零信任：无边界化时代的安全架构

Original 张泽洲中国保密协会科学技术分会 2022-10-02

零信任发展的驱动力

数字化转型需要大量的新技术支撑，云大物移等新型网络基础设施大量采用，企业网络的接入人员和设备的多样性增加，越来越多的业务开放导致网络暴露面增加，数据资产在多样化的业务、平台、设备、用户之间持续流动。企业已经不存在单一的、易识别的、明确的安全边界，或者说，企业的安全边界正在逐渐瓦解，网络安全面临巨大挑战，基于静态的规则难以应对复杂的动态的访问需求。

另一方面，安全事件层出不穷，内外部威胁形式严峻，而大多数安全事件背后的根本原因要么是外部攻击，要么是内部威胁。外部攻击者总是能利用系统漏洞或通过钓鱼、社工等手段窃取的凭证突破边界进入内网，并在内网横向移动伺机窃取数据；内部威胁方面，非授权访问、雇员犯错、有意的数据窃取等内部威胁因素也不容忽视。

传统的基于边界的网络安全架构某种程度上假设、或默认了内网的人和设备是值得信任的，认为安全就是构筑企业的数字护城河。然而，边界安全思维对信任的假设和滥用已经不能很好的适用现有的安全态势，正如零信任的提出者约翰·金德伯格所说“信任是安全的最大漏洞”。

因此，需要在现有的边界安全体系之上，叠加一层基于身份的逻辑安全边界，把访问控制从粗粒度的网络层面，迁移到细粒度的人、设备和业务层面，对所有的人、设备、访问请求进行身份验证和细粒度权限管控，重构以身份为基石的信任体系，这种安全理念和方法称之为零信任。

零信任：无边界化时代的安全架构

零信任的最早雏形源于2004年成立的耶利哥论坛（Jericho Forum ），其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年，Forrester的分析师约翰·金德维格（John Kindervag）正式使用了零信任这个术语，金德维格在他的研究报告中指出，所有的网络流量都是不可信的，需要对访问任何资源的任何请求进行安全控制。随着零信任的持续演进，以身份为基石的架构体系逐渐得到业界主流的认可，这种架构体系的转变与移动计算、云计算的大幅采用密不可分。2014年开始，Google基于其内部项目BeyondCorp的研究成果，陆续发表了多篇论文，阐述了在Google内部如何为其员工构建零信任架构。BeyondCorp的出发点在于仅仅针对企业边界构建安全控制已经不够了，需要把访问控制从边界迁移到每个用户和设备。通过构建零信任，Google成功地摒弃了对传统VPN的采用，通过全新架构体系确保所有来自不安全网络的用户能安全地访问企业业务。[1]

在《零信任网络》一书中，埃文·吉尔曼（Evan Gilman）和道格·巴斯(Doug Barth)从零信任的安全假设和安全思路两个维度进行了定义：

1. 网络无时无刻不处于危险的环境中。

2. 网络中自始至终存在外部或内部威胁。

3. 网络的位置不足以决定网络的可信程度。

4. 所有的设备、用户和网络流量都应当经过认证和授权。

5.安全策略必须是动态的，并基于尽可能多的数据源计算而来[2]。

图1 《零信任网络》

作为首部介绍零信任网络的专业技术图书，《零信任网络》通过10章的内容，从介绍零信任的基本概念开始，描述了管理信任，网络代理，建立设备信任、用户信任、应用信任以及流量信任，零信任网络的实现和攻击者视图等内容。本书主要展示了零信任如何让读者专注于构建强大的身份认证和加密，同时提供分区访问和更好的操作敏捷性。

零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系，通过以身份为基石、业务安全访问、持续信任评估和动态访问控制的关键能力，基于对网络所有参与实体的数字身份，对默认不可信的所有访问请求进行加密、认证和强制授权，汇聚关联各种数据源进行持续信任评估，并根据信任的程度动态对权限进行调整，最终在访问主体和访问客体之间建立一种动态的信任关系。

图2 零信任架构关键能力模型

* 以身份为基石

以身份为中心而非以网络为中心构建访问控制体系，需要为网络中的人和设备赋予数字身份，将身份化的人和设备进行运行时组合构建访问主体，并为访问主体设定其所需的最小权限。身份基础设施为动态访问控制提供访问决策支撑，为身份分析平台提供身份大数据所依赖的身份、权限和属性数据。

* 业务安全访问

针对要保护的核心业务资产构建安全访问的屏障，这些业务包括应用、服务、接口等等。通过构建保护面实现对暴露面的收缩，要求所有业务默认隐藏，根据授权结果进行最小限度的开放，所有的业务访问请求都应该进行全流量加密和强制授权。

* 持续信任评估

通过信任评估引擎，实现基于身份的信任评估能力，同时需要对访问的上下文环境进行风险判定，对访问请求进行异常行为识别并对信任评估结果进行调整。身份分析平台为身份基础设施提供策略调整的自动治理能力，为动态访问控制平台提供信任评估结果，作为动态权限判定的依据。

* 动态访问控制

动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线，基于信任等级实现分级的业务访问，同时，当访问上下文和环境存在风险时，需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。动态访问控制平台依据身份基础设施和身份分析平台，为全场景业务安全访问提供能力支撑，是全场景业务安全访问的策略判定点。

零信任安全架构作为无边界化时代的安全架构，对传统的边界安全架构思想重新进行了评估和审视，并对安全架构思路给出了新的建议：默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用，而是应该基于认证、授权和加密技术重构访问控制的信任基础，并且这种授权和信任不是静态的，它需要基于对访问主体的风险度量进行动态调整。安全与信息化就像是DNA的双链，相辅相成，而它们的关键结合点，就是在同步规划、同步建设、同步运行三个关键点上，从而做到安全与信息化的深度融合，全面覆盖，实战化运行，协同响应。

参考文献[1]Rory Ward, Betsy Beyer. BeyondCorp: A New Approach to Enterprise Security [R] ;login:, vol. Vol. 39, No. 6 (2014), pp. 6-11[2]埃文·吉尔曼, 道格·巴斯. 零信任网络在不可信网络中构建安全系统 [M] .北京:人民邮电出版社,2019:1-2

中国保密协会

科学技术分会

长按扫码关注我们

作者：奇安信集团张泽洲

责编：丁昶

往期精彩文章TOP5回顾

请注意：扬声器、耳机也能窃密了！——Mosquito攻击技术

近期精彩文章回顾