翟福龍

摘要：近年來，隨著互聯(lián)網(wǎng)和計(jì)算機(jī)相關(guān)技術(shù)的蓬勃發(fā)展，用以保護(hù)數(shù)據(jù)安全的傳統(tǒng)安全架構(gòu)的局限性正逐漸顯露出來。于是，零信任安全的概念應(yīng)運(yùn)而生，它直接顛覆了原有的觀念，認(rèn)為內(nèi)部用戶與外部用戶都不可信。該文闡述并分析了當(dāng)今網(wǎng)絡(luò)安全的趨勢(shì)和現(xiàn)狀，對(duì)基于零信任的網(wǎng)絡(luò)安全架構(gòu)進(jìn)行了詳細(xì)闡述，并提出了一套行之有效并易于落地的零信任解決方案。

關(guān)鍵詞：網(wǎng)絡(luò)安全;零信任;身份認(rèn)證;權(quán)限管理;動(dòng)態(tài)訪問控制

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）03-0037-04

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

隨著網(wǎng)絡(luò)和信息技術(shù)的不斷普及，人類產(chǎn)生的數(shù)據(jù)量正在呈指數(shù)級(jí)增長(zhǎng)，而云計(jì)算的誕生更是直接把我們送進(jìn)了大數(shù)據(jù)時(shí)代。隨之而來的，是從大公司到小公司，從政府機(jī)關(guān)再到商業(yè)機(jī)構(gòu)的有關(guān)數(shù)據(jù)泄露的例子層出不窮。這說明靠邊界劃分可信不可信的方法正在逐步失效。

傳統(tǒng)的內(nèi)部安全外圍依靠防火墻、VPN來隔離[1]。但隨著員工越來越多地使用自己的手機(jī)、自己的電腦、自己的平板，再加上云計(jì)算的廣泛普及，整個(gè)網(wǎng)絡(luò)的邊界越來越模糊。如何能夠更好地適應(yīng)當(dāng)今世界的網(wǎng)絡(luò)環(huán)境，零信任安全[2]的概念應(yīng)運(yùn)而生，它認(rèn)為內(nèi)部用戶與外部用戶都不可信，并且需要構(gòu)建動(dòng)態(tài)的訪問控制流程。在以往的案例中，黑客常常利用已掌握的密碼和證書完成攻擊，因此，對(duì)這些內(nèi)部用戶零信任可能是未來減少數(shù)據(jù)泄露的主要方法。

1 傳統(tǒng)網(wǎng)絡(luò)安全趨勢(shì)與現(xiàn)狀

根據(jù)Grand View Research的研究表明，2021年我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模將達(dá)到102.2億美元，而到了202年，這個(gè)數(shù)字將達(dá)到172.7億美元，綜合2021-2025年，符合年均增長(zhǎng)率在20%以上，遠(yuǎn)高于全球增速，領(lǐng)跑全球。隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布，網(wǎng)絡(luò)安全在我國(guó)的重視程度更是達(dá)到了前所未有的高度，隨后頒布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》（等保2.0）和《密碼法》更是對(duì)現(xiàn)有法律體系的有效補(bǔ)充。習(xí)近平總書記在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上更是做出了“沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全”的重要指示。

隨著國(guó)家的不斷重視，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的問題也越來越多地暴露在網(wǎng)絡(luò)安全行業(yè)參與者的面前。下面分別探討終端安全、網(wǎng)絡(luò)安全、邊界安全以及應(yīng)用安全方面存在的主要問題。

1.1 終端安全

目前，我們的網(wǎng)絡(luò)接入終端多種多樣，總體來看可以分為移動(dòng)端和PC端[3]。但很多接入網(wǎng)內(nèi)的終端設(shè)備安全性并未達(dá)到安全基線要求，接入網(wǎng)絡(luò)后，有將病毒、木馬引入網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn);同時(shí)，由于終端的防護(hù)效果不佳，易于遭到攻擊行為，一旦終端感染木馬病毒，攻擊者以終端為跳板滲入內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)中心竊取、篡改數(shù)據(jù)，對(duì)網(wǎng)絡(luò)擁有者的數(shù)據(jù)安全造成嚴(yán)重威脅;另外，接入終端接口被濫用、盜用，導(dǎo)致數(shù)據(jù)泄露、篡改、污染的安全事件也層出不窮。

1.2 網(wǎng)絡(luò)安全

隨著國(guó)家等級(jí)保護(hù)制度（等保）和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度（關(guān)保）的不斷完善，許多企事業(yè)單位都為自己的網(wǎng)絡(luò)環(huán)境架設(shè)了防火墻、下一代防火墻、WAF、IPS、IDS、關(guān)閘、數(shù)據(jù)庫審計(jì)系統(tǒng)、態(tài)勢(shì)感知等多種安全設(shè)備，但都是單兵作戰(zhàn)，沒有形成有效的網(wǎng)絡(luò)安全體系，進(jìn)而無法將這些設(shè)備聯(lián)動(dòng)起來。

1.3 邊界安全

傳統(tǒng)的邊界安全靠的是防火墻、VPN等安全設(shè)備來實(shí)現(xiàn)，并默認(rèn)內(nèi)部用戶不會(huì)對(duì)網(wǎng)絡(luò)安全進(jìn)行破壞[4]。但隨著大數(shù)據(jù)的發(fā)展以及移動(dòng)互聯(lián)網(wǎng)的普及，整個(gè)網(wǎng)絡(luò)的邊界越來越模糊，靠邊界劃分可信不可信的方法正在逐步失效。根據(jù)有關(guān)部門統(tǒng)計(jì)數(shù)據(jù)，近年來，平均每一天就有6起數(shù)據(jù)泄漏事件發(fā)生，而其中源自內(nèi)部數(shù)據(jù)泄漏比重占了近三成，并呈現(xiàn)逐年上升的趨勢(shì)，內(nèi)部人員的數(shù)據(jù)泄漏問題變得越來越嚴(yán)峻。

1.4 應(yīng)用安全

目前，常見的應(yīng)用安全只提供了基礎(chǔ)的用戶身份認(rèn)證與訪問控制、應(yīng)用安全防護(hù)和應(yīng)用開發(fā)安全等方面的防護(hù)。對(duì)訪問應(yīng)用系統(tǒng)、應(yīng)用功能、數(shù)據(jù)、服務(wù)接口的權(quán)限還沒有進(jìn)行細(xì)粒度控制和動(dòng)態(tài)調(diào)整;同時(shí)，在應(yīng)用安全防護(hù)方面，還沒完全做到攻擊行為和安全威脅進(jìn)行防護(hù)和阻斷和針對(duì)不同應(yīng)用系統(tǒng)提供有效隔離;對(duì)終端的訪問行為、用戶的操作行為等尚未進(jìn)行完整規(guī)范記錄，無法及時(shí)發(fā)現(xiàn)用戶的異常訪問行為。

2 基于零信任的網(wǎng)絡(luò)架構(gòu)

2.1 零信任

零信任（零信任網(wǎng)絡(luò)、模型、架構(gòu)等）這個(gè)概念最早由時(shí)任弗雷斯特研究公司的約翰·金德維格（John Kindervag）所提出。他認(rèn)為通常認(rèn)為是“可信”的內(nèi)部環(huán)境同外部環(huán)境一樣充滿了威脅，并指出“信任是安全的致命弱點(diǎn)”，因此提出了零信任（Zero Trust）概念。他的核心思想是“從不信任，始終在校驗(yàn)” [5]。

Google公司在2011年之前也是采用傳統(tǒng)的安全防護(hù)方式，2009年的APT攻擊“極光行動(dòng)”推動(dòng)Google重新搭建整體安全架構(gòu)，2010年提出零信任概念，并于2013年開始向零信任架構(gòu)轉(zhuǎn)型。2017年，作為互聯(lián)網(wǎng)的引領(lǐng)者，Google宣布BeyondCorp項(xiàng)目順利完成，這便是基于零信任理念而實(shí)踐出的新一代網(wǎng)絡(luò)安全架構(gòu)[6]。隨后各大企業(yè)、安全廠商也都緊跟科技的浪潮，積極投身到零信任的方案研發(fā)和改進(jìn)的工作中。

Google認(rèn)為，現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)缺少對(duì)內(nèi)部網(wǎng)絡(luò)流量的檢查。一旦流量經(jīng)過了防火墻或VPN的安全檢查策略，那么內(nèi)部的所有網(wǎng)絡(luò)數(shù)據(jù)均暴露在面前。這樣的一種局面迫使我們需要將安全控制的實(shí)施點(diǎn)盡可能地前推到網(wǎng)絡(luò)邊緣。同時(shí)，將整個(gè)系統(tǒng)架構(gòu)分為控制域和數(shù)據(jù)域，數(shù)據(jù)域接收并執(zhí)行控制域下發(fā)的策略和指令?？傮w的思想是，通過一個(gè)權(quán)威的、可信的控制中心，基于人、終端、環(huán)境、行為等多個(gè)維度來執(zhí)行認(rèn)證、授權(quán)、實(shí)時(shí)的訪問控制等操作。

零信任模型打破了傳統(tǒng)網(wǎng)絡(luò)邊界防護(hù)思維，傳統(tǒng)網(wǎng)絡(luò)安全體系專注于網(wǎng)絡(luò)邊界防御，假定邊界內(nèi)的任何人員、設(shè)備是可信的，攻擊者一旦突破網(wǎng)絡(luò)邊界防御，就可以在內(nèi)部為所欲為。云計(jì)算環(huán)境中，網(wǎng)絡(luò)邊界變得越來越模糊，傳統(tǒng)的基于網(wǎng)絡(luò)邊界的訪問控制難以奏效 [7]。

零信任安全體系將身份作為新的安全邊界，通過多因子身份認(rèn)證、身份與訪問管理（IAM）、編排、分析、加密、安全評(píng)級(jí)和動(dòng)態(tài)權(quán)限調(diào)整等技術(shù)來確定用戶是否有權(quán)限訪問內(nèi)部應(yīng)用、數(shù)據(jù)、服務(wù)等，實(shí)現(xiàn)對(duì)數(shù)據(jù)“可用可見、可用不可見、不可用不可見”的統(tǒng)一授權(quán)管理。

2.2 基于零信任網(wǎng)絡(luò)安全模型架構(gòu)

2.2.1 方案組成

本文中，將零信任體系理解為實(shí)現(xiàn)對(duì)數(shù)據(jù)和功能兩大核心資產(chǎn)訪問的行為進(jìn)行精細(xì)化控制，將人、設(shè)備、服務(wù)和應(yīng)用的身份均統(tǒng)一抽象成主體身份，通過主體身份的屬性進(jìn)行動(dòng)態(tài)鑒證和鑒權(quán)，實(shí)現(xiàn)對(duì)數(shù)據(jù) “可用可見、可用不可見、不可用不可見”等狀態(tài)的統(tǒng)一授權(quán)管理。

本文中提到的網(wǎng)絡(luò)架構(gòu)方案適用于各級(jí)用戶匯聚節(jié)點(diǎn)與數(shù)據(jù)匯聚節(jié)點(diǎn)之間。在平臺(tái)兩側(cè)分別建設(shè)安全防護(hù)區(qū)，通過統(tǒng)一威脅防護(hù)設(shè)備，如防火墻等實(shí)現(xiàn)安全互聯(lián)。總體來看，基于零信任的網(wǎng)絡(luò)架構(gòu)有賴于身份管理中心、權(quán)限管理中心、認(rèn)證管理中心、終端環(huán)境感知以及常規(guī)的防火墻、安全漏洞掃描、蜜罐、用戶行為分析、數(shù)據(jù)隔離與交換系統(tǒng)等能力的建設(shè)，并與安全管理中心的業(yè)務(wù)安全策略控制相結(jié)合，形成動(dòng)態(tài)、持續(xù)、閉環(huán)的業(yè)務(wù)訪問安全，最終形成用戶訪問后端數(shù)據(jù)的通路。具體來看，本文受篇幅所限，僅對(duì)安全接入網(wǎng)關(guān)、安全接入網(wǎng)關(guān)管理中心、統(tǒng)一身份管理系統(tǒng)和統(tǒng)一權(quán)限管理系統(tǒng)這四個(gè)部分做詳細(xì)闡釋，其余部分暫不涉及[8]。

零信任安全體系是一個(gè)動(dòng)態(tài)閉環(huán)安全體系。如圖3所示，安全接入網(wǎng)關(guān)是整個(gè)體系中重要的策略執(zhí)行點(diǎn)?？尚沤尤刖W(wǎng)關(guān)通過與終端環(huán)境感知、統(tǒng)一身份管理系統(tǒng)和統(tǒng)一權(quán)限管理系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)用戶身份的統(tǒng)一管理、動(dòng)態(tài)的權(quán)限控制和策略執(zhí)行。

用戶通過零信任安全體系，訪問后端應(yīng)用的信息流轉(zhuǎn)如圖4所示。首先用戶訪問安全接入網(wǎng)關(guān)地址或域名，安全接入網(wǎng)關(guān)向安全接入代理管理中心發(fā)起認(rèn)證請(qǐng)求。安全接入代理管理中心向后端的認(rèn)證服務(wù)、身份管理服務(wù)、授權(quán)服務(wù)發(fā)起認(rèn)證申請(qǐng)，并將返回的用戶認(rèn)證結(jié)果Token同步到安全接入網(wǎng)關(guān)，用以判斷該用戶是否有權(quán)限訪問該網(wǎng)絡(luò)環(huán)境。在用戶整個(gè)訪問的過程中，有終端環(huán)境感知持續(xù)對(duì)該用戶、設(shè)備、行為進(jìn)行實(shí)時(shí)的感知和監(jiān)控，一旦發(fā)現(xiàn)異常并觸發(fā)了預(yù)設(shè)的阻斷策略，即向安全接入代理管理中心發(fā)起異常通知，并由安全接入代理管理中心下發(fā)阻斷訪問的通知，實(shí)現(xiàn)用戶訪問全流程的管控。

如果希望對(duì)數(shù)據(jù)訪問進(jìn)行更加精細(xì)顆粒度的訪問控制，可以在應(yīng)用之前加設(shè)安全API網(wǎng)安，實(shí)現(xiàn)單一應(yīng)用接口級(jí)的訪問控制。流程如圖5。

安全接入代理管理中心同時(shí)向后端的認(rèn)證服務(wù)、身份管理服務(wù)、授權(quán)服務(wù)申請(qǐng)用戶Token和應(yīng)用Token，認(rèn)證及授權(quán)完成后，經(jīng)過WAF系統(tǒng)進(jìn)行Web安全檢測(cè)和防護(hù)，訪問安全API網(wǎng)關(guān).安全API網(wǎng)關(guān)通過安全接入代理管理中心進(jìn)行應(yīng)用接口鑒權(quán)。鑒權(quán)通過后，安全API網(wǎng)關(guān)轉(zhuǎn)發(fā)API接口調(diào)用至后端應(yīng)用數(shù)據(jù)，用戶成功訪問應(yīng)用。

2.2.2 安全接入網(wǎng)關(guān)

安全接入網(wǎng)關(guān)主要用于完成基于設(shè)備證書、用戶證書的訪問流量控制。通過與安全網(wǎng)關(guān)管理中心建立https雙向認(rèn)證的連接，接收來自管理中心發(fā)送的管理指令，例如服務(wù)更新、服務(wù)配置、路由信息、安全策略等，并上報(bào)業(yè)務(wù)日志數(shù)據(jù)、狀態(tài)信息。安全接入網(wǎng)關(guān)根據(jù)所接收到的路由策略、負(fù)載均衡策略、安全策略等信息，結(jié)合身份管理中心、授權(quán)管理中心、WAF等平臺(tái)，完成用戶訪問受控服務(wù)的路由代理，完成用戶、終端、受控服務(wù)的鑒權(quán)[9]。

2.2.3 安全接入網(wǎng)關(guān)管理中心

安全接入網(wǎng)關(guān)依賴安全接入網(wǎng)關(guān)管理中心，以實(shí)現(xiàn)統(tǒng)一的配置管理以及狀態(tài)監(jiān)控等功能，完成對(duì)所有部署的安全接入網(wǎng)關(guān)設(shè)備進(jìn)行管理、維護(hù)、日志審計(jì)工作。

安全接入網(wǎng)關(guān)管理中心分為九個(gè)模塊，分別為：安全網(wǎng)關(guān)集中配置管理、會(huì)話管理、風(fēng)險(xiǎn)感知分析、權(quán)限變更訂閱、身份認(rèn)證對(duì)接、權(quán)限管理對(duì)接、權(quán)限判定、風(fēng)險(xiǎn)聯(lián)動(dòng)通報(bào)、日志審計(jì)。

2.2.4 統(tǒng)一身份管理系統(tǒng)

在“零信任”的架構(gòu)下，人、設(shè)備、應(yīng)用、服務(wù)、崗位、機(jī)構(gòu)、身份類型等自然實(shí)體都必須在身份管理中心中注冊(cè)并形成數(shù)字化身份，確保實(shí)體都對(duì)應(yīng)一個(gè)唯一的數(shù)字身份，并關(guān)聯(lián)一系列身份屬性，為每個(gè)數(shù)字身份簽發(fā)數(shù)字證書[10]。通過身份的全生命周期管理，確保身份的發(fā)現(xiàn)、登記、使用、銷毀可控可管。

用戶可根據(jù)自身的情況，選擇并采用數(shù)字證書、生物特征、單點(diǎn)登錄、FIDO等技術(shù)手段實(shí)現(xiàn)統(tǒng)一安全認(rèn)證服務(wù)，實(shí)現(xiàn)數(shù)字證書、生物特征（人臉、指紋、聲紋等）、行為特征等認(rèn)證憑證與身份關(guān)聯(lián)管理，為身份鑒別提供基礎(chǔ)服務(wù)支撐。

2.2.5 統(tǒng)一權(quán)限管理中心

權(quán)限管理中心提供權(quán)限審批管理、鑒權(quán)、授權(quán)管理服務(wù)，提供設(shè)備到網(wǎng)絡(luò)、用戶到應(yīng)用、接口到數(shù)據(jù)的權(quán)限映射功能。

統(tǒng)一權(quán)限管理系統(tǒng)包含：授權(quán)預(yù)審、工作流子系統(tǒng)、授權(quán)處理引擎、授權(quán)分析引擎、授權(quán)管理、授權(quán)信息引擎、權(quán)限服務(wù)接口幾個(gè)部分。

授權(quán)審批：接收外部授權(quán)請(qǐng)求，通過工作流支持引導(dǎo)用戶完成在線動(dòng)態(tài)授權(quán)。

工作流子系統(tǒng)：提供工作流引擎和工作流視圖化管理功能，包括工作流設(shè)計(jì)、表單設(shè)計(jì)等功能。工作流子系統(tǒng)按預(yù)定規(guī)則將權(quán)限申請(qǐng)信息傳遞至相關(guān)人員完成審批操作。

授權(quán)處理引擎：對(duì)外部授權(quán)請(qǐng)求進(jìn)行實(shí)時(shí)授權(quán)處理，基于授權(quán)庫的多維屬性和授權(quán)信息引擎提供的實(shí)時(shí)信息反饋進(jìn)行授權(quán)判斷。

授權(quán)分析引擎：通過策略、風(fēng)險(xiǎn)、屬性等因素動(dòng)態(tài)計(jì)算，為訪問動(dòng)態(tài)授權(quán)引擎提供動(dòng)態(tài)的授權(quán)因子。

授權(quán)管理：提供規(guī)則、策略、屬性等基礎(chǔ)信息管理功能，支持工作流引擎。

授權(quán)信息引擎：對(duì)統(tǒng)一身份管理系統(tǒng)、分析平臺(tái)的外部屬性信息進(jìn)行對(duì)接同步和信息整合。

權(quán)限服務(wù)接口：提供外部授權(quán)接口和協(xié)議適配能力。

2.2.6 動(dòng)態(tài)訪問控制

在接入終端部署可信環(huán)境感知客戶端，具備安全狀態(tài)可信環(huán)境感知能力，能夠采集終端上的各種安全狀態(tài)信息，如漏洞修復(fù)情況、病毒木馬情況、危險(xiǎn)項(xiàng)情況、安全配置以及終端各種軟硬件信息，具備設(shè)備識(shí)別、終端保護(hù)、自我保護(hù)、安全狀態(tài)感知。

可信環(huán)境感知系統(tǒng)能夠?qū)踩燃?jí)信息實(shí)時(shí)傳送給安全接入代理管理中心，當(dāng)環(huán)境信息不符合要求時(shí)，安全接入代理管理中心可下發(fā)策略給安全接入代理，實(shí)現(xiàn)對(duì)終端訪問的實(shí)時(shí)阻斷。在用戶訪問的全流程中，持續(xù)監(jiān)測(cè)評(píng)估終端、用戶行為、網(wǎng)絡(luò)等環(huán)境的安全狀態(tài)，實(shí)現(xiàn)身份的持續(xù)認(rèn)證及動(dòng)態(tài)權(quán)限調(diào)整。

3 總結(jié)

零信任安全的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問控制，全面身份化是實(shí)現(xiàn)零信任安全架構(gòu)的前提和基石，本文提出的零信任網(wǎng)絡(luò)安全模型架構(gòu)正是基于全面身份化，為零信任網(wǎng)絡(luò)的人、設(shè)備、應(yīng)用、系統(tǒng)等物理實(shí)體建立統(tǒng)一的數(shù)字身份標(biāo)識(shí)和治理流程，并進(jìn)一步構(gòu)筑動(dòng)態(tài)訪問控制體系，將安全邊界延伸至身份實(shí)體，實(shí)現(xiàn)安全架構(gòu)的關(guān)口前移，這也符合當(dāng)今網(wǎng)絡(luò)安全發(fā)展的趨勢(shì)，值得我們進(jìn)行更進(jìn)一步的研究。

參考文獻(xiàn)：

[1] 李俊，柴海新.數(shù)字身份安全治理研究[J].信息安全研究，2021，7（7）：598-605.

[2] 呂波.以零信任技術(shù)為指導(dǎo)的數(shù)據(jù)安全體系研究[J].現(xiàn)代信息科技，2020，4（12）：126-130，133.

[3] 何偉，王曉磊，郭江濤，等.電力終端可信身份認(rèn)證技術(shù)研究與應(yīng)用[J].通訊世界，2020，27（4）：131-132.

[4] 尹蕊，高陽，李凱，等.身份認(rèn)證技術(shù)在電力行業(yè)移動(dòng)應(yīng)用中的應(yīng)用[J].中國(guó)新通信，2020，22（10）：116.

[5] 魏小強(qiáng).基于零信任的遠(yuǎn)程辦公系統(tǒng)安全模型研究與實(shí)現(xiàn)[J].信息安全研究，2020，6（4）：289-295.

[6] 王斯梁，馮暄，蔡友保，等.零信任安全模型解析及應(yīng)用研究[J].信息安全研究，2020，6（11）：966-971.

[7] 胡印科.零信任技術(shù)及其在信息網(wǎng)絡(luò)安全方面的應(yīng)用[J].中國(guó)新通信，2020，22（19）：118-119.

[8] 田由輝.基于零信任架構(gòu)的網(wǎng)絡(luò)安全防護(hù)思路[J].信息技術(shù)與信息化，2020（5）：154-157.

[9] 翟勝軍.新媒體時(shí)代的網(wǎng)絡(luò)安全發(fā)展趨勢(shì)——身份零信任，業(yè)務(wù)流安全[J].中國(guó)傳媒科技，2020（1）：7-9.

[10] 蔡冉，張曉兵.零信任身份安全解決方案[J].信息技術(shù)與標(biāo)準(zhǔn)化，2019（9）：46-49.

【通聯(lián)編輯：代影】