浅谈“零信任”网络安全

姚旺

摘要：近两年来，零信任（Zero Trust）在安全圈着实火热。安全从业者需要理解“零信任”这个概念，零信任网络的方案应该包含哪些模块，和传统安全架构的区别和优势。对于企业而言，要考慮如何成功实现零信任项目，如何在将来采用这一架构做好准备。本文会从这些角度，讨论零信任相关概念和零信任解决方案。

关键词：零信任;安全网络架构;云计算

一、零信任理念

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。

任何设备和用户在访问应用前，先取得认证和授权才能访问资源。与防火墙访问控制不同。防火墙访问控制规则，资源（应用或者服务）是开放的，用户先访问资源，然后根据系统需要来认证和授权。此外，基于位置和IP地址的访问控制策略，不足以确认访问实体是否合法（比如被入侵的客户端）。

零信任网络不是简单地依赖于“用户名/密码”来控制访问。理想的零信任模型，包含多个属性的评估。设备的身份属性，用户身份，设备当前安全性（比如重要补丁，关键注册表项，用户，程序，当前进程等），这些访问相关的上下文语境，构成了信任的基础。只有超过预设的信任等级，才能被授予访问权限。

访问初始的信任，不是一次性的，而是需要持续性地评估。这得益于UEBA（用户和实体行为分析）技术的发展，持续对接入设备的行为分析，确保没有恶意行为发生。一旦发现访问实体的异常行为，比如扫描或者暴力破解，意味着信任等级的降低，零信任网络可以切断这种访问，从而降低安全风险。最小权限意味着设备或用户获得完成任务的最小权限。微隔离技术，根据服务和区域，将网络切片隔离，避免攻击的横向扩展，常常应用在零信任网络中。

上面对零信任的理念作了解释。可以看出，零信任并未引入新的技术。而且很多技术（比如认证、授权、设备安全，包括UEBA）企业或多或少都有部署。然而，将这些技术重新排列组合，却是新颖的方式。

二、零信任网络形式

零信任网络是多个技术的组合，相关的组件和产品，既可以部署在企业侧，也可以架构在云端，实现方式亦有不同。

（一）本地部署和云端部署

1.本地部署

本地部署包含了设备身份、用户身份、接入代理、访问控制规则引擎等组件。零信任网络借助这些组件的协作，判断设备和用户的身份、设备的安全性等，成功后根据用权限，访问数据应用。

2.云端部署

零信任网络的云端部署，适用于访问在云端数据中心应用的场景。云端包含了安全接入、身份认证与管理、威胁防护等模块。

（二）客户端发起和服务端发起

基于零信任的网络访问控制，咨询机构Gartner将其分为客户端发起和服务端发起两种类型。

1.客户端发起的零信任网络

客户发起，需要在客户端上安全装认证访问的组件，比如客户端软件，基于BS架构的应用访问，可以在浏览器上安装插件。例如，CSA在2014年提出的SDP规范。

2.服务端发起的零信任网络

服务端发起的零信任网络，类似于上文提到的谷歌BeyondCorp案例。服务端发起的好处，在于客户端可以不用安装组件。

三、零信任网络建设步骤

疫情催生大规模的远程工作，让网络环境变得更复杂多变。在这样混乱的网络环境中，黑客最容易找到网络漏洞，发生了多个勒索攻击的事件，传统的基于系统的安全防护部署已经不能满足当前的要求。在这样的背景下，零信任方法历史性地成为了安全行业的新希望。

那么，组织应该如何应用“零信任”蓝图来解决其新的复杂网络问题？

1.识别和分段数据

数据是实施“零信任”的最复杂领域之一，因为在实施该方法钱，组织需要确定哪些数据是敏感的。在严格监管环境中运营的企业可能已经知道敏感数据是什么，因为监管机构一直要求对此类数据进行监管，因此将敏感数据的网段与数据中心服务器分离是有意义的。

2.映射敏感数据的流量并将其与业务应用程序关联

将敏感数据识别分段后，下一步就是知道数据的去向、用途以及应用。如果您不了解有关您的数据的信息，则无法有效地保护它，使用正确的工具让您可以了解需要允许哪些流程，这样就可以进入“零信任”规则，判定“其他所有内容都将不被允许”。

3.构建网络

在知道哪些流量被允许访问后，组织就可以着手设计网络体系结构以及执行网络微边界的过滤策略。组织可以将过滤策略放置在网络中的任何位置，并可以在不同区域和段之间放置边界，这是要实现的控制量与安全性之间的平衡。由于存在许多连接或微细分的孤岛，因此您必须要考虑需要花费多少时间来设置和管理它们。

4.监控

想要知道网络是否存在问题的唯一方法是始终监视整个基础架构上的流量。监控除了可以检验我们的的数据是否合规，还可以监视网络以了解其中的所有流情况，并根据它们的意图对其进行分析，这允许您在编写策略规则之前查看哪些流是必要的。在这里，你可以从默认的“允许”策略到默认的“拒绝”策略或组织的“D-DAY”政策进行大的转换。

5.自动化和协调

进入“D-DAY”的唯一途径是借助策略引擎，这是整个网络策略背后的中心“大脑”。由自动化流程启用的策略引擎能够将任何更改请求与您定义为合法业务连接要求的内容进行比较，如果您必须使用各种不同的技术（有各自的复杂性和配置要求）将更改部署到潜在的数百个不同的执行点中，没有智能自动化系统，几乎不可能完成此更改请求过程。

四、小结

零信任网络是一个演进的网络安全框架。零信任网络解决方案，构建在已有的安全技术能力之上，核心是基于信任的访问。围绕这个理念，零信任评估访问的用户、设备的安全性，并且在访问周期内持续评估，以此确保访问始终是信任的。成熟且有效的零信任网络能够极大提高安全等级。

参考文献

[1]罗庆俊，张艳军，王陆潇.基于物联网的环境监测综合管理平台设计[J].四川环境，2016，35（ 6） ： 82-86.