al-enterprise：2024年何為零信任架構如何實現（12頁）.pdf

1、何為零信任架構？如何實現？電子書零信任架構目錄何為零信任架構?.3 了解宏隔離和微隔離.5 為什么既需要宏隔離，又需要微隔離.6 如何實現.7 方法論.7其他注意事項.11 為何選擇 ALE?.11已知的事實.12電子書零信任架構何為零信任架構？零信任架構（ZTA）是什么意思？零信任架構就是，每個用戶和設備在被允許訪問數據之前都必須經過身份驗證和授權。這是一種“不信任任何人、需要驗證所有內容”的策略。在此，打一個比喻對理解會有所幫助。如果我們將傳統的安全視為保護村莊的堡壘，就需要在村莊（即企業）周圍構建堡壘墻（又稱為防火墻）。任何來自堡壘外部的內容都是不受信任且需審查的，但堡壘內部的任何內容都

2、默認被信任和被允許。這種信任邊界既是物理的也是隱性的，取決于您在堡壘的哪一側，因為只要您在墻的“正確”一側，就無需進一步的檢查。如果我們從企業網絡的角度考慮這種方法，可能就會有一些基本的劃分，如 VLAN、SSID、子網或連接到防火墻的接口，但這種劃分是靜態的，更多地與網絡可擴展性和可管理性掛鉤，而不是與安全性掛鉤。然而今天，由于一些原因，防火墻（堡壘）方法本身變得不那么有效。首先是移動性。當用戶連接到企業外部的其他網絡，這可能會帶來威脅。其次，訪客不一定值得信任。有人會說，即使是員工（堡壘內的人）也不應該被盲目信任。第三，接入到網絡的物聯網設備越來越多。這些設備會帶來更高的安全風險，因為它們

3、可能沒有得到 IT 部門的批準和管理，而且通常缺乏安全能力。使用傳統的“堡壘/村莊”（“防火墻/企業”方法），如果某個用戶或設備被入侵，幾乎沒有什么可以阻止威脅蔓延到其他用戶和設備。一旦進入內部就可以自由活動了。在堡壘的比喻中，如果唯一保護村莊不受入侵者入侵的是城墻，那么當他們學會如何爬上堡壘的城墻時，就會進行大屠殺。3電子書零信任架構4電子書零信任架構問題是，我們能做些什么？讓我們從“不信任任何人”或“零信任”的方法來考慮這個問題。在零信任狀態下，任何用戶或設備都不受信任。無論他們是在企業內還是在企業外，都要接受同樣的檢查。沒有信任內部用戶這種說法。每次訪問都要經過驗證和授權。在堡壘的比喻中

4、，意味著除了保護村莊免受外部威脅的堡壘外，每棟房子和每棟建筑都有自己的安全措施來保護村莊免受居住在堡壘內的邪惡分子的威脅。對于企業來說，軟件定義的微隔離更精細化。在堡壘和建筑物周邊的安全之上，我們還有私人保鏢如影隨形。無論我們走到哪里，都需要出示通行證。在企業網絡中，這種信任邊界是模糊的、分布式的且可移動的。它沒有綁定到特定的位置、交換機端口 VLAN，而是取決于身份、設備、情況、一天中的時間以及其他因素。它是由軟件定義的，可以動態調整。采用這種方法，就需要對組件進行管理，并且應該能夠根據需要做出反應和重新配置，以應對威脅或對工作流程的變化。5電子書零信任架構在零信任架構中有兩種隔離方式，即宏

5、隔離和微隔離。按照我們的比喻，堡壘墻是宏隔離，私人保安是微隔離。在宏隔離中，物理網絡被劃分為不同的邏輯網段。這些網段既可以是 VLAN，也可以是 VLAN 和 VRF 的組合，當談到最短路徑橋接（SPB）、MPLS，甚至 VXLAN 或 GRE 隧道時，它們還可以是 VPN。不同網段的用戶或設備之間的通信流量均由防火墻控制。所有企業都以某種方式或形式使用隔離，但并非總是出于安全原因。通常，這種隔離是出于可擴展性、管理或組織上的原因。如果兩個設備映射到的 VLAN 不同，但它們可以不通過防火墻進行通信，則它們位于相同的宏隔離上。在邏輯上與 PC 隔離的獨立 VLAN 和 VRF 上運行 IP 電

6、話就是這種隔離的一個典型示例。問題是，如何將用戶或設備映射到這些網段？雖然它可以靜態完成（例如通過交換機端口或 SSID），但這確實是一種過時的方式。太過于死板，對移動用戶來說不是個好選擇。理想的情況是，應該有一個軟件定義的身份驗證系統，以便當用戶或設備連接并進行身份驗證時為其分配一個配置文件。無論物理位置、交換機端口或 SSID 如何，配置文件將為用戶或設備提供正確的網段。雖然宏隔離確實有安全優勢，但在許多情況下，進行宏隔離是出于組織或管理的原因。例如，攝像頭和門鎖由門禁安全團隊控制，而恒溫器則由維護團隊控制。微隔離更精細化。并非所有用戶都一樣，也并非所有用戶都有合法權限訪問所有資源。相同的

7、配置文件將用戶映射到同一個網段，但它也還包括一組策略，可以實現對用戶/設備權限進行更精細化的控制，不同的角色（如人力資源和財務）有不同的權限。這稱為基于角色的訪問，與最小權限原則直接關聯。因此，即使攝像頭和門鎖都在同一網段，它們也不需要使用相同的資源。攝像頭需要與錄像機通信，門鎖需要與其服務器通信。攝像頭無需與門鎖通信，就像門鎖無需與其他門鎖通信一樣。這些精細控制權限是通過策略實現的，策略是配置文件的一部分，并在身份驗證后動態應用于設備。了解宏隔離和微隔離5如果只使用一種類型的隔離，會發生什么情況？先來看看只使用宏隔離的情況。如果僅使用宏隔離，防火墻就會成為瓶頸，因為所有流量都需要通過防火墻進

8、行身份驗證和授權。這可能會導致性能問題。您可以在分布層部署更多的防火墻，但這可能代價高昂，并且不一定能提高性能，因為防火墻不是線速的。此外，需要多個策略執行點和多個位置來保持策略的更新，管理起來非常麻煩。僅使用微隔離也是有問題的。如果僅通過 NAC 策略執行策略，這些策略列表將變得非常冗長且復雜，可能耗盡設備容量限值。最重要的是，最好在這兩種隔離方式之間取得平衡。用防火墻控制不同網段之間的流量（南北流量），用 NAC 策略控制某個網段內的流量（東西流量）。將這兩種隔離方式結合，您可以應對從一個安全段溢出到另一個安全段的安全威脅，以及在同一網段中橫向移動的安全威脅。更具體來說，微隔離可以阻止成功

9、入侵攝像頭的攻擊者利用漏洞作為破壞門鎖等其他資源的支點。目標是對每個連接進行身份驗證，并為每個用戶或設備分配權限。這意味著使用隔離來防止威脅通過橫向移動傳播，并對任何不符合要求的用戶或設備進行持續監控和隔離。為什么既需要宏隔離，又需要微隔離 電子書零信任架構微隔離需要由軟件定義，原因有幾個。用戶和物聯網設備都不是靜態的，他們可以移動、連接和斷開，策略不能綁定到某個位置或端口。事實上，微隔離配置需要結合多種因素的組合進行動態的配置，包括但不限于用戶或設備的身份、一天中的時間、位置等。綜上所述，不同網段之間的通信由防火墻控制時就是宏隔離。同一網段內的通信由與設備或用戶角色相關聯的網絡訪問控制（NA

10、C）策略控制時就是微隔離。如何實現 在新建項目的情況下，使用微隔離從頭開始構建零信任架構相對容易。但是，在改造項目的情況下，使用微隔離改造網絡可能會導致用戶、設備和應用程序由于身份驗證失敗或策略不完整而被擋在網絡之外。企業很難甚至不太可能在一個升級周期內一次性完成遷移。在改建項目中，會有一段非零信任和零信任架構并存的時期，一次在一層或一個位置進行遷移。重要的是要確保部署的基礎架構設施及其部署方式是靈活的，能夠在其他基礎架構設施就緒時以零信任或微隔離模式運行。也就是說，基礎架構設施將需要與現有和未來的組件進行互操作。方法論實現零信任架構有五個步驟監控、驗證和評估、計劃、模擬和執行。7電子書零信任

11、架構監控計劃模擬執行驗證和評估設備清單流量業務需求合規性能力流量補救計劃隔離技術(VLAN,SPB,VXLAN,GRE)策略身份驗證與分類集成失效開啟策略日志記錄模式失效開啟策略日志記錄模式 監控隔離圖1-方法第一步：監控首先，您需要開始監控和構建網絡中內容的地圖和設備清單庫。升級到零信任架構需要詳細了解資產（物理資產和虛擬資產）、目標（包括用戶權限）以及接觸網絡或在網絡上運行的業務流程。信息不完整通常會導致由于信息不足而拒絕訪問的故障。如果組織內部存在未知的“影子 IT”或“影子物聯網”，這個問題尤為明顯。開始監控設備和流量。創建包含網絡上所有設備的明細清單報告，按設備類型、制造商、型號、操

12、作系統等進行分類。報告還應顯示上次看到設備的位置和交換機端口或 SSID。這些信息可以從 MAC 地址、DHCP 簽名和 HTTP 用戶代理等元素中收集。大多數第三方工具只提供 IP 地址，而不提供設備類型。最理想的是有一個工具來創建物聯網/設備清單庫，以便為每種類型的設備快速便捷地創建 NAC 配置文件。創建策略還需要流量信息。根據您擁有的設備，您可以從 sFlow、Netflow 或深度數據包檢測（DPI）等流量監控工具獲取此類信息。這個過程將是反復的。第一次啟用監控時，報告可能意義不大，但隨著您進入其他步驟，報告將變得更加具體和有用。在這一步收集的信息將是進行后續步驟的關鍵。第二步：驗證

13、和評估第二步是驗證這些發現。評估業務需求。任何不合理的影子物聯網都應該刪除，因為增加了不必要的攻擊面。對于其余部分，您需要確定目標（用戶和設備）、流量和工作流，因為這些需要體現在您的策略中。例如，誰將有權訪問特定資產，以及允許他們對這些資產做些什么。應用最小權限原則。微隔離并不意味著放松密碼策略或固件更新等其他安全策略。需要對個別能力進行評估。這些設備能否支持基于證書的身份驗證?是否有管理工具來允許頒發和應用這些證書?需要什么流量?您可能需要從制造商處獲取這些信息，但也應該將其與自己的流量分析報告進行對比。如果發現不符合公司策略的資產，就需要制定補救計劃來使其符合規定，或者需要實施其他的控制措

14、施。8電子書零信任架構第三步：計劃在這個階段，您已經了解了資產、目標（用戶）、流量和工作流?，F在，您需要將這些信息轉化為身份驗證和安全策略，以實施所需的微隔離架構。如前所述，為了達到最佳效果，您應該將宏隔離和微隔離結合使用。請記住，在大多數改造項目的場景中，您將受到現有架構的限制。對于宏隔離，可以使用 VLAN、VRF、SPB VPN、VXLAN 或 GRE 隧道等多種選項，也可以使用私有 VLAN 等特殊功能。每種方法都有其各自的優缺點，適用于不同的情況。對于微隔離，您需要知道每個用戶或設備類型的配置文件中要包含哪些策略。最后，您需要定義如何將用戶和設備映射到其網段和策略。這可以歸結為身份驗

15、證或分類，其中可以包括設備指紋識別。理想情況下，您應該投資于允許您創建靈活身份驗證策略的技術（軟件定義的隔離），以便輕松更新網絡配置文件。我們建議您按以下順序設計身份驗證流程：1.使用 RADIUS 服務器通過 802.1x 證書進行身份驗證。身份驗證生成身份驗證記錄。這是可以與防火墻共享的信息。2.如果您無法通過 802.1x 證書對設備進行身份驗證，就應該嘗試 MAC 身份驗證。MAC 身份驗證遠不如 802.1x 身份驗證安全，但總比沒有身份驗證好。使用 MAC 身份驗證，直到準備好升級到 802.1x 身份驗證。3.如果沒有返回配置文件，則可以嘗試進行指紋識別，還可以使用指紋識別映射到

16、配置文件段和規則。這不會生成身份驗證或賬號記錄，但會在物聯網明細數據庫中記錄。4.最后，如果沒有返回配置文件，或者其他所有操作都失敗了，則可以使用默認的“全面攔截（catch all）”。在出現此情況的初期階段，您仍然需要將設備映射到某個配置文件，引導向與配置文件相符的相同網段和規則并將設備記錄在設備明細數據庫中。這個流程應該以一種靈活的方式進行結構化，以便您可以根據進度進行調整。例如，您可能希望首先刪除 MAC 身份驗證，從明細清單報告中獲取 MAC 地址列表后再添加。例如，在完善優化流程時，可以將與默認配置文件關聯的網段和規則更改為只允許訪問一個堡壘主機的超嚴格規則。您可能還希望與防火墻共

17、享設備角色，以便防火墻規則可以基于設備角色，而不僅僅是基于子網/IP 地址。這種集成有兩方面的優點。首先，防火墻可以對這些物聯網設備應用精細化策略。其次，防火墻策略現在是基于用戶或角色的，因此不再與子網或 IP 地址綁定，這使得未來可以設計和隔離網絡。這個過程將是反復的，在使用身份驗證和隔離方面更加成熟時，就需要進行調節、調整和完善優化。9電子書零信任架構9第四步：模擬無論您做了多少計劃，都不可能一次就做好。如果身份驗證方案設計出現任何錯誤或安全策略“允許列表”有任何遺漏，業務流程都將中斷。您需要以“失效開啟”模式應用身份驗證和訪問策略。也就是說，網絡仍然允許未通過身份驗證的設備和用戶，并且仍

18、然允許意外的流量。但所有這些都將被記錄下來，并且可以使用這些日志來改進身份驗證和策略方案。第五步：執行經過一些微調后，您將不再看到身份驗證失敗或合法流被拒絕的信息。然后，您可以將這些策略從“失效開啟”移到“失效關閉”，這意味著惡意設備將被阻止，意外流將被丟棄。不言而喻，您將需要繼續監控意外的設備和流量必要時重復整個過程。10電子書零信任架構其他注意事項我們建議您也投資一個外部入侵檢測系統（IDS），作為持續監控、日志記錄和隔離的一部分。盡管交換機本身可以直接識別一系列分布式拒絕服務（DDoS）攻擊，但外部入侵檢測系統還可以檢測到更廣泛的攻擊，如病毒或其他異常情況。您可能還記得幾年前，多個視頻監

19、控攝像頭被 Mirai 惡意軟件感染，也就是這些設備對全球 DNS 服務器發起協同攻擊的那一天，這些攻擊影響了 Twitter、Spotify 或 Paypal 等服務。您的交換機可能無法檢測到這些攻擊，但專用的入侵檢測系統肯定會檢測到。一旦檢測到攻擊，入侵檢測系統將通知您的網絡管理系統（NMS）受影響設備的 IP 地址。理想情況下，您的網絡管理系統將能夠在其數據庫中找到這些設備，并將其配置文件更改為“隔離對象（quarantine role）”?！案綦x對象”是限制性很強的角色，通常只允許與堡壘主機通信，因此可以通過設置強密碼或更新其固件等方式修復設備。為什么選擇 ALE？阿爾卡特朗訊企業通信

20、數字化時代網絡解決方案將穩健靈活的軟件定義隔離與動態 DPI NAC 策略相結合，允許逐步向零信任架構發展演進。數字化時代網絡是阿爾卡特朗訊企業通信的發展藍圖，使企業和組織能夠進入數字化時代并發展其數字化業務。這基于三大支柱：一個自治型網絡，能夠輕松、自動和安全地連接人員、流程、應用程序和對象。ALE 自治網絡基于精簡的產品系列，并配有真正統一的管理平臺，在 LAN 和 WLAN 中提供通用的安全策略。自治網絡可靈活部署于室內、室外和工業環境。網絡管理可以在本地、云端或混合部署的方式提供，具體取決于客戶的偏好。安全高效地接入物聯網設備：隔離功能將設備保持在其專用的分段中，并將設備和網絡受損的風

21、險降至最低。物聯網隔離可以幫助企業輕松、自動地了解設備運行是否正常，并有助于保持網絡安全。業務創新，通過工作流自動化實現：將用戶、應用程序和物聯網指標與地理位置數據實時集成到協作平臺，簡化了新的自動化數字業務流程和服務簡化了新的自動化數字業務流程和服務的創建和推出，包括在出現任何違規行為時通知安全和網絡管理員。您是否有創建物聯網/設備清單庫的工具？您是否有可以監控應用程序流的工具？您當前的交換機和無線接入點是否已準備好進行軟件定義的隔離？如果您目前沒有這些工具，請與我們聯系，我們愿意助您一臂之力。11電子書零信任架構我們來總結一些關鍵要點：要獲得真正高效的零信任架構，必須將宏隔離和微隔離結合使

22、用 零信任架構有五個步驟：監控、驗證和評估、計劃、模擬和執行 基于微隔離的零信任架構依賴于三大支柱：身份驗證（802.1x EAP-TLS 是黃金標準）；與用戶或設備角色相關的差異化策略（這些策略可以追溯到最小權限原則）；以及持續監控和隔離 在混合和移動環境中，微隔離必須是軟件定義的，也就是說，它必須是動態且基于策略的，而不是靜態定義的，否則就不切實際通過微隔離升級到零信任架構是一個過程，任何規模的企業都無法在一個升級換代周期內完成。但在每次升級換代、重新設計或持續改進周期中，如果您實施了正確的基礎架構和設計就可以更接近這個目標。阿爾卡特朗訊企業通信致力于開發網絡技術和解決方案，幫助企業通過數字化轉型發揮其業務潛力。已知的事實12www.al- 阿爾卡特朗訊（Alcatel-Lucent）的名稱和標識均由諾基亞（Nokia）授權于ALE（Alcatel-Lucent Enter-prise）使用。若要查閱ALE公司旗下公司使用的其他商標，請訪問：www.al- International、ALE USA Inc.2022年版權所有。在所有國家/地區保留所有權利。DID20021901EN（2022年1月）