零信任安全體系研究*

唐敏璐，孟 茹

（1.上海計(jì)算機(jī)軟件技術(shù)開發(fā)中心 信息系統(tǒng)管理與咨詢部，上海 201112； 2.格爾軟件股份有限公司，上海 201112）

0 引言

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)應(yīng)用場(chǎng)景的不斷擴(kuò)展，企業(yè)網(wǎng)絡(luò)架構(gòu)正在從“有邊界”向“無(wú)邊界”轉(zhuǎn)變[1]，傳統(tǒng)的安全邊界正在逐漸瓦解。以5G、工業(yè)互聯(lián)網(wǎng)為代表的新基建不斷推進(jìn)建設(shè)，將進(jìn)一步加速“動(dòng)態(tài)邊界”的進(jìn)化過(guò)程。傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)在某種程度上假設(shè)或默認(rèn)了企業(yè)內(nèi)網(wǎng)是安全的，通過(guò)防火墻、Web應(yīng)用防火墻、入侵防御系統(tǒng)等安全產(chǎn)品，高度保護(hù)網(wǎng)絡(luò)出口，而忽略了企業(yè)內(nèi)網(wǎng)的安全。

為了應(yīng)對(duì)傳統(tǒng)邊界安全理念的落伍，以及新技術(shù)帶來(lái)的安全挑戰(zhàn)，一種新的網(wǎng)絡(luò)安全技術(shù)架構(gòu)“零信任技術(shù)”逐漸走入公眾視野。零信任架構(gòu)是一種端到端的網(wǎng)絡(luò)安全體系，零信任是一種側(cè)重于數(shù)據(jù)保護(hù)的體系結(jié)構(gòu)方法，?；跇I(yè)務(wù)場(chǎng)景的人、流程、訪問(wèn)、環(huán)境等多維因素進(jìn)行相應(yīng)的信任評(píng)估，通過(guò)信任級(jí)別動(dòng)態(tài)地調(diào)整權(quán)限，構(gòu)建動(dòng)態(tài)自適應(yīng)的安全閉環(huán)系統(tǒng)，其創(chuàng)新的安全思想符合新技術(shù)的特點(diǎn)，不斷提高信息系統(tǒng)和網(wǎng)絡(luò)的整體安全性。

2019年9月，工信部發(fā)布《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》[2]，支持云計(jì)算、大數(shù)據(jù)、人工智能、量子計(jì)算等技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，努力提升威脅情報(bào)分析、智能監(jiān)測(cè)預(yù)警、加密通信等網(wǎng)絡(luò)安全防御能力。積極探索擬態(tài)防御、可信計(jì)算、零信任安全等網(wǎng)絡(luò)安全概念和框架，推動(dòng)網(wǎng)絡(luò)安全理論和技術(shù)創(chuàng)新。零信任作為關(guān)鍵技術(shù)，將成為未來(lái)新型網(wǎng)絡(luò)架構(gòu)應(yīng)用的基礎(chǔ)。

1 研究背景

自無(wú)紙化辦公開始，我國(guó)的信息化水平經(jīng)歷了跨越式的飛速發(fā)展。其安全防護(hù)級(jí)別從最初簡(jiǎn)單的防火墻、殺毒軟件，發(fā)展到態(tài)勢(shì)感知、威脅情報(bào)、高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊防護(hù)，有了顯著的提升。伴隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)等新技術(shù)的應(yīng)用，信息化建設(shè)加速促進(jìn)著我國(guó)企業(yè)在業(yè)務(wù)橫向和縱向的擴(kuò)展，大大提高了企業(yè)單位的業(yè)務(wù)效率，也促進(jìn)了電子信息技術(shù)的推廣和應(yīng)用。傳統(tǒng)被動(dòng)式的安全防御體系不斷疊加建設(shè)，但其安全防護(hù)能力無(wú)法滿足現(xiàn)有的安全防護(hù)需求。隨著企業(yè)面臨的安全風(fēng)險(xiǎn)逐年增加，數(shù)據(jù)及應(yīng)用的安全防護(hù)已成為企業(yè)安全防護(hù)建設(shè)的重中之重。

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》[3]的頒布與執(zhí)行，等級(jí)保護(hù)2.0版本更新，國(guó)家已然意識(shí)到，在當(dāng)前我國(guó)信息化發(fā)展、業(yè)務(wù)開展和新技術(shù)普遍應(yīng)用的情況下，傳統(tǒng)的安全防護(hù)手段與方式已經(jīng)無(wú)法有效地應(yīng)對(duì)當(dāng)前的安全風(fēng)險(xiǎn)。在國(guó)家大力發(fā)展新型基礎(chǔ)設(shè)施建設(shè)的戰(zhàn)略布局下，需要對(duì)國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)保護(hù)，建立主動(dòng)的防御機(jī)制來(lái)應(yīng)對(duì)當(dāng)前信息化發(fā)展所面臨的安全問(wèn)題。

采用零信任理念實(shí)現(xiàn)安全系統(tǒng)的合規(guī)性探索，針對(duì)等級(jí)保護(hù)2.0合規(guī)要求[4]，從邊界防護(hù)、身份認(rèn)證、訪問(wèn)控制和個(gè)人信息安全4個(gè)方面進(jìn)行分析。零信任技術(shù)默認(rèn)任何時(shí)間、任何位置、任何設(shè)備和用戶都是不可信的，通過(guò)軟件定義邊界的方式，將網(wǎng)絡(luò)邊界收斂在需要保護(hù)資源的前端，且所有的訪問(wèn)請(qǐng)求都需要經(jīng)過(guò)細(xì)粒度的認(rèn)證。但對(duì)于這些理念的實(shí)現(xiàn)程度和指標(biāo)并未給出較為詳細(xì)的定義，而我國(guó)的等級(jí)保護(hù)2.0標(biāo)準(zhǔn)要求中的控制項(xiàng)，是對(duì)零信任系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)的指導(dǎo)和落實(shí)。

2 發(fā)展現(xiàn)狀

零信任的概念最早源自2004年舉辦的耶利哥論壇，目的是在無(wú)邊界趨勢(shì)下尋求網(wǎng)絡(luò)安全問(wèn)題需求方案，并提出不依賴于網(wǎng)絡(luò)位置的隱式信任需求。2010年，著名研究機(jī)構(gòu)Forrester的首席分析師John Kindervag正式提出“零信任（Zero Trust）”概念，并由Google在BeyondCorp項(xiàng)目中率先得到驗(yàn)證。隨著業(yè)界對(duì)零信任理論和實(shí)踐的不斷完善，零信任從原型概念向主流的網(wǎng)絡(luò)安全技術(shù)架構(gòu)逐步演進(jìn)，從最初網(wǎng)絡(luò)層微分段的范疇，逐步演變成為覆蓋云環(huán)境、大數(shù)據(jù)中心、微服務(wù)等眾多場(chǎng)景的新一代安全架構(gòu)。

2019年以來(lái)，美國(guó)軍方、聯(lián)邦政府和標(biāo)準(zhǔn)化組織紛紛發(fā)表各自的白皮書、評(píng)估報(bào)告和標(biāo)準(zhǔn)草案，闡述各自對(duì)零信任的認(rèn)識(shí)和規(guī)劃。2019年7月，美國(guó)國(guó)防部在發(fā)布的《數(shù)字現(xiàn)代化戰(zhàn)略（2019—2023財(cái)年）》[5]中提到了零信任技術(shù)，并將該技術(shù)作為未來(lái)美國(guó)數(shù)字化戰(zhàn)略的重要發(fā)展及應(yīng)用方向。同年，美國(guó)國(guó)防信息系統(tǒng)局發(fā)布《2019—2022財(cái)年戰(zhàn)略規(guī)劃》[6]，該規(guī)劃采用零信任技術(shù)構(gòu)建新型網(wǎng)絡(luò)架構(gòu)模式。

研究機(jī)構(gòu)Forrester在發(fā)布的《2019年度預(yù)測(cè)：轉(zhuǎn)型走向務(wù)實(shí)》[7]中明確指出，零信任將在美國(guó)特定的領(lǐng)域成為標(biāo)準(zhǔn)的、階段性的網(wǎng)絡(luò)安全架構(gòu)。美國(guó)軍隊(duì)、政府將其作為優(yōu)先選用的網(wǎng)絡(luò)架構(gòu)戰(zhàn)略和指導(dǎo)原則，并對(duì)其他行業(yè)產(chǎn)生深刻的影響。

作為聯(lián)邦政府顧問(wèn)的美國(guó)技術(shù)委員會(huì)——工業(yè)咨詢委員會(huì)，于2019年4月發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》白皮書[8]，通過(guò)開展市場(chǎng)研究，評(píng)估了零信任技術(shù)成熟度和準(zhǔn)備度、適合性、可擴(kuò)展性和基于實(shí)際實(shí)現(xiàn)的可承受性，最終對(duì)美國(guó)政府機(jī)構(gòu)采用零信任提出評(píng)估建議。美國(guó)國(guó)防工業(yè)基地（Defense Industrial Base，DIB）作為美國(guó)國(guó)防部下屬專注于技術(shù)與創(chuàng)新的機(jī)構(gòu)于2019年7月發(fā)布了DIB零信任架構(gòu)白皮書《零信任安全之路》，指導(dǎo)國(guó)防部網(wǎng)絡(luò)設(shè)施零信任架構(gòu)。2019年10月發(fā)布報(bào)告《零信任架構(gòu)建議》[9]，建議國(guó)防部將零信任列為最高優(yōu)先事項(xiàng)實(shí)施。這兩個(gè)重量級(jí)文件的發(fā)布，反映出美國(guó)國(guó)防部對(duì)零信任的重要定位：零信任架構(gòu)是美國(guó)國(guó)防部網(wǎng)絡(luò)安全架構(gòu)的必然演進(jìn)方向。

2020年8月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院正式發(fā)布《零信任架構(gòu)》[10]標(biāo)準(zhǔn)對(duì)零信任架構(gòu)進(jìn)行抽象定義，并給出了零信任可改善企業(yè)整體信息技術(shù)安全態(tài)勢(shì)的普通部署模型及應(yīng)用案例。美國(guó)零信任技術(shù)發(fā)展趨勢(shì)如圖1所示。

圖1 美國(guó)零信任技術(shù)發(fā)展趨勢(shì)

2019年7月25日，在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)CCSA TC8 WG3第60次工作會(huì)議上，由騰訊牽頭提案的“零信任安全技術(shù)-參考框架”[11]行業(yè)標(biāo)準(zhǔn)正式通過(guò)權(quán)威專家組評(píng)審并成功立項(xiàng)。這是自2010年國(guó)際上提出零信任模型“ZeroTrust Model”后業(yè)界迎來(lái)的首個(gè)零信任安全技術(shù)行業(yè)標(biāo)準(zhǔn)。2019年9月，工信部發(fā)布《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》[2]，支持云計(jì)算、大數(shù)據(jù)、人工智能、量子計(jì)算等技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，著力提升威脅情報(bào)分析、智能監(jiān)測(cè)預(yù)警、加密通信等網(wǎng)絡(luò)安全防御能力。積極探索擬態(tài)防御、可信計(jì)算、零信任安全等網(wǎng)絡(luò)安全新理念、新架構(gòu)，推動(dòng)網(wǎng)絡(luò)安全理論和技術(shù)創(chuàng)新。零信任作為關(guān)鍵技術(shù)，已成為未來(lái)新型網(wǎng)絡(luò)架構(gòu)應(yīng)用的基礎(chǔ)。

2019年9月，中國(guó)信息通信研究院發(fā)布《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書（2019年）》[12]，強(qiáng)調(diào)了軟件定義邊界（Software Defined Perimeter，SDP）為零信任的關(guān)鍵技術(shù)，零信任安全首次被列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù)。

2019年以來(lái)，我國(guó)相關(guān)部委、部分央企、大型集團(tuán)企業(yè)開始將零信任架構(gòu)作為新建IT基礎(chǔ)設(shè)施安全架構(gòu)，銀行、能源、通信等眾多領(lǐng)域和行業(yè)針對(duì)新型業(yè)務(wù)場(chǎng)景，開展采用零信任架構(gòu)的關(guān)鍵技術(shù)和試點(diǎn)示范。國(guó)內(nèi)安全廠商也積極關(guān)注零信任的發(fā)展和落地實(shí)踐，各安全和互聯(lián)網(wǎng)廠商都利用各自在安全領(lǐng)域的技術(shù)優(yōu)勢(shì)，推出零信任整體解決方案，同時(shí)身份管理、SDP、微隔離等技術(shù)也被積極應(yīng)用于零信任技術(shù)方案的應(yīng)用實(shí)踐中。

3 零信任理念

遵循“以密碼為基石、以身份為中心、以權(quán)限為邊界、持續(xù)信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制”的理念，對(duì)業(yè)務(wù)平臺(tái)訪問(wèn)主體進(jìn)行身份化、規(guī)范化管理，采用基于密碼技術(shù)的數(shù)字證書作為可信標(biāo)識(shí)，聯(lián)動(dòng)統(tǒng)一的授權(quán)管理服務(wù)和安全審計(jì)服務(wù)，對(duì)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)接入控制、應(yīng)用訪問(wèn)控制、應(yīng)用服務(wù)調(diào)用、數(shù)據(jù)獲取服務(wù)等不同場(chǎng)景提供動(dòng)態(tài)、持續(xù)的強(qiáng)身份認(rèn)證與權(quán)限控制，行為分析及責(zé)任認(rèn)定，實(shí)現(xiàn)全網(wǎng)全域?qū)ο罂尚?、可控、可管、可追溯，為移?dòng)辦公和業(yè)務(wù)系統(tǒng)的安全保障構(gòu)建基于零信任的安全管理平臺(tái)，零信任總體架構(gòu)如圖2所示。

圖2 零信任總體架構(gòu)

3.1 以密碼為基石

以密碼為基石，密碼具有天然的安全基因，以密碼為基石來(lái)構(gòu)建可信的身份體系，基于密碼來(lái)實(shí)現(xiàn)身份認(rèn)證和安全通信，兼顧合規(guī)性和安全性?；趪?guó)產(chǎn)密碼構(gòu)建公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）體系，為各參與實(shí)體頒發(fā)數(shù)字證書，訪問(wèn)之前先進(jìn)行強(qiáng)認(rèn)證，所有通信流量走加密通道，防止流量被劫持和偵聽。

3.2 以身份為中心

以身份為中心，身份可信是業(yè)務(wù)可信的前提，必須兼顧身份的真實(shí)性和環(huán)境的可靠性。身份的真實(shí)性由多因子認(rèn)證來(lái)保障，其中，數(shù)字證書是不可或缺的認(rèn)證因子，其他認(rèn)證因子起輔助作用。為完成動(dòng)態(tài)持續(xù)的身份認(rèn)證，系統(tǒng)需要支持多因子的身份認(rèn)證，認(rèn)證方式需具備人臉識(shí)別、聲紋識(shí)別等最新的認(rèn)證技術(shù)，結(jié)合環(huán)境感知系統(tǒng)，系統(tǒng)需要具備持續(xù)認(rèn)證的能力，在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)，能夠具有實(shí)時(shí)阻斷會(huì)話的能力。

3.3 以權(quán)限為邊界

以權(quán)限為邊界，將應(yīng)用安全網(wǎng)關(guān)部署在云平臺(tái)的入口，保護(hù)云平臺(tái)內(nèi)部的所有資源，對(duì)于未經(jīng)身份認(rèn)證、沒有權(quán)限的用戶，一切資源都是不可見的，只有授權(quán)后用戶才能看到資源。由于權(quán)限和環(huán)境屬性緊密相關(guān)，同一個(gè)人在不同環(huán)境下的權(quán)限不同，邊界也就不同，比如正常辦公時(shí)間權(quán)限邊界比較大，節(jié)假日時(shí)間權(quán)限邊界就很小。授權(quán)體系應(yīng)滿足云計(jì)算、大數(shù)據(jù)等多種復(fù)雜場(chǎng)景的授權(quán)，同時(shí)支持訪問(wèn)控制列表（Access Control List，ACL）、基于角色的訪問(wèn)控制（Role-Based Access Control，RBAC）、基于屬性的訪問(wèn)控制（Attribute-Based Access Control，ABAC）等權(quán)限模型，支持訪問(wèn)級(jí)、功能級(jí)、服務(wù)級(jí)和數(shù)據(jù)級(jí)訪問(wèn)控制，支持具備事件授權(quán)的能力，支持權(quán)限紅名單和白名單。在數(shù)據(jù)訪問(wèn)控制方面能夠?qū)崿F(xiàn)基于數(shù)據(jù)分級(jí)分類的訪問(wèn)控制，防止數(shù)據(jù)越權(quán)訪問(wèn)。

3.4 持續(xù)信任評(píng)估

信任評(píng)估技術(shù)對(duì)網(wǎng)絡(luò)代理提供的多維度實(shí)時(shí)屬性信息進(jìn)行了實(shí)時(shí)信任評(píng)估和分析，通過(guò)對(duì)網(wǎng)絡(luò)活動(dòng)風(fēng)險(xiǎn)水平的持續(xù)定量評(píng)估，為訪問(wèn)授權(quán)提供判定依據(jù)。在辦公終端上安裝終端可信環(huán)境感知，通過(guò)檢測(cè)基礎(chǔ)安全感知、系統(tǒng)安全感知、應(yīng)用合規(guī)感知、健康狀況感知，對(duì)終端環(huán)境進(jìn)行全訪問(wèn)、多維度的安全監(jiān)測(cè)。檢測(cè)感知訪問(wèn)主體接入環(huán)境的安全性，一旦檢測(cè)到安全風(fēng)險(xiǎn)，立即上報(bào)，并基于訪問(wèn)控制決策點(diǎn)對(duì)當(dāng)前訪問(wèn)予以預(yù)警或者阻斷，保持辦公終端環(huán)境的安全可控。

3.5 動(dòng)態(tài)訪問(wèn)控制

靜態(tài)訪問(wèn)控制基于網(wǎng)絡(luò)實(shí)體規(guī)定和預(yù)設(shè)置的二值判斷策略，只能通過(guò)靜態(tài)的授權(quán)規(guī)則，或簡(jiǎn)單的黑白列表等方式對(duì)訪問(wèn)業(yè)務(wù)進(jìn)行一次性的評(píng)估。但零信任架構(gòu)采用安全和動(dòng)態(tài)變化的度量因素，執(zhí)行動(dòng)態(tài)訪問(wèn)控制，并且基于可變信任評(píng)估，將訪問(wèn)主體的授權(quán)訪問(wèn)隨著過(guò)去和當(dāng)前行為、身份信息及網(wǎng)絡(luò)環(huán)境等不同因素影響進(jìn)行不斷變化，對(duì)每次訪問(wèn)業(yè)務(wù)采用最小權(quán)限原則，解決了傳統(tǒng)靜態(tài)訪問(wèn)控制機(jī)制下，安全策略動(dòng)態(tài)適應(yīng)不足的問(wèn)題，提升了應(yīng)變防御威脅的能力。

通過(guò)一系列組件的構(gòu)建和聯(lián)動(dòng)，在數(shù)據(jù)層面形成訪問(wèn)控制策略執(zhí)行點(diǎn)，在控制層面形成訪問(wèn)控制策略決策點(diǎn)，提供環(huán)境感知能力的組件、提供信任評(píng)估的分析組件共同工作實(shí)現(xiàn)。主要流程如下：通過(guò)構(gòu)建可信應(yīng)用代理作為數(shù)據(jù)層面業(yè)務(wù)訪問(wèn)的統(tǒng)一入口，以及動(dòng)態(tài)訪問(wèn)控制策略的執(zhí)行點(diǎn)；構(gòu)建可信身份管控平臺(tái)作為控制層面的訪問(wèn)控制策略決策點(diǎn)；通過(guò)可信環(huán)境感知對(duì)用戶的終端進(jìn)行全方位多維度感知，確保用戶的終端環(huán)境安全及安全風(fēng)險(xiǎn)感知上報(bào)；對(duì)構(gòu)建智能身份分析系統(tǒng)的用戶行為進(jìn)行多維度分析，進(jìn)行信任評(píng)估并上報(bào)至可信訪問(wèn)控制臺(tái)進(jìn)行決策，實(shí)現(xiàn)動(dòng)態(tài)訪問(wèn)控制的整體邏輯，具備動(dòng)態(tài)訪問(wèn)控制能力[13]。

4 零信任應(yīng)用解決方案

秉承零信任理念，堅(jiān)持以密碼為基礎(chǔ)，以可信身份為中心，軟件定義邊界的思想，對(duì)身份認(rèn)證和訪問(wèn)控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從“網(wǎng)絡(luò)中心化”向“身份中心化”的轉(zhuǎn)變，零信任架構(gòu)設(shè)計(jì)如圖3所示。以身份為中心進(jìn)行訪問(wèn)控制，對(duì)訪問(wèn)辦公業(yè)務(wù)的設(shè)備、用戶、應(yīng)用、服務(wù)的訪問(wèn)控制進(jìn)行認(rèn)證和授權(quán)，訪問(wèn)控制策略結(jié)合信任持續(xù)評(píng)估結(jié)果進(jìn)行動(dòng)態(tài)調(diào)整。所有未認(rèn)證的資源都是不可訪問(wèn)的，堅(jiān)持最小權(quán)限原則，極大限度地減小攻擊面[14]。

圖3 零信任架構(gòu)設(shè)計(jì)

4.1 密碼服務(wù)基礎(chǔ)設(shè)施

密碼服務(wù)基礎(chǔ)設(shè)施為網(wǎng)絡(luò)應(yīng)用和終端用戶提供密碼服務(wù)，整合基礎(chǔ)密碼設(shè)備的管理，通過(guò)虛擬化技術(shù)虛擬密碼服務(wù)設(shè)備對(duì)外提供密碼服務(wù)，提供數(shù)據(jù)加解密、簽名驗(yàn)證、摘要運(yùn)算等通用密碼服務(wù)，還對(duì)外提供認(rèn)證、時(shí)間戳、電子簽章等基于密碼的安全服務(wù)。

4.2 電子認(rèn)證基礎(chǔ)設(shè)施

電子認(rèn)證基礎(chǔ)設(shè)施利用一對(duì)密碼實(shí)施加密和解密，其中密鑰分為私鑰和公鑰，私鑰用于簽名和解密，由用戶自定義且安全存儲(chǔ)；公鑰用于簽名驗(yàn)證和加密，被多個(gè)用戶共享。

4.3 可信身份管控平臺(tái)

可信身份管控平臺(tái)是構(gòu)建統(tǒng)一的身份認(rèn)證和授權(quán)訪問(wèn)的基礎(chǔ)設(shè)施平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)實(shí)體身份和特權(quán)賬號(hào)的統(tǒng)一資源管理，為云環(huán)境、移動(dòng)網(wǎng)絡(luò)、物聯(lián)網(wǎng)等異構(gòu)網(wǎng)絡(luò)和異構(gòu)應(yīng)用提供持續(xù)的身份認(rèn)證和動(dòng)態(tài)的授權(quán)訪問(wèn)機(jī)制，采用資源化、服務(wù)化的彈性服務(wù)模式持續(xù)提升全網(wǎng)身份治理能力，搭建基于可信身份的零信任安全體系。主要包括身份管理、身份認(rèn)證、權(quán)限管理和安全審計(jì)4個(gè)部分。其中，身份管理是指實(shí)現(xiàn)對(duì)各類實(shí)體身份的生命周期管理，建立標(biāo)準(zhǔn)化的可信身份庫(kù)，為應(yīng)用系統(tǒng)提供身份供應(yīng)服務(wù)，保障各應(yīng)用系統(tǒng)中的身份一致性、準(zhǔn)確性和有效性，避免身份分散管理帶來(lái)的一系列問(wèn)題。身份認(rèn)證是指按照統(tǒng)一的安全策略基線，為應(yīng)用系統(tǒng)提供多場(chǎng)景、多方式、多因子身份認(rèn)證和單點(diǎn)登錄服務(wù)，以及統(tǒng)一的身份認(rèn)證服務(wù)和認(rèn)證門戶，改善用戶體驗(yàn)。權(quán)限管理是指基于ACL、RBAC、ABAC授權(quán)模型為應(yīng)用開放訪問(wèn)級(jí)、功能級(jí)、數(shù)據(jù)級(jí)和應(yīng)用程序編程接口（Application Programming Interface，API）授權(quán)能力，基于人員、應(yīng)用和數(shù)據(jù)進(jìn)行訪問(wèn)控制，嚴(yán)格控制信息的知悉范圍。安全審計(jì)是指為應(yīng)用系統(tǒng)提供審計(jì)服務(wù)，收集各應(yīng)用系統(tǒng)的相關(guān)日志，對(duì)日志進(jìn)行關(guān)聯(lián)分析和安全存儲(chǔ)，對(duì)異常行為進(jìn)行風(fēng)險(xiǎn)管控，實(shí)現(xiàn)業(yè)務(wù)的全流程監(jiān)管，為應(yīng)用系統(tǒng)建立全面的風(fēng)險(xiǎn)管理和內(nèi)控體系提供必要的支撐。

4.4 零信任網(wǎng)關(guān)管理平臺(tái)

零信任網(wǎng)關(guān)作為可信身份管控平臺(tái)與不同網(wǎng)關(guān)間的樞紐，以管控分離為原則，聯(lián)動(dòng)可信身份管理平臺(tái)下發(fā)不同應(yīng)用策略。網(wǎng)關(guān)作為執(zhí)行點(diǎn)，執(zhí)行相關(guān)策略實(shí)現(xiàn)網(wǎng)絡(luò)接入控制、應(yīng)用訪問(wèn)控制、服務(wù)調(diào)用控制及數(shù)據(jù)獲取服務(wù)等，提升整體安全防護(hù)能力。為實(shí)現(xiàn)不同接入通道下細(xì)粒度的訪問(wèn)控制，支持應(yīng)用代理網(wǎng)關(guān)、API網(wǎng)關(guān)和運(yùn)維代理網(wǎng)關(guān)多臺(tái)分布式部署網(wǎng)關(guān)的集中管理和統(tǒng)一調(diào)度。根據(jù)合法的授權(quán)信息實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)的安全隱藏，支持前端流量加密、后端流量加密，構(gòu)建不同維度的安全防護(hù)邊界。

4.5 環(huán)境感知中心

環(huán)境感知中心首先對(duì)可信的終端身份進(jìn)行標(biāo)識(shí)，不斷進(jìn)行終端環(huán)境的感知和度量，并將相關(guān)數(shù)據(jù)發(fā)送給策略控制中心，協(xié)助策略控制中心完成終端可信環(huán)境的驗(yàn)證，以達(dá)到動(dòng)態(tài)訪問(wèn)控制的目的。通過(guò)環(huán)境感知中心建立匹配的信任評(píng)估模型和相應(yīng)算法，實(shí)現(xiàn)基于身份的信任評(píng)估能力，針對(duì)訪問(wèn)請(qǐng)求數(shù)據(jù)的上下文進(jìn)行風(fēng)險(xiǎn)判斷，對(duì)異常行為的訪問(wèn)請(qǐng)求進(jìn)行識(shí)別，對(duì)信任評(píng)估結(jié)果進(jìn)行不斷的調(diào)整。

4.6 策略控制中心

策略控制中心負(fù)責(zé)風(fēng)險(xiǎn)匯聚、信任評(píng)估和指令傳遞下發(fā)，根據(jù)環(huán)境感知中心的風(fēng)險(xiǎn)來(lái)源進(jìn)行綜合信任評(píng)估和指令下發(fā)；指令接收及執(zhí)行的中心可以是認(rèn)證中心、安全防護(hù)平臺(tái)和安全訪問(wèn)平臺(tái)。策略控制中心支持多租戶模式，提供基于角色、基于屬性和基于策略的安全訪問(wèn)控制模型及細(xì)粒度授權(quán)模式，支持多種網(wǎng)關(guān)策略分發(fā)和統(tǒng)一管理[15]。

5 結(jié)語(yǔ)

面向不同的應(yīng)用環(huán)境和業(yè)務(wù)場(chǎng)景，零信任架構(gòu)具備多種靈活的實(shí)現(xiàn)方式和部署模式。其中，在遠(yuǎn)程辦公、云計(jì)算平臺(tái)、大數(shù)據(jù)中心、物聯(lián)網(wǎng)、5G應(yīng)用等典型應(yīng)用場(chǎng)景中，實(shí)施一個(gè)“從不信任，永遠(yuǎn)驗(yàn)證”的方法，根據(jù)訪問(wèn)主體和資源之間的授權(quán)關(guān)系，數(shù)據(jù)平臺(tái)通過(guò)訪問(wèn)代理搭建安全的訪問(wèn)通道，對(duì)訪問(wèn)請(qǐng)求進(jìn)行分流。控制平臺(tái)的訪問(wèn)引擎負(fù)責(zé)指揮，按照“先認(rèn)證后連接”原則，建立、維持有效連接，實(shí)施對(duì)資源的安全訪問(wèn)控制。在此過(guò)程中，對(duì)應(yīng)用場(chǎng)景中出現(xiàn)的安全威脅進(jìn)行監(jiān)控，并及時(shí)響應(yīng)，削減風(fēng)險(xiǎn)。為現(xiàn)代IT信息系統(tǒng)快速向移動(dòng)端和云環(huán)境進(jìn)行遷移創(chuàng)建更安全的網(wǎng)絡(luò)，使數(shù)據(jù)更安全，減少違規(guī)帶來(lái)的負(fù)面影響，提高合規(guī)性和可視性，實(shí)現(xiàn)更低的網(wǎng)絡(luò)安全成本，并提高組織的整體風(fēng)險(xiǎn)應(yīng)對(duì)防護(hù)能力。