☝戳链接了解本期征文详情

高勇

十余年信息安全从业经验，在信息安全技术，信息安全管理方面都有所涉猎。目前在金融行业某头部企业从事信息安全类项目的规划和设计工作。

01

我对“零信任”的认知过程

笔者是在2015年接触到零信任这个概念的，更准确的说应该是接触到BeyondCorp。当时互联网上对Google的BeyondCorp方案进行了报道。彼时零信任的概念在国内还不是很热，所以整篇报道都是聚焦于讲述Google准备颠覆传统网络架构，让内网和VPN的概念就此消失等等，并未提到零信任。看过这篇报道后，笔者内心第一感受是：大佬果然是大佬，做的事情都是我们不敢想也不曾想过的。除此之外，唯一对BeyondCorp的印象就是在网络架构上化整为零，从原来的按功能区域进行划分和管理转变成按单个应用进行划分和管理。

时间转眼来到2018年，当年的互联网安全大会提出“安全从0开始”的口号。业界也把BeyondCorp作为零信任的落地案例来讨论时，笔者这才重拾对BeyondCorp及零信任的关注。

通过对Google在《login：》上发表的六篇文章，以及John Kindervag的，(因中英混行格式有变，故此处换行~）

《Build Security Into Your Network’s DNA: The Zero Trust Network Architecture》详细阅读学习，这才对零信任有了深入的认识。

上图是六篇文章的名称及时间顺序，目前已经有了中文翻译版本。从六篇文章的时间线上看，BeyondCorp确实经历了一个典型的完整项目实施过程，第一篇讲概念及要解决的问题，第二篇讲设计与落地，第三篇就整个方案的核心组件“访问代理”做了专门的论述。至此，推测BeyondCorp应该已经落地了，或者说已经发布上线。接下来的三篇文章论述了在方案运营过程中的一些关键点，第四篇讲业务迁移，第五篇讲用户体验，第六篇讲如何建设一个合乎方案安全要求的安全终端，终端建设应该也是BeyondCorp团队在用户体验上遇到问题最多的一个点。当读完六篇文章后，笔者内心的第一感受是：大佬果然是大佬，自己吹的牛居然自己实现了。

John Kindervag的文章在2010年就已经发表了，文中提出了“零信任模型（Zero Trust Model）”的概念。其设想的方案架构在长相上与BeyondCorp有很大的区别，很容易被认为是两个不同的东西。但实际上，两者都是对(因中英混行格式有变，故此处换行~）

“In Zero Trust, all network traffic is untrusted.”

理念的具象化。只不过，按照笔者的认知与理解，BeyondCorp方案具象的更狠，更具颠覆性。

02

零是“零信任”的零

先来看一下Zero Trust Model，方案基本的出发点是试图解决传统网络层级式分区架构下的安全问题。在传统层级式网络分区下，边界处的流量（也就是南北向流量）被认为是不可信的，信息安全当然也会在边界上投入重兵进行防守。同时，内部流量（也就是东西向流量）被认为是基本可信的，所以大都采用防火墙的形式进行通与不通的限定，对于通过的流量无力也无法进行更进一步的精细管理。这种网络架构适合抵御“外敌”，但应对“内乱”却缺乏手段，也不符合(因中英混行格式有变，故此处换行~）

“In Zero Trust, all network traffic is untrusted.”的理念。

针对上面的问题，Zero Trust Model一方面对网络分区进行精细划分，另一方面将分区间的流量与传统南北向流量等同对待，形成了一个类似于星型的网络架构。

在Zero Trust Model的网络架构下，网络区域根据其实际所运行的应用进行了划分。MCAP的概念其实就是网络分区，只不过更精细了一些。所有的网络分区都必须通过SG进行网络通讯，而SG上则集成了绝大多数的安全能力。外部网络也被当成了一个网络分区与SG相连，这样就形成了内部网络分区与外部网络在信息安全意义上的同层概念，可以通过SG实施同样的安全防护策略。

不难看出，Zero Trust Model方案并没有彻底解决东西向流量的问题，只是在一定程度上进行了缓解。抛开单点故障什么的不提，例如在User MCAP中的两台用户终端间的流量还是存在原来的问题。但如果顺着这个思路继续下去，不断进行细分，直到每个User终端都有一个自己的MCAP，每个应用的都有一个自己的MCAP，得到的就是BeyondCorp方案。

BeyondCorp方案中，每个用户终端，每个应用都被假定处在不被信任的外部网络当中。对应SG，BeyondCorp提供了一个Access Proxy来对所有的应用和终端间的流量进行控制。这也是为什么前文笔者提到BeyondCorp比较狠的原因，要什么User MCAP，直接干掉。要什么DB MCAP，直接干掉。大家一视同仁，全部放在跟外部网络一个层级来进行安全管控。

结合两种方案来看，零信任中的“零”是一种可定义的零，仅意味着对网络的一种更为精细的划分。或者说，“零”仅象征了这个方案做到极致时的样子，也就是分无可分的状态。事实上即便是BeyondCorp方案，也还是有继续细分下去的可能。

03

信任是“零信任”的信任

网络架构做了调整，接下来就要考虑授权，也就是信任的问题。仅细分网络而不重新考虑信任，实际上就是多了几个防火墙，这没有任何实际意义。但此时的信任问题是与网络细分的程度强关联的，不同的网络细分需要的信任模型都不一样，也就是说这个“信任”是要看这个“零”是如何定义的。Zero Trust Model方案可能仅是作者提出的一种设想，在文章中并未详细陈述其配套的信任架构应该如何建设。这点BeyondCorp则不同，提出了一套完整的并与其细分粒度匹配的信任模型。

在BeyondCorp中，所有业务流量都被归结为基于HTTP协议请求（request）\响应（response）的模式。请求先经过统一的SSO进行身份验证，然后发送给统一访问代理（Access Proxy），统一访问代理后的访问控制引擎会结合终端的安全状态及用户身份对应的角色动态判断该请求是否可以执行，如可以则转发给对应的服务。在整个信任建立过程中有三点特别值得注意：

1. 所有请求都必须经过统一访问代理的，就体现了“In Zero Trust, all network traffic is untrusted.”的理念；

2. 对于请求的信任判断结合了终端的安全状态，Google文章中有专门介绍Beyond Corp是如何打造终端安全的，包含统一发放内置TPM的终端设备，不同安全级别的终端需要周期性的上报漏洞状态等措施；

3. 统一访问代理进行信任判断是动态的，其背后的访问控制引擎的数据是实时更新的。也就说会出现同样的终端同样的用户同样的请求，第一次可以正常执行，但第二次就可能就因为安全状态的改变而无法执行。这个安全状态的改变有可能是员工岗位变化，有可能是终端未按时上报状态，也有可能是内部管控人员直接关停等原因；

另外还有一点需要说明的，为了将所有流量都归纳为基于HTTP协议，BeyondCorp对终端上的软件进行了改造，全部采用HTTP协议进行网络交互。对于第三方软件无法进行改造的，BeyondCorp还采用自研客户端代理的方式，使用TUN设备的方式直接截取流量，再进行HTTP封装。

04

跟还是不跟

作为甲方信息安全的一员，对于新技术或是新概念，最终都会面临一个跟还是不跟的选择。笔者给出的建议是，采取审慎关注的态度，关注趋势，审慎落地。一方面传统的网络架构并不是一无是处，至少从信息安全这么多年的经验看，这种架构能满足各方的基本要求。（注意是各方，很多信息安全技术都不能只从信息安全的角度考虑，还至少需要连带考虑管理层、业务方及基础架构部门的诉求）。目前，特别是在拥有庞大IT基础设施的组织来讲，传统网络架构的主要问题是年久失修。做个不恰当的比喻，当初确实是固若金汤的堡垒在经历时间的拷打后，当初预留仅供狗出入的洞口变成了可供人出入的门口，由于通风的问题又在城墙上开了若干通风口，而守城的士兵因各种问题还坚守在当初设计的大门处。在这种环境下，解决年久失修带来的惊喜，优先级要远远高于推翻重来。

当然，如果没有太大的历史包袱，当然可以选择零信任路线。笔者认为一个比较好的切入点是VPN，如果组织的所有成员在不使用VPN的情况下在能够外网安全的完成所有日常工作，至少说明其具备了切换零信任的基础条件。

以上便是笔者对零信任的一些理解与看法，欢迎指正与讨论。作为一个从业多年的信息安全人，笔者已经习惯了前一秒信心满满，后一秒被啪啪打脸的酸爽，只求啪啪声别太响即可。

注：本期征文延长一个月，即到2021年1月底。

三月主题：《数据安全面面观》

四月主题：《一个人的安全》

五月主题：《网络安全“值钱”吗》

七月主题：《社工记》

十月主题：《攻防演练实务》

十一月主题：《不会做规划，怎么做安全》

六月主题：《红蓝对抗中的心理博弈》

九~十月主题：《POC轶事》

十一~十二月主题：《零信任》

齐心抗疫 与你同在