嚴(yán)波/YAN Bo，王小偉/WANG Xiaowei

（ 深信服科技股份有限公司，中國 深圳 518055）

隨著數(shù)字化進(jìn)程的深入演進(jìn)，網(wǎng)絡(luò)邊界已逐漸模糊，基于“外網(wǎng)危險(xiǎn)、內(nèi)網(wǎng)安全”理念構(gòu)建的安全防御體系已不再適用。在網(wǎng)絡(luò)威脅不斷變化和網(wǎng)絡(luò)攻擊日益猖獗的形勢下，以“零信任”為代表的白環(huán)境分析手段也逐漸出現(xiàn)，從而逐漸替代基于威脅特征“一刀切”的黑名單機(jī)制。

2010年，著名研究機(jī)構(gòu)Forrester的首席分析師J.KINDERVAG首次提出零信任，核心思想是“從不信任，始終驗(yàn)證”。此后，零信任開始得到業(yè)界關(guān)注。零信任發(fā)展至今，主流三大技術(shù)方案分別是：軟件定義邊界（SDP）、身份和訪問管理（IAM）和基于身份的微隔離（MSG）。不同技術(shù)方案各有特點(diǎn)，適用于不同的業(yè)務(wù)場景需求。SDP重點(diǎn)在于按需定義業(yè)務(wù)訪問邊界，僅為合法請求提供業(yè)務(wù)資源的訪問支持；IAM重點(diǎn)在于用戶的身份管理與權(quán)限分配，與業(yè)務(wù)深度結(jié)合；MSG重點(diǎn)在于數(shù)據(jù)中心內(nèi)部東西向流量的控制[1-4]。

對于跨國、跨地區(qū)的龐大業(yè)務(wù)規(guī)模、資源類別繁多的企業(yè)，僅依靠某一個(gè)技術(shù)路線而開發(fā)的單一產(chǎn)品，難以應(yīng)對企業(yè)發(fā)展過程中面臨的不同業(yè)務(wù)挑戰(zhàn)，如遠(yuǎn)程辦公、混合云環(huán)境、數(shù)據(jù)中心數(shù)據(jù)保護(hù)等安全問題?；谏鲜鲂枨螅诤细骷夹g(shù)方案特色的零信任平臺應(yīng)運(yùn)而生。從企業(yè)環(huán)境的關(guān)鍵業(yè)務(wù)需求出發(fā)，結(jié)合三大技術(shù)方案的防護(hù)思路與功能，統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，可以打造安全與業(yè)務(wù)融合的零信任閉環(huán)[5]。

1 零信任平臺方案

零信任平臺（以下簡稱“ZTA平臺”）是以SDP為核心，融合其他零信任技術(shù)產(chǎn)品、功能組件的方案。在零信任平臺方案中，各個(gè)產(chǎn)品和安全組件實(shí)現(xiàn)靈活解耦，在充分發(fā)揮各自功能特性的同時(shí)，還實(shí)現(xiàn)了“統(tǒng)一策略”“統(tǒng)一管理”的平臺聯(lián)動機(jī)制，達(dá)到“1+1＞2”的效果。組件的解耦，可實(shí)現(xiàn)不同業(yè)務(wù)場景下的靈活組合：一是可解決單一產(chǎn)品覆蓋場景不全的問題；二是可以在整體規(guī)劃之下，按階段選擇需要的組件，實(shí)現(xiàn)安全防御強(qiáng)需求，并同步實(shí)現(xiàn)建設(shè)成本可控的要求，具體如圖1所示。

▲圖1 零信任建設(shè)階段

ZTA平臺分為3個(gè)部分：零信任中心、零信任組件、服務(wù)支撐，它們分別承擔(dān)不同的功能職責(zé)，彼此聯(lián)動，互相支撐。ZTA平臺具體如圖2所示。

▲圖2 零信任平臺

零信任中心部分位于ZTA平臺的控制平面，是ZTA平臺的核心和關(guān)鍵所在。該部分包括兩個(gè)子中心：分析中心和控制中心。分析中心基于多源數(shù)據(jù)對訪問主體的信任等級進(jìn)行持續(xù)分析、評估，并將評估結(jié)果發(fā)送至控制中心，用于訪問策略的選擇和應(yīng)用。除此之外，分析中心還肩負(fù)實(shí)時(shí)風(fēng)險(xiǎn)展示、權(quán)限梳理、應(yīng)用識別、辦公安全行為可視等多種職責(zé)?？刂浦行氖歉鶕?jù)分析中心的評估結(jié)果，動態(tài)匹配訪問控制策略，并將策略下發(fā)至數(shù)據(jù)平面的執(zhí)行組件。

零信任組件部分位于ZTA平臺的數(shù)據(jù)平面（或業(yè)務(wù)平面）。作為訪問控制策略的執(zhí)行點(diǎn)，該組件主要與控制平臺聯(lián)動，兼顧情報(bào)點(diǎn)、自身安全防護(hù)等職能。執(zhí)行點(diǎn)主要負(fù)責(zé)訪問策略的執(zhí)行，即控制中心對具體的訪問請求進(jìn)行分析評估，并下發(fā)選定的執(zhí)行策略，并負(fù)責(zé)執(zhí)行[6]。在平臺化中，執(zhí)行類設(shè)備被稱為網(wǎng)關(guān)，所有業(yè)務(wù)流量均由網(wǎng)關(guān)設(shè)備轉(zhuǎn)發(fā)；情報(bào)點(diǎn)主要用于訪問請求中的信息收集、分析和傳輸，包括認(rèn)證登錄、業(yè)務(wù)訪問行為信息等。該類信任一方面用于優(yōu)化使用體驗(yàn)，另一方面則為分析中心提供數(shù)據(jù)分析的來源[7]。

服務(wù)支撐部分是ZTA平臺持續(xù)迭代、安全防御能力優(yōu)化、業(yè)務(wù)保障的重要組成部分。通過交付階段的業(yè)務(wù)梳理，服務(wù)支撐部分完成基礎(chǔ)能力的建設(shè)，并進(jìn)行動態(tài)策略調(diào)整，在業(yè)務(wù)運(yùn)行平穩(wěn)后，逐步擴(kuò)大零信任的覆蓋和使用范圍，最終達(dá)成業(yè)務(wù)的全部遷移；在運(yùn)營階段，通過安全運(yùn)營，持續(xù)完善業(yè)務(wù)白名單，建立、優(yōu)化訪問控制關(guān)系和策略調(diào)整，確保業(yè)務(wù)訪問的合規(guī)化、合理化，達(dá)到安全自適應(yīng)的閉環(huán)。

2 功能組成

2.1 零信任控制中心

零信任控制中心在ZTA平臺中占具核心地位，與信任分析中心、零信任組件進(jìn)行控制聯(lián)動，提供的管理功能包括：身份管理、認(rèn)證管理、權(quán)限管理、策略管理、策略下發(fā)、組件管理、第三方能力集成等。本文中，我們主要介紹身份認(rèn)證管理、應(yīng)用管理、策略管理三大內(nèi)容。

身份認(rèn)證管理主要通過與統(tǒng)一身份管理平臺對接或由控制器自身提供認(rèn)證服務(wù)，實(shí)現(xiàn)身份的認(rèn)證和權(quán)限管理。身份認(rèn)證的對象包括用戶（人）、終端、設(shè)備、程序等?？刂浦行母鶕?jù)用戶登錄信息、終端環(huán)境信息等內(nèi)容動態(tài)調(diào)整訪問策略，例如，用戶首次使用賬戶信息登錄或在非常用地區(qū)登錄時(shí)可能觸發(fā)增強(qiáng)認(rèn)證，即觸發(fā)多因子認(rèn)證，保障接入安全；在終端已被設(shè)置為授信終端或登錄環(huán)境安全時(shí)，進(jìn)行認(rèn)證豁免，免除二次認(rèn)證過程或?qū)崿F(xiàn)離線客戶端一鍵上線，以提升用戶的使用體驗(yàn)[8]。

應(yīng)用管理部分主要圍繞業(yè)務(wù)系統(tǒng)的訪問需求，確定合適的安全發(fā)布機(jī)制和訪問模式。例如，當(dāng)用戶的訪問環(huán)境為內(nèi)網(wǎng)時(shí)，應(yīng)用管理觸發(fā)直連網(wǎng)關(guān)（DGW）的訪問模式；當(dāng)用戶的訪問環(huán)境為互聯(lián)網(wǎng)時(shí)，自動調(diào)整為SDP代理網(wǎng)關(guān)訪問模式。

策略管理部分主要為不同環(huán)境下的訪問需求，能夠提供多類型的動態(tài)控制策略，常見的包括：安全策略、客戶端接入策略等。動態(tài)策略選定主要來源于零信任分析中心，控制中心通過與分析中心聯(lián)動，完成風(fēng)險(xiǎn)分析和持續(xù)信任評估，最終確定并生成動態(tài)的訪問控制策略，下發(fā)給安全組件后完成執(zhí)行。

為了更清晰地展現(xiàn)以上原理，我們以圖3為例進(jìn)行說明。由“客戶端及用戶”側(cè)向“業(yè)務(wù)系統(tǒng)”發(fā)起業(yè)務(wù)訪問，會經(jīng)歷以下幾個(gè)階段：首先客戶端及用戶需要與零信任控制中心完成身份驗(yàn)證，身份驗(yàn)證可以由控制器自身或統(tǒng)一身份管理平臺來實(shí)現(xiàn)；認(rèn)證成功后，控制中心檢查與之相匹配的策略和該用戶所具備的業(yè)務(wù)資源列表，判定滿足訪問條件后，下發(fā)放通或拒絕的策略到網(wǎng)關(guān)設(shè)備節(jié)點(diǎn)，網(wǎng)關(guān)設(shè)備來完成該策略執(zhí)行。在以上過程中，控制中心還會持續(xù)接收來自分析中心的分析結(jié)果，輔助策略決策。

▲圖3 零信任訪問請求控制

2.2 零信任分析中心

零信任分析中心主要為控制中心提供決策依據(jù)輸入，并基于用戶訪問行為或訪問環(huán)境等信息進(jìn)行綜合風(fēng)險(xiǎn)分析。例如，用戶的客戶端登錄源IP地址在授信IP地址范圍內(nèi)時(shí)，在提供正確的身份信息后，即可訪問業(yè)務(wù)系統(tǒng)；當(dāng)源IP地址在非授信IP地址范圍內(nèi)時(shí)，即使提供了正確的身份信息，也可下發(fā)策略阻止本次訪問。分析中心可以周期性檢測客戶端的源IP地址的變化情況，并將分析結(jié)果及時(shí)傳遞給控制器，以供決策參考。

分析中心的情報(bào)數(shù)據(jù)采用的是多源并行的方式，不僅匯集客戶端的數(shù)據(jù)信息，還可匯集其他安全組件或日志分析平臺的數(shù)據(jù)，例如：終端安全環(huán)境檢測的風(fēng)險(xiǎn)分析數(shù)據(jù)、用戶認(rèn)證和訪問流量的風(fēng)險(xiǎn)分析數(shù)據(jù)，以及第三方策略信息點(diǎn)（PIP）分析中心分析數(shù)據(jù)。零信任分析中心對多源輸入的情報(bào)信息進(jìn)行統(tǒng)一聚合處理，控制中心將參考分析中心的具體分析結(jié)果做出訪問決策，并匹配、下發(fā)具體的訪問控制策略，如圖4所示。

▲圖4 零信任分析中心

2.3 零信任組件

零信任組件主要指各類場景下負(fù)責(zé)策略執(zhí)行處的安全管控組件，例如：SDP代理網(wǎng)關(guān)、DGW、安全訪問服務(wù)邊緣（SASE）類網(wǎng)關(guān)、物聯(lián)網(wǎng)安全網(wǎng)關(guān)等。根據(jù)實(shí)際的業(yè)務(wù)場景和安全需求設(shè)置不同的安全組件，遠(yuǎn)程接入辦公可選擇SDP代理網(wǎng)關(guān)，內(nèi)網(wǎng)辦公場景可以選擇DGW，物聯(lián)網(wǎng)可選擇物聯(lián)網(wǎng)安全網(wǎng)關(guān)，互聯(lián)網(wǎng)云上業(yè)務(wù)訪問場景使用安全訪問服務(wù)邊緣-專用訪問（SASE-PA）。

在ZTA平臺中，常見的網(wǎng)關(guān)分為三大類：SDP代理網(wǎng)關(guān)、DGW、SASE-PA網(wǎng)關(guān)。

SDP代理網(wǎng)關(guān)適用于互聯(lián)網(wǎng)接入和遠(yuǎn)程辦公場景，如圖5所示。SDP采用的是代理轉(zhuǎn)發(fā)模式，即與終端建立連接，再與業(yè)務(wù)系統(tǒng)建立連接。SDP代理網(wǎng)關(guān)工作在“內(nèi)外”網(wǎng)的邏輯邊界處，業(yè)務(wù)系統(tǒng)隱藏在SDP代理網(wǎng)關(guān)之后。這樣能夠?qū)崿F(xiàn)暴露面的收縮（僅剩余SDP代理網(wǎng)關(guān)本身對外暴露），而SDP代理網(wǎng)關(guān)的安全可通過其他的安全措施加以防護(hù)，例如單包授權(quán)（SPA）技術(shù)。

▲圖5 軟件定義邊界代理網(wǎng)關(guān)模式

DGW適用于內(nèi)網(wǎng)辦公場景，因業(yè)務(wù)訪問由內(nèi)部網(wǎng)絡(luò)承載，所以又被稱為直連網(wǎng)關(guān)，如圖6所示。DGW采用防火墻架構(gòu)設(shè)計(jì)，用于放通/禁止內(nèi)網(wǎng)客戶端對于業(yè)務(wù)的訪問。對于客戶端發(fā)起的訪問，DGW仍然會對客戶端做應(yīng)用級的校驗(yàn)，校驗(yàn)通過后才會放通本次訪問請求。

▲圖6 DGW模式

SASE-PA網(wǎng)關(guān)適用于跨地區(qū)分支需要訪問總部業(yè)務(wù)的辦公場景，如圖7所示。該模式是將網(wǎng)關(guān)組件以云化的方式部署在云端，通過終端客戶端與SASE-PA網(wǎng)關(guān)建立加密隧道，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)引流。當(dāng)客戶端發(fā)起業(yè)務(wù)訪問請求，流量會被“抓”取并放入隧道，通過云上SASE-PA網(wǎng)關(guān)實(shí)現(xiàn)代理訪問。同時(shí)，客戶端的非業(yè)務(wù)流量會自動過濾分流。相比于傳統(tǒng)的SDWAN組網(wǎng)，SASE-PA網(wǎng)關(guān)模式極大地實(shí)現(xiàn)了企業(yè)跨地區(qū)靈活組網(wǎng)、高性價(jià)的安全業(yè)務(wù)訪問需求。

▲圖7 SASE-PA網(wǎng)關(guān)模式

以上3類網(wǎng)關(guān)各具特點(diǎn)。對于SDP代理網(wǎng)關(guān)模式，當(dāng)網(wǎng)關(guān)出現(xiàn)故障時(shí)，通常需要通過修改域名或者映射配置來恢復(fù)業(yè)務(wù)訪問；對于DGW模式，在網(wǎng)關(guān)故障發(fā)生時(shí)，可以通過透明模式部署來實(shí)現(xiàn)業(yè)務(wù)訪問的快速逃生；相比于SDP代理網(wǎng)關(guān)與DGW，SASE-PA網(wǎng)關(guān)模式天生具備易部署、易擴(kuò)展、訪問健壯的特點(diǎn)，主要應(yīng)用于云托管場景。

2.4 ZTA平臺落地與服務(wù)支撐

傳統(tǒng)的網(wǎng)絡(luò)安全防御體系與被保護(hù)的業(yè)務(wù)系統(tǒng)屬于分割、松耦合關(guān)系，在計(jì)算環(huán)境、網(wǎng)絡(luò)邊界、傳輸網(wǎng)絡(luò)中以設(shè)定“黑名單”為主的安全策略。ZTA平臺作為一種全新的安全架構(gòu)，與業(yè)務(wù)需求、安全能力動態(tài)持續(xù)融合，增強(qiáng)“白環(huán)境”檢測邏輯，以場景化、階段化的方式，逐步構(gòu)建完整的業(yè)務(wù)安全防御體系，所以ZTA平臺方案落地可分為三大階段，分步實(shí)施。

第1階段，優(yōu)先實(shí)現(xiàn)通過互聯(lián)網(wǎng)或廣域網(wǎng)（類似政務(wù)外網(wǎng)等專網(wǎng)）進(jìn)行遠(yuǎn)程接入訪問的業(yè)務(wù)場景部分，通過零信任架構(gòu)，收縮業(yè)務(wù)對外的暴露面。

第2階段，優(yōu)先考慮內(nèi)網(wǎng)訪問和分支機(jī)構(gòu)接入訪問的業(yè)務(wù)場景部分，可將傳統(tǒng)網(wǎng)絡(luò)安全升級為零信任架構(gòu)體系，實(shí)現(xiàn)內(nèi)外網(wǎng)統(tǒng)一、無差別的安全訪問辦公體驗(yàn)。

第3階段，深入組織數(shù)據(jù)中心內(nèi)部訪問場景，主要解決數(shù)據(jù)中心主機(jī)、虛擬機(jī)、容器、服務(wù)之間相互訪問調(diào)用的安全訪問控制邏輯。

在平臺的運(yùn)營階段，還需專業(yè)團(tuán)隊(duì)以安全運(yùn)營服務(wù)的方式，持續(xù)提升企業(yè)的“白”化能力。通過可視化報(bào)表和自動化技術(shù)的輔助，主動挖掘和發(fā)現(xiàn)未知風(fēng)險(xiǎn)，實(shí)現(xiàn)動態(tài)、自進(jìn)化式的安全策略調(diào)整。

3 關(guān)鍵技術(shù)

ZTA平臺是通過在多個(gè)層面，以多種安全控制技術(shù)，實(shí)現(xiàn)以下的一些安全目標(biāo)：正確的人利用可信的終端，通過安全的通道，使用適當(dāng)?shù)臋?quán)限，訪問重要的業(yè)務(wù)，從而保護(hù)敏感的數(shù)據(jù)。

3.1 第3代SPA技術(shù)

零信任核心能力之一是實(shí)現(xiàn)基于身份的安全訪問控制。這需要兩個(gè)必要條件：一是實(shí)現(xiàn)流量身份化；二是在通過身份認(rèn)證之前，要充分縮小業(yè)務(wù)的暴露面，做到先認(rèn)證后訪問。

在傳統(tǒng)的遠(yuǎn)程辦公場景中，客戶端需要先與業(yè)務(wù)系統(tǒng)建立連接，再進(jìn)行用戶身份認(rèn)證，認(rèn)證通過后即可獲取相應(yīng)的業(yè)務(wù)資源列表。先連接的前提條件是業(yè)務(wù)端口保持開放，但這種開放先天就存在被攻擊的風(fēng)險(xiǎn)，例如：端口掃描、分布式拒絕服務(wù)攻擊（DDOS）等。

在ZTA平臺中，客戶端在正式發(fā)起連接前，需要完成身份驗(yàn)證，驗(yàn)證通過后才能進(jìn)行正式連接，同時(shí)實(shí)現(xiàn)對設(shè)備自身的安全防護(hù)。未通過身份驗(yàn)證的客戶端，無法得知業(yè)務(wù)端口，更無法與之建立連接。整個(gè)過程包括兩個(gè)階段：第1個(gè)階段，通過控制平面的身份校驗(yàn)后，控制平臺通過策略配置，打開業(yè)務(wù)連接端口；第2個(gè)階段，客戶端與打開的端口，在數(shù)據(jù)平面建立業(yè)務(wù)連接，實(shí)現(xiàn)業(yè)務(wù)訪問。零信任鑒“白”流量示意如圖8所示。

▲圖8 零信任鑒“白”流量示意圖

在互聯(lián)網(wǎng)訪問的具體場景中，SDP代理網(wǎng)關(guān)通過第3代SPA技術(shù)和隧道技術(shù)，實(shí)現(xiàn)暴露面隱藏和流量身份化。由于安全網(wǎng)關(guān)采用代理的方式替代了客戶端進(jìn)行業(yè)務(wù)訪問，所以在隧道頭部中以插入字段的方式，傳遞身份驗(yàn)證所需內(nèi)容。

零信任系統(tǒng)默認(rèn)隱藏所有服務(wù)端口，僅開放所需的用戶數(shù)據(jù)報(bào)協(xié)議（UDP）端口。在正常用戶訪問前，客戶端發(fā)送含有身份憑證的UDP SPA“敲門”包，驗(yàn)證通過后會臨時(shí)打開一個(gè)時(shí)間窗口，且僅允許指定源IP地方訪問的443端口（即TCP SPA敲門端口）。后續(xù)的傳輸控制協(xié)議（TCP）連接過程遵循第2代TCP SPA流程，在安全傳輸層協(xié)議（TLS）協(xié)商過程中完成TCP敲門，具體如圖9所示。

▲圖9 第3代SPA技術(shù)

由于非代理模式下不能修改數(shù)據(jù)包內(nèi)容，所以DGW訪問場景無法直接使用SDP來實(shí)現(xiàn)業(yè)務(wù)端口隱藏。該場景以使用前置驗(yàn)證包的方式來實(shí)現(xiàn)應(yīng)用級鑒權(quán)?？蛻舳嗽诿恳淮伟l(fā)起會話連接時(shí)，需要先通過一個(gè)前置驗(yàn)證包來完成驗(yàn)證，驗(yàn)證通過后才能建立會話；驗(yàn)證失敗，則會拒絕建立會話。

3.2 新一代沙箱技術(shù)

在零信任方案中，數(shù)據(jù)安全也需要重點(diǎn)考慮。實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)的技術(shù)主要包括：桌面云（VDI）、虛擬瀏覽器（SBC）、沙箱（SandBox）。桌面云和虛擬瀏覽器技術(shù)能實(shí)現(xiàn)數(shù)據(jù)云端存儲，可見、可用，但不可得；沙箱技術(shù)能實(shí)現(xiàn)數(shù)據(jù)落地，但不泄密。

沙箱技術(shù)是通過在終端上創(chuàng)建與當(dāng)前終端環(huán)境邏輯隔離的安全工作空間，來實(shí)現(xiàn)數(shù)據(jù)隔離保護(hù)。該技術(shù)通常是以插件的形態(tài)來實(shí)現(xiàn)輕量化、簡潔化的應(yīng)用。沙箱技術(shù)使用驅(qū)動層的文件透明加解密技術(shù)，在文件系統(tǒng)添加一個(gè)加解密過濾層。所有軟件的磁盤寫入操作最終都會經(jīng)過這個(gè)加解密模塊，再進(jìn)入磁盤。加解密模塊會對寫入操作的進(jìn)程進(jìn)行判斷，屬于工作空間的進(jìn)程則寫加密、讀解密，屬于終端空間的進(jìn)程讀寫均不做額外操作。沙箱技術(shù)在應(yīng)對勒索病毒方面也具有一定優(yōu)勢。勒索病毒主要是通過磁盤文件遍歷的方式來獲取對應(yīng)格式的文件并實(shí)行加密。寫入沙箱文件系統(tǒng)的文件被隔離保護(hù)，在個(gè)人桌面無法搜索找到對應(yīng)文件，也就無法實(shí)現(xiàn)對其加密勒索。與此同時(shí)，沙箱技術(shù)還可以實(shí)現(xiàn)對數(shù)據(jù)導(dǎo)入和傳出的控制，避免數(shù)據(jù)失控、外泄。

3.3 動態(tài)訪問控制列表（ACL）技術(shù)

傳統(tǒng)網(wǎng)絡(luò)安全的ACL策略是靜態(tài)制定、規(guī)則匹配的模式，無法實(shí)現(xiàn)動態(tài)、細(xì)粒度、差異化管控，無法實(shí)現(xiàn)主動防御和響應(yīng)。ZTA平臺中以動態(tài)ACL技術(shù)來評估終端接入的風(fēng)險(xiǎn)，從而實(shí)現(xiàn)動態(tài)策略控制。

零信任的策略引擎主流模式有兩種：一種是信任評分機(jī)制，一種是規(guī)則機(jī)制。

信任評分機(jī)制又分為配置評分和智能評分兩種模式。配置評分模式是管理員為不同安全缺陷情況預(yù)設(shè)分值，并對整體評估結(jié)果設(shè)定一個(gè)“及格線”分值；智能評分則是通過平臺引擎進(jìn)行統(tǒng)計(jì)、學(xué)習(xí)從而完成判斷和賦值，整個(gè)過程無須人員參與，所以智能評分機(jī)制的弊端是如何設(shè)定合理的“及格線”。

規(guī)則機(jī)制是通過在不同的板面上分別設(shè)定安全策略基線，以“短板”效應(yīng)的方式，達(dá)到設(shè)定目標(biāo)。相比于信任評分機(jī)制，規(guī)則機(jī)制更有利于保障安全的底線和原則，不會單方面通過得分情況做出策略判斷。

在ZTA平臺方案中，我們采用規(guī)則+評分的混合模式，以規(guī)則機(jī)制為主，評分機(jī)制為輔，共同完成安全分析判定。ZTA平臺的理念是：“安全有原則，管理有灰度，信任有智慧”?！鞍踩性瓌t”是指策略引擎以規(guī)則為主；“管理有灰度”是指在動態(tài)ACL規(guī)則方面可配置二次認(rèn)證或告警，或提供過渡期整改再處置，以保證業(yè)務(wù)優(yōu)先，而非“一刀切”的統(tǒng)一策略；“信任有智慧”是指在規(guī)則基礎(chǔ)上引入智能評分機(jī)制，輔助決策。

ZTA平臺中的動態(tài)ACL涵蓋時(shí)間、位置、可信應(yīng)用程序等多種維度，可根據(jù)實(shí)際場景需求進(jìn)行細(xì)粒度設(shè)置。在智能評分模式下，零信任中心聯(lián)動終端安全設(shè)備，實(shí)現(xiàn)客戶端的環(huán)境評估賦值，輔助決策；在規(guī)則模式下，通過對發(fā)起訪問請求的終端程序進(jìn)程的使用情況、簽名信息等內(nèi)容進(jìn)行安全評估，與預(yù)置的可信進(jìn)程和不可信進(jìn)程標(biāo)簽進(jìn)行動態(tài)匹配，以支撐不同策略的差異化選擇。

3.4 三層轉(zhuǎn)四層隧道技術(shù)

隧道技術(shù)是在傳輸層面實(shí)現(xiàn)安全控制，主要包括3個(gè)關(guān)鍵內(nèi)容：引流、傳輸和代理。引流是精準(zhǔn)“抓”取業(yè)務(wù)訪問流量，傳輸是指以加密后傳輸給隧道代理網(wǎng)關(guān)，代理是由網(wǎng)關(guān)代理客戶端完成業(yè)務(wù)訪問。

傳統(tǒng)的三層引流技術(shù)主要是通過虛擬網(wǎng)卡和路由完成引流，兼容性較好。其原理是通過在終端本地安裝虛擬網(wǎng)卡，并下發(fā)路由的方式，實(shí)現(xiàn)引流進(jìn)入隧道，同時(shí)通過虛擬域名系統(tǒng)（DNS）配合，實(shí)現(xiàn)域名資源的訪問。由于工作在三層，也被稱為是三層隧道。當(dāng)客戶端存在多個(gè)客戶端/服務(wù)端模式（C/S）的應(yīng)用程序時(shí)，會通過一條傳輸控制協(xié)議（TCP）長連接與代理網(wǎng)關(guān)實(shí)現(xiàn)數(shù)據(jù)交互。長連接的傳輸受網(wǎng)絡(luò)波動、切換的影響較大，用戶感知明顯。

三層轉(zhuǎn)四層技術(shù)是在三層虛擬網(wǎng)卡處，通過IP路由表引流獲取到終端的請求流量，之后以輕量級IP協(xié)議棧轉(zhuǎn)換成四層數(shù)據(jù)包，再將數(shù)據(jù)包通過客戶端私有隧道代理的方式發(fā)送至網(wǎng)關(guān)。這種模式使用TCP的短連接，客戶端與代理網(wǎng)關(guān)之間會為每個(gè)隧道均建立一個(gè)TCP短連接。當(dāng)數(shù)據(jù)傳輸完成后，立即釋放該短連接資源。由于短連接對應(yīng)用層（四層以上）流量不做改寫，在數(shù)據(jù)包被加密封裝的payload部分長度要比長連接更短，因此在大文件傳輸和下載場景中，傳輸效率高于長連接方式。

4 結(jié)束語

零信任是內(nèi)生安全模型的代表之一，以強(qiáng)調(diào)業(yè)務(wù)“白”化能力的方式，與被保護(hù)的業(yè)務(wù)深度融合。依托零信任平臺方案和可行技術(shù)的應(yīng)用，零信任構(gòu)建了安全與生產(chǎn)力的平衡發(fā)展態(tài)勢，優(yōu)先保障業(yè)務(wù)可用性，并以系統(tǒng)化思維全面提升業(yè)務(wù)自身的安全免疫力，為數(shù)字化、智能化社會的安全建設(shè)指明了方向，奠定了的“可信”基石。零信任架構(gòu)旨在加強(qiáng)安全性以保護(hù)企業(yè)資產(chǎn)的系統(tǒng)和操作設(shè)計(jì)指南，它本身并不是一個(gè)單一的架構(gòu)。零信任平臺通過融合軟件定義邊界、身份與訪問管理、微隔離的技術(shù)優(yōu)勢，為企業(yè)提供業(yè)務(wù)與安全同行的網(wǎng)絡(luò)環(huán)境，是保障企業(yè)數(shù)字化良好發(fā)展的重要路徑。

致謝

本文的撰寫得到深信服科技股份有限公司游建舟、王琦然的幫助，在此表示感謝。