零信任安全架构及应用研究*

刘 欢，杨 帅，刘 皓

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引言

随着企业数字化转型的逐渐深入，特别是移动互联网、大数据、云计算、微服务为代表的新一代信息化建设愈演愈烈，伴随而来的网络安全风险及威胁也日益复杂，APT 攻击、身份假冒、内部威胁等新型网络攻击手段层出不穷，给数字时代的信息安全带来了严峻的挑战。

为了解决传统的基于网络边界建立安全防护带来的诸多问题，由研究机构Forrester 的首席分析师JohnKindervag 于2010 年首次提出了“零信任网络”的概念。零信任是一种全新的安全理念，它对网络安全进行了范式上的颠覆，打破了网络边界的概念，引导网络安全体系架构从网络中心化向身份中心化的转变，实现对用户、设备和应用的全面、动态、智能访问控制，建立应用层面的安全防护体系。谷歌公司早在2011 年便启动了名为BeyondCorp 项目[1]，旨在将零信任架构应用于客户分布式访问业务。2019 年9 月，工信部公开征求对《关于促进网络安全产业发展的指导意见》的意见中，明确将“零信任安全”列入网络安全亟需重点突破的关键技术。

本文首先分析了传统网络边界防护体系的诸多缺陷，并详细阐述了零信任安全网络架构，以及涉及的关键功能组件和技术，在此基础上，以移动远程办公应用为例，提出了基于零信任架构的安全防护应用解决方案。

1 传统网络边界防护存在的问题

传统的网络安全结构专注于对网络边界的监管和防御，以边界模型为基础而逐渐完善，它的核心理念是分区、分层防护，目标是试图把攻击者阻挡在可信的内部网络之外，具有强大的纵深防御能力。传统网络边界防护模型如图1 所示。

图1 传统网络边界防护模型

典型边界防护模型通过把网络划分为不同区域，不同区域授予了一定程度的信任。能够被远程访问的应用服务器等高风险资源，被部署在可信区或特权区，通过部署在边界隔离区的防火墙、IPS和VPN 网关等安全设备对进入网络流量进行严格监控，目的是构建基于网络边界的外围防御，从而一定程度确保隔离区以内私有网络的安全。

这种传统的网络分区和城墙式隔离防护模型，至今仍然作为主流网络安全防护架构发挥着积极作用，但是随着网络规模的爆发式增长和网络攻击手段越来越多样化、隐蔽化，一个网络即使采用了完备的边界防御措施，仍然存在被攻陷的风险。边界防护模型缺陷主要表现为以下几个方面。

（1）缺乏网络内部防护

基于边界的防护策略采用严格监控机制，对外网流量进行严格访问控制，试图在私有网络和外网之间建立一堵防护墙，同时默认私有网络内部是安全的，并为受保护的内部网络赋予一定程度的信任，私有网络内部主机自我保护能力较弱。这种城墙式防护模式无法有效阻止从内部网络发起的攻击，比如传统的边界VPN 提供的安全防护能力，当网络流量穿透隔离区后就会失效。攻击者在突破外部防御后，能够利用私有网络内部漏洞和管理缺陷，获取某主机权限，近而采用横向移动方式对更高级别安全域服务实施攻击。

（2）存在单点部署失效

在网络边界采用分布式部署安全设备，构建的广域城墙式防御体系，随着网络规模的增大以及不同安全等级和防护水平的异构网络互通互联，扩大了网络攻击面。攻击者通过集中攻破安全防御能力较弱的某些部署点，从而绕过具有较强安全防御网络边界，对网络内部实施攻击，使得整体网络边界防御体系崩塌。

（3）缺乏全局安全策略

传统边界防护机制规定了不同安全区域的访问控制规则，比如对来自不可信区的网络交互流量，通常采用基于密码技术的强制身份认证及访问控制，对可信区内部的网络流量、用户访问等则基于一定程度的信任机制，采用弱化的安全策略控制，基本畅通无阻。这种差异化的安全控制策略，使得攻击者不必强行攻破边界防护，而可以将恶意软件远程投递到网络内部，在获得访问权限后，利用内部策略控制漏洞发起网络攻击。

上述问题产生的原因归根到底是由于传统网络边界构建的安全防护体系，是基于“私有网络内部的系统和网络流量是可信的”这一假设。随着云计算、移动计算等新型数字基础设施建设加速，IT 技术架构发生了剧烈变革，网络扁平化以及无边界化趋势，使得不可信网络区域和安全可信的私有网络区域界限愈发模糊，从而引导网络安全体系架构，逐渐从以网络为中心的分层防护，向以身份为中心的全域访问控制转变。

2 零信任安全网络架构研究

2.1 零信任概念和基本特征

零信任网络以保护服务数据安全为目标，旨在解决“基于网络边界建立信任”这种理念本身固有的问题。它强调网络是不可信的。它将网络防御的边界缩小到单个或更小的资源组，不再根据网络区域位置授予预设信任权限，将防护措施从传统的网络层面扩展到应用层面。

零信任安全本质是以身份为中心进行动态访问控制，构建从访问主体到目标客体之间的端到端，具有最小访问授权的网络安全防护机制。

零信任网络的基本概念建立在以下5 个基本假定之上[2]：

（1）网络无时无刻不处于危险环境中。

（2）网络中自始至终存在外部或内部威胁。

（3）网络位置不足以决定网络的可信程度。

（4）所有设备、用户和网络流量都应当经过认证和授权。

（5）安全策略必须是动态的，并基于尽可能多的数据源进行计算。

相比传统的网络边界防护对象，零信任网络将威胁源从网络外部延伸至网络内部，将网络中一切行为实体均视为不可信，将边界模型中的“信任但验证”转换到“从不信任，始终验证”的模式。相应地，零信任安全网络具有如下关键特征：

第一，多维身份认证。零信任网络中，身份认证的概念不再局限于对单一用户认证或设备进行认证，而是将用户信息、设备信息、网络流量以及应用访问行为均作为广义身份认证对象，对多维度身份组合，进行强制持续认证。

第二，动态访问控制。零信任网络是建立在身份认证和授权重构的访问控制基础上，并且访问策略机制不是静态不变，它基于网络业务活动众多属性来实时分析当前访问风险，并动态的调整控制策略和访问权限来应对网络攻击。

第三，可变信任管理。零信任网络摈弃了传统的基于角色和权限预分配的静态策略方式，采用细粒度信任度量机制，对网络访问业务活动进行持续监控，并据此不断更新网络访问实体的信任评分，并根据信任评分高低，赋予实体最小访问权限。

2.2 零信任安全架构

美国国家标准技术研究院（NIST）对零信任架构定义为：零信任架构提供一系列概念、理念、组件及其交互关系，已便消除针对信息系统和服务进行精准访问判定所存在的不确定性[3]。文献[4-5]分别从逻辑组件和技术方案层面研究了零信任架构的参考模型。

总的来说，零信任模型采用身份管理基础设施、数据平面、控制平面三层架构，实现访问主体到目标客体的端到端安全控制。零信任安全架构如图2所示。

图2 零信任安全架构

身份管理基础设施作为权威、可信的第三方，是实现零信任架构以身份为中心的关键支撑。它负责为零信任网络提供网络实体统一身份认证、公钥证书签发及身份全生命周期管理等功能。

控制平面和数据平面为零信任架构核心支撑系统。其中控制平面实现对访问主体的策略制定、信任管理和持续动态访问授权等；数据平面由控制平面指挥和配置，接收来自控制平面下发的管控策略和网络参数，实现对具体网络访问请求的策略控制执行。

采用控制平面和数据平面分离设计，有效地缩小了网络攻击面，降低了零信任架构的安全风险，同时能够更有效地对访问实施策略管控。

2.3 关键功能组件

零信任安全在多维身份认证的基础上，通过强化授权和信任管理，重构访问控制安全架构。其关键功能组件包括策略执行引擎、授权策略引擎和信任评估引擎等，各功能组件通常由各专用设备或子系统组成，通过协同配合，支撑零信任网络的安全能力。

（1）策略执行引擎

策略执行引擎配置于数据平面，负责拦截网络访问请求，同时通过和授权策略引擎组件交互，完成对该访问的授权决策，并根据决策结果，强制执行。只有通过认证，并且具备访问权限的请求才被予以访问目标客体。此外策略执行引擎还能够针对网络流程，动态配置加密算法参数、加密隧道等参数，对网络流量实施加密保护，支持高性能和安全性的弹性功能伸缩。

（2）策略授权引擎

策略授权引擎部署在控制平面，和策略执行引擎联动，对访问授权请求进行动态授权判定，并将决策结果返回策略执行引擎组件强制执行。这种控制平面和数据平面的分离部署方式，能够支持实施、动态、按需的授权决策，同时有效地缩小了网络攻击面，降低了零信任架构的安全风险。

（3）信任评估引擎

信任评估引擎组件同样部署在控制平面，和策略授权引擎联动，基于一定算法，结合网络上下文、基本属性及访问机制等安全要素，对网络实体及访问请求风险进行量化评估，策略授权引擎根据信任评估水平，近一步生成授权决策，确定网络活动的合法性。

2.4 关键技术

零信任安全网络在控制平面和数据平面分离设计的基础上，采用了包括网络代理、可变信任评估和动态访问控制等关键技术，共同构建零信任安全防护体系。

（1）网络代理技术

网络代理技术是在用户和设备成功通过认证的基础上，将包括用户、应用程序以及设备等网络身份实体信息进行整合后，作为访问请求唯一主体，提供的实时访问控制依据。

网络代理代表了用户信息、设备状态、网络地址、业务上下文以及访问时间、空间位置等各个维度的身份实体属性，在授权申请时刻的实时状态。具有即时性特征，在申请授权时按需临时产生。这种对多维度身份属性，执行整体申请授权的访问机制，有效地避免了对每个单一属性授权的复杂性，同时降低基于单一维度实施访问授权的漏洞风险。

（2）可变信任评估技术

可变信任评估技术对网络代理提供的多维度实时属性信息，进行实时信任评估和分析，通过持续量化评估网络活动风险等级，为访问授权提供判断依据。

该技术在使用了静态规则匹配的基础上，还采用机器学习、人工智能等技术，通过对网络活动数据特征提取、模型训练等过程，构建信任评估模型，利用模型输出和人工定义风险评分，实现模型的验证和评估，并正向反馈至评估模型，提升模型分析准确性，增强信任评估的智能化水平和准确性，应对日益复杂的未知网络威胁。

（3）动态访问控制技术

传统访问控制基于网络实体定义和预分配的二值判定策略，通常利用静态授权规则，以及黑白名单等手段，对业务访问执行一次性评估。而零信任架构采用安全和易用平衡的持续度量，执行动态访问控制，基于可变信任评估，访问主题的授权范围会根据过去和当前行为、身份信息及网络环境的等因素影响，不断变化，对每次业务访问动态实施最小授权，解决了传统静态控制机制下，安全策略动态性不足问题，增强了零信任网络防御任意威胁的能力。

3 零信任网络安全应用研究

3.1 远程移动办公应用安全风险

随着信息技术发展，移动远程办公已成为一种新型高效办公模式，在2020 年初新冠疫情爆发的情况下，越来越多的企业选择了移动远程办公，一方面，有效地促进了企业复工复产，同时对抑制了疫情的近一步集中爆发，起到了积极作用。

但另一方面，由于远程办公涉及到不同种类的用户终端，以及公共网络传输环境的复杂性，使得企业敏感信息在访问、处理、传输、应用等过程中，存在着很大的信息安全风险，安全成为了移动远程办公亟需解决的关键问题，主要表现为以下几方面。

（1）网络开放性增加

目前远程移动办公多采用基于公共互联网设施，建立企业VPN 通道，实现对企业内部服务的远程访问。这种建立在公开网络基础上的信息交换，使得内外网络边界更加模糊化，增加了网络攻击面，通过VPN 访问的方式，本质上还是利用传统的边界防护的思想，企图在企业内网和互联网之间建立牢固的“护城河”。

（2）接入设备多样性增加

远程移动办公允许员工使用包括智能手机、办公平板、家用PC 机等多种类型用户终端，随时随地登录访问服务。各种接入设备的身份管理强度、设备安全性均参差不齐。通过这些用户终端实施远程访问，给企业内网带来了极大安全隐患。

（3）业务传输复杂性增加

远程移动办公将之前企业内部流通的业务信息，完全暴露在公共网络上，愈发复杂的业务处理，使得企业敏感数据和个人数据在网络上频繁传输，增加了数据泄漏和滥用的风险。

3.2 基于零信任的企业移动远程办公安全架构

针对远程移动办公应用迫切的安全防护需求，零信任安全架构利用多维身份认证、持续信任管理和动态访问控制等关键能力，并结合企业当前的信息化网络建设现状，构建基于零信任的企业移动远程办公安全架构，如图3 所示。

图3 基于零信任的移动远程办公安全架构

信任评估服务器和访问授权系统构成零信任网络架构的控制平面；数据平面由目前已部署的直接处理网络流量的防火墙、IDS 入侵检测等安全设备以及应用服务网关组成；企业统一身份认证系统、数字证书管理系统等，构成企业身份管理基础设施。

智能手机、办公平板和PC 客户端等各类远程访问终端，通过公共互联网接入企业内网时，数据平面捕获网络访问，首先对用户和设备进行身份认证，认证成功后向控制平面发起访问授权请求。控制平面组件检查请求相关数据，采用细粒度业务管控策略，分析评估访问主体的信任度，确定访问授权级别，同时将授权判定结果，以控制策略方式下发，重新配置数据平面，对请求授予最小访问权限。在获取访问许可后，远程访问终端可通过数据平面访问企业内部应用服务和数据信息。

采用零信任网络架构，增强企业远程移动办公应用安全防护能力，能够有效地缓解端到端的应用访问风险，为企业常态化远程办公以及近一步的数字化转型保驾护航。

4 结语

数字新时代下，异构网络之间互联互通愈发频繁，企业内外网界限的越发模糊，同时随着网络攻防技术的不断发展，传统的基于网络边界的安全防护策略，已难以应对层出不穷的网络攻击。采用以身份为中心的零信任安全架构，利用基于多维属性的可变信任管理、最小授权的动态访问控制，构建“端到端”的应用安全防护体系，将逐渐成为企业网络安全发展新趋势，推动企业网络安全架构的转型和变革。