基于零信任的企业安全架构

舒玉凤

（中电福富信息科技有限公司 福建省福州市 350013）

1 网络安全趋势介绍及引入零信任

传统的网络安全架构是基于边界的，这种网络安全架构默认或者假设内网的人和设备是可信任，安全就是构筑企业的数字护城河，基于传统的安全理念,在企业发展初期,可以相对简单的实现网络安全防护，如图1所示其认为网络内部的人员与设备是可信的，通过防火墙、VPN、IPS/IDS 等设备建立企业的网络边界，这种安全架构在传统网络安全防护上被证实是安全可靠的。

但是随着企业、网络及信息化的快速发展，典型的IT 基础架构变得越来越复杂，如一家企业可能运营多个内部网络，拥有本地基础设施的分支机构，远程办公接入和移动办公的个人，以及云上的服务等，IT 基础网络架构演示进如图2所示，从开始单纯的内网访问，逐步增加分公司/办事处，再到企业资源上云，远程办公，移动办公等等应用的使用，安全边界越来越模糊，这已经超越了传统的基于边界防御的网络安全策略，因为没有单一的、可以清晰辨别的企业边界。此外，基于边界防御的网络安全控制已显示出明显的不足，一旦攻击者突破了边界，进一步的横向攻击将不受阻碍导致内网全部失陷。

因此，需要在现有的边界安全体系之上，叠加一层基于身份的逻辑安全边界，把访问控制从粗粒度的网络层面，迁移到细粒度的人、设备和业务层面，对所有的人、设备、访问请求进行身份验证和细粒度权限管控，重构以身份为基石的信任体系，这种安全理念和方法称之为零信任。

2 零信任的本质

零信任的核心思想是默认不应该以网络环境信任任何人、设备或系统，而是以认证和授权构建安全的访问控制体系，将原本基于网络位置的访问控制体系转变为以身份为中心的访问控制体系。其本质是在访问过程中构建以身份为基石的动态访问控制体系，通过以身份为基石、业务安全、持续信任评估和动态访问控制的关键能力，对默认不可信的所有访问请求进行加密、认证和强制授权、持续信任评估，并根据实际需求动态对权限进行调整，最终在访问主体和客体之间建立一种动态的信任关系，如图3所示，所有的访问都是默认不可信的，只有经过可信认证之后的才能看到授权访问的资源列表。

以身份为中心构建访问控制体系，需要为网络中的人、设备或者系统赋予数字身份，将数字化身份化的人、设备或者系统进行运行时组合构建访问主体并为其设定其最小权限。访问主体在访问资源时必须先完成数字化身份的认证，确认访问者的身份，根据其身份给予特定的访问资源的权限。

业务安全访问针对要保护的核心业务资产构建安全访问的屏障，这些业务包括应用、服务、接口等等。这些业务在网络中默认是隐藏不可见的，要根据通过身份验证的访问者的授权结果进行最小限度的开放，所有业务访问请求都进行全流量加密和强制授权，这样对于无身份和权限的攻击者来说所有的应用、服务及接口对他都是不可见的，没有攻击目标就不能形成攻击行为。

持续信任评估自动收集尽可能多的“线索”，如访问上下文、行为信息等等，通过不依赖于特征的人工智能深度机器学习能力进行综合判断，有效发现访问行为和环境存在的风险，并且能实时调整信任等级，动态控制接入和访问的权限。

动态访问控制是零信任安全架构的重要部分，可通过RBAC 基于角色的权限控制、ABAC 基于属性的权限控制这两种控制方式的组合授权实现灵活的访问控制基线，基于数字化身份的信任等级实现对业务的分级访问。同时当用户访问上下文和环境存在风险时，可即时对访问主体的权限进行实时干预并通过持续信任评估判断对访问主体的信任级别进行降级处理。

3 基于零信任的企业安全架构

依靠网络边界的传统安全架构的构建是基于内网位置的信任体系，认为网络内部的人员与设备是可信的，通过防火墙、VPN、IPS/IDS 等设备建立企业的网络边界，其访问过程是先连接后认证，以网络为边界。基于零信任的架构把防护重心从网段转移到资源本身，是基于用户行为的持续信任评估安全模型，其访问过程是先认证后连接，以身份为边界。

3.1 基于零信任企业安全架构的介绍

企业安全架构实现了“没有认证进不去，未经授权拿不走，操作行为赖不掉”全过程安全防护体系，如图4所示，所有的访问都需先经过身份和设备的认证即没有认证进不去，根据其拥有的权限进行访问连接即未经授权拿不走，访问过程全程审计即操作行为赖不掉的效果。

3.2 基于零信任企业安全架构的防护说明

基于零信任企业安全架构有全面身份数字化、多源信任评估、动态访问控制、统一安全审计四个方面的特点，基于信任和风险的闭环，实现“精确而足够”的安全

全面身份数字化是通过前置安全接入网关，强制所有访问都必须经过认证、授权和加密；基于零信任企业安全架构的关键就是身份数字化，把人、设备和系统进行全面的身份数字化，必须先认证后连接，以身份为边界进行安全防护。统一身份认证支持统一身份管理和多因素的统一认证，还可根据人员在企业的入职、变更、离职全生命周期和安全联动起来，从而实时调整身份的权限、安全策略，以提高整体安全系数。

多源信任评估包括人员可信和设备可信评估，人员可信实现基于动态令牌，人脸识别等多因素身份认证，减少人员冒用的风险，保证了人员可信。设备可信构建了终端安全状态评估能力，用户终端出现风险事件如感染了病毒，木马，开启录屏等，基于零信任的安全架构能自动感知并可自动拒绝该用户的访问。

动态访问控制是零信任安全架构的重要体现。其通过RBAC 和ABAC 的组合授权实现灵活的访问控制基线，基于信任等级实现分级的业务访问，同时监测用户的身份、行为及环境，若其发生变化且可能存在风险时，通过持续信任评估判断是否对访问主体的信任进行降级，通过主体的信任等级和客体的信任等级加上已有的静态授权,实现动态的访问权限控制。

统一安全审计是抗抵赖和访问溯源的重要体现。基于零信任的安全架构通过采集用户访问流量和用户访问操作日志，基于人工智能AI 进行威胁建模，进行流量和用户访问操作日志的审计，还原用户的访问链，从而实现对用户访问操作溯源和操作抗抵赖。

4 结语

在当今，信息安全越来越重，同样保障企业信息资源不被泄漏保障也同样越来越重要，但是传统的以网络为边界的安全越来越难以保护信息资源的安全性，基于零信任的企业安全架构提出一种以身份为边界的全新网络架构，为现阶段的安全态势提出合理解决方案。