騰訊安全：零信任實戰白皮書(88頁).pdf

《騰訊安全：零信任實戰白皮書(88頁).pdf》由會員分享，可在線閱讀，更多相關《騰訊安全：零信任實戰白皮書(88頁).pdf（88頁珍藏版）》請在三個皮匠報告上搜索。

1、 序 推薦序 隨著遠程辦公等應用的爆發，零信任安全理念得到迅速發展。中國產業互聯網發展聯盟零信任產業標準工 作組集結業界優勢機構，基于實戰經驗和研究積累，研制和推出本白皮書，希望能為零信任產業發展帶來新動 能。中國產業互聯網發展聯盟秘書長 雷曉斌 本白皮書基于產業實踐，給出了詳細的技術實現和應用案例，為安全從業者提供了很好的借鑒。隨著零信 任理念在國內的快速普及和落地，相關產品和解決方案要更加重視合規要求，這是安全管理的需要也是能被市 場認可的基礎。公安部第三研究所(國家網絡與信息系統安全產品質量監督檢驗中心)副主任 顧健 零信任實戰白皮書的發布，期待能為企業安全管理者、技術研發和運維等人員提

2、供有價值的參考。騰訊基 于超大型企業網絡安全建設實戰和諸多客戶環境部署經驗，貢獻了架構方案、技術實現和大量應用場景案例。 基于實戰，面向未來。騰訊企業IT部副總經理 黃李明 網絡安全是沒有硝煙的戰場，攻防無異于一場場戰斗。而現實的戰爭模式一直在進化，從一戰的塹壕戰到 二戰的立體化運動戰，跟不上進化節奏的一方將會一敗涂地，如同二戰初期，貫徹運動戰思想的德軍橫掃還抱 著塹壕戰思想的法軍。類比一下，傳統的劃分區域的安全防護模式就如同塹壕戰，想依賴幾條防線來擋住各種 層出不窮的攻擊形式已經力不從心了，而基于零信任原則的安全防御則相當于立體化運動戰、機動防御，這樣 才能在越來越復雜的網絡攻擊形勢下建立起

3、穩固的安全陣地。 騰訊游戲CROS助理總經理 劉棲銅、陳冬 零信任產業標準工作組成立后，短時間就推出白皮書這一工作成果。我相信，白皮書能夠促進產業界各方 交流，指導相關產品研發。我期待，對企業客戶，白皮書能夠普及零信任安全理念，加快零信任應用實踐，從 而在整體上提升企業安全等級。綠盟科技副總裁 李晨 網絡安全攻防的發展是拉鋸式的，雙方的成敗都是在此消彼長之間，因此不存在“絕對的安全”，也不存在 “無法防御的威脅”，網絡安全從業者在不斷的實踐中找尋解決方案，希望能夠為有價值的目標提供持續動態的 防護。天融信高級副總裁 楊斌 零信 任 實 戰 白 皮 書序 零信任產業標準工作組 編制組自序 零信任

4、產業標準工作組（以下稱“工作組”）作為國內率先提出將零信任產業化與標準化相結合發展的專業 組織（截止本白皮書發布時間，成員單位已包含國內22家零信任產學研用的權威機構），工作組的使命和目標 是：以標準化為紐帶促進零信任產業規?；l展，為用戶提供標準、可信賴的零信任產品和服務。 零信任實戰白皮書作為工作組第一項正式發布的研究成果，以國內產業界的工程實踐和依托零信任架 構開展的真實攻防實戰經驗為基礎，全面且詳細地介紹了零信任理念、零信任與傳統邊界安全理念的關系、零 信任參考架構、零信任實現方案、零信任應用場景、零信任落地指引、行業客戶案例、探索和展望等方面的內 容，供所有對零信任感興趣的讀者交流和

5、參考。 由于零信任理念在業界處于快速普及和發展的階段，本書內容僅代表編制組專家們的理解和實踐經驗。大 部分編制組專家平時專注于技術研究和產品研發，并非專業的“寫手”，專家們犧牲了大量個人休息時間對白皮 書內容進行研制和討論，希望盡可能準確和完整的呈現基于實戰的零信任理念全貌。即便如此，由于時間倉 促，編制過程中也難免存在理解不準確或者文字表達謬誤之處，歡迎讀者們多提寶貴意見。 零信任實 戰 白 皮 書序 零信任產業標準工作組 本白皮書版權屬于零信任產業標準工作組，并受法律保護。轉載、摘編或利用任何其他方式使用白皮書文 字或觀點的，均應注明“來源：零信任產業標準工作組”。違反以上聲明者，工作組將

6、保留追究其相關法律責任 的權利。 編制單位 騰訊科技（深圳）有限公司、完美世界控股集團有限公司、北京天融信網絡安全技術有限公司、公安部第 三研究所、綠盟科技集團股份有限公司、北京薔薇靈動科技有限公司、中國移動通信集團設計院有限公司、任 子行網絡技術股份有限公司、上海觀安信息技術股份有限公司、中孚信息股份有限公司、深圳市網安計算機安 全檢測技術有限公司、國家計算機網絡應急技術處理協調中心、北京芯盾時代科技有限公司、騰訊云計算(北 京)有限責任公司。 蔡東赟、何藝、龍凡、劉治平、陳妍、劉弘利、李小鵬、杜雪濤、張晨、趙蓓、王先高、謝江、王衛峰、 洪躍騰、程建明、趙蕓偉、李凱、黃超、劉海濤、翟尤、曹靜

7、、孫少波、謝儀頔。 編制人員 版權聲明 零信 任 實 戰 白 皮 書版 權 聲 明 零信任產業標準工作組 零信任概述 1.1 產生背景 1.2 零信任原則 1.3 標準化進展 零信任與傳統邊界安全理念的比較 2.1傳統邊界安全理念 2.2 零信任理念 2.3 零信任與傳統安全產品/設備的關系 零信任參考架構 3.1 SDP架構概述 3.2 NIST零信任架構概述 3.3 通用參考架構 零信任實現方案 4.1用戶對資源訪問模式實現 4.2 服務之間調用模式實現 零信任應用場景 5.1 辦公安全 5.2 數據中心內部訪問 5.3 大數據 5.4 物聯網 5.5 多云安全訪問和混合云服務器運維 5.

8、6 私有機房對外訪問入口的安全防護 零信任落地指引 6.1 實施概述 6.2全新建設實施指引 6.3已有網絡架構升級實施指引 目錄 01 05 13 17 38 52 零信任實 戰 白 皮 書目錄 零信任產業標準工作組 行業客戶案例 7.1 某全球綜合性互聯網公司案例（騰訊） 7.2 某大型多分支游戲公司案例（完美世界） 7.3 某大型互聯網金融企業數據中心案例（薔薇靈動） 7.4某政務應用案例（天融信） 7.5 某集團多級分支機構案例（天融信） 7.6 某大型央企數據中心內攻防演練中的應用案例（薔薇靈動） 7.7 某政府單位案例（綠盟） 7.8 某保險金融集團案例（騰訊） 7.9 某公安實戰

9、平臺案例（任子行） 7.10 BeyondCorp案例（谷歌） 零信任探索和展望 8.1 合規性探索討論 8.2 5G應用場景探索討論 8.3 展望 附錄 76 81 56 零 信 任 實 戰 白 皮 書目 錄 零信任產業標準工作組 01零信任概述 1.1 產生背景 對于資源的訪問保護，傳統方式是劃分安全區域，不同的安全區域有不同的安全要求。在安全區域之間就 形成了網絡邊界，在網絡邊界處部署邊界安全設備，包括防火墻、IPS、防毒墻、WAF等，對來自邊界外部的 各種攻擊進行防范，以此構建企業網絡安全體系，這種傳統方式可稱為邊界安全理念。在邊界安全理念中網絡 位置決定了信任程度，在安全區域邊界外的

10、用戶默認是不可信的（不安全的），沒有較多訪問權限，邊界外用 戶想要接入邊界內的網絡需要通過防火墻、VPN等安全機制；安全區域內的用戶默認都是可信的（安全的）， 對邊界內用戶的操作不再做過多的行為監測，但是這就在每個安全區域內部存在過度信任（認為是安全的，給 予的權限過大）的問題。同時由于邊界安全設備部署在網絡邊界上，缺少來自終端側、資源側的數據，且相互 之間缺乏聯動，對威脅的安全分析是不夠全面的，因此內部威脅檢測和防護能力不足、安全分析覆蓋度不夠全 面成為了邊界安全理念固有的軟肋。甚至很多企業只是非常粗粒度的劃分了企業內網和外網（互聯網），這種 風險就更為明顯。 另外，隨著云計算、物聯網以及移

11、動辦公等新技術新應用的興起，企業的業務架構和網絡環境也隨之發生 了重大的變化，這給傳統邊界安全理念帶來了新的挑戰。比如云計算技術的普及帶來了物理安全邊界模糊的挑 戰，遠程辦公、多方協同辦公等成為常態帶來了訪問需求復雜性變高和內部資源暴露面擴大的風險，各種設備 （BYOD、合作伙伴設備）、各種人員接入帶來了對設備、人員的管理難度和不可控安全因素增加的風險，高 級威脅攻擊（釣魚攻擊、水坑攻擊、0day漏洞利用等）帶來了邊界安全防護機制被突破的風險，這些都對傳統 的邊界安全理念和防護手段，如部署邊界安全設備、僅簡單認證用戶身份、靜態和粗粒度的訪問控制等提出了 挑戰，亟需有更好的安全防護理念和解決思路

12、。 傳統邊界安全理念先天能力存在不足，新技術新應用又帶來了全新的安全挑戰，在這樣的背景下，零信任 的最早雛形源于2004年成立的耶利哥論壇（Jericho Forum ），其成立的使命正是為了定義無邊界趨勢下的網 絡安全問題并尋求解決方案，提出要限制基于網絡位置的隱式信任；美國國防信息系統局（DISA）為了解決 GIG（全球信息柵格，是美軍信息化作戰規劃中極其重要且宏大的基礎設施）中，如何實時、動態地對網絡進 行規劃和重構的問題，發起了BlackCore項目，將基于邊界的安全模型轉換為基于單個事物安全性的模型，并 提出了SDP（Software Defi ned Perimeter）的概念，該

13、概念后來被云安全聯盟（Cloud Security Alliance）采 納。2010年，由著名研究機構Forrester的首席分析師John Kindervag最早提出了零信任（Zero Trust）的概念， 并由Google在BeyondCorp項目中率先得到了應用，很好的解決了邊界安全理念難以應對的安全問題。 零信任代表了新一代的網絡安全防護理念，并非指某種單一的安全技術或產品，其目標是為了降低資源訪 問過程中的安全風險，防止在未經授權情況下的資源訪問，其關鍵是打破信任和網絡位置的默認綁定關系。 在零信任理念下，網絡位置不再決定訪問權限，在訪問被允許之前，所有訪問主體都需要經過身份認證和

14、 授權。身份認證不再僅僅針對用戶，還將對終端設備、應用軟件等多種身份進行多維度、關聯性的識別和認 1.2 零信任原則 零 信 任 概 述零 信 任 實 戰 白 皮 書 零信任產業標準工作組 2014年，國際云安全聯盟CSA的SDP工作組發布了SDP Specifi cation 1.0（SDP標準規范1.0），描 述了SDP協議架構、工作流、協議實現、SDP應用等內容。2019年，由中國云安全聯盟(C-CSA)秘書處組織 CSA大中華區SDP工作組專家進行了中文版本翻譯。 2019年7月，騰訊聯合CNCERT、中國移動設計院、奇虎科技、天融信等產學研機構，發起CCSA零信 任安全技術參考框架行

15、業標準立項，率先推進國內的零信任標準研制工作，該標準主要解決零信任網絡安全 技術的標準化、規范化等問題，幫助用戶基于標準化的方式來評估其安全態勢，重構網絡與安全應用。 2019年9月，在瑞士日內瓦舉辦的ITU-T(國際電信聯盟通信標準化組織) SG17安全研究組全體會議上，由 騰訊、CNCERT、中國移動設計院主導的“服務訪問過程持續保護參考框架”國際標準成功立項。該框架提供有 1.3 標準化進展 證，并且在訪問過程中可以根據需要多次發起身份認證。授權決策不再僅僅基于網絡位置、用戶角色或屬性等 傳統靜態訪問控制模型，而是通過持續的安全監測和信任評估，進行動態、細粒度的授權。安全監測和信任評 估

16、結論是基于盡可能多的數據源計算出來的。 我們總結了零信任理念的基本假設、基本原則如下： 1）零信任理念的基本假設 a) 內部威脅不可避免； b) 從空間上，資源訪問的過程中涉及到的所有對象（用戶、終端設備、應用、網絡、資源等）默認都不信 任，其安全不再由網絡位置決定； c) 從時間上，每個對象的安全性是動態變化的（非全時段不變的）。 2）零信任的基本原則 a）任何訪問主體（人/設備/應用等），在訪問被允許之前，都必須要經過身份認證和授權，避免過度的 信任； b）訪問主體對資源的訪問權限是動態的（非靜止不變的）； c）分配訪問權限時應遵循最小權限原則； d）盡可能減少資源非必要的網絡暴露，以減少

17、攻擊面； e）盡可能確保所有的訪問主體、資源、通信鏈路處于最安全狀態； f）盡可能多的和及時的獲取可能影響授權的所有信息，并根據這些信息進行持續的信任評估和安全響應。 零信任在所有需要對資源訪問進行安全防護的場景都可以使用，但是否采用，應根據企業可接受的安全風 險水平和投入綜合考慮決定。 關持續身份安全和訪問控制管理的標準化指導，成為國際標準組織中首個零信任安全相關的技術標準，對推動 零信任安全技術在全球范圍規模商用的進程，加快零信任技術和服務快速發展與普及具有重要深遠的意義。 2020年3月，“服務訪問過程持續保護參考框架”國際標準草案正式提交ITU-T，也在SG17安全研究組全體會議 中得

18、到普遍認可并獲繼續推進。 2019年9月，美國國家標準技術研究所（NIST）發布了零信任架構草案（NIST.SP.800-207-draft -Zero Trust Architecture）；2020年2月，NIST對零信任架構的草案進行了修訂；8月11日，標準正式 發布。該標準介紹了零信任的基本概念、體系架構的邏輯組件、部署場景、零信任與與現有聯邦指南的可能交 互等內容。 2020年，奇安信公司牽頭在全國信息安全技術標準化委員（TC260）申請的信息安全技術 零信任參考 體系架構標準在WG4工作組立項，該標準主要致力于提出可信的零信任架構，從概念模型開始，確定零信任 原則和技術框架，包括零

19、信任架構的體系、組件和基本工作流程等內容。 可以看出，2019年可謂是零信任標準化研制工作爆發的元年，這也側面說明了零信任理念經過十余年的發 展，相關技術和產品已逐步成熟?？梢灶A見，未來將會有更多零信任相關的標準出臺，這對我國零信任產業的 規?；l展打下了良好基礎。 零信任實 戰 白 皮 書零 信 任 概 述 零信任產業標準工作組 關持續身份安全和訪問控制管理的標準化指導，成為國際標準組織中首個零信任安全相關的技術標準，對推動 零信任安全技術在全球范圍規模商用的進程，加快零信任技術和服務快速發展與普及具有重要深遠的意義。 2020年3月，“服務訪問過程持續保護參考框架”國際標準草案正式提交IT

20、U-T，也在SG17安全研究組全體會議 中得到普遍認可并獲繼續推進。 2019年9月，美國國家標準技術研究所（NIST）發布了零信任架構草案（NIST.SP.800-207-draft -Zero Trust Architecture）；2020年2月，NIST對零信任架構的草案進行了修訂；8月11日，標準正式 發布。該標準介紹了零信任的基本概念、體系架構的邏輯組件、部署場景、零信任與與現有聯邦指南的可能交 互等內容。 2020年，奇安信公司牽頭在全國信息安全技術標準化委員（TC260）申請的信息安全技術 零信任參考 體系架構標準在WG4工作組立項，該標準主要致力于提出可信的零信任架構，從概念

21、模型開始，確定零信任 原則和技術框架，包括零信任架構的體系、組件和基本工作流程等內容。 可以看出，2019年可謂是零信任標準化研制工作爆發的元年，這也側面說明了零信任理念經過十余年的發 展，相關技術和產品已逐步成熟?？梢灶A見，未來將會有更多零信任相關的標準出臺，這對我國零信任產業的 規?；l展打下了良好基礎。 零信 任 概 述零信 任 實 戰 白 皮 書 零信任產業標準工作組 02零信任與傳統邊界 安全理念的比較 1）概述 傳統的基于網絡邊界的安全防護模型，其基本思路是先根據業務和信息敏感程度定義要保護的對象，然后 確認對象的安全級別，對于級別相同的對象認為屬于同一安全區域。在劃分安全區域后，

22、在不同安全級別的安 全區域之間就形成了網絡邊界。由于安全級別不同，通過相關的技術來進行安全隔離，實現對各個安全區域的 安全防護。 這種安全防護模型通過防火墻、IPS等邊界安全產品/設備對企業網絡邊界進行防護，將攻擊者盡可能擋在 非信任網絡邊界的外面，并假定邊界內是默認可信任的，對邊界內的操作基本不做過多限制。 2）優點 邊界安全理念在早期網絡環境中是有效的，因為當時的網絡規模不大，業務也不復雜，通過邊界隔離可以 很好的阻斷蠕蟲類攻擊傳播和一些未授權的訪問，總的來說具有以下優點： a）簡單可靠：邊界模型結構清晰，通過明確所需保護資源的邊界來隔離風險，當策略正確實施后，可以 保持長時間的穩定運行；

23、 b）阻斷效果徹底：多數邊界安全理念的隔離設備可以基于網絡層的阻斷，可以徹底阻斷請求數據進入區 域內； c）業務侵入低：業務不用做過多改造，邊界隔離系統和檢測系統可以透明部署。 3）缺點 隨著時代的發展，網絡節點數量爆發式增長，各類新的應用和業務場景也不斷涌現，對網絡規則的管理成 本已經越來越高，而攻擊已經發展出各式各樣的攻擊模式出來，可以輕松越過安全邊界，如下圖： 2.1 傳統邊界安全理念 圖-邊界安全示意圖 零信 任 實 戰 白 皮 書零信任與傳統邊界安全理 念 的 比 較 零信任產業標準工作組 1）概述 由于傳統安全模型不能解決更高強度的攻擊場景，在對抗過程中零信任安全理念被逐漸提出和實

24、踐，零信 任通過先假定人、終端、資源等都是不可信的，通過建立人到終端到資源的信任鏈，并動態實時校驗信任鏈， 來實現對資源安全可信請求，阻斷攻擊數據。 在攻擊過程中，攻擊者可以通過郵件等方式將病毒、蠕蟲或后門，通過正常的業務通道經防火墻類隔離系 統，將攻擊載荷投遞到信任網絡中，或是以物理潛入等方式繞過邊界隔離系統的控制，直接在內部發起進攻。 傳統的邊界安全理念強在邊界處的防護，對已經進入邊界內信任網絡中的請求，或有規則信任和允許的請 求不再進行阻斷，因此攻擊者一旦進入到內部后攻擊難度大幅降低，因此傳統邊界安全模型主要的缺點有： a）同域橫向攻擊難以防護：由于基于網絡物理位置進行信任和非信任網絡的

25、劃分，安全設備通常無法覆 蓋到同域環境內的系統，也自然無法進行防護； b）合法權限的復用難以防護：攻擊者通?？梢詮陀煤戏嘞蓿ㄈ缈诹?、訪問票據等），邊界安全理念系 統難以區分是正常訪問，還是攻擊數據； c）安全檢測盲點：邊界防護模型通常不介入到業務中，因此難以還原所有的軌跡，不能有效關聯分析， 導致安全檢測容易出現盲點。 d）邊界容易繞過：難以抵御高級威脅攻擊，防護機制容易被繞過。 e）對云計算等新技術新應用的適應性不強。 2.2 零信任理念 圖-邊界安全理念風險示意圖 零信任實 戰 白 皮 書零信 任 與 傳 統 邊 界 安全理念的比較 零信任產業標準工作組 在零信任架構下，傳統的邊界（網絡

26、位置）已經不再重要，即便你在信任網絡中同樣也是處于“不可信”狀 態，每一次對資源的請求，都會要經過信任關系的校驗和建立，如上示意圖。 2）優點 零信任安全架構提供了有別于傳統安全的增強安全機制，在新的架構模型下，區分惡意和非惡意的請求， 是來自人、終端、資源三者關系是否正確，是否可信，以及零信任強調的“從不信任、持續校驗”（Never Trust，Always Verify）理念，零信任給安全帶來的優點有以下方面： a）安全可信度更高：因為信任鏈條的關系是環環相扣，如果中間狀態發生任何改變，會更容易被發現和 檢測； b）動態防護能力更強：每一次對資源的請求，都是一次重新校驗的過程，安全是動態的

27、，而檢測也是動 態持續發生，這樣如果產生了異常，可以迅速感知并阻斷； c）除此外還有諸如全鏈路加密，分析能力增強、訪問集中管控、資產管理方便等優點。 3）缺點 安全沒有萬能的解決方案，用一個新的方案解決安全風險時，一定也會帶來新的風險，因此也需要正視零 信任的優缺點，選擇適合的方案，零信任架構有幾個缺點： a）單點風險：零信任是強管控架構，對資源的控制都集中在網關上，因此一旦單點故障會導致整個業務 中斷； b）權限集中風險：零信任架構將很多風險收斂集中起來，降低了管理成本但集中化管理如果失控也會帶 更大風險； c）復雜化風險：零信任架構覆蓋面很廣，從用戶到終端到應用資源，架構涉及多個組件，導致

28、復雜化程 度加大，增加了故障判斷和修復成本； d）投入風險：零信任架構建設周期比一般架構體系要更長，如果不能持續投入容易功虧一簣，導致投資 浪費。 圖-零信任架構安全信任鏈構建示意 如果將兩者放到一起，就會發現，優缺點是有顯著區別的，比如傳統安全模型結構簡單，零信任架構復 雜，可是安全防護能力更強，如下表： 零信 任 實 戰 白 皮 書零信任與傳統邊界安全理 念 的 比 較零信 任 實 戰 白 皮 書零信任與傳統邊界安全理 念 的 比 較 零信任產業標準工作組 4) 企業網絡防護從傳統邊界安全理念到零信任理念演進的原因分析 a）純內網安全管理的增強需求 傳統的基于網絡邊界的安全防護模型，適用于

29、網絡環境比較固定，物理邊界比較清晰的情況（網絡安全邊 界即物理邊界），能夠一定程度上把安全威脅限制在要保護的安全區域之外，安全區域劃分的越小，邊界保護 的精度越高。 傳統的基于網絡邊界的安全防護模型，好比為要守一座城，先在城的四周建立城墻，把城內與城外隔離開 來，再修建城門，作為關卡檢查所有進城人員，保障外來的人員都是可信任的再放行進城。這種安全模型的缺 點很明顯，邊界總會被繞過，傳統方式通過架設防火墻堵住入口，然后建設自己的內網，入口處做好認證和檢 查。然后把企業的終端設備接入到內網，接入設備就作為一個可信的設備，同時設備分配一個比較大網絡權限 （一般企業規劃是給一個業務類型的設備一個大網絡

30、段，不可能規劃太多的網絡段，比如辦公網大概就劃分幾 個大的段，服務器區的網絡規劃也同理），接入后的設備可以在內網訪問大量業務服務器、業務資源或者各類 運維資源入口。企業內網資源針對單個終端，將大面積地暴露。雖然有很多邊界安全防護設備，但是還是抵擋 不住員工被攻擊，比如使用被社工入侵內網的終端設備，這個終端設備天然被內網信任，一旦終端設備被攻陷 可作為跳板，有一個大網段的企業內部服務器資源可以任意訪問。被攻陷的終端設備運行未知的惡意代碼，進 行內網傳播、盤點服務器資源、入侵破壞服務器或者竊取數據，終端設備具備對應的網絡權限，安全管理人員 也不知道終端內是用什么應用在訪問什么具體的目標資源，總之這

31、個傳統可信的設備擁有一個大網段的網絡訪 問權限，如果終端上的高級威脅代碼無法及時被發現并有效阻止，那么惡意攻擊人員就可以在內網暢通無阻。 這種風險的本質就是利用了合法設備-合法網絡權限的弱點，傳統的安全認為接入認證后的設備都是可信的， 并且網絡劃分對單點設備的訪問授權過大，邊界設備淪陷后導致大片內網資源暴露給攻擊入侵者。 零信任方案在傳統職場內部提供了一種增強的安全機制：在傳統的網絡基礎建設上，屏蔽大部分非關鍵職 位的終端直接訪問內網業務服務器的通道，所有的終端都必入通過零信任系統的認證授權，受控保護，然后通 如果將兩者放到一起，就會發現，優缺點是有顯著區別的，比如傳統安全模型結構簡單，零信任

32、架構復 雜，可是安全防護能力更強，如下表： 過鏈路加密的零信任安全網關才可以訪問到具體的業務系統。只有符合訪問控制策略的可信用戶身份、可信設 備、可信應用等，才可以訪問授權范圍內具體業務系統。通過可信應用白名單，可以大大減少供應鏈攻擊、未 知惡意代碼執行滲透掃描等威脅。持續關注用戶身份、設備安全狀態、可信應用的安全狀態等關鍵對象的安全 變化，如果一個對象變化則要立刻阻斷訪問。此外，還可以通過提供基礎的終端安全保護、合規監測、系統加 固等能力，保障終端設備長期處于一個符合基線的安全狀態；為訪問鏈路提供加密通道，在內網也可以避免臨 近淪陷機器的嗅探攻擊。 b）企業辦公網絡建設規劃管理的環境變化導致

33、 當前企業生產網絡的環境正在發生變化，辦公網絡環境也在快速變化。中小企業因為發展階段，處于成本 考慮，一般不建設自己和管理自己的IDC機房，使用云服務提供商的資源。企業的業務系統上云后，內部管理IT 類的內部系統也隨之上云了。大型企業面臨的大量辦事處、分支機構、跨境并購公司等情況，辦公網絡安全管 理、并購公司機房資源的統一的安全訪問管理都存在安全挑戰。 集團企業對分支機構的保護管理，傳統的方式是對分支機構網絡“畫個圈”，圈里面提供網絡和安全基礎建 設和管理服務，然后用專線串聯起來組成一個大的企業網絡，進行統一的網絡安全管理。具體如架設一條專 線，打通分支機構和集團公司/云之間的網絡通道，通過先

34、在分支機構部署網絡設備，然后部署安全防護設備如 終端準入設備、防火墻、流量檢測設備等，部署后要投入人力進行網絡規劃、策略維護、安全運營等。這種方 式對于大部分系統上云的企業來說意義不大，投入卻很大。零信任理念下，針對分支機構，在云的業務服務入 口架設零信任安全網關，分支機構只需簡單提供一個有寬帶的辦公網絡，無需劃分和維護特別復雜的網絡策 略，簡單的認證進本地辦公網絡，然后通過ISP提供便宜的公網帶寬，做鏈路保護接入到安全網關，鑒權合法后 再到具體的云上業務系統?；谟脩羯矸?、設備安全、可信應用、目標業務系統的細粒度訪問控制策略，不管 是建立訪問連接還是訪問過程中，一旦某個關鍵對象出現安全問題則

35、進行訪問阻斷，以減少風險。如果發現終 端設備出現高危病毒木馬，對于訪問過程中已經建立的訪問連接，則會被零信任安全網關阻斷，大大降低了因 終端安全問題導致的服務器入侵、破壞或竊取數據的風險。 針對集團并購公司、辦事處等分支職場網絡的場景，落地零信任架構并不是一定要把分支職場網絡歸入集 團的大網，并做統一的規劃管理。例如并購公司的分支職場如果已經有傳統的安全投入和團隊投入，且分支職 場的員工不多，拉一條專線接入到集團統一的網絡規劃池，需要同時在分支網絡提供網絡防護等安全設備，以 及面臨進行安全設備的運營維護等工作投入，因此合并到集團網絡統一管理的成本會很高。而實際上僅需要在 終端設備上安裝零信任終

36、端代理軟件，實現終端的安全監測和防護，通過密碼技術在公網上建立安全的通信鏈 路連接到集團統一的零信任安全網關，訪問集團的業務系統。這樣可以快速、經濟的適應分支職場網絡建設和 訪問集團業務系統的需求。 傳統邊界安全理念 1.簡單可靠 2.規則清晰 3.阻斷更徹底 4.業務侵入低 1.安全可靠性更高 2.攻擊難度大 3.持續校驗，從不信任 1.無法防護內部攻擊 2.邊界容易繞過 3.防護深度不夠 4.新技術新應用適應性不強 1.單點風險 2.集中化風險 3.復雜化風險 4.憑證風險 5.投入風險 零信任理念 優點 缺點 零信任實 戰 白 皮 書零信 任 與 傳 統 邊 界 安全理念的比較零信任實

37、戰 白 皮 書零信 任 與 傳 統 邊 界 安全理念的比較 零信任產業標準工作組 過鏈路加密的零信任安全網關才可以訪問到具體的業務系統。只有符合訪問控制策略的可信用戶身份、可信設 備、可信應用等，才可以訪問授權范圍內具體業務系統。通過可信應用白名單，可以大大減少供應鏈攻擊、未 知惡意代碼執行滲透掃描等威脅。持續關注用戶身份、設備安全狀態、可信應用的安全狀態等關鍵對象的安全 變化，如果一個對象變化則要立刻阻斷訪問。此外，還可以通過提供基礎的終端安全保護、合規監測、系統加 固等能力，保障終端設備長期處于一個符合基線的安全狀態；為訪問鏈路提供加密通道，在內網也可以避免臨 近淪陷機器的嗅探攻擊。 b）

38、企業辦公網絡建設規劃管理的環境變化導致 當前企業生產網絡的環境正在發生變化，辦公網絡環境也在快速變化。中小企業因為發展階段，處于成本 考慮，一般不建設自己和管理自己的IDC機房，使用云服務提供商的資源。企業的業務系統上云后，內部管理IT 類的內部系統也隨之上云了。大型企業面臨的大量辦事處、分支機構、跨境并購公司等情況，辦公網絡安全管 理、并購公司機房資源的統一的安全訪問管理都存在安全挑戰。 集團企業對分支機構的保護管理，傳統的方式是對分支機構網絡“畫個圈”，圈里面提供網絡和安全基礎建 設和管理服務，然后用專線串聯起來組成一個大的企業網絡，進行統一的網絡安全管理。具體如架設一條專 線，打通分支機

39、構和集團公司/云之間的網絡通道，通過先在分支機構部署網絡設備，然后部署安全防護設備如 終端準入設備、防火墻、流量檢測設備等，部署后要投入人力進行網絡規劃、策略維護、安全運營等。這種方 式對于大部分系統上云的企業來說意義不大，投入卻很大。零信任理念下，針對分支機構，在云的業務服務入 口架設零信任安全網關，分支機構只需簡單提供一個有寬帶的辦公網絡，無需劃分和維護特別復雜的網絡策 略，簡單的認證進本地辦公網絡，然后通過ISP提供便宜的公網帶寬，做鏈路保護接入到安全網關，鑒權合法后 再到具體的云上業務系統?；谟脩羯矸?、設備安全、可信應用、目標業務系統的細粒度訪問控制策略，不管 是建立訪問連接還是訪問

40、過程中，一旦某個關鍵對象出現安全問題則進行訪問阻斷，以減少風險。如果發現終 端設備出現高危病毒木馬，對于訪問過程中已經建立的訪問連接，則會被零信任安全網關阻斷，大大降低了因 終端安全問題導致的服務器入侵、破壞或竊取數據的風險。 針對集團并購公司、辦事處等分支職場網絡的場景，落地零信任架構并不是一定要把分支職場網絡歸入集 團的大網，并做統一的規劃管理。例如并購公司的分支職場如果已經有傳統的安全投入和團隊投入，且分支職 場的員工不多，拉一條專線接入到集團統一的網絡規劃池，需要同時在分支網絡提供網絡防護等安全設備，以 及面臨進行安全設備的運營維護等工作投入，因此合并到集團網絡統一管理的成本會很高。而

41、實際上僅需要在 終端設備上安裝零信任終端代理軟件，實現終端的安全監測和防護，通過密碼技術在公網上建立安全的通信鏈 路連接到集團統一的零信任安全網關，訪問集團的業務系統。這樣可以快速、經濟的適應分支職場網絡建設和 訪問集團業務系統的需求。 零 信 任 實 戰 白 皮 書零 信 任 實 戰 白 皮 書零信任與傳統邊界安全理 念 的 比 較 零信任產業標準工作組 2.3 零信任與傳統安全產品/設備的關系 零信任是一種安全理念，本質上和傳統安全產品/設備并不是同一個維度的概念，但是由于零信任架構落地 的時候，會和傳統安全產品/設備產生協作，甚至可能存在替代某些傳統安全產品/設備的情況。本章簡要介紹 與

42、零信任關系緊密的幾種安全產品/設備的關系，便于更方便和深刻的理解零信任的落地。 1）零信任與防火墻的關系 防火墻提供了劃分網絡邊界、隔離阻斷邊界之間的流量的一種方式，通過防火墻可以提供簡單、快速有效 的隔離能力。防火墻和零信任在實踐中可以互相補充，常見的場景是在實施了零信任的環境中，通過防火墻限 制除了零信任網關端口外的一切訪問，最小化非信任網絡到信任網絡的權限，將攻擊面降到最低。 2）零信任與IAM的關系 零信任強調基于身份的信任鏈條，即該身份在可信終端，該身份擁有權限，才可對資源進行請求。傳統 IAM系統可以協助零信任解決身份（賬號）唯一標識，身份屬性，身份全生命周期管理等支持。通過IAM

43、將身份 信息狀態（身份吊銷離職、身份過期、身份異常等）傳遞給零信任系統后，零信任系統可以通過IAM系統的身 份信息（如部門屬性）來分配默認權限，而通過IAM系統對身份的唯一標識，可有利于零信任系統確認用戶可 信，通過對唯一標識對用戶身份建立起與終端、資源的信任關系，并在發現身份風險時實施針對關鍵用戶相關 的訪問連接進行阻斷等控制。 3）零信任與SOC/SIEM/Snort等產品的關系 零信任重要理念之一是持續安全校驗。校驗對象包含了用戶是否安全可信，終端環境是否安全可信，訪問 資源是否安全可信等維度。一些深層次的安全分析往往需要大量數據支撐和較多計算資源的投入，集中在零信 任的策略引擎中會帶來

44、引擎負載過大、影響引擎穩定性等風險。結合SOC系統可以增強零信任的安全檢測能力 和復雜安全事件分析能力，通過接入包含零信任系統在內的各種數據，可以實現從終端接入，到什么用戶對資 源發起請求，對用戶行為進行全過程的綜合異常檢測能力。SOC系統檢測出對安全事件又可以聯動零信任系 統，對來自風險源的訪問進行阻斷或是降權處理。 a）SOC系統輸出到零信任系統：行業的SOC系統大部分收集并且存放和記錄著各種各樣的安全系統的監 測結果，同時部分企業的SOC系統具有大量基于企業自身特有的威脅檢測規則，可以輸出關鍵身份高危信息、 設備高危信息、惡意應用信息等關鍵對象的信息。SOC系統告警經過簡單過濾后，輸出身

45、份、設備、惡意應用 特征等給到零信任系統，零信任系統可以查詢關鍵對象涉及到的連接或者終端，可以快速終止在進行中的有惡 意風險來源的業務系統訪問連接，降低整個企業核心業務訪問的風險。 b）零信任系統輸出到SOC系統：訪問請求涉及到用戶、設備、應用、訪問連接等訪問日志，可以提供給 SOC系統做異常行為監測分析。 同理其他安全檢測分析平臺也可以聯動，如Snort、SIEM、IDS類可以輸出關鍵對象風險并和零信任系統的 訪問控制組件聯動。 零信任實 戰 白 皮 書零 信 任 與 傳 統 邊 界 安全理念的比較 零信任產業標準工作組 4）零信任與OTP的關系 零信任中強調用戶的可信，當物理現實中的用戶投

46、射到網絡中時，如何證明你是你本人，則需要對該身份 進行鑒別。鑒別的方式有多種多樣，傳統的靜態口令鑒別由于容易被盜取、爆破，安全性較差，無法真正有效 證明用戶身份。因此一次一密（OTP）結合PIN碼，或是其他鑒權因子可以實現更加可信的身份鑒別，提高零 信任系統中用戶可信這一層面的安全性。 5）零信任與虛擬專用網絡（VPN）關系 VPN提供了一種在公共網絡上建立專用數據通道的技術。包含兩層含義：一是“虛擬”，即并不存在一個端 到端的物理通信鏈路，而是在公共網絡上建立一個邏輯上的專用網絡；二是“專用”，強調私有性和安全性。 VPN是對企業內網的延伸，通過VPN可幫助企業分支機構、遠程用戶、外部合作伙

47、伴等與企業內部網絡建立安 全的網絡連接，實現安全保密通信。 隧道技術是實現VPN的關鍵技術，通過對通信數據的封裝和解封裝，實現數據的透明、安全傳輸。根據隧 道所在的網絡層次，可分為二層、三層、應用層隧道協議。常見的二層隧道協議包括PPTP、L2TP，三層隧道 協議包括GRE、IPsec，應用層隧道協議SSL VPN等。 雖然零信任和VPN是不同維度的概念，但在安全接入和數據加密通信等方面有相似性。Gartner預測到 2023年將有60%的VPN被零信任取代。下表是零信任和VPN的比較。 相比較優點 1.架構復雜，實施有一定難度 2.技術發展期，廠商尚不多 1.技術成熟 2.技術選型可選擇面較

48、寬 相比較缺點 零信任 VPN 1、覆蓋的安全能力更全面，理念更先進，擁有更強的身 份認證和細粒度訪問控制能力 2、適用場景更多，不局限于網絡遠程訪問 3、可快速擴容，對網絡鏈路質量要求沒有VPN嚴格 1、安全性不足 無法解決合法用戶的內部安全威脅；用戶證書被盜或用戶身份驗證強度 不足等安全問題；僅一次用戶鑒權，沒有持續安全監測 2、穩定性不足 當使用弱網絡（如小運營商，丟包率高），海外網絡（跨洋線路，延遲 大）時，頻繁斷線重連，訪問體驗差 3、靈活性不足 大部分企業的VPN產品是第三方采購，采購和部署周期長，容量，帶寬 也受限于先前的規劃，難以在突發需要的時候進行快速的彈性擴容。 零信 任

49、實 戰 白 皮 書零信任與傳統邊界安全理 念 的 比 較零信 任 實 戰 白 皮 書零信任與傳統邊界安全理 念 的 比 較 零信任產業標準工作組 03零信任參考架構 用什么樣的架構來落地零信任理念，目前尚沒有統一的定義，但業界已有多個組織正在為給出零信任架構 設計和定義而努力。目前業界比較熟知的架構有SDP軟件定義網絡和NIST提出的零信任體系架構。企業可以通 過多種架構方式引入零信任理念，不同的應用場景可以使用不同的架構，每種架構的側重點有所不同。企業可 以根據自身需求，使用一種或多種架構作為落地零信任理念的主要驅動元素。 SDP軟件定義邊界是國際云安全聯盟（CSA）于2013年提出的新一代網絡安全架構，CSASDP標準規范 1.0給出的SDP的定義是：“SDP旨在使應用程序所有者能夠在需要時部署安全邊界，以便將服務與不安全的 網絡隔離開來，SDP將物理設備替換為在應用程序所有者控制下運行的邏輯組件并僅在設備驗證和身份驗證后 才允許訪問企業應用基礎架構?！?“應用程序/應用/服務”在本文語境下均指資源。 SDP架構主要包括三大組件：SDP控制器（SDP Controler）、SDP連接發起主機（IH，Initial host）、 SDP連接接受主機（AH，Accept host）。SDP控制器確定哪些IH、AH主機可以相互通信