吳倩琳 孔 松 韓 非

中國信息通信研究院 北京 100191

引言

近年來，云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)與實(shí)體經(jīng)濟(jì)加速融合，產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型迎來發(fā)展新浪潮。數(shù)字化在為企業(yè)提質(zhì)降本增效的同時(shí)，也為企業(yè)IT架構(gòu)帶來新的安全挑戰(zhàn)，傳統(tǒng)安全防護(hù)機(jī)制遭遇瓶頸，探索適應(yīng)企業(yè)數(shù)字化轉(zhuǎn)型需求的新一代安全體系具有重要意義。零信任安全理念及架構(gòu)能夠有效應(yīng)對(duì)企業(yè)數(shù)字化轉(zhuǎn)型過程中的安全痛點(diǎn)，愈發(fā)得到行業(yè)關(guān)注。

1 企業(yè)傳統(tǒng)安全防護(hù)架構(gòu)面臨新安全威脅

在企業(yè)傳統(tǒng)安全架構(gòu)中，以網(wǎng)絡(luò)邊界防護(hù)為核心。網(wǎng)絡(luò)邊界因不同安全級(jí)別的網(wǎng)絡(luò)(如互聯(lián)網(wǎng)和企業(yè)內(nèi)網(wǎng)，辦公網(wǎng)和研發(fā)網(wǎng))相連而產(chǎn)生，企業(yè)在網(wǎng)絡(luò)建設(shè)時(shí)，首先考慮如何滿足業(yè)務(wù)需求，而后基于安全策略，在網(wǎng)絡(luò)邊界部署防火墻、入侵檢測、抗DDoS攻擊等安全產(chǎn)品以實(shí)現(xiàn)企業(yè)IT防護(hù)[1]。企業(yè)安全架構(gòu)的總體建設(shè)思路是先暢通再安全，安全邊界疊加在網(wǎng)絡(luò)邊界之上，如圖1所示。隨著數(shù)字經(jīng)濟(jì)時(shí)代的來臨，數(shù)字化轉(zhuǎn)型為企業(yè)發(fā)展帶來機(jī)遇的同時(shí)，也讓傳統(tǒng)安全架構(gòu)面臨諸多挑戰(zhàn)。

技術(shù)轉(zhuǎn)型是企業(yè)數(shù)字化轉(zhuǎn)型的重要一環(huán)，側(cè)重以云計(jì)算為承載，融合大數(shù)據(jù)、人工智能、區(qū)塊鏈、5G等新一代數(shù)字技術(shù)構(gòu)建綜合數(shù)字化平臺(tái)底座，以促進(jìn)企業(yè)生產(chǎn)力提高。這些新技術(shù)的引入，為企業(yè)安全策略設(shè)置與部署帶來了挑戰(zhàn)。一是虛擬化、容器等云計(jì)算技術(shù)的普及促使企業(yè)納管資源粒度不斷細(xì)化，安全防護(hù)策略也需要隨之細(xì)化，以承載不同類型、不同級(jí)別的業(yè)務(wù)。二是混合云模式廣泛采用，企業(yè)公有云、私有云、傳統(tǒng)數(shù)據(jù)中心等環(huán)境中的資源需進(jìn)行頻繁交互，跨云的連接和數(shù)據(jù)傳輸使得暴露面增大，面臨更多來自互聯(lián)網(wǎng)的規(guī)?；?、多樣化威脅。三是應(yīng)用架構(gòu)隨基礎(chǔ)架構(gòu)升級(jí)不斷演進(jìn)，隨著基礎(chǔ)架構(gòu)從物理服務(wù)器向虛擬機(jī)、容器擴(kuò)展，應(yīng)用從單體架構(gòu)向微服務(wù)架構(gòu)轉(zhuǎn)變，分布式部署模式下各服務(wù)間需進(jìn)行頻繁的通信和交互，促使企業(yè)內(nèi)部(東西向)流量大幅增加，傳統(tǒng)安全架構(gòu)多針對(duì)企業(yè)網(wǎng)絡(luò)邊界內(nèi)外(南北向流量)進(jìn)行防護(hù)，難以應(yīng)對(duì)威脅的橫向移動(dòng)。

數(shù)字化轉(zhuǎn)型中，企業(yè)生產(chǎn)方式多樣，數(shù)字化工作空間進(jìn)一步擴(kuò)展。一是生產(chǎn)活動(dòng)不必局限于企業(yè)內(nèi)網(wǎng)進(jìn)行，遠(yuǎn)程辦公常態(tài)化，員工除使用企業(yè)設(shè)備外，越來越多地使用BYOD(Bring Your Own Device，自有設(shè)備)；二是企業(yè)與企業(yè)之間開展更多合作，供應(yīng)鏈上下游企業(yè)進(jìn)行信息共享與工作協(xié)同，數(shù)據(jù)跨云交互和融合。

數(shù)字化工作空間的規(guī)模性使用，將帶來更多的終端和身份不可信問題。一是網(wǎng)絡(luò)接入位置和時(shí)間多變，用戶不可控性增多，外網(wǎng)連接占比增多，時(shí)間從集中變得分散，大量外網(wǎng)訪問行為中可能混雜著黑客行為，判斷用戶身份是否合法的難度提升。二是設(shè)備種類復(fù)雜導(dǎo)致風(fēng)險(xiǎn)要素增多，與企業(yè)設(shè)備相比，BYOD軟硬件環(huán)境的安全狀態(tài)更加難以預(yù)測，同時(shí)，供應(yīng)鏈各企業(yè)安全管理機(jī)制有差異，接入設(shè)備和系統(tǒng)的安全能力參差不齊。

企業(yè)開展產(chǎn)品服務(wù)創(chuàng)新引入特性威脅。一是新零售等新型業(yè)務(wù)形式涌現(xiàn)：新零售擁有海量用戶敏感數(shù)據(jù)，且涉及資金交易等關(guān)鍵數(shù)據(jù)，相比于DDoS攻擊、SQL注入等傳統(tǒng)攻擊，新零售更易遇到如刷單、撞庫、惡意下單和虛假注冊(cè)等威脅，易催生數(shù)據(jù)庫盜賣等黑色產(chǎn)業(yè)，這些安全問題不可控也不可見。二是物聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)興起：物聯(lián)網(wǎng)因其特殊的組網(wǎng)方式，使得網(wǎng)絡(luò)異構(gòu)復(fù)雜，通信協(xié)議安全性差，且智能產(chǎn)品多處于網(wǎng)絡(luò)邊緣，終端安全防護(hù)能力差異較大，終端設(shè)備易受入侵和劫持，邊界安全防護(hù)無法覆蓋到位。

2 零信任理念興起

以網(wǎng)絡(luò)邊界防護(hù)為核心的安全體系存在如下問題：一是過度信任，網(wǎng)絡(luò)位置與信任存在潛在默認(rèn)關(guān)系，默認(rèn)企業(yè)內(nèi)網(wǎng)環(huán)境、資源、人員均可信；二是與IT架構(gòu)相對(duì)割裂，各安全產(chǎn)品間協(xié)同性低，防護(hù)性能存在瓶頸[2]。為應(yīng)對(duì)數(shù)字化轉(zhuǎn)型帶來的安全挑戰(zhàn)，企業(yè)安全架構(gòu)亟待變革。在此背景下，零信任應(yīng)運(yùn)而生，該理念打破了網(wǎng)絡(luò)位置和信任間的潛在默認(rèn)關(guān)系，致力于降低企業(yè)資源訪問過程中的安全風(fēng)險(xiǎn)，發(fā)展歷程如圖2所示。

圖2 零信任發(fā)展歷程

2010年Forrester分析師約翰金德維格提出零信任模型[3]，關(guān)注點(diǎn)在網(wǎng)絡(luò)安全架構(gòu)變革，其核心思想是去網(wǎng)絡(luò)邊界，認(rèn)為任何流通于網(wǎng)絡(luò)中的流量在未經(jīng)過驗(yàn)證之前都不予信任；2011年～2017年Google Beyond Corp[4]實(shí)踐落地，相比于零信任模型，Beyond Corp最初的目的是令員工在不受信任的網(wǎng)絡(luò)環(huán)境中不接入VPN就能獲得內(nèi)網(wǎng)資源，其關(guān)注點(diǎn)在于網(wǎng)絡(luò)的不可信性；2013年CSA提出SDP軟件定義邊界，作為零信任的第一個(gè)解決方案，其核心思想是隱藏核心網(wǎng)絡(luò)資產(chǎn)與設(shè)施，使之不直接暴露于互聯(lián)網(wǎng)下，使得網(wǎng)絡(luò)資產(chǎn)與設(shè)施免受外來安全威脅；2017年Gartner在安全與風(fēng)險(xiǎn)管理峰會(huì)上發(fā)布CARTA戰(zhàn)略，賦予零信任動(dòng)態(tài)審計(jì)的特性，信任不再是絕對(duì)的，而是相對(duì)的，是根據(jù)實(shí)際情況動(dòng)態(tài)變化的關(guān)系；2018年Forrester提出ZTX架構(gòu)，為零信任擴(kuò)展其生態(tài)系統(tǒng)框架，增加了可視化及分析、自動(dòng)化和編排等內(nèi)容；2019年Gartner發(fā)布了等同于SDP理念的ZTNA；2019年～2020年NIST發(fā)布Zero Trust Architecture[5]草案1.0/2.0，進(jìn)一步明確和細(xì)化零信任安全理念。在零信任發(fā)展歷程中，可以發(fā)現(xiàn)各組織提出的不同維度的觀點(diǎn)一直在持續(xù)發(fā)展并融合，最終趨向一致。

零信任的基本原則歸納如下。

1)默認(rèn)一切參與因素不受信：零信任不為任何參與因素預(yù)制信任條件，所處位置無法決定信任關(guān)系。

2)最小權(quán)限原則：零信任強(qiáng)調(diào)資源按需分配，僅授予各行為所需的最小權(quán)限。對(duì)每個(gè)行為單獨(dú)授權(quán)，對(duì)一種資源的授權(quán)不會(huì)自動(dòng)作用于另一種資源的訪問權(quán)限。

3)持續(xù)動(dòng)態(tài)訪問控制和授權(quán)：在單次端到端的資源訪問全生命周期中，持續(xù)對(duì)多源信息進(jìn)行評(píng)估并獲取授權(quán)策略。

4)持續(xù)安全防護(hù)：確保進(jìn)行資源訪問的參與對(duì)象處于安全狀態(tài)，及時(shí)發(fā)現(xiàn)安全問題，并采取措施降低安全風(fēng)險(xiǎn)。

基于零信任基本原則，企業(yè)可建設(shè)或改造已有網(wǎng)絡(luò)安全體系以實(shí)現(xiàn)零信任安全架構(gòu)，利用零信任安全架構(gòu)為IT系統(tǒng)提供持續(xù)的安全保障。架構(gòu)如圖3所示[5]，由零信任核心邏輯組件和內(nèi)部或外部數(shù)據(jù)源組成。

圖3 基于零信任安全理念的邏輯架構(gòu)

基于零信任安全理念的邏輯架構(gòu)對(duì)訪問參與對(duì)象和訪問資源之間的所有行為進(jìn)行處理，零信任核心部分分為控制平面和數(shù)據(jù)平面。訪問主體發(fā)起訪問請(qǐng)求，由控制平面的策略引擎進(jìn)行多源信任評(píng)估計(jì)算，由控制引擎對(duì)計(jì)算結(jié)果進(jìn)行判定，決定授權(quán)策略，一旦授權(quán)訪問，控制引擎將通知數(shù)據(jù)平面的安全代理，為該次訪問建立安全連接。策略引擎仍持續(xù)進(jìn)行評(píng)估，一旦參與對(duì)象或其行為發(fā)生變化，策略引擎將依據(jù)新的評(píng)估源進(jìn)行信任評(píng)估，控制引擎隨時(shí)依據(jù)評(píng)估結(jié)果判定授權(quán)策略是否需要改變，隨時(shí)通知安全代理執(zhí)行相應(yīng)操作，最大限度保障資源安全。

基于零信任安全理念的邏輯架構(gòu)核心邏輯組件主要分為三部分。

1)策略引擎：該組件負(fù)責(zé)信任評(píng)估，通過收集和分析參與對(duì)象和行為等多源信息，對(duì)訪問主體進(jìn)行持續(xù)的信任評(píng)估。

2)控制引擎：該組件作為策略控制點(diǎn)，依賴策略引擎的信任評(píng)估結(jié)果，持續(xù)判定授權(quán)策略。

3)安全代理：該組件作為策略執(zhí)行點(diǎn)，為授予權(quán)限的訪問主體，建立其訪問主體和被訪問資源之間的安全通道。在實(shí)際架構(gòu)中，該邏輯組件可能由兩個(gè)不同的組件構(gòu)成：客戶端(如用戶終端設(shè)備上的代理插件等)和資源側(cè)網(wǎng)關(guān)(如Web網(wǎng)關(guān)、API網(wǎng)關(guān)等)，或單個(gè)代理組件。

零信任架構(gòu)除了核心邏輯組件，還包括內(nèi)部和外部信任源，與策略引擎協(xié)同，將收集并分析參與對(duì)象和其行為的安全信息，傳遞給策略引擎，為其進(jìn)行信任評(píng)估提供依據(jù)。信任源主要包括：CDM(連續(xù)診斷和緩解系統(tǒng))、行業(yè)合規(guī)系統(tǒng)、威脅情報(bào)源、數(shù)據(jù)訪問策略、PKI(企業(yè)公共秘鑰基礎(chǔ)設(shè)施)、ID管理系統(tǒng)、網(wǎng)絡(luò)和系統(tǒng)活動(dòng)日志、安全事件管理系統(tǒng)等。

3 零信任彌補(bǔ)傳統(tǒng)安全機(jī)制缺陷

在零信任理念下，企業(yè)默認(rèn)內(nèi)外部的任何人、事、物均不可信，應(yīng)在授權(quán)前對(duì)任何試圖接入網(wǎng)絡(luò)和訪問資源的人、事、物進(jìn)行驗(yàn)證。通過持續(xù)的安全防護(hù)緩解信任危機(jī)，實(shí)現(xiàn)資源的安全可信訪問。一是將一切視為資源，任意粒度、任意位置的訪問主體對(duì)資源的訪問都需要進(jìn)行認(rèn)證和授權(quán)，屏蔽了安全策略預(yù)分配帶來的潛在威脅。一方面，零信任能夠?qū)ξ锢碓O(shè)備、云服務(wù)、接口等所有層級(jí)的資源進(jìn)行防護(hù)，在訪問主體身份驗(yàn)證和權(quán)限判定成功后，僅為其提供滿足需要的最小粒度的資源。另一方面，企業(yè)內(nèi)部資源間的互相訪問也需要進(jìn)行身份驗(yàn)證和權(quán)限判定，異常的東西向流量也將被有效阻斷。二是零信任強(qiáng)調(diào)通過多源數(shù)據(jù)對(duì)每一個(gè)訪問行為進(jìn)行信任評(píng)估，能夠?qū)h(yuǎn)程訪問和數(shù)據(jù)交互的人員、設(shè)備、環(huán)境等進(jìn)行有效的安全把控，緩解終端安全能力參差不齊與人員安全意識(shí)薄弱等問題。三是在零信任安全架構(gòu)中，資源對(duì)外隱身，僅當(dāng)訪問主體通過驗(yàn)證才能訪問授權(quán)資源，降低風(fēng)險(xiǎn)暴露面，減少不可控、不可見的安全威脅所帶來的攻擊。

Google BeyondCorp是零信任理念最早的踐行者，摒棄企業(yè)特權(quán)網(wǎng)絡(luò)，同等對(duì)待公共網(wǎng)絡(luò)與本地網(wǎng)絡(luò)的設(shè)備，默認(rèn)情況不授予任何權(quán)限，訪問僅依賴于用戶和設(shè)備的身份憑證，通過動(dòng)態(tài)判定策略和強(qiáng)制執(zhí)行訪問分級(jí)，實(shí)現(xiàn)應(yīng)用程序的訪問控制[6]。訪問流程如圖4所示。

圖4 BeyondCorp組件和訪問流程

Google BeyondCorp僅對(duì)外暴露三個(gè)組件，RADIUS、訪問代理和單點(diǎn)登錄，所有對(duì)企業(yè)應(yīng)用或服務(wù)的訪問都將指向訪問代理，訪問代理將聯(lián)合訪問控制引擎，集中對(duì)訪問請(qǐng)求進(jìn)行認(rèn)證和授權(quán)。

Google內(nèi)部部署無特權(quán)網(wǎng)絡(luò)，辦公樓內(nèi)的客戶端設(shè)備通過802.1x認(rèn)證，將默認(rèn)分配至此網(wǎng)絡(luò)，未通過認(rèn)證的設(shè)備將分配至訪客網(wǎng)絡(luò)。無特權(quán)網(wǎng)絡(luò)可連接至互聯(lián)網(wǎng)，如需訪問企業(yè)內(nèi)網(wǎng)應(yīng)用，仍需經(jīng)過訪問代理。

受管理的設(shè)備為企業(yè)統(tǒng)一采購并管理可控的設(shè)備，企業(yè)將為每臺(tái)受管理的設(shè)備簽發(fā)設(shè)備證書，作為設(shè)備庫存數(shù)據(jù)庫索引的唯一標(biāo)識(shí)，只有受管理的設(shè)備才能訪問企業(yè)內(nèi)部應(yīng)用。

單點(diǎn)登錄為用戶提供一次登錄無限訪問的便利，訪問在經(jīng)過用戶/組數(shù)據(jù)庫合法性驗(yàn)證后，生成短時(shí)令牌，用于對(duì)特定訪問資源的授權(quán)。用戶/組數(shù)據(jù)庫與Google HR流程緊密集成，跟蹤與管理企業(yè)用戶身份憑證。

上述的證書白名單、設(shè)備和用戶的信任等級(jí)，設(shè)備庫存數(shù)據(jù)庫和用戶/組數(shù)據(jù)庫中的信息，都將經(jīng)由加密的消息管道推動(dòng)至訪問控制引擎，用以為訪問主體進(jìn)行信任等級(jí)的綜合評(píng)估。

4 零信任安全趨勢

隨著云計(jì)算、5G、工業(yè)互聯(lián)網(wǎng)等新基建的加速推進(jìn)，網(wǎng)絡(luò)安全保障體系不斷升級(jí)，零信任作為未來網(wǎng)絡(luò)安全發(fā)展的方向受到多層面關(guān)注，應(yīng)用規(guī)模將不斷擴(kuò)大。

國家層面，以政策推動(dòng)零信任技術(shù)研究與應(yīng)用。工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》，將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。工信部《關(guān)于開展2020年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范工作的通知》中，將“零信任”列為具有前沿性、創(chuàng)新性、先導(dǎo)性的重大網(wǎng)絡(luò)安全技術(shù)理念。在政策指引和鼓勵(lì)下，零信任核心技術(shù)攻關(guān)、產(chǎn)業(yè)化應(yīng)用推廣等關(guān)鍵環(huán)節(jié)協(xié)同創(chuàng)新，行業(yè)健康有序發(fā)展。

企業(yè)層面，據(jù)IDC預(yù)測，隨著應(yīng)用從集中式數(shù)據(jù)中心向邊緣的IaaS/PaaS/SaaS遷移，到2022年，企業(yè)采購遵循零信任規(guī)則的軟件定義安全訪問解決方案的預(yù)算將成倍增長，替代傳統(tǒng)VPN。企業(yè)應(yīng)綜合考慮預(yù)算、人力、安全態(tài)勢、當(dāng)前安全基礎(chǔ)等因素，制定零信任實(shí)施目標(biāo)和計(jì)劃，分階段逐步應(yīng)用零信任。

5 企業(yè)零信任安全建設(shè)建議

基于零信任理念的安全防護(hù)可以實(shí)現(xiàn)企業(yè)安全架構(gòu)的升級(jí)，為企業(yè)數(shù)字化轉(zhuǎn)型提供有效的安全保障。建議企業(yè)從以下三方面開展建設(shè)工作。

一是企業(yè)在構(gòu)建現(xiàn)代化安全防護(hù)架構(gòu)時(shí)應(yīng)貫徹零信任理念，漸進(jìn)式實(shí)施并實(shí)現(xiàn)零信任安全架構(gòu)。零信任的落地?zé)o法一蹴而就，企業(yè)應(yīng)通過零信任安全能力成熟度充分評(píng)估自身IT架構(gòu)安全能力，更具針對(duì)性地制定遷移和實(shí)施計(jì)劃，通過局部試點(diǎn)、分級(jí)實(shí)施等方式逐步向零信任安全架構(gòu)過渡。

二是零信任不要求企業(yè)從零構(gòu)建新的安全架構(gòu)，可以基于已有安全架構(gòu)升級(jí)改造，實(shí)現(xiàn)各安全工具間的信息共享與協(xié)同，充分考慮當(dāng)前安全資源的復(fù)用，降低安全體系升級(jí)成本，減少資源浪費(fèi)。

三是零信任理念的實(shí)施不僅是平臺(tái)工具的建設(shè)，更是思維文化的變革。企業(yè)的員工和高層都應(yīng)有相應(yīng)轉(zhuǎn)變：1)員工自身應(yīng)調(diào)整思維模式，從默認(rèn)企業(yè)環(huán)境可信，轉(zhuǎn)變?yōu)榍宄?dāng)前態(tài)勢下威脅無處不在；2)用戶和設(shè)備信任庫的建設(shè)周期長，需要長期堅(jiān)守、不斷維護(hù)，企業(yè)高層需堅(jiān)信零信任理念，并拉動(dòng)企業(yè)中各個(gè)組織機(jī)構(gòu)的配合；3)企業(yè)相關(guān)負(fù)責(zé)人應(yīng)在零信任安全架構(gòu)的設(shè)計(jì)之初，考慮如何將已有系統(tǒng)納入新的安全架構(gòu)，尤其在擁有復(fù)雜IT環(huán)境和大量歷史遺留系統(tǒng)的大型企業(yè)中，更應(yīng)思考如何減少復(fù)雜遺留系統(tǒng)帶來的影響。