基于零信任的網(wǎng)絡安全模型架構與應用研究

李歡歡 徐小云 王紅蕾

DOI：10.16661/j.cnki.1672-3791.2107-5042-9133

摘 ?要：隨著新技術的快速發(fā)展，傳統(tǒng)的網(wǎng)絡安全模型無法滿足企業(yè)信息安全防護要求，基于零信任的網(wǎng)絡安全模型應運而生，被眾多企業(yè)選擇。該文闡述并分析了傳統(tǒng)網(wǎng)絡安全模型的優(yōu)缺點，并對零信任網(wǎng)絡安全模型的架構進行了詳細闡述，在此基礎上以零信任網(wǎng)絡安全模型在某網(wǎng)信息安全支撐技術平臺上的實踐為例，提出了基于零信任架構的安全應用解決方案。

關鍵詞：零信任?信任評估?動態(tài)訪問?網(wǎng)絡安全

中圖分類號：TP393.8? ? ?文獻標識碼：A???文章編號：1672-3791（2021）06（b）-0007-03

Research on the Architecture and Application of Network Security Model Based on Zero Trust

LI Huanhuan XU Xiaoyun WANG Honglei

（Aostar Information Technology Co.，?Ltd.， Chengdu，?Sichuan Province，610041 China）

Abstract：?With the rapid development of new technology， the traditional network security model can not meet the requirements of enterprise information security protection， the network security model based on zero trust arises at the historic moment， has been chosen by many enterprises. This paper first analyzes the advantages and disadvantages of the traditional network security model， and elaborates on the architecture of the zero trust network security model. On this basis， taking the practice of the zero trust network security model on a network information security support technology platform as an example， this paper proposes a security application solution based on the zero trust architecture.

Key Words：?Zero trust; Trust assessment; Dynamic access;?Cyber security

多數(shù)企業(yè)當前主要采用傳統(tǒng)的網(wǎng)絡安全模型，即對網(wǎng)絡進行分區(qū)并設置網(wǎng)絡隔離的模型，企業(yè)使用邊界防護設備將企業(yè)網(wǎng)絡設置為企業(yè)內(nèi)網(wǎng)與企業(yè)外網(wǎng)，從而構建出企業(yè)自身的網(wǎng)絡安全防護體系。隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新興技術的發(fā)展，企業(yè)的業(yè)務架構與網(wǎng)絡應用環(huán)境已發(fā)生較大變化。從而導致基于邊界防護的傳統(tǒng)網(wǎng)絡安全模型不足以滿足新環(huán)境下的網(wǎng)絡安全要求，在一些進化的持續(xù)性威脅攻擊面前無法有效防護網(wǎng)絡與系統(tǒng)安全，內(nèi)網(wǎng)安全事故也因此頻繁發(fā)生。

針對傳統(tǒng)的網(wǎng)絡安全模型無法滿足當前企業(yè)在數(shù)字化轉型階段對網(wǎng)絡安全的需求，基于零信任的網(wǎng)絡安全模型應運而生。對任一訪問企業(yè)網(wǎng)絡的主體，包括發(fā)起訪問的人員、發(fā)起訪問的設備以及被訪問的應用，在每次訪問時都默認為不可信狀態(tài)，需要通過持續(xù)的身份驗證以及訪問授權來構建動態(tài)訪問的信任。這是零信任網(wǎng)絡安全模型的核心思想，其本質(zhì)是以訪問主體的身份為中心來進行訪問控制^[1]。

該文首先闡述并分析了傳統(tǒng)網(wǎng)絡安全模型的優(yōu)缺點，然后對零信任網(wǎng)絡安全模型的架構進行詳細闡述，在此基礎上以零信任網(wǎng)絡安全模型在某網(wǎng)信息安全支撐技術平臺上的實踐為例，提出了基于零信任架構的安全應用解決方案。

1 ?傳統(tǒng)網(wǎng)絡安全模型

當前傳統(tǒng)網(wǎng)絡安全模型一般采用在企業(yè)網(wǎng)絡邊界上設置隔離認證區(qū)，對訪問與數(shù)據(jù)交互進行認證與控制。針對一個存在企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交互需求的傳統(tǒng)網(wǎng)絡，傳統(tǒng)網(wǎng)絡安全模型將建立基于網(wǎng)絡位置的可信控制模型，利用可信控制模型將企業(yè)網(wǎng)絡劃分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng)。在此網(wǎng)絡架構下一般默認企業(yè)內(nèi)網(wǎng)為可信網(wǎng)絡，企業(yè)外網(wǎng)絡為不可信網(wǎng)絡。內(nèi)網(wǎng)可以根據(jù)業(yè)務系統(tǒng)的實際需要，劃分為多個子網(wǎng)絡，子網(wǎng)絡之間存在物理或邏輯上的隔離。為維護企業(yè)內(nèi)網(wǎng)的安全、保護內(nèi)網(wǎng)數(shù)據(jù)，企業(yè)內(nèi)外網(wǎng)之間通過邊界隔離認證區(qū)進行連接，從而實現(xiàn)內(nèi)外網(wǎng)的可控通信。然而傳統(tǒng)網(wǎng)絡安全模型存在信任過度的問題，由于網(wǎng)絡安全信任策略限制，來自外部的網(wǎng)絡攻擊如果傳過隔離認證區(qū)，攻擊者可隨意訪問內(nèi)部網(wǎng)絡;來自內(nèi)網(wǎng)的網(wǎng)絡攻擊，更是難以防護，網(wǎng)絡安全難以得到保障^[2-3]。傳統(tǒng)網(wǎng)絡架構，如圖1所示。

2 ?零信任安全網(wǎng)絡模型

零信任安全網(wǎng)絡模型對企業(yè)網(wǎng)絡中每位用戶與每臺設備發(fā)起的每次連接，以及申請的每次服務請求，在認證策略判決之前默認為不可信的。零信任安全網(wǎng)絡模型的認證不是一站式服務，而是精細為對每次服務請求都做可信判斷。零信任網(wǎng)絡邏輯如圖2所示。

與傳統(tǒng)的網(wǎng)絡安全模型不同，零信任網(wǎng)絡模型不單考慮來自外網(wǎng)的網(wǎng)絡攻擊，同時增加了對來自內(nèi)網(wǎng)網(wǎng)絡攻擊的防護。對企業(yè)業(yè)務訪問中的所有行為實體，都使用零信任安全網(wǎng)絡模型進行評估，確保每個行為實體的可信任。因而，零信任安全網(wǎng)絡模型具有以下特性：

首先是多維度身份認證特性。在零信任安全網(wǎng)絡模型中，身份認證的對象不僅僅是與傳統(tǒng)的網(wǎng)絡安全模型一樣，對網(wǎng)絡業(yè)務訪問用戶以及訪問的設備進行認證。同時還會將用戶信息、訪問設備的主機信息、訪問業(yè)務系統(tǒng)的行為特征以及用戶權限等都作為身份認證的對象，對多維信息進行融合，構建出用戶畫像，從多個維度對訪問對象的可信度進行評估。

其次是動態(tài)訪問控制特性。零信任完全網(wǎng)絡模型的訪問控制策略不再是固定不變的，其訪問控制策略是建立在身份認證與授權重構的雙重訪問控制之上。他通過對網(wǎng)絡訪問主體的多維度信息進行實時判斷，確認當前訪問的風險。同時對控制策略以及應用訪問權限進行實時調(diào)控，來應對可能發(fā)生的網(wǎng)絡攻擊。

最后是可變信任管理特性。不同于傳統(tǒng)的基于用戶與權限預分配的訪問策略，零信任網(wǎng)絡采用更精細的信任評估訪問機制。對企業(yè)網(wǎng)絡中的訪問行為進行全生命周期的監(jiān)管，同時不斷計算網(wǎng)絡訪問行為在零信任網(wǎng)絡模型中的信任評分，并依據(jù)實時評分數(shù)值大小，對實體賦予不同的訪問權限，實現(xiàn)對訪問實體的可變信任管理。

在零信任安全網(wǎng)絡模型中，用于實時計算訪問實體信任評分的信任評估算法，是零信任網(wǎng)絡的核心，其維護著整個零信任網(wǎng)絡的正常運作。信任評估算法的輸入包含用戶信息、設備狀態(tài)、用戶權限、行為屬性、訪問信息、訪問策略以及外部威脅等。其中用戶信息包含用戶名、用戶權限、用戶屬性以及應用角色等。設備信息包含設備MAC地址、設備IP等信息。設備狀態(tài)包含當前設備的操作系統(tǒng)版本以及安裝的應用軟件版本號、補丁包版本號等情況以及設備是否中毒等。訪問信息包含用戶待訪問資源的屬性、類別信息與安全等級等。行為屬性包含用戶訪問網(wǎng)絡的行為特性、用戶習慣、訪問時間、訪問來源IP地址、訪問來源物理位置信息、訪問頻度等。外部威脅包含網(wǎng)絡監(jiān)測到的惡意攻擊以及已知漏洞等信息^[3-4]。

3 ?零信任安全網(wǎng)絡模型的應用研究

隨著互聯(lián)網(wǎng)的發(fā)展，某電網(wǎng)公司信息系統(tǒng)不斷推廣建設和延伸覆蓋，內(nèi)、外網(wǎng)業(yè)務不斷增加，致使復雜多樣的用戶類型需使用不同的終端訪問企業(yè)內(nèi)、外網(wǎng)系統(tǒng)開展工作。給公司的網(wǎng)絡資源、信息安全帶來了新的挑戰(zhàn)，在訪問策略、協(xié)議安全、數(shù)據(jù)傳輸、密鑰安全性方面提出更嚴苛的整改要求以至于滿足公司信息化建設安全標準。為保障網(wǎng)絡安全，加強數(shù)字化轉型進程中的網(wǎng)絡安全風險防控，公司開展防范新業(yè)務應用安全風險的技術攻關。隨后使用零信任安全網(wǎng)絡模型代替?zhèn)鹘y(tǒng)的網(wǎng)絡安全模型，從而提升了新一代數(shù)字化業(yè)務平臺網(wǎng)絡安全防護能力。零信任安全網(wǎng)絡模型的應用，加強了公司對企業(yè)數(shù)據(jù)資產(chǎn)和公民個人信息的安全保護，強化了公司對企業(yè)內(nèi)外網(wǎng)的安全防護能力，提高了企業(yè)網(wǎng)絡的安全態(tài)勢感知與應急處置能力^[5]。

零信任安排評估模型中的信任評估算法由用戶風險畫像、風險基線庫、可信身份風控模型、智能身份分析服務、可信身份服務以及風險數(shù)據(jù)采集服務等幾部分組成。

通過用戶的類型、權限數(shù)量、常用IP以及上次信任評分等情況，構建用戶風險畫像，評估用戶靜態(tài)信任值。智能身份分析服務通過對風險數(shù)據(jù)的分析，形成實時的用戶風險評估結果，支撐用戶動態(tài)訪問控制。通過智能身份分析服務數(shù)據(jù)，提供多因子認證訪問策略和執(zhí)行，實現(xiàn)動態(tài)可信身份服務^[6]。應用的整體架構如圖3所示。

4 ?結語

在愈來愈多的云環(huán)境、遠程辦公等應用訪問需求下，基于零信任的網(wǎng)絡安全模型將得到愈來愈多的應用，并逐步替代傳統(tǒng)的網(wǎng)絡安全模型。零信任網(wǎng)絡安全模型不僅僅帶來了安全技術本身的突破，同時還是傳統(tǒng)網(wǎng)絡模式下的網(wǎng)絡防護機制、網(wǎng)絡訪問管理模式一種突破。然而機制的突破將面臨諸多企業(yè)已有資產(chǎn)的再利用等問題，零信任網(wǎng)絡將與傳統(tǒng)網(wǎng)絡在較長的一段時間內(nèi)將協(xié)同工作，結合零信任網(wǎng)絡安全模型中的風險管理方法以及身份認證、全生命周期監(jiān)測等技術，共同解決企業(yè)網(wǎng)絡訪問中面臨的威脅，保障企業(yè)網(wǎng)絡安全。

參考文獻

[1]劉歡，楊帥，劉皓.零信任安全架構及應用研究[J].通信技術，2020，53（7）：1745-1749.

[2]曾玲，劉星江.基于零信任的安全架構[J].通信技術，2020，53（7）：1750-1754.

[3]洪濤，龔文濤.基于模糊數(shù)學的信任度評估方法[J].自動化技術與應用，2020，39（2）：41-44.

[4]吉爾曼，巴斯.零信任網(wǎng)絡：在不可信網(wǎng)絡中構建安全系統(tǒng)[M].奇安信身份安全實驗室，譯.北京：人民郵電出版社，2019：1-123.

[5]葉馬力.零信任安全模型在央企安全管理中的應用研究[J].電子世界，2019（11）：164-165.

[6]左英男.零信任架構在關鍵信息基礎設施安全保護中的應用研究[J].保密科學技術，2019（11）：33-38.

作者簡介：李歡歡（1987—），男，碩士，工程師，研究方向為計算機視覺。

徐小云（1993—），女，碩士，助理工程師，研究方向為機器學習。

王紅蕾（1991—），女，碩士，助理工程師，研究方向為計算機視覺。