基于零信任的安全架構(gòu)*

曾 玲，劉星江

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

零信任網(wǎng)絡(luò)（亦稱零信任架構(gòu)）概念最早是John Kindervag（約翰·金德維格）于2010年提出的[1]，開始幾年并未得到廣泛關(guān)注。隨著高級威脅和內(nèi)部風(fēng)險層出不窮，云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的飛速發(fā)展，遠(yuǎn)程辦公、企業(yè)異地分支等的大量應(yīng)用，網(wǎng)絡(luò)邊界的物理界限越來越模糊。另外，傳統(tǒng)網(wǎng)絡(luò)的安全短板日益明顯。2017 年9 月，美國發(fā)生了史上最大的用戶數(shù)據(jù)泄露事件——Equifax 數(shù)據(jù)泄露事件，造成美國1.43 億人的個人信息泄露。美國最大的移動運營商Verizon 報告分析指出，81%的黑客成功利用偷來的口令或者弱口令，可輕而易舉地獲得數(shù)據(jù)的訪問權(quán)限，成功竊取數(shù)據(jù)。根據(jù)《2018 Insider Threat Report》顯示，內(nèi)部威脅是造成數(shù)據(jù)泄露的第二大原因[2]。零信任網(wǎng)絡(luò)的內(nèi)生驅(qū)動力持續(xù)加強。

谷歌在2011 年啟動BeyondCorp 計劃，于2017年成功完成，為零信任在大型、新型網(wǎng)絡(luò)的實踐提供了參考架構(gòu)[1]。在BeyondCorp 計劃中，訪問只依賴于設(shè)備和用戶憑證，而與用戶所處的網(wǎng)絡(luò)位置無關(guān)。美國網(wǎng)絡(luò)安全廠商PaloAlto 利用其下一代防火墻產(chǎn)品，實現(xiàn)了零信任網(wǎng)絡(luò)架構(gòu)。另一家美國網(wǎng)絡(luò)安全廠商Cyxtera 提出了AppGateSDP 方案，實現(xiàn)了CSA 的SDP 架構(gòu)。其他網(wǎng)絡(luò)安全和IT 廠商，如Symantec、Cisco、VMWare 等，相繼推出了自己的零信任產(chǎn)品或架構(gòu)[3]。隨著各大廠商的進入與推進，零信任在業(yè)界持續(xù)升溫，在RSAC 2019 年展會達(dá)到高潮[1]。

1 概 念

零信任網(wǎng)絡(luò)是在不依賴網(wǎng)絡(luò)傳輸層物理安全機制的前提下，有效保護網(wǎng)絡(luò)通信和業(yè)務(wù)訪問[1]。

零信任，顧名思義，即對任何事務(wù)均建立在不信任的基礎(chǔ)之上。中心思想是不應(yīng)自動信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對任何試圖接入系統(tǒng)的人/事/物進行驗證[4]。

零信任網(wǎng)絡(luò)不是完全摒棄已有的安全技術(shù)另起爐灶。傳統(tǒng)網(wǎng)絡(luò)中的安全技術(shù)，如身份認(rèn)證、訪問控制等依然可用，只是將認(rèn)證與控制的大門從“小區(qū)大門”移到了各戶的“家門”。

零信任模型基本上打破了舊式邊界防護思維。舊有思維專注防御邊界，假定已經(jīng)在邊界內(nèi)的任何事物都不會造成威脅，因而邊界內(nèi)部事物基本暢通無阻，全都擁有訪問權(quán)限。它要企業(yè)根據(jù)用戶、用戶所處位置和其他數(shù)據(jù)等條件，利用微隔離和細(xì)粒度邊界規(guī)則來確定是否信任請求企業(yè)特定范圍訪問權(quán)的用戶/主機/應(yīng)用[4]。傳統(tǒng)模式下是以系統(tǒng)為中心的安全[5]，在零信任網(wǎng)絡(luò)下是以資源為中心的安全。把安全聚焦在資源本身，圍繞著資源的全生命周期建設(shè)部署安全。

2 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)

傳統(tǒng)網(wǎng)絡(luò)一般在網(wǎng)絡(luò)邊界上設(shè)置隔離認(rèn)證區(qū)進行認(rèn)證與控制。而零信任網(wǎng)絡(luò)沒有圍墻和大門的概念，將門從單位圍墻處移到了辦公室，甚至每一個辦公桌小間。

一個存在內(nèi)、外網(wǎng)互聯(lián)需求的傳統(tǒng)網(wǎng)絡(luò)，建立基于網(wǎng)絡(luò)位置的可信控制模型，將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。一般認(rèn)為內(nèi)部網(wǎng)絡(luò)是可信的，外部網(wǎng)絡(luò)是不可信的。內(nèi)部網(wǎng)絡(luò)可以根據(jù)業(yè)務(wù)系統(tǒng)的需要劃分為若干個在物理或邏輯上相隔離的子網(wǎng)絡(luò)。子網(wǎng)絡(luò)內(nèi)用戶間的通信是自由的。為維護內(nèi)部網(wǎng)絡(luò)安全，內(nèi)外網(wǎng)之間通過邊界隔離設(shè)備進行連接可控通信。邊界防護如單位大門一樣，訪客在單位大門口的接待區(qū)辦理完手續(xù)后即可進入，在單位內(nèi)部可隨心所欲溜達(dá)。傳統(tǒng)網(wǎng)絡(luò)存在信任過度問題，面對從內(nèi)部網(wǎng)絡(luò)發(fā)起的內(nèi)部攻擊毫無招架之力。即使攻擊來自于外部，只要穿過邊界防護這道大門，在內(nèi)部網(wǎng)絡(luò)可以肆意穿梭。

傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，如圖1 所示。

圖1 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)

3 零信任網(wǎng)絡(luò)安全架構(gòu)

3.1 架構(gòu)模型

零信任網(wǎng)絡(luò)在任何一個用戶，任何一臺設(shè)備，發(fā)起的任何一次連接，申請的任何一次服務(wù)，在通過認(rèn)證策略判決前均認(rèn)為是不可信的。它的認(rèn)證不再是一站式服務(wù)，而是細(xì)化到了一事一論。零信任網(wǎng)絡(luò)邏輯如圖2 所示。

圖2 零信任網(wǎng)絡(luò)邏輯

零信任網(wǎng)絡(luò)邏輯體系由策略判決、策略執(zhí)行、監(jiān)測系統(tǒng)、風(fēng)險分析系統(tǒng)、數(shù)據(jù)訪問策略、身份管理系統(tǒng)、設(shè)備管理系統(tǒng)、安全管理系統(tǒng)以及證書系統(tǒng)等組成。

在零信任網(wǎng)絡(luò)中，主體對客體的訪問服務(wù)請求是否通過，由策略判決模塊完成，并將判決結(jié)果告知策略執(zhí)行模塊，由策略執(zhí)行模塊決定訪問通道是否打開或關(guān)閉。策略判決模塊可分為策略引擎和策略管理兩部分。策略引擎負(fù)責(zé)通過信任算法進行信任評分。

監(jiān)測系統(tǒng)。監(jiān)測系統(tǒng)主要監(jiān)測、收集網(wǎng)絡(luò)自身的狀態(tài)信息，包括操作系統(tǒng)和應(yīng)用程序版本、補丁安裝情況以及系統(tǒng)是否存在已知漏洞等。監(jiān)測系統(tǒng)將收集的上述信息提供給策略引擎，作為信任評分函數(shù)的輸入?yún)?shù)。

風(fēng)險分析系統(tǒng)。風(fēng)險分析系統(tǒng)主要是搜集和分析來自于網(wǎng)絡(luò)外部的風(fēng)險信息，并將分析結(jié)果提供給策略引擎作為信任評分函數(shù)的輸入。它包括新發(fā)現(xiàn)的攻擊或漏洞、DNS 黑名單以及發(fā)現(xiàn)的惡意軟件等。

數(shù)據(jù)訪問策略。它是根據(jù)資源屬性而創(chuàng)建的一組關(guān)于數(shù)據(jù)訪問的屬性和規(guī)則組合。該策略根據(jù)組織任務(wù)需求而建立，為網(wǎng)絡(luò)中的用戶、設(shè)備以及應(yīng)用程序提供基本的訪問特權(quán)。這是資源訪問權(quán)限的基點，而不是全部。

證書系統(tǒng)。證書系統(tǒng)負(fù)責(zé)為用戶、設(shè)備、應(yīng)用程序等產(chǎn)生并頒發(fā)證書，形成記錄。

身份管理系統(tǒng)。身份管理系統(tǒng)負(fù)責(zé)創(chuàng)建、存儲和管理用戶賬戶和身份信息。該系統(tǒng)包含姓名、身份證書、Email 地址、崗位、角色以及訪問屬性等用戶信息。

安全管理系統(tǒng)。安全管理系統(tǒng)匯總系統(tǒng)日志、網(wǎng)絡(luò)流量、資源授權(quán)等進行系統(tǒng)安全態(tài)勢分析，可依據(jù)分析進行策略優(yōu)化，或警告可能對網(wǎng)絡(luò)進行的主動攻擊。零信任將安全的自動化置于“安全運維”的中心地位[6]。

3.2 信任評估算法

信任評估算法是零信任網(wǎng)絡(luò)的大腦，維護整個零信任網(wǎng)絡(luò)的正常運轉(zhuǎn)。信任算法的輸入包括用戶信息、設(shè)備狀態(tài)、訪問信息、行為屬性、訪問策略以及外部威脅情報等。用戶信息包括用戶ID、用戶憑證、用戶屬性和角色等。設(shè)備信息包括設(shè)備ID 號、設(shè)備所處位置等。設(shè)備狀態(tài)包括已安裝的操作系統(tǒng)及應(yīng)用軟件版本、補丁修補情況和網(wǎng)絡(luò)位置等。訪問信息包括待訪問資源的屬性、類別和級別等。行為屬性包括用戶訪問業(yè)務(wù)的行為、操作習(xí)慣、訪問時間、設(shè)備分析、來源IP 地址、來源地理位置、訪問頻度以及使用模式偏差等。外部威脅情報包括監(jiān)測到的惡意攻擊、已知漏洞等。信任評估算法模型，如圖3 所示。

進行信任評估時，采集當(dāng)前的用戶信息、設(shè)備狀態(tài)、訪問信息以及行為屬性，與存儲在策略引擎中的相應(yīng)基準(zhǔn)值進行比較，計算其偏差σi，將上述偏差值匯總風(fēng)險分析系統(tǒng)分析所得的風(fēng)險th，結(jié)合所要訪問資源的屬性進行最終的判斷。基準(zhǔn)值可以動態(tài)調(diào)整。

圖3 信任評估算法模型

3.3 核心思想

3.3.1 懷疑一切

不再以網(wǎng)絡(luò)邊界為限，將內(nèi)部網(wǎng)絡(luò)定義為可信任的。無論是遠(yuǎn)程來自于企業(yè)網(wǎng)絡(luò)之外的用戶還是近端來自于企業(yè)網(wǎng)絡(luò)內(nèi)部的用戶，無論是企業(yè)配置的專用設(shè)備還是個人私有設(shè)備，在建立連接前均需進行認(rèn)證授權(quán)。不再認(rèn)為一個合法用戶、合法設(shè)備的訪問是永遠(yuǎn)合法的。原有的基于系統(tǒng)的物理或網(wǎng)絡(luò)位置而存在的隱式信任盡量縮小或消除。認(rèn)證和授權(quán)是零信任體制下的兩個基本領(lǐng)域。零信任網(wǎng)絡(luò)對資源的訪問授權(quán)一事一議按需受理，不再橫向關(guān)聯(lián)。

3.3.2 核心保護對象為資源

隨著移動辦公需求的日益加強，隨著企業(yè)基礎(chǔ)設(shè)施云端化的發(fā)展，企業(yè)內(nèi)部網(wǎng)絡(luò)的界面越來越模糊，零信任網(wǎng)絡(luò)將對網(wǎng)絡(luò)邊界的保護轉(zhuǎn)變?yōu)閷ζ髽I(yè)所擁有的所有資源的保護，保護重點是資源的訪問限制，確定哪些資源可以被哪些用戶訪問。資源包括數(shù)據(jù)庫中存儲的數(shù)據(jù)、打印機打印以及部署于云端的計算資源、存儲資源等。

3.3.3 精細(xì)化、最小化授權(quán)

最小權(quán)限原則是零信任倚賴的監(jiān)管策略之一，也就是只賦予用戶完成特定工作所需的最小訪問權(quán)限[4]，實施精確訪問決策。在認(rèn)證與授權(quán)過程中，從參與者（包括用戶、設(shè)備、應(yīng)用程序）到數(shù)據(jù)的每個流均進行身份驗證和授權(quán)，并以動態(tài)和細(xì)粒度的方式持續(xù)分析和評估訪問請求。

3.3.4 持續(xù)驗證每個訪問請求的可信性

主體對客體的訪問控制不是門檻式靜態(tài)部署配置，而是基于外在風(fēng)險，結(jié)合用戶的歷史行為等進行動態(tài)評估，根據(jù)評估結(jié)果進行訪問策略的動態(tài)調(diào)整。

零信任網(wǎng)絡(luò)下，信任體系的建立包括用戶的可信、設(shè)備的可信和應(yīng)用的可信。用戶、設(shè)備和應(yīng)用在訪問資源前，需要通過身份管理系統(tǒng)進行身份鑒別[7]。用戶的可信建立在對用戶進行認(rèn)證的基礎(chǔ)上。用戶提供動態(tài)口令、人臉識別、指紋識別以及認(rèn)證令牌等方式進行身份鑒別，結(jié)合用戶行為、地理位置、訪問時間等進行風(fēng)險分析與判斷，并實時做出調(diào)整。

3.4 特 點

3.4.1 由網(wǎng)絡(luò)中心化向身份中心化轉(zhuǎn)變

零信任網(wǎng)絡(luò)引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，本質(zhì)訴求是以身份為中心進行細(xì)粒度的、自適應(yīng)的、對資源的訪問控制[1]。

3.4.2 安全防護層面由網(wǎng)絡(luò)防護向應(yīng)用防護轉(zhuǎn)變

安全防護層面由網(wǎng)絡(luò)防護向應(yīng)用防護轉(zhuǎn)變。零信任網(wǎng)絡(luò)認(rèn)為網(wǎng)絡(luò)是不可信的，因此不再在網(wǎng)絡(luò)層面增強防護措施應(yīng)對風(fēng)險，而是把防護措施建立在應(yīng)用層面[1]，針對服務(wù)應(yīng)用進行認(rèn)證、訪問控制和加密保護。

3.4.3 無邊界化

網(wǎng)絡(luò)防御由關(guān)注廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到每一個或每一組資源，旨在消除網(wǎng)絡(luò)內(nèi)尤其是內(nèi)部網(wǎng)絡(luò)內(nèi)橫向移動的未經(jīng)授權(quán)的訪問操作。

3.4.4 認(rèn)證控制向末端延伸

認(rèn)證的邊界由網(wǎng)絡(luò)邊界向用戶、設(shè)備和應(yīng)用延伸。

3.4.5 向細(xì)?；较虬l(fā)展

細(xì)化到每一個服務(wù)，每一個數(shù)據(jù)流。零信任是分布式信任的高度細(xì)粒化控制[6]。

3.4.6 向泛在化方向發(fā)展

所有通信數(shù)據(jù)均加密，所有訪問都審計，做到全程可視。

3.4.7 授權(quán)時機由門檻式授權(quán)向動態(tài)授權(quán)發(fā)展

在動態(tài)授權(quán)中，基于信任算法將設(shè)備和用戶的多元數(shù)據(jù)作為輸入進行計算，獲得動態(tài)的信任度評估值，基于主體的評估值和客體的屬性確定是否授權(quán)。

4 結(jié)語

零信任網(wǎng)絡(luò)必將成為網(wǎng)絡(luò)安全流行框架之一，尤其是在云環(huán)境、遠(yuǎn)程辦公等應(yīng)用需求下。零信任網(wǎng)絡(luò)打破了傳統(tǒng)網(wǎng)絡(luò)模式下的防護機制、管理模式，而非安全技術(shù)自身。機制的打破不是一蹴而就的，要面臨著企業(yè)已有資產(chǎn)的再利用等問題。在很長一段時間內(nèi)，零信任網(wǎng)絡(luò)將與傳統(tǒng)網(wǎng)絡(luò)共同作戰(zhàn)，結(jié)合零信任中管理風(fēng)險的方法與身份認(rèn)證、持續(xù)監(jiān)測等技術(shù)，共同防護面臨的威脅。在向零信任網(wǎng)絡(luò)遷移時，需要根據(jù)現(xiàn)有設(shè)備的配置情況，對現(xiàn)有業(yè)務(wù)流程進行重新梳理和設(shè)計，最大化有效利用現(xiàn)有設(shè)備，增大已有資產(chǎn)的有效利用，減少資金再投入比例。