零信任安全

傳統上機構(及一般企業網絡)都專注于邊界防御，授權主體可廣泛訪問內網資源。零信任網絡建立在五在近幾年來的互聯網發展中，網絡安全事件頻頻發生，原有的概念“數據中心內部的系統和網絡流量是可信的”這一假設是不可取的。計算機信任的特征具有如下幾個方面的特征：

(1)一個實體所擁有的信任表征其可依賴程度；

(2)實體的歷史行為記錄將會反映該實體的信任程度；

(3)信任在可信度評估中，近期的信任值更可信；

(4)實體的信任不滿足對稱性，即實體A對實體B可信，但實體B對實體A不一定可信；

(5)實體間的交互安全性問題可依賴于實體間的信任程度進行評估。

而根據Evan Gilman《ZeroTrust Networks》書中所述，與邊界模型的“信任但驗證”不同，零信任的核心原則是“從不信任、始終驗證”。零信任網絡的概念建立在以下5個基本假定之上：

(1)網絡環境一直存在著各類威脅因素；

(2)網絡環境中的威脅不僅僅來自于外部，甚至內部威脅造成的危害更大；

(3)傳統基于IP地址的位置信息條件不足以認定該訪問請求安全；

(4)傳統的聚焦于訪問主體身份的認證不足以認定該訪問請求安全，即訪問主體所使用的設備、所處的真實地理位置等也需作為認證條件；

(5)訪問控制策略的評判依據需根據實際應用場景，詳細列舉影響因子，設定各影響影子比重，實現個性化、動態化策略制定。

零信任既不是技術也不是產品，而是-種安全理念。根據NIST《零信任架構標準》中的定義:零信任(Zero Trust，ZT)提供了一系列概念和思想，在假定網絡環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，降低其決策準確.度的不確定性。零信任架構(ZTA) 則是一種企業網絡安全的規劃，它基于零信任理念，圍繞其組件關系、工作流規劃與訪問策略構建而成。

在傳統的網絡環境中，根據網絡資源本身的敏感性與保密級別將資源部署在擁有不同信任等級的網絡區域，如開放區域、隔離區域、可信區域等，每個網絡區域使用防火墻進行訪問隔離，常見的傳統網絡安全架構如圖所示。在傳統的網絡環境中，每個被劃分的網絡區域在邊界安全設備的保護下控制著外部人員或設備的訪問，處于可信區及以內區域往往是內部網絡和本地服務器所在區域。在“零信任”概念之前，我們均認為內部網絡安全的，從內部網絡轉發的任意流量均為可信，從而默認允許通過安全認證，自由訪問資源，現代網絡攻擊技術的一個重要組成部分“回連攻擊技術”便發生在此時，被賦予一定可信度的內部網絡主機暴露在具有一定危險性攻擊環境中。

在零信任安全架構中，假設所有網絡區域都是具有危險性的，位于任何網絡區域中的設備、設備間的通信、資源的訪問主體均是不可信的。零信任網絡有3個關鍵組件：訪問主體/應用程序認證、設備認證和信任。對于資源訪問主體的安全性考察，在傳統安全架構中是有認證機制的，且作為安全訪問控制的必要檢測對象。而對于網絡設備的安全認證，通常出現在特殊網絡區域如VPN網關所在的隔離區，不具有普遍安全性考察，因此不符合零信任網絡原則。將零信任網絡原則運用到傳統網絡安全架構中，得到的零信任網絡安全架構如圖所示^[1]。

傳統邊界安全理念先天能力存在不足，新技術新應用又帶來了全新的安全挑戰，在這樣的背景下，零信任的最早雛形源于2004年成立的耶利哥論壇(Jericho Forum )，其成立的使命正是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案，提出要限制基于網絡位置的隱式信任；美國國防信息系統局(DISA)為了解決GIG(全球信息柵格，是美軍信息化作戰規劃中極其重要且宏大的基礎設施)中，如何實時、動態地對網絡進行規劃和重構的問題，發起了BlackCore項目，將基于邊界的安全模型轉換為基于單個事物安全性的模型，并提出了SDP(Software Defned Perimeter)的概念，該概念后來被云安全聯盟(Cloud Security Alliance)采納。2010年，由著名研究機構Forrester的首席分析師John Kindervag最早提出了零信任(Zero Trust)的概念，并由Google在BeyondCorp項目中率先得到了應用，很好的解決了邊界安全理念難以應對的安全問題^[2]。

a)內部威脅不可避免；

b)從空間上，資源訪問的過程中涉及到的所有對象(用戶、終端設備、應用、網絡、資源等)默認都不信任，其安全不再由網絡位置決定；

c)從時間上，每個對象的安全性是動態變化的(非全時段不變的)

a)任何訪問主體(人/設備/應用等)，在訪問被允許之前，都必須要經過身份認證和授權，避免過度的信任；

b)訪問主體對資源的訪問權限是動態的(非靜止不變的)；

c)分配訪問權限時應遵循最小權限原則；

d)盡可能減少資源非必要的網絡暴露，以減少攻擊面；

e)盡可能確保所有的訪問主體、資源、通信鏈路處于最安全狀態；

f)盡可能多的和及時的獲取可能影響授權的所有信息，并根據這些信息進行持續的信任評估和安全響應。

零信任的三大技術路徑：SDP、IAM、MSG^[3]

零信任是一種理念，而不是一種技術。因此，沒有單一的產品或解決方案能夠使企業獨自實現零信任。但是，業內普遍認為軟件定義邊界(SDP)、身份識別與訪問管理(IAM)、微隔離(MSG)是實現零信任的三大技術路徑。

(1)軟件定義邊界(SDP)軟件定義邊界(SDP)由云安全聯盟(CSA)于2013年提出，用應用管理者可控的邏輯組件取代了物理設備，只有在設備證實和身份認證之后，SDP才提供對認證基礎設施的訪問，SDP使得應用所有者部署的邊界可以保持傳統模型中對于外部用戶的不可見性和不可訪問性，該邊界可以部署在可以訪問的任意位置，如網絡上，云中，托管中心中，私有企業網絡上，或者同時部署在這些位置。

(2)身份識別與訪問管理(IAM)身份識別與訪問管理(IAM)具有單點登錄、認證管理、基于策略的集中式授權以及審計、動態授權等功能。它決定了誰可以訪問，如何進行訪問，訪問后可以執行哪些操作等。IAM涉及四個領域的內容：包括身份治理與管理IGA、訪問管理AM、特權訪問管理PAM及認證權鑒。1)身份治理與管理IGA用于跨企業不同應用和系統上提供統一的用戶的數字身份認證及訪問控制權限的管理，涉及到的關鍵能力包括數字身份的生命周期管理、權限管理、角色和組織架構管理、訪問控制請求、交互流程的處理、日志審計和分析報告。2)訪問管理AM，由訪問控制引擎來實現業務的訪問控制，包括統一集中認證、單點登錄、會話管理和授權的策略的執行。3)特權訪問管理PAM保障特權人員對關鍵資產設備的安全管理，國內一般叫堡壘機、4A。4)認證權鑒包含支持的認證憑證及支持的認證方式，如靜態口令、Token、生物特征的驗證方式。

(3)微隔離技術：微隔離是細粒度更小的網絡隔離技術，能夠應對傳統環境、虛擬化環境、混合云環境、容器環境下對于東西向流量隔離的需求，重點用于阻止攻擊者進入企業數據中心網絡內部后的橫向平移。

(1)根據中國信通院《數字化時代零信任安全藍皮報告》^[4]，基于零信任基本原則，企業可建設或改造已有網絡安全體系以實現零信任安全架構，利用零信任安全架構為IT系統提供持續的安全保障。架構如圖所示，由零信任核心邏輯組件和內部或外部數據源組成?；诹阈湃伟踩砟畹倪壿嫾軜嫼诵倪壿嫿M件主要分為三部分:

策略引擎:該組件負責信任評估，通過收集和分析參與對象和行為等多源信息，對訪問主體進行持續的信任評估。

控制引擎:該組件作為策略控制點，依賴策略引擎的信任評估結果，持續判定授權策略。

安全代理:該組件作為策略執行點，為授予權限的訪問主體，建立其訪問主體和被訪問資源之間的安全通道。在實際架構中，該邏輯組件可能由兩個不同的組件構成:客戶端(如用戶終端設備上的代理插件等)和資源側網關(如Web網關、API網關等)，或單個代理組件。

零信任架構除了核心邏輯組件，還包括內部和外部信任源，與策略引擎協同，將收集并分析參與對象和其行為的安全信息，傳遞給策略引擎，為其進行信任評估提供依據。信任源主要包括:CDM(連續診斷和緩解系統)、行業合規系統、威脅情報源、數據訪問策略、PKI(企業公共秘鑰基礎設施)、ID管理系統、網絡和系統活動日志、安全事件管理系統等。

(2)NIST特別出版物SP800-207《零信任架構》中定義了如圖所示的零信任體系架構。無論用戶擁有何種級別的操作權限，使用何種終端進行操作，以及終端位于什么位置，一切針對企業資源的訪問請求和請求者都被認為是不可信的。只有經過策略決策點的判定為可信的請求者和對應請求才被認為可信，并允許其訪問所請求的企業資源。

策略執行點負責啟用、監控和最終結束訪問主體與企業資源之間的連接。在接收到訪問請求后，策略執行點將請求轉發至策略決策點。策略決策點中的策略引擎使用企業安全策略以及來自外部源的輸入進行信任計算，根據信任計算結果最終決定是否授予特定訪問主體對資源的訪問權限。而策略管理器執行策略引擎的決定，進行主體與資源之間的通信路徑的建立和/或切斷。具體的方式是生成針對具體會話的身份驗證令牌或憑證，以及發出與策略執行點相關的指令。如果會話被授權并且請求通過身份驗證，策略管理器將配置策略執行點來允許會話啟動。

策略引擎進行信任計算使用的外部源主要來自兩部分：1)數據訪問策略、公鑰基礎設施和身份管理系統組成的身份安全基礎設施，該平臺為訪問控制提供所需的基礎數據來源，保障零信任架構實現對人、設備和系統進行全面的、動態的、智能的訪問控制；2)其他安全分析平臺，如持續診斷和緩解系統、行業合規系統、威脅情報提供系統、活動日志以及安全信息和事件管理系統等，共同為零信任提供資產狀態、規范性要求、運行環境安全風險、威脅情報等數據，并綜合大量的日志信息為零信任提供實現持續動態評估的綜合數據支撐。

零信任安全架構針對遠程辦公場景，不再采用持續強化邊界思維，不區分內外網，針對核心業務和數據資產，梳理訪問這些資產的各種訪問路徑和場景，在人員、設備和業務之間構建一張虛擬的基于身份的邊界，針對各種場景構建一體化的零信任動態訪問控制體系。

目前大數據中心訪問中東西向流量大幅度增加，而傳統的安全產品基本都是南北向業務模型基礎上進行研發設計的，在大數據中心內部部署使用時，出現諸如部署困難、運算開銷太大，策略管理不靈活的問題。零信任架構通過微隔離等技術，實現環境隔離、域間隔離、端到端隔離，根據環境變化自動調整策略。

企業可通過梳理云平臺內部資源，建立微隔離機制，實現零信任安全架構。在通過分析內部人員的訪問路徑、外部人員訪問通道、外部應用調用、外部數據服務平臺對接通道等確定其暴露面以后，可部署相應訪問代理，在可信訪問控制臺的控制下，基于微服務管理平臺等建立動態的虛擬身份邊界，并通過計算身份感知等安全信息分析平臺數據，建立最小訪問權限動態訪問控制體系^[5]。

2014年，國際云安全聯盟CSA的SDP工作組發布了《SDP Specifcation1.0》(SDP標準規范1.0)，描述了SDP協議架構、工作流、協議實現、SDP應用等內容。2019年，由中國云安全聯盟(C--CSA)秘書處組織CSA大中華區SDP工作組專家進行了中文版本翻譯。

2019年7月，騰訊聯合CNCERT、中國移動設計院、奇虎科技、天融信等產學研機構，發起CCSA《零信任安全技術參考框架》行業標準立項，率先推進國內的零信任標準研制工作，該標準主要解決零信任網絡安全技術的標準化、規范化等問題，幫助用戶基于標準化的方式來評估其安全態勢，重構網絡與安全應用。

2019年9月，在瑞士日內瓦舉辦的ITU-T(國際電信聯盟通信標準化組織)SG17安全研究組全體會議上，由騰訊、CNCERT、中國移動設計院主導的“服務訪問過程持續保護參考框架”國際標準成功立項。

2019年9月，美國國家標準技術研究所(NIST)發布了《零信任架構》草案(《NIST.SP.800--207-draft-Zero Trust Architecture》)；2020年2月，NIST對《零信任架構》的草案進行了修訂；8月11日，標準正式發布。該標準介紹了零信任的基本概念、體系架構的邏輯組件、部署場景、零信任與與現有聯邦指南的可能交互等內容。

2020年，奇安信公司牽頭在全國信息安全技術標準化委員(TC260)申請的《信息安全技術零信任參考體系架構》標準在WG4工作組立項，該標準主要致力于提出可信的零信任架構，從概念模型開始，確定零信任原則和技術框架，包括零信任架構的體系、組件和基本工作流程等內容^[2]。

參考資料：

[1]張夢娜. 基于零信任的云計算UCON訪問控制模型研究[D].東華大學，2021.

[2] 騰訊安全：零信任實戰白皮書(88頁).pdf

[3] 研報計算機行業深度報告零信任網絡安全理念的重塑-2020092327頁.pdf

[4] 中國信通院：數字化時代零信任安全藍皮報告(2021年)(60頁).pdf

[5] 谷正川. 面向零信任的MQTT安全關鍵技術研究[D].戰略支援部隊信息工程大學，2020.

相關報告：

【研報】計算機行業專題研究：零信任SaaS美國經驗與中國特色-20200802[42頁].pdf

云安全聯盟：零信任落地案例集

【研報】網絡安全行業系列深度報告（四）：零信任重構網絡安全體系-20200906（38頁）.pdf

侵略如火不動如山 - 微軟如何通過“零信任”守護企業安全 .pdf

CSA GCR：2021中國零信任全景圖（46頁）.pdf

華為：云零信任能力成熟度模型白皮書（33頁）.pdf