零信任网络初识

概述

“零信任网络”是在2010年被Forrester的首席分析师JohnKindervag提出，他认为：“企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。”这个概念一经提出就饱受争议，有人说其是这是安全产品未来趋势，也有人担心这个概念难以落地而不被看好，然而随着底层组件技术的不断发展，这个概念也被逐步验证成为现实。

什么是零信任网络？

在谈到“零信任”前不得不提到“基于网络边界建立信任”的理念，传统网络安全防护大都通过在网络边界部署防火墙、IDS、入侵监测系统等防护设备，对企业网络层层防护，从外向内地将攻击拦截在外从而保障企业网络的安全。然而现在的网络架构和使用模式正在对这种基于边界的防护策略发起挑战：缺乏内部流量的检查、主机部署缺乏物理和逻辑上的灵活性、存在单点故障。

比如：位于网络防护边界之外的远程用户和移动设备的接入，云上资产的访问与防护等问题，一旦某个单点被突破，就给了攻击者横行移动、进一步入侵的可能，传统防护策略逐渐显得力不从心。

零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型的核心思想是不基于网络位置建立信任，任何在授权前的人/设备/应用程序都视为不被信任的、在访问数据前都应取得信任，细粒度数据访问权限，采用最小权限原则，将网络防御的对象从边界缩小到了单个或者更小的资源组。

如果把企业网络比作一座城的话，那么传统边界防护就是给城修城墙、设栅栏，而在零信任网络下就是给一个城市居民配置一名守卫兵。传统基于边界访问的“城墙”不会消失——它还能抵御大部分入侵，仅靠配置“守卫兵”的方式又回占用太多的资源和带宽，两者还需在实用性和安全性上作出平衡。

零信任网络架构逻辑

在组织和企业中，构成零信任架构部署的逻辑组件通常有很多，《NIST SP800-207:零信任架构草案》中描述了一种典型的方案逻辑及核心产品组件：

策略引擎（Policy Engine, PE）：组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源（例如IP黑名单，威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问，策略引擎的核心作用是信任评估。

策略管理器（Policy Administrator, PA）：组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关，并依赖于其决定最终允许或拒绝连接，策略管理器的核心作用是策略判定点，是零信任动态权限的判定组件。

策略执行点（Policy Enforcement Point, PEP）：这实际上是一个组件系统，负责开始，持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件：客户端组件（如用户笔记本电脑上的agent）与资源端组件（如资源前控制访问的网关），策略执行点确保业务的安全访问。

除了以上核心组件外，还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源，具体包括：

• 持续诊断和缓解计划（continuous diagnostics and mitigation，CDM）系统
• 行业合规系统（Industry Compliance System）
• 威胁情报流，该系统提供帮助策略引擎进行访问决策的信息
• 数据访问策略
• 企业公钥基础设施（PKI）
• ID管理系统。系统负责创建、保存和管理企业用户帐户和身份记录
• 安全应急和事件管理系统（SIEM）

零信任网络技术组件

零信任技术需要根据用户身份、用户所处位置、上下文信息和其他数据等条件，利用微隔离和细粒度边界规则，来确定是否信任请求企业特范围访问权的用户/主机/应用。首先是建立资产清单库，至少包括用户清单库、设备清单库。且能够根据企业组织架构调整、人员变动、设备丢失等情况对资产进行生命周期管理，且动态维护相关联的属性特征。如人员职级、角色，设备证书状态、设备是否安装了最新的补丁等。

身份认证可以对现有技术进行融合，如多因子身份验证(MFA)、可信身份认证（FIDO）、身份与访问管理(IAM)、SSO等。
需要做到：
做到细粒度权限访问：

• 最小权限原则
• 终端数据隔离
• 应用资产隐藏

内网流量也要求全部加密。通过TLS、IPSec等技术创建安全通道，并通过PKI/CA/X.509等基础设施实现流量的保密性和完整性。同时，所有流量必须被记录和监控。

自学习、自适应的动态模型。利用机器学习，通过用户及实体行为分析(UEBA)识别异常行为等。
除了技术方面，人的观念转变和高层支持更加重要。否则，零信任根本难以起步。

零信任架构部署形式

基于网关的零信任架构

简介

经典的网关型架构，由一个或多个组件构成。网关放置在资源前面，强制资源只能和网关通信。并管控可信代理访问网关的行为。

执行流程

• 企业配发移动端，访问资源的流量由可信代理转发到网关的策略管理器。
• 策略管理器转发给策略引擎评估请求的安全性。
• 若请求被授权则创建通信通道（TLS加密)代理设备和网关建立通道;

基于SASE的零信任架构

简介

ZTNA零信任安全网络访问模型，重点在网关的基础上重点基于身份和上下文的逻辑访问边界服务，强调链接之前先验证,提升可信网络+访问体验优化。

执行流程

• 设备代理向网关发起请求并注册成为可信设备;
• 网关基于设备安全性和身份双重验证请求者;
• 建立加密隧道并由就近POP点接入云上网关;
• 实时对访问请求进行检测和判断;
• 由网关判断请求资源是否被允许;

基于端安全的零信任架构

简介

以解决端端的安全性为重点，如防病毒、资产管理、补丁管理。再配合网关进行资源的安全访问。

执行流程

• 传统终端杀毒安全管理实时在端的环境上进行检测;
• 通过终端代理与网关建立访问通信隧道;
• 当终端环境符合接入的基线要求时允许访问;

基于IAM的零信任架构

简介

以身份验证和访问控制授权为重点，在4A的基础上增加对于应用的管控。确保访问者是合法员工且访问权限是最小授权模式。

执行流程

• 验证访问者身份，并配合MFA对访问者进行高级别的安全验证;
• 验证通过后执行最小授权;
• 当员工需要访问其他资源时进行权限的申请;
• 当员工离职时权限自动收回确保无僵尸账号等。

基于应用沙箱的零信任架构

简介

基于RBI技术解决安全的数据访问，网关把用户跟数据隔离开，访问数据通过远程服务器访问机数据仅落在远程服务器上，不落在本地。

执行流程

• 客户端代理通过RBI访问到远程服务器环境;
• 远程服务器事前对接好应用和数据;
• 所有访问在沙箱里进行;若需要数据的拷贝和删除等高危操作单独申请。