基于零信任理念构建企业现代化安全防护架构

吴倩琳 孔 松 韩 非

中国信息通信研究院 北京 100191

引言

近年来，云计算、大数据等新一代信息技术与实体经济加速融合，产业数字化转型迎来发展新浪潮。数字化在为企业提质降本增效的同时，也为企业IT架构带来新的安全挑战，传统安全防护机制遭遇瓶颈，探索适应企业数字化转型需求的新一代安全体系具有重要意义。零信任安全理念及架构能够有效应对企业数字化转型过程中的安全痛点，愈发得到行业关注。

1 企业传统安全防护架构面临新安全威胁

在企业传统安全架构中，以网络边界防护为核心。网络边界因不同安全级别的网络(如互联网和企业内网，办公网和研发网)相连而产生，企业在网络建设时，首先考虑如何满足业务需求，而后基于安全策略，在网络边界部署防火墙、入侵检测、抗DDoS攻击等安全产品以实现企业IT防护[1]。企业安全架构的总体建设思路是先畅通再安全，安全边界叠加在网络边界之上，如图1所示。随着数字经济时代的来临，数字化转型为企业发展带来机遇的同时，也让传统安全架构面临诸多挑战。

技术转型是企业数字化转型的重要一环，侧重以云计算为承载，融合大数据、人工智能、区块链、5G等新一代数字技术构建综合数字化平台底座，以促进企业生产力提高。这些新技术的引入，为企业安全策略设置与部署带来了挑战。一是虚拟化、容器等云计算技术的普及促使企业纳管资源粒度不断细化，安全防护策略也需要随之细化，以承载不同类型、不同级别的业务。二是混合云模式广泛采用，企业公有云、私有云、传统数据中心等环境中的资源需进行频繁交互，跨云的连接和数据传输使得暴露面增大，面临更多来自互联网的规模化、多样化威胁。三是应用架构随基础架构升级不断演进，随着基础架构从物理服务器向虚拟机、容器扩展，应用从单体架构向微服务架构转变，分布式部署模式下各服务间需进行频繁的通信和交互，促使企业内部(东西向)流量大幅增加，传统安全架构多针对企业网络边界内外(南北向流量)进行防护，难以应对威胁的横向移动。

数字化转型中，企业生产方式多样，数字化工作空间进一步扩展。一是生产活动不必局限于企业内网进行，远程办公常态化，员工除使用企业设备外，越来越多地使用BYOD(Bring Your Own Device，自有设备)；二是企业与企业之间开展更多合作，供应链上下游企业进行信息共享与工作协同，数据跨云交互和融合。

数字化工作空间的规模性使用，将带来更多的终端和身份不可信问题。一是网络接入位置和时间多变，用户不可控性增多，外网连接占比增多，时间从集中变得分散，大量外网访问行为中可能混杂着黑客行为，判断用户身份是否合法的难度提升。二是设备种类复杂导致风险要素增多，与企业设备相比，BYOD软硬件环境的安全状态更加难以预测，同时，供应链各企业安全管理机制有差异，接入设备和系统的安全能力参差不齐。

企业开展产品服务创新引入特性威胁。一是新零售等新型业务形式涌现：新零售拥有海量用户敏感数据，且涉及资金交易等关键数据，相比于DDoS攻击、SQL注入等传统攻击，新零售更易遇到如刷单、撞库、恶意下单和虚假注册等威胁，易催生数据库盗卖等黑色产业，这些安全问题不可控也不可见。二是物联网相关产业兴起：物联网因其特殊的组网方式，使得网络异构复杂，通信协议安全性差，且智能产品多处于网络边缘，终端安全防护能力差异较大，终端设备易受入侵和劫持，边界安全防护无法覆盖到位。

2 零信任理念兴起

以网络边界防护为核心的安全体系存在如下问题：一是过度信任，网络位置与信任存在潜在默认关系，默认企业内网环境、资源、人员均可信；二是与IT架构相对割裂，各安全产品间协同性低，防护性能存在瓶颈[2]。为应对数字化转型带来的安全挑战，企业安全架构亟待变革。在此背景下，零信任应运而生，该理念打破了网络位置和信任间的潜在默认关系，致力于降低企业资源访问过程中的安全风险，发展历程如图2所示。

图2 零信任发展历程

2010年Forrester分析师约翰金德维格提出零信任模型[3]，关注点在网络安全架构变革，其核心思想是去网络边界，认为任何流通于网络中的流量在未经过验证之前都不予信任；2011年～2017年Google Beyond Corp[4]实践落地，相比于零信任模型，Beyond Corp最初的目的是令员工在不受信任的网络环境中不接入VPN就能获得内网资源，其关注点在于网络的不可信性；2013年CSA提出SDP软件定义边界，作为零信任的第一个解决方案，其核心思想是隐藏核心网络资产与设施，使之不直接暴露于互联网下，使得网络资产与设施免受外来安全威胁；2017年Gartner在安全与风险管理峰会上发布CARTA战略，赋予零信任动态审计的特性，信任不再是绝对的，而是相对的，是根据实际情况动态变化的关系；2018年Forrester提出ZTX架构，为零信任扩展其生态系统框架，增加了可视化及分析、自动化和编排等内容；2019年Gartner发布了等同于SDP理念的ZTNA；2019年～2020年NIST发布Zero Trust Architecture[5]草案1.0/2.0，进一步明确和细化零信任安全理念。在零信任发展历程中，可以发现各组织提出的不同维度的观点一直在持续发展并融合，最终趋向一致。

零信任的基本原则归纳如下。

1)默认一切参与因素不受信：零信任不为任何参与因素预制信任条件，所处位置无法决定信任关系。

2)最小权限原则：零信任强调资源按需分配，仅授予各行为所需的最小权限。对每个行为单独授权，对一种资源的授权不会自动作用于另一种资源的访问权限。

3)持续动态访问控制和授权：在单次端到端的资源访问全生命周期中，持续对多源信息进行评估并获取授权策略。

4)持续安全防护：确保进行资源访问的参与对象处于安全状态，及时发现安全问题，并采取措施降低安全风险。

基于零信任基本原则，企业可建设或改造已有网络安全体系以实现零信任安全架构，利用零信任安全架构为IT系统提供持续的安全保障。架构如图3所示[5]，由零信任核心逻辑组件和内部或外部数据源组成。

图3 基于零信任安全理念的逻辑架构

基于零信任安全理念的逻辑架构对访问参与对象和访问资源之间的所有行为进行处理，零信任核心部分分为控制平面和数据平面。访问主体发起访问请求，由控制平面的策略引擎进行多源信任评估计算，由控制引擎对计算结果进行判定，决定授权策略，一旦授权访问，控制引擎将通知数据平面的安全代理，为该次访问建立安全连接。策略引擎仍持续进行评估，一旦参与对象或其行为发生变化，策略引擎将依据新的评估源进行信任评估，控制引擎随时依据评估结果判定授权策略是否需要改变，随时通知安全代理执行相应操作，最大限度保障资源安全。

基于零信任安全理念的逻辑架构核心逻辑组件主要分为三部分。

1)策略引擎：该组件负责信任评估，通过收集和分析参与对象和行为等多源信息，对访问主体进行持续的信任评估。

2)控制引擎：该组件作为策略控制点，依赖策略引擎的信任评估结果，持续判定授权策略。

3)安全代理：该组件作为策略执行点，为授予权限的访问主体，建立其访问主体和被访问资源之间的安全通道。在实际架构中，该逻辑组件可能由两个不同的组件构成：客户端(如用户终端设备上的代理插件等)和资源侧网关(如Web网关、API网关等)，或单个代理组件。

零信任架构除了核心逻辑组件，还包括内部和外部信任源，与策略引擎协同，将收集并分析参与对象和其行为的安全信息，传递给策略引擎，为其进行信任评估提供依据。信任源主要包括：CDM(连续诊断和缓解系统)、行业合规系统、威胁情报源、数据访问策略、PKI(企业公共秘钥基础设施)、ID管理系统、网络和系统活动日志、安全事件管理系统等。

3 零信任弥补传统安全机制缺陷

在零信任理念下，企业默认内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问资源的人、事、物进行验证。通过持续的安全防护缓解信任危机，实现资源的安全可信访问。一是将一切视为资源，任意粒度、任意位置的访问主体对资源的访问都需要进行认证和授权，屏蔽了安全策略预分配带来的潜在威胁。一方面，零信任能够对物理设备、云服务、接口等所有层级的资源进行防护，在访问主体身份验证和权限判定成功后，仅为其提供满足需要的最小粒度的资源。另一方面，企业内部资源间的互相访问也需要进行身份验证和权限判定，异常的东西向流量也将被有效阻断。二是零信任强调通过多源数据对每一个访问行为进行信任评估，能够对远程访问和数据交互的人员、设备、环境等进行有效的安全把控，缓解终端安全能力参差不齐与人员安全意识薄弱等问题。三是在零信任安全架构中，资源对外隐身，仅当访问主体通过验证才能访问授权资源，降低风险暴露面，减少不可控、不可见的安全威胁所带来的攻击。

Google BeyondCorp是零信任理念最早的践行者，摒弃企业特权网络，同等对待公共网络与本地网络的设备，默认情况不授予任何权限，访问仅依赖于用户和设备的身份凭证，通过动态判定策略和强制执行访问分级，实现应用程序的访问控制[6]。访问流程如图4所示。

图4 BeyondCorp组件和访问流程

Google BeyondCorp仅对外暴露三个组件，RADIUS、访问代理和单点登录，所有对企业应用或服务的访问都将指向访问代理，访问代理将联合访问控制引擎，集中对访问请求进行认证和授权。

Google内部部署无特权网络，办公楼内的客户端设备通过802.1x认证，将默认分配至此网络，未通过认证的设备将分配至访客网络。无特权网络可连接至互联网，如需访问企业内网应用，仍需经过访问代理。

受管理的设备为企业统一采购并管理可控的设备，企业将为每台受管理的设备签发设备证书，作为设备库存数据库索引的唯一标识，只有受管理的设备才能访问企业内部应用。

单点登录为用户提供一次登录无限访问的便利，访问在经过用户/组数据库合法性验证后，生成短时令牌，用于对特定访问资源的授权。用户/组数据库与Google HR流程紧密集成，跟踪与管理企业用户身份凭证。

上述的证书白名单、设备和用户的信任等级，设备库存数据库和用户/组数据库中的信息，都将经由加密的消息管道推动至访问控制引擎，用以为访问主体进行信任等级的综合评估。

4 零信任安全趋势

随着云计算、5G、工业互联网等新基建的加速推进，网络安全保障体系不断升级，零信任作为未来网络安全发展的方向受到多层面关注，应用规模将不断扩大。

国家层面，以政策推动零信任技术研究与应用。工信部发布的《关于促进网络安全产业发展的指导意见》，将“零信任安全”列入需要“着力突破的网络安全关键技术”。工信部《关于开展2020年网络安全技术应用试点示范工作的通知》中，将“零信任”列为具有前沿性、创新性、先导性的重大网络安全技术理念。在政策指引和鼓励下，零信任核心技术攻关、产业化应用推广等关键环节协同创新，行业健康有序发展。

企业层面，据IDC预测，随着应用从集中式数据中心向边缘的IaaS/PaaS/SaaS迁移，到2022年，企业采购遵循零信任规则的软件定义安全访问解决方案的预算将成倍增长，替代传统VPN。企业应综合考虑预算、人力、安全态势、当前安全基础等因素，制定零信任实施目标和计划，分阶段逐步应用零信任。

5 企业零信任安全建设建议

基于零信任理念的安全防护可以实现企业安全架构的升级，为企业数字化转型提供有效的安全保障。建议企业从以下三方面开展建设工作。

一是企业在构建现代化安全防护架构时应贯彻零信任理念，渐进式实施并实现零信任安全架构。零信任的落地无法一蹴而就，企业应通过零信任安全能力成熟度充分评估自身IT架构安全能力，更具针对性地制定迁移和实施计划，通过局部试点、分级实施等方式逐步向零信任安全架构过渡。

二是零信任不要求企业从零构建新的安全架构，可以基于已有安全架构升级改造，实现各安全工具间的信息共享与协同，充分考虑当前安全资源的复用，降低安全体系升级成本，减少资源浪费。

三是零信任理念的实施不仅是平台工具的建设，更是思维文化的变革。企业的员工和高层都应有相应转变：1)员工自身应调整思维模式，从默认企业环境可信，转变为清楚当前态势下威胁无处不在；2)用户和设备信任库的建设周期长，需要长期坚守、不断维护，企业高层需坚信零信任理念，并拉动企业中各个组织机构的配合；3)企业相关负责人应在零信任安全架构的设计之初，考虑如何将已有系统纳入新的安全架构，尤其在拥有复杂IT环境和大量历史遗留系统的大型企业中，更应思考如何减少复杂遗留系统带来的影响。