目錄

一、前言：

二、什么是零信任網絡？

三、為什么選擇零信任網絡？

四、零信任網絡與傳統安全模型

五、零信任網絡的設計原則

六、零信任架構的邏輯組成

七、零信任架構的部署形式

八、總結

---

一、前言：

“零信任網絡”（亦稱零信任架構）自2010年被當時還是研究機構Forrester的首席分析師JohnKindervag提出時起，便一直處于安全圈的“風口浪尖”處，成為眾人不斷爭議與討論的對象，有人說這是未來安全發展的必然產物、也有人說其太過超前而無法落地，但無論“零信任”如何飽受爭議，不可否認的是隨著“零信任”的支撐技術逐漸發展，這個從前只存在于理論上的“安全最優解”正逐步成為現實。

在2019年9月份，工信部公開征求對《關于促進網絡安全產業發展的指導意見（征求意見稿）》的意見中，《意見》指出到2025年，要培育形成一批年營收超過20億的網絡安全企業，形成若干具有國際競爭力的網絡安全骨干企業，網絡安全產業規模要超過2000億。除了提出對市場規模和網安企業的要求，該《意見》還將“零信任安全”列入網絡安全需要重點突破的關鍵技術。

那么究竟什么是“零信任安全架構”，他與傳統的邊界模型又有什么區別。美創安全實驗室從本周起將分三期帶大家詳細了解“零信任”的成長始末。

二、什么是零信任網絡？

“零信任”是一個安全術語也是一個安全概念，它將網絡防御的邊界縮小到單個或更小的資源組，其中心思想是企業不應自動信任內部或外部的任何人/事/物、不應該根據物理或網絡位置對系統授予完全可信的權限，應在授權前對任何試圖接入企業系統的人/事/物進行驗證、對數據資源的訪問只有當資源需要的時候才授予。

簡單來說，**“零信任”的策略就是不相信任何人。除非網絡明確知道接入者的身份，否則任誰都無法接入到網絡。**現有傳統的訪問驗證模型只需知道IP地址或者主機信息等即可，但在“零信任”模型中需要更加明確的信息才可以，不知道用戶身份或者不清楚授權途徑的請求一律拒絕。用戶的訪問權限將不再受到地理位置的影響，但不同用戶將因自身不同的權限級別擁有不同的訪問資源，而過去從外網登陸內網所需的VPN也將被一道廢棄。零信任對訪問控制進行了范式上的顛覆，引導安全體系架構從“網絡中心化”走向“身份中心化”，其本質訴求是以身份為中心進行訪問控制。

這與無邊界網絡概念有點類似。在無邊界網絡概念中，最終用戶并不是所有都位于辦公室以及防火墻后，而是在遠程工作，使用他們的iPad或者其他移動設備。網絡需要了解他們角色的更多信息，并明確哪些用戶被允許連接網絡來工作。

零信任架構是對企業級網絡發展趨勢的回應，企業級網絡開始包含遠程用戶和位于企業網絡邊界的基于云的資產。零信任架構關注于保護資源、而非網絡分段，因為網絡位置不再被視為資源安全態勢的主要組成部分。

三、為什么選擇零信任網絡？

1. 網絡安全形式日趨嚴峻，急需一種有效的解決方案

美國網絡安全公司 CybersecurityVentures 發布的《2017年度網絡犯罪報告》預測，到2021年，網絡犯罪所致全球經濟損失總額將達6萬億美元/年，比2015年的3萬億美元足足翻了一倍。同時，波耐蒙研究所在IBM資助下所做的《2017數據泄露研究》發現，數據泄露事件所致平均損失為362萬美元。盡管該數字比上一年有所下降，但數據泄露事件的平均規模卻上升了1.8%，達到了平均每起事件泄露2.4萬條記錄之多。

企業高管們認識到了如果僅僅依靠現有安全方法并不足以應對愈趨嚴峻的安全態勢，他們需要更好的東西，而零信任模型恰好就能得到最好的結果。“零信任模型”基本上打破了舊式邊界防護思維，舊式思維專注防御邊界，假定已經在邊界內的任何事物都不會造成威脅，因而邊界內部事務基本暢通無阻，全部擁有訪問權限。

但越來越多的安全專家和技術專家并不認同邊界防御的效果。尤其是最近幾起嚴重的數據泄露事件都是因為黑客突破了外部防御后，便潛伏于企業內網，利用內部系統漏洞和管理缺陷逐步獲得更高級權限，而黑客在公司內網下的橫向移動過程中幾乎沒遇到什么阻礙。這也證明曾經大多數人主張的“內部網絡是安全的”這一論點從根本上就是錯誤的。

IT系統的一個固有問題在于，太多東西可以經由默認連接而“四處巡游“。人們的信任值過高，這也是互聯網得以騰飛的原因所在，因為每個人都可以在任何時間任何地點共享任何東西。但“信任”也是一把雙刃劍，這也是互聯網安全的癥結所在：如果你信任所有東西，你就沒機會保證任何東西的安全。

2. 云技術的崛起，打破了傳統網絡架構

如今企業的IT部門為什么急需一種新的安全思維，直接原因是大部分是網絡邊界已經不存在了，純內部系統組成的企業數據中心不再存在，企業應用一部分在辦公樓里，一部分在云端----分布各地的雇員、合作伙伴和客戶通過各種各樣的設備訪問云端應用。根本原因是云技術近幾年的大力發展初顯成效，云防火墻技術逐漸成熟、云計算的算力不斷提升導致云服務器幾乎成為了每家企業的必要設備。

而隨著云技術的不斷深入可能導致各種人員通過不同方式接入企業網絡，對原有的企業內網架構造成沖擊，到時候內網可能回和外網一樣透明，毫無隱私而言，這一點與當初架構的設計理念可以說是大相徑庭，因此我們必須尋求一種能適應云服務的全新架構，而“零信任架構“也能滿足這個需求。

綜上所述，由于種種宏觀變化，都推動了“零信任網絡“的發展與流行，面對工作更加移動化和云端化，曾經給過我們無數安全感的”防火墻“不得不逐步退后，割舍自己曾經“主導的陣地”，一直后退到需要保護的資產身邊。這也恰恰是“零信任網絡”所追求的場景。

四、零信任網絡與傳統安全模型

傳統的安全模型是以邊界模型為基礎而逐步完善的，傳統的基于邊界的網絡安全架構通過防火墻、WAF、IPS等邊界安全產品/方案對企業網絡邊界進行重重防護。它的核心思想是分區、分層（加強縱深防御）。**邊界模型專注防御邊界，將攻擊者盡可能擋在外面，假定已經在邊界內的任何事物都不會造成威脅，**因此邊界內部基本暢通無阻。

而反觀“零信任架構”，“零信任網絡“強調的是永不信任和始終驗證，不信任任何人、事、物。JohnKindervag在提出“零信任”概念時提出過三個原則：

① 不應該區分網絡位置。
② 所有的訪問控制都應該是最小權限且嚴格限制。
③ 所有的訪問都應當被記錄和跟蹤。

如果說傳統網絡安全模型是用“城墻”將人民保護在一起，那么“零信任網絡”則是“城門大開”，但是每個民眾都配備一個士兵保護。相比于用廣闊的“城墻”來防護，這種“點到點”的防護策略顯得更加靈活與安全。

那么我們是否可以徹底舍棄城墻，完全轉為這種靈活的安全策略呢？

答案顯然是否定的，傳統防火墻至今仍可以抵御80%以上的攻擊，如果完全舍棄防火墻一類的傳統安全產品全部使用“零信任“的策略，**由于”零信任“需要足夠強的帶寬來支撐大量的訪問控制請求，那么勢必會消耗大量的網絡資源，造成卡頓，請求超時等等后果還有可能影響業務功能的正常使用。**所以在傳統邊界防護的基礎上搭建”零信任架構“才是最好的選擇。

五、零信任網絡的設計原則

“零信任架構“提供了旨在消除在信息系統和服務中實施準確訪問決策時的不確定性的一系列概念、思想和組件關系（體系結構）。為了減少不確定性，“零信任”在網絡認證機制中減少時間延遲的同時更加關注認證、授權、以及可信域。訪問規則被限制為最小權限。

在Evan Gilman《零信任網絡》一書中，根據“零信任網絡”的創建理念在合理的推測下被描述為建立在以下五個基本斷言上：

① 應該始終假設網絡充滿威脅。
② 外部和內部威脅每時每刻都充斥著網絡。
③ 不能僅僅依靠網絡位置來建立信任關系。
④ 所有設備、用戶和網絡流量都應該被認證和授權。
⑤ 訪問控制策略應該是動態的基于盡量多的數據源進行計算和評估。

五個斷言簡單易懂但又直擊要害，由此可以看出，“零信任”的理念已經從邊界模型“信任但驗證”轉換到“從不信任，始終驗證”的模式。所以我們在此基礎上進一步推理可以總結出在“零信任架構”的設計下要遵循的六點基本原則：

① 所有的數據源和計算服務都被認為是資源。
② 所有的通信都是安全的，而且安全與網絡位置無關。
③ 對單個企業資源的訪問的授權是對每次連接的授權。
④ 對資源的訪問是通過策略決定的，包括用戶身份的狀態和要求的系統，可能還包括其他行為屬性。
⑤ 企業要確保所有所屬的和相關的系統都在盡可能最安全的狀態，并對系統進行監控來確保系統仍然在最安全的狀態。
⑥ 用戶認證是動態的，并且在允許訪問前嚴格執行。

六、零信任架構的邏輯組成

在組織和企業中，構成零信任架構部署的邏輯組件通常有很多，《NIST SP800-207：零信任架構草案》中描述了一種典型的方案邏輯及核心產品組件：

• 策略引擎（Policy Engine）：該組件負責最終決定是否授予指定訪問主體對資源（訪問客體）的訪問權限。策略引擎使用企業安全策略以及來自外部源（例如IP黑名單，威脅情報服務）的輸入作為“信任算法”的輸入，以決定授予或拒絕對該資源的訪問，策略引擎的核心作用是信任評估。
• 策略管理器（Policy Administrator）：組件負責建立客戶端與資源之間的連接。它將生成客戶端用于訪問企業資源的任何身份驗證令牌或憑據。它與策略引擎緊密相關并依賴于其決定最終允許或拒絕連接，策略管理器的核心作用是策略判定點，是零信任動態權限的判定組件。
• 策略執行點（Policy Enforcement Point）：這實際上是一個組件系統，負責開始，持續監控、并最終結束訪問主體與訪問客體之間的連接。策略執行點實際可分為兩個不同的組件：客戶端組件（如用戶筆記本電腦上的agent）與資源端組件（如資源前控制訪問的網關），策略執行點的核心作用是確保業務的安全訪問。

除了以上核心組件外，還有進行訪問決策時為策略引擎提供輸入和策略規則的許多數據源。包括本地數據源和外部數據源，具體包括：

• 持續診斷和緩解計劃系統（CDM System）：該系統收集關于企業系統當前狀態的信息，并將更新應用到配置和軟件組件中。企業CDM系統還提供給策略引擎關于系統訪問請求的信息。
• 行業合規系統（Industry Compliance System）：該系統確保企業與當前政府管理的一致性。包括企業開發的所有策略規則來確保合規。
• 威脅情報流（Threat Intelligence）：該系統提供幫助策略引擎進行訪問決策的信息。
• 數據訪問策略（Data Access Policy）：數據訪問策略是企業為企業資源創建的關于數據訪問的屬性、規則和策略的集合。策略規則集可以編碼在策略引擎中或有PE動態生成。
• 企業公鑰基礎設施（PKI）：該系統負責生成和記錄企業對資源、應用等發布的證書。既包括全局CA生態系統和聯邦PKI。
• ID管理系統（ID Management）：系統負責創建、保存和管理企業用戶帳戶和身份記錄。系統中既含有必要的用戶信息，也含有其他企業特征，比如角色、訪問屬性、或分配的系統。
• 安全應急和事件管理系統（SIEM System）：集合了系統日志、網絡流量、資源權利和其他信息的企業系統為企業信息系統體佛那個安全態勢的反饋。

七、零信任架構的部署形式

基于設備代理/網關的部署

在基于設備代理/網關的部署模型中，PEP（策略執行點）被分為2個組件，位于資源上或在資源之前直接作為組件。比如，每隔企業發布的系統都安裝了設備代理，每個資源都有一個前置的組件只網關直接通信，作為資源的逆向代理。網關份額則連接到策略管理員，并允許策略管理員批準的連接。

基于微邊界的部署

基于微邊界的部署模型是基于設備代理/網關的部署模型的變種。該模型中，無關組件可能位于系統中，也可能位于單個資源之前。一般來說，這些資源是作為單個業務功能，并不直接與網關來通信。該模型中，企業私有云位于網關之后。

基于資源門戶的部署

在基于資源門戶的部署模型中，PEP作為一個單獨的組件作為用戶請求的網關。網關門戶可以作為單個資源也可以作為單個業務功能集合的微邊界。

系統應用沙箱

系統應用沙箱部署模型也是基于代理/網關部署模型的變種，沙箱模型使可信應用在系統中隔離運行。這些隔離的部分可以是虛擬機、也可以是容器和其他實現方式，但目標是一樣的：保護系統中運行的主機和應用不受其他應用的影響。

八、總結

回顧一下本期內容，首先我們詳細介紹了“零信任”的誕生過程，它是如何自2010年被JohnKindervag提出以及被提出后便一直飽受爭議的故事，其次我們從互聯網宏觀發展環境下論證“零信任網絡”為什么是未來三年的互聯網主要發展法方向，然后我們對比傳統的網路邊界模型，總結出“零信任網絡”較傳統邊界模型的優點從而推導出為什么要選擇“零信任網絡“，之后我們根據互聯網環境以及“零信任”設計理念合理推出“零信任網絡”的六點設計原則，在已定的設計原則上，我們仔細介紹了“零信任網絡”的詳細邏輯組件以及工作原理，提出理想化模型后我們又針對此架構的部署方式做了簡單說明，提出了對應不同環境的四種部署方式。

總結

以上是生活随笔為你收集整理的认识零信任安全网络架构的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。