☝戳链接了解本期征文详情

杨文斌 国网电商安全管理岗位

12年网络安全从业经验，熟悉网络安全、数据安全及安全运营等领域，擅长企业网络架构和安全架构方案设计。近期一直在深耕开源安全相关工作，并持续开展SRC平台运营推广。目前是北京诸子云会员，希望向联盟内各位大佬不断学习，在安全行业贡献绵薄之力。

初识

第一次接触零信任是2019年中，在写自家安全运营平台建设规划方面的材料时，发现了这个新概念，当时大概了解到零信任模型的思想，多数文章还是从谷歌的Beyondcorp作为案例简单介绍。对于网络出身，转向安全的我来说，这个模型不管是从架构还是理念都使我感到格外亲切，引发了很强的兴趣。

在疫情期间零信任理念落地最多的就是远程办公应用场景的实践，远程办公真正进入我的视野，要追溯到2016年进入安全厂商时，接触到下一代防火墙（NGFW）的整体运行架构。公司整套办公环境实现了内外网隔离，通过VMware结合公司自研的私有云架构为员工提供独立的虚拟办公环境，同时将VDI与域控账户关联，将虚拟PC的身份验证流程集中管控。接触零信任理念后发现当时的整个网络架构其实已具备零信任雏形。

由于所有办公环境和资料都是外网隔离的，当出现突发紧急状况，在家工作就成了必须解决的问题，下一代防火墙正好解决了这个问题，防火墙内置了VPN的功能，主要包括ipsecVPN、sslVPN等VPN技术，实现对网络层及应用层访问的授权控制。所有VPN的访问方式均是通过客户端验证方式，通过用户密码验证或者二次验证即可访问办公环境。疫情期间另外一种使用较多的应急型远程办公方式是通过在办公区环境安装运行Teamviewer的方式。

不管是VPN还是远程访问工具，客户端都存在潜在的安全问题，当客户端本身存在漏洞时，攻击者很容易利用漏洞完成内网渗透，而且影响范围被迅速扩大，严重的会波及整个内网环境。使用过此类远程控制的工具都被预警过客户端存在不同程度的漏洞隐患，有时迫于工作需要，还是心存侥幸的带洞使用。

传统的VPN访问控制存在很多弊端：

a）同一网络域横向攻击难以防护：基于网络物理位置进行信任和非信任网络的划分，安全设备通常无法覆盖到同域环境内的单个系统，自然无法进行防护；

b）合法权限的复用难以防护：攻击者通过非法手段获取合法权限，复用合法权限（如口令等），边界安全理念系统无法鉴别用户真实身份，所以难以区分是正常访问，还是攻击数据；

c）安全检测存在盲点：边界防护模型通常不会介入到业务管控中，难以还原所有的用户行为轨迹，不能有效关联分析，导致安全检测容易出现盲点。

d）边界容易绕过：现在攻击者技术不断创新，边界安全防护难以抵御高级威胁攻击，防护机制容易被绕过。

e）随着技术的不断发展，对云计算等新技术新应用的适应性不强。

思考

说回零信任架构理念，最核心的技术是SDP（软件定义边界）、IAM（现代身份与访问管理）、MSG（微隔离），建立零信任架构的基础思想是持续动态验证的一切不信任主体对客体的访问。主体指访问者，主要包括用户、设备、应用、系统等，客体指被访问资源，主要包括应用、接口、服务、数据等。

将整套思想简单概括，个人总结出几个不同的演进阶段：

1.主体--->客体，主体直接访问客体，中间没有任何访问控制及监控机制。相信市面上有绝大部分公司仍属于这种状态。

2.主体--->边界防护--->客体，通过部署安全产品在主客体之间建立一堵墙，设立特定的规则来实现访问隔离，安全产品的堆叠就好比将公司的整个网络空间用砌墙的方式分区分域，分区分域应该还算是大公司比较理想的安全状态，多数公司应该只区分内外网，好点的加一个DMZ。

砌墙的公司自认为已经很安全，已经可以应对公司面临的所有攻击行为，丝毫不会意识到会有翻墙绕过，不相信会有挖掘机这种“高新”攻击技术可以直接破坏墙体，甚至坚信不会有内鬼将公司的互联网大门直接帮助攻击者打开的行为存在。

新的网络安全形态的推广也要归功于疫情期间线上视频培训交流活动，让更多的安全人员以全新的方式，更加快速的学习模式了解到当下最流行的安全风险及应对策略，可以第一时间从国外安全专家捕捉到最前沿的安全态势，让大多数的安全从业者认识到自己一直以来只是井底的一只小青蛙，一直活在自己认为的所谓的安全模式中，殊不知由自己构建的安全屋就好比三只小猪的“树枝屋”，根本不堪一击，随时会导致公司财产遭受严重损失。

3.主体--->零信任--->客体，零信任是一种理念，不同的场景应用模式可能有所区别，但是总体的思想和目标是一致的。

主体和客体之间首先运用SDP技术，是将原有的静态的墙体演变成了动态可控的网关/代理，将主体的任何访问请求演变成策略进行集中管控，并且可以根据主体的安全属性对策略实现动态调整。SDP技术建设应用需考虑纵向可扩展性，避免网关/代理形成数据孤岛。

SDP主要的功能除了作为网关或代理将客体隐藏外，更重要的是可以更灵活的缩小攻击面，在原有传统分区分域的理念延续下来的基础实现完美的技术优化。分区分域仅是通过物理或逻辑上的隔离，在区/域之间的访问控制仍主要通过网络层的策略来实现，区/域内部没有管控和验证机制，整个运行模式静态，一旦出现网络或业务架构的调整，策略调整成本较大，新的SDP技术使得这些问题迎刃而解。

之所以引入身份验证机制，是零信任模型认为所有的设备、用户、流量都是不被信任的，都应该经过认证和授权后才允许访问客体资源。由于所有访问主体的属性都会随着环境和时间的变化发生变化，所以验证的过程也必须是变化的。

变化就需要有依据，依据的建立需要环境感知体系的建立，环境感知主要包含网络环境感知和物理环境感知，只有持续对访问主体的属性完成监控和分析，才能有效指导身份验证体系按照实际的风险条件对访问主体进行准确的认证和授权。

零信任的控制平面除了有身份验证组件的管控，还有策略管理组件，对所有主体对客体的访问请求建立策略，实现集中管控。零信任模型的策略管控不是静态建立的，是依托网关/代理的全流量检测机制，结合所有的访问日志及威胁情报等监测信息，建立多维数据联动分析机制，形成持续动态的信任评估机制，将评估结果数字化，实现策略管理组件与量化结果的有机匹配，不但实现了零信任的持续动态管控，也实现了策略的简单化、集中化管理。

以业务系统前后端分离模型为例，前后端分离必然会引入API接口，在以前公司的安全测试工作中对接口安全性考虑是缺失的，认为接口之间不会引发攻击行为，接口数据不会被拦截造成中间人攻击，接口必然安全。随着攻击技术的快速创新演进，API接口安全有了新的要求，接口基线安全要求务必引入API的接口验证及数据加密等机制。

零信任模型很好的契合了API访问场景，将前后端理解为访问的主体和客体，在前后端之间引入API访问代理，通过身份验证机制，持续动态评估整个访问过程，实现了前端对后端数据访问过程的有效安全管控。

个人认为，零信任体系的建立没有固有的模式和方案，唯独思想和目标是固定的，相信在未来零信任理念一定会持续不断的融合到安全体系的建设中，形成适合公司自身发展且独具特色的安全理念。

三月主题：《数据安全面面观》

四月主题：《一个人的安全》

五月主题：《网络安全“值钱”吗》

七月主题：《社工记》

十月主题：《攻防演练实务》

十一月主题：《不会做规划，怎么做安全》

六月主题：《红蓝对抗中的心理博弈》

九~十月主题：《POC轶事》

十一~十二月主题：《零信任》

齐心抗疫 与你同在