网络如何支持零信任架构

■ 北京 李先龄

编者按：零信任方法种类繁多，可以在主机操作系统、软件容器虚拟网络、虚拟机监视器或具有SDP或IAP的虚拟云基础架构中实施。本文探讨用户网络如何支持和实施零信任架构。

简而言之，零信任要求验证每个试图访问网络的用户和设备，并执行严格的访问控制和身份管理，以限制那些授权的用户仅能访问其权限之内的资源。

零信任是一种体系架构。因此，有许多潜在的解决方案可用，但这只是适用于网络领域的一种解决方案。

最小特权

零信任的一个广泛原则是最小特权，即授予访问者仅能够访问有关资源的最小的权限。那么如何实现这一目的呢？

一种方法是网络分段，它可以基于身份验证、信任、用户角色和拓扑将网络分隔开来。如果得到有效实施，它可以隔离某个网段上的主机，并最大程度地减少其横向或东西向通信，从而在主机受到损害时将损失限制在一定范围。由于主机和应用程序只能访问它们有权访问的有限资源，因此分段可以防止攻击者进入网络的其他部分。

实体（个人或设备等）根据上下文被授予访问权限，并被授权访问资源——个人是谁？使用什么设备访问网络？其位置、通信方式以及访问目的是什么？

还有其他强制分割的方法，最传统的方法之一是物理隔离。物理隔离是通过将专用安全设备对网络及主机等进行物理上的隔离，并设置为不同的安全级别。尽管这是一种久经考验并证明比较有效的方法，但为每个用户的信任级别和角色构建完全独立的环境可能会非常昂贵。

二层分段

另一种方法是二层分段，其中最终用户及其设备是通过设备和访问交换机之间的内联安全过滤来进行隔离。但是在每个用户和交换机之间安装防火墙可能成本会非常高。

还有一种方法是基于端口的网络访问控制，该方法可基于身份验证或通过请求方证书来授予访问权限，并将每个节点分配给三层VLAN。

以上这些类型的方法通常是通过802.1X标准和可扩展的身份验证协议，部署在有线和无线访问网络。但是企业可能并不会利用供应商，诸如全套最终用户角色、身份验证凭据、设备配置文件和高级流量过滤，来根据用户的可信度对用户进行细分。如果用户按照这些方式进行部署，那么其安全性会得到大大增强。

三层分段

创建应用程序隔离区的常用方法包括将接入线缆和端口分离到三层VLAN中，并执行内联过滤。可以通过网络设备（例如路由器）来执行过滤，也可以通过对用户身份和角色有一定认知的状态防火墙或代理服务器来执行。一个典型的示例是标准的三层Web应用程序体系架构，其中Web服务器、App服务器和数据库服务器位于单独的子网中。

由此之后的是网络切片（Network Slicing），是通过SDN方式将网络在逻辑上分为多个切片，类似于虚拟路由和上下文转发。

当前的做法是为每台服务器分配自己的IPv4子网或IPv6/64前缀，并将其子网发布给网络路由器。该服务器子网内的所有流量都是该服务器内的本地流量，因此该主机内的虚拟网络上不会发生其他渗透行为。

将流量封装在IP网络顶部运行的覆盖隧道中也可以实现网段隔离，这可以通过多种方式来完成，其中包括虚拟可扩展LAN、使用通用路由封装的网络虚拟化、通用网络虚拟化封装、无状态传输隧道和TSO（TCP segmentation offload）技术。

数据包标记——使用内部标识符标记数据包——可用于在接口之间建立信任关系，并根据其身份和授权隔离最终用户设备的数据包。可以标记协议，包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec。分段路由则是在IPv6数据包中使用特殊的路由头部来控制MPLS或IPv6网络上的通信路径。

建议

美国国家标准技术研究院（NIST）列举了零信任体系架构的逻辑组件，并提供了一些部署样式的定义，包括基于策略决策点和策略执行点来验证和认证用户。这类似于云安全联盟最初构想的软件定义边界（SDP）的方式。

此方法通过使用一个SDP控制器，该控制器对用户进行身份验证，然后根据用户的角色和授权通知SDP网关允许访问特定的应用程序。该过程可以使用传统的用户名和密码，也可以使用带有一次性密码、软件令牌、硬件令牌、移动应用程序或文本消息的新型的多因素身份验证（MFA）方法。

还有一种可供选择的的方法称之为单包认证（SPA，Single Packet Autho rization）或端口碰撞（Port Knocking）技术，是通过使用客户端浏览器或应用程序将一组数据包发送到SDP控制器，以识别相应的用户及其设备。

其实存在各种各样的微分段、主机隔离和零信任网络方法，有些是应用在网络设备中，有的是在服务器中，或是在身份和访问控制系统中，或在中间设备（例如代理服务器或防火墙）中实现的。零信任方法种类繁多，可以在主机操作系统、软件容器虚拟网络、虚拟机监视器（Hypervisor）或具有SDP或IAP的虚拟云基础架构中实施。

许多零信任方法还涉及最终用户节点上的软件代理以及X.509证书、双向TLS（mTLS）认证、SPA和MFA。仅仅通过网络、服务器或安全管理人员无法独自完全实现所有这些功能。为了实现有效的零信任网络架构，可以通过与跨部门的IT团队协作来实现这些技术。