《零信任架构》：去除隐式信任，打破传统安全“边界”

Original 熊思齐中国保密协会科学技术分会 2024-01-09

摘要

NIST SP800 - 207:Zero Trust Architechture（正式版）白皮书是由NIST于2020年8月发布的针对NCCoE《实施零信任架构》项目的世界首个由研究组织发布的零信任架构设计指导。该标准首次提出了零信任的官方标准定义和实践技术架构，并强调零信任是一种安全理念而非技术。该标准还指出了目前实现零信任架构所使用的软件定义边界、身份与访问管理和微隔离这三大技术。零信任是网络安全最重要、最前沿的一个理念，该标准的发布对零信任领域发展有着非凡的指导意义，具有较高的学习价值。

背景

零信任因其“永不信任，持续验证”的特点而一度被认为是当下网络安全领域最重要、最前沿的一个理念[8]。根据NIST 特别出版物800-207《零信任架构》（正式版）（下均简称《零信任架构》）可以定义为一组以信任动态评估为前提、以资源保护为核心、不断迭代优化的网络安全范式。学习《零信任架构》之前，首先需要理解零信任理念以及《零信任架构》这个标准的时代背景。1.1 零信任的提出背景随着“云大移物智”技术发展和产业数字化转型，传统安全防御理念的“边界”概念逐渐模糊，传统安全防御模型也越来越不足以应对威胁。越来越多来自企业“可信”内部人员与设备的威胁和APT攻击让企业“内网”也充满风险，传统静态的“隐式信任”模型急需重构革新。零信任理念在这样的背景下产生。零信任的最早雏形源于2004年的耶利哥论坛，这期间只提出了模糊的概念，而具体概念最早在2010年由时任Forrester首席分析师的John Kindervag提出[1,2]。2018年Forrester提出零信任拓展生态系统（Zero Trust eXtended, ZTX）研究报告，拓宽了零信任的应用视野。2020年2月，美国国家标准与技术研究院NIST SP800-207：Zero Trust Architechture草案第二版发布，成为世界首部与零信任架构相关的由研究组织发布的官方标准参考[1]。我国零信任发展形势也紧跟国际。2020年6月，腾讯联合零信任领域16家机构企业，共同成立了“零信任产业标准工作组”，并于同年8月正式对外发布国内首个基于攻防实践总结的零信任安全白皮书《零信任实战白皮书》。2020年9月，由腾讯主导的“服务访问过程持续保护参考框架”国际标准立项，该立项标准也成为了国际首个零信任安全技术标准。零信任已成为我国网络安全发展中最重要、最前沿的领域之一[3]。1.2 NIST 特别出版物800-207零信任架构零信任发展至今已有10余年，期间不同机构开发出不同架构，形成所谓的“8大流派”，而2020年发布的NIST SP800-207零信任架构则是第一次由研究组织发布的基于文档形式的零信任架构设计详细指导[2]。NIST SP800-207《零信任架构》正式版分为7个部分，分别为总体介绍、零信任基本概念介绍、零信任体系架构逻辑组件、部署场景/用例、与零信任架构相关安全威胁、零信任架构及现有联邦政府引导的相互作用和（项目）迁移到零信任架构[4]。该标准的发行背景是NCCoE《实施零信任架构》项目的实施，而该项目对于零信任架构的落地实践这一目标十分重视，并且期望能在实现安全性的同时保证用户体验[5]。不难看出，《零信任架构》的提出建立于为企业安全服务的目的之上，并希望在商用产品上应用零信任架构，建立零信任的实现示例。因此《零信任架构》不仅包含零信任架构的抽象定义，也给出了大量的应用零信任以改进企业信息安全状况的通用部署模型和使用案例[4]。出于学习的目的，本报告主要关注《零信任架构》的“核心技术”即零信任相关基本概念和实现零信任架构的三大技术，而不过多关注其中对企业实施零信任以及迁移的相关指导。

零信任的基本概念

2.1 零信任的原则《零信任架构》对零信任总结了7大原则。该部分首先强调了零信任是一组网络安全范式，其目的是为了将网络防御的重心从静态的、基于边界的转移到基于用户、设备和资源上，并使用零信任原则来规划企业的基础设施和工作流[4]。零信任7大原则主要关注企业的资源划分定义、杜绝隐式信任、基于连接的身份认证与授权、访问权限策略非静态、企业应监控并测量资产完整性及安全态势、整个过程的持续实施以及企业对网络安全关注改善的自主性。2.2 零信任视角的网络《零信任架构》基于所有使用零信任架构的网络对网络连接性提出了6点基本假设，并要求实施零信任的企业遵循2.1中零信任的原则与这些假设。这6条基本假设围绕人员不可信、设备不可信、资源（源）不可信、服务不可信、本地连接不可信、资源转移需保持安全态势6个要点，详细解释了零信任在网络实施中的核心思想——去除隐式信任，而实际上整本《零信任架构》无论从原则，架构理论到实施指导，始终围绕着这一核心思想。

实现零信任架构三大技术“SIM”

事实上《零信任架构》在这部分首先定义了零信任架构部署的逻辑组件（为一个理想模型），模型如图1所示，且之后的所有架构方案、部署方案、信任算法和网络组件均基于该模型设计。该逻辑组件主要包括策略引擎PE、策略管理器PA、策略执行点PEP、持续诊断和缓解系统CDMS、行业合规系统、威胁情报源、网络与系统行为日志、数据访问策略、（企业）公钥基础设施PKI、身份管理系统IDMS、安全信息和事件管理系统SIEMS。其中最重要的是PE与PA配合作为策略决策点PDP和策略执行点PEP。这些逻辑组件相互作用，为达成“零信任”访问提供了基础。

图1 零信任架构部署的逻辑组件及其相关关系

《零信任架构》提出的实现零信任架构的三大技术“SIM”即软件定义边界SDP、身份与访问管理IAM和微隔离MSG。SDP有由CSA发布的《SDP标准规范》作为标准；IAM则有ISO/IEC 29760系列标准、ISO/IEC 29146:2016标准和ISO/IEC 29115:2013标准等；MSG作为新兴的网络安全技术，我国工信部《网络安全产业高质量发展三年行动计划（2021-2023年）》也将微隔离列入鼓励深化技术产品应用的行列。3.1 基于软件定义边界SDP的零信任架构实现国际云安全联盟CSA在2013年专门成立了SDP工作组，该组在2014年发布了《SDP标准规范》1.0版本，并在2022年4月CSA发布了《SDP标准规范》的2.0版本。《SDP标准规范》中对SDP做出的定义是一种旨在使应用程序所有者能在需要的时候部署安全边界将服务与不安全的网络隔离开来的技术，如图2所示为《SDP标准规范》中定义的SDP架构组成结构。而《零信任架构》对使用软件定义边界SDP方法的说明则是在顶层网络实现零信任，也强调其可在更低的ISO网络协议栈实现。实际上SDP实现了应用程序所有者可控下运行的逻辑组件，并且仅当设备验证和身份验证同时通过时才允许对企业资源架构的后续访问，以应对边界模糊化下“可信”的粒度控制，以保护企业的数据安全。

图2 《SDP标准规范》中定义的SDP架构组成结构

3.2 基于增强身份治理IGN的零信任架构实现《零信任框架》对IAM的指导方案为基于增强身份自治（IGN）的零信任架构实现。接下来介绍身份与访问管理IAM。严格上讲，身份管理本身也是访问管理的一部分，访问管理通过对客体的鉴别与授权，从而实现对信息资源访问的控制，但是在实践中，实现身份鉴别和实体鉴别的身份管理系统往往被作为独立的功能处理，因此，加上访问管理系统，身份管理和访问管理经常被一起合称为身份与访问管理[6]。对于身份管理和访问管理问题，已经产生了一系列国际标准：ISO/IEC 29146:2016中对身份管理与访问管理的关系进行了定义（图3），ISO/IEC 29760标准关于身份管理做了定义，而ISO/IEC 29146关于访问管理做出了定义（图4），对于相关的实体鉴别保证，在ISO/IEC 29115:2013中也有详细定义[6]。身份治理指通过一定机制来规范、约束和引导企业中不同身份主体的行为，以实现组织目标的治理模式。《零信任框架》中该部分对相关概念做了解释，并着重强调了“身份”是访问控制的基础，信任值的取值应来源于端到端对象的“身份”，并且访问控制的构建需要基于“身份”，而不是网络位置（如传统网络边界划分后得到的内、外网）。由此不难看出，《零信任架构》对基于“身份”的访问控制的着重强调，实际上也体现出零信任的核心变革：打破边界，将企业的“IP网络”升级到“ID网络”。

图3 ISO/IEC 29146:2016定义的身份管理与访问管理的关系

图4 ISO/IEC 29146定义的访问管理参考架构

3.3 基于微隔离MSG的零信任架构实现微隔离MSG是一种新兴的网络安全技术，《零信任架构》对微隔离的定义是企业将单个或一组资源放在由网关安全组件保护的私有网段上，百度百科对微隔离的定义则是把一个无结构无边界的网络分成多个逻辑上的微小网段，以确保每一个网段上只有一个计算资源，而所有需要进出这个微网段的流量都需要经过访问控制设备。[7]总的来说，微隔离本质上是一种隔离技术，这种技术实现了在逻辑上将企业的数据中心划分为多个控制段，详细到各个工作负载，还要对每个控制段进行访问控制策略配置，以保证达到隔离的目的。《零信任架构》强调该方案最关键的地方在于对PEP组件的管理，并按需反应和重新配置以应对多变的情况。我认为微隔离比起技术，更重要的是这种划分微元并单独隔离的思想，但是高昂的管理成本和难以适应快速变化的环境对这种新兴技术仍是一种极大的挑战。

（本文部分内容翻译修改自NIST SP800-207(final), Zero Trust Architechture）

参考文献

[1] 零信任安全架构的诞生, https://baijiahao.baidu.com/s?id=1735694428166577246.

[2] 零信任的历史与演进, https://baijiahao.baidu.com/s?id=1743099719081480169.

[3] 百度百科: 零信任, https://baike.baidu.com/item/%E9%9B%B6%E4%BF%A1%E4%BB%BB.

[4] NIST SP800-207(final), Zero Trust Architechture[S].

[5] NIST NCCoE发布《实施零信任架构》正式版, https://baijiahao.baidu.com/s?id=1683491312237273425.

[6] 谢宗晓, 龚喜杰. 身份与访问管理（IAM）及其国际标准简析[J]. 中国质量与标准导报, 2019(10): 14-17.

[7] 百度百科: 微隔离, https://baike.baidu.com/item/%E5%BE%AE%E9%9A%94%E7%A6%BB/61814283.

[8] A. Wylde. Zero trust: Never trust,always verify[C]. 2021 International Conference on Cyber Situational Awareness. Data Analytics and Assessment (CyberSA). 2021, pp. 1-4.

中国保密协会

科学技术分会

长按扫码关注我们

作者：熊思齐中国科学院沈阳自动化研究所

责编：丁昶

2021年精彩文章TOP5回顾

碎纸恢复还原技术对载体销毁的重要启示

身边的地理信息安全与保密
美国对华科技竞争政策性建议汇总
6G之卫星通信
浅谈计算机键盘电磁泄漏防护

近期精彩文章回顾

网络入侵检测技术概述

USB3.0电磁辐射对2.4GHz无线设备的干扰影响

物联网安全研究现状综述