風(fēng)險。最小權(quán)限意味著設(shè)備或用戶獲得完成任務(wù)的最小權(quán)限。微隔離技術(shù)，根據(jù)服務(wù)和區(qū)域，將網(wǎng)絡(luò)切片隔離，避免攻擊的橫向擴展，常常應(yīng)用在零信任網(wǎng)絡(luò)中。

上面對零信任的理念作了解釋?？梢钥闯?，零信任并未引入新的技術(shù)。而且很多技術(shù)（比如認證、授權(quán)、設(shè)備安全，包括UEBA）企業(yè)或多或少都有部署。然而，將這些技術(shù)重新排列組合，卻是新穎的方式。

二、零信任網(wǎng)絡(luò)形式

零信任網(wǎng)絡(luò)是多個技術(shù)的組合，相關(guān)的組件和產(chǎn)品，既可以部署在企業(yè)側(cè)，也可以架構(gòu)在云端，實現(xiàn)方式亦有不同。

（一）本地部署和云端部署

1.本地部署

本地部署包含了設(shè)備身份、用戶身份、接入代理、訪問控制規(guī)則引擎等組件。零信任網(wǎng)絡(luò)借助這些組件的協(xié)作，判斷設(shè)備和用戶的身份、設(shè)備的安全性等，成功后根據(jù)用權(quán)限，訪問數(shù)據(jù)應(yīng)用。

2.云端部署

零信任網(wǎng)絡(luò)的云端部署，適用于訪問在云端數(shù)據(jù)中心應(yīng)用的場景。云端包含了安全接入、身份認證與管理、威脅防護等模塊。

（二）客戶端發(fā)起和服務(wù)端發(fā)起

基于零信任的網(wǎng)絡(luò)訪問控制，咨詢機構(gòu)Gartner將其分為客戶端發(fā)起和服務(wù)端發(fā)起兩種類型。

1.客戶端發(fā)起的零信任網(wǎng)絡(luò)

客戶發(fā)起，需要在客戶端上安全裝認證訪問的組件，比如客戶端軟件，基于BS架構(gòu)的應(yīng)用訪問，可以在瀏覽器上安裝插件。例如，CSA在2014年提出的SDP規(guī)范。

2.服務(wù)端發(fā)起的零信任網(wǎng)絡(luò)

服務(wù)端發(fā)起的零信任網(wǎng)絡(luò)，類似于上文提到的谷歌BeyondCorp案例。服務(wù)端發(fā)起的好處，在于客戶端可以不用安裝組件。

三、零信任網(wǎng)絡(luò)建設(shè)步驟

疫情催生大規(guī)模的遠程工作，讓網(wǎng)絡(luò)環(huán)境變得更復(fù)雜多變。在這樣混亂的網(wǎng)絡(luò)環(huán)境中，黑客最容易找到網(wǎng)絡(luò)漏洞，發(fā)生了多個勒索攻擊的事件，傳統(tǒng)的基于系統(tǒng)的安全防護部署已經(jīng)不能滿足當(dāng)前的要求。在這樣的背景下，零信任方法歷史性地成為了安全行業(yè)的新希望。

那么，組織應(yīng)該如何應(yīng)用“零信任”藍圖來解決其新的復(fù)雜網(wǎng)絡(luò)問題？

1.識別和分段數(shù)據(jù)

數(shù)據(jù)是實施“零信任”的最復(fù)雜領(lǐng)域之一，因為在實施該方法錢，組織需要確定哪些數(shù)據(jù)是敏感的。在嚴格監(jiān)管環(huán)境中運營的企業(yè)可能已經(jīng)知道敏感數(shù)據(jù)是什么，因為監(jiān)管機構(gòu)一直要求對此類數(shù)據(jù)進行監(jiān)管，因此將敏感數(shù)據(jù)的網(wǎng)段與數(shù)據(jù)中心服務(wù)器分離是有意義的。

2.映射敏感數(shù)據(jù)的流量并將其與業(yè)務(wù)應(yīng)用程序關(guān)聯(lián)

將敏感數(shù)據(jù)識別分段后，下一步就是知道數(shù)據(jù)的去向、用途以及應(yīng)用。如果您不了解有關(guān)您的數(shù)據(jù)的信息，則無法有效地保護它，使用正確的工具讓您可以了解需要允許哪些流程，這樣就可以進入“零信任”規(guī)則，判定“其他所有內(nèi)容都將不被允許”。

3.構(gòu)建網(wǎng)絡(luò)

在知道哪些流量被允許訪問后，組織就可以著手設(shè)計網(wǎng)絡(luò)體系結(jié)構(gòu)以及執(zhí)行網(wǎng)絡(luò)微邊界的過濾策略。組織可以將過濾策略放置在網(wǎng)絡(luò)中的任何位置，并可以在不同區(qū)域和段之間放置邊界，這是要實現(xiàn)的控制量與安全性之間的平衡。由于存在許多連接或微細分的孤島，因此您必須要考慮需要花費多少時間來設(shè)置和管理它們。

4.監(jiān)控

想要知道網(wǎng)絡(luò)是否存在問題的唯一方法是始終監(jiān)視整個基礎(chǔ)架構(gòu)上的流量。監(jiān)控除了可以檢驗我們的的數(shù)據(jù)是否合規(guī)，還可以監(jiān)視網(wǎng)絡(luò)以了解其中的所有流情況，并根據(jù)它們的意圖對其進行分析，這允許您在編寫策略規(guī)則之前查看哪些流是必要的。在這里，你可以從默認的“允許”策略到默認的“拒絕”策略或組織的“D-DAY”政策進行大的轉(zhuǎn)換。

5.自動化和協(xié)調(diào)

進入“D-DAY”的唯一途徑是借助策略引擎，這是整個網(wǎng)絡(luò)策略背后的中心“大腦”。由自動化流程啟用的策略引擎能夠?qū)⑷魏胃恼埱笈c您定義為合法業(yè)務(wù)連接要求的內(nèi)容進行比較，如果您必須使用各種不同的技術(shù)（有各自的復(fù)雜性和配置要求）將更改部署到潛在的數(shù)百個不同的執(zhí)行點中，沒有智能自動化系統(tǒng)，幾乎不可能完成此更改請求過程。

四、小結(jié)

零信任網(wǎng)絡(luò)是一個演進的網(wǎng)絡(luò)安全框架。零信任網(wǎng)絡(luò)解決方案，構(gòu)建在已有的安全技術(shù)能力之上，核心是基于信任的訪問。圍繞這個理念，零信任評估訪問的用戶、設(shè)備的安全性，并且在訪問周期內(nèi)持續(xù)評估，以此確保訪問始終是信任的。成熟且有效的零信任網(wǎng)絡(luò)能夠極大提高安全等級。

參考文獻

[1]羅慶俊，張艷軍，王陸瀟.基于物聯(lián)網(wǎng)的環(huán)境監(jiān)測綜合管理平臺設(shè)計[J].四川環(huán)境，2016，35（ 6） ： 82-86.