零信任综述（中）

首页 > 关于我们 > 新闻中心 > 零信任综述（中）—技术篇

零信任综述（中）—技术篇

2020.08.28
8670

一、零信任核心

零信任是以身份为中心进行动态访问控制，身份的主体可以是人，也可以对设备、系统、应用等。通过定义谁（身份）对哪些资源具有哪种访问权限（角色）来管理访问权限控制，是各类IT系统必不可少的基础安全管理机制和复杂云服务核心的基础安全框架，是对资源提供可控安全的访问解决方案。

在网络安全领域发展至今，不同于传统架构的先连接后认证，零信任架构是先认证再连接。

1.1 传统架构

图1 传统架构

传统的安全是以网络区域为边界，通过防火墙、VPN、IDS/IPS等网络安全设备建立企业的网络防护边界；一切安全是基于网络位置构筑的信任体系，认为网络内部的人员与设备是可信的。

1.2. 零信任架构

图2 零信任架构

零信任不同于传统的网络边界安全信任体系，是一套全新的安全理念和安全战略，强调“永不信任，始终验证”，遵循ABCDE原则。

最小授权：从零开始，只有认证并授权后才可用，并且认证和授权是需要随时随地进行动态检查验证的，并遵循最小授权原则；
身份认证与安全策略：不再仅仅针对网络区域和人员，在而是根据当前环境和状态，对人、时间、地点、设备、系统、应用等的各种属性进行验证确权（最小原则），极大的提高了安全性；
防范和保护并重：不再是被动的防堵，因为防不胜防，堵不胜堵，而是被动防堵与主动保护并重，不仅可以做到防患于未然，并且可以做到主动保护（如加密、SDP、MTD等）；
持续动态：智能化、动态变化和自适应；
达到CIA：可使用、看不见、拿不走、可追溯、能销毁；覆盖云管端、动（传输）静（存储）用（计算处理使用）和前（事前防范、）中（事中阻断）后（事后追溯）。

二、零信任标准与技术

在零信任的安全理念和战略被提出后，在业界引起了极大的关注，出现了各种技术实现，其中三大技术“SIM”（SDP，IAM, MSG）具有重大影响力，并影响了随后的一个标准（美国国家技术标准局NIST制定的零信任架构标准ZTA）。

图3 零信任三大技术SIM

2.1. 美国国家技术标准局NIST的零信任架构ZTA

图4 NIST的零信任架构ZTA

零信任架构（ZTA）标准内容包含如下：
零信任架构（ZTA）的概念
零信任架构（ZTA）的逻辑架构图
实现零信任架构的三大技术
零信任架构的部署方法
零信任架构的应用场景
零信任架构的相关威胁
零信任架构的迁移过程

2.2. 零信任架构（ZTA）设计的7个原则

所有数据源和计算服务都被视为资源

无论网络位置如何，所有通信必须是安全的

对企业资源的访问授权是基于每个连接的

对资源的访问由动态策略（包括客户端身份、应用和被请求资产等的可观测状态）决定，并可能包括其他行为属性

企业确保其掌握和关联的所有设备都处于尽可能的最安全状态，并监控资产以确保它们保持在尽可能的最安全状态

在访问被允许之前，所有资源访问的身份验证和授权是动态的和严格强制实施的

企业收集尽可能多关于网络基础设施当前状态的信息，并用于改善其安全姿态

2.3. 零信任架构（ZTA）设计的5个假设

整个企业专网不被视为隐式信任区
网络上的设备可能不归企业所有或不可配置
没有资源是天生可信的
并非所有的企业资源都在企业拥有的基础设施上
远程企业用户不能信任本地网络连接

2.4. 美国国家技术标准研究院 NIST零信任架构标准ZTA

2.4.1. 零信任架构（ZTA）逻辑架构图

零信任的核心逻辑组件如下图所示：

图5 零信任核心逻辑组件

策略引擎（Policy Engine, PE）：PE负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。PE使用企业安全策略以及来自外部源（例如IP黑名单、威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。PE与PA配对使用。PE做出（并记录）决策，PA执行决策（批准或拒绝）。

策略管理器（Policy Administrator, PA）：PA负责建立客户端与资源之间的连接（是逻辑职责，而非物理连接），将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与PE紧密相关，并依赖于其决定最终允许或拒绝连接；可以将PE和PA作为单个服务。PA在创建连接时与策略强制执行点（PEP）通过控制平面完成通信。

策略强制执行点（Policy Enforcement Point, PEP）：PEP负责启用、监视并最终终止主体和企业资源之间的连接，它是ZTA中的单个逻辑组件，也可能分为两个不同的组件：客户端（例如，用户便携式电脑上的代理）和资源端（例如，在资源之前控制访问的网关组件）或充当连接网关的单个组件。

除了实现ZTA策略的核心组件之外，还有几个数据源提供输入和策略规则，以供PE在做出访问决策时使用，包括本地数据源和外部（即非企业控制或创建的）数据源：

持续诊断和缓解（CDM）系统：收集关于企业系统当前状态的信息，并对配置和软件组件应用已有的更新。CDM向PE提供关于发出访问请求的系统的信息，例如它是否正在运行适当的打过补丁的操作系统和应用程序，或者系统是否存在任何已知的漏洞。

行业合规系统（Industry Compliance System）：确保企业遵守其可能归入的任何监管制度（如FISMA、HIPAA、PCI-DSS等），包括企业为确保合规性而制定的所有策略规则。

威胁情报源（Threat Intelligence Feed）：提供外部来源的信息，帮助PE做出访问决策。这些可以是从多个外部源获取数据并提供关于新发现的攻击或漏洞的信息的多个服务，包括DNS黑名单、发现的恶意软件或PE将要拒绝从企业系统访问的命令和控制（C&C）系统。

数据访问策略（Data Access Policies）：一组由企业围绕着企业资源而创建的数据访问的属性、规则和策略，可以在策略引擎中编码，也可以由PE动态生成。这些策略是授予对资源的访问权限的起点，因为它们为企业中的参与者和应用程序提供了基本的访问特权。这些角色和访问规则应基于用户角色和组织的任务需求。

公钥基础设施（PKI）：负责生成由企业颁发给资源、参与者和应用程序的证书，并将其记录在案，包括全球CA生态系统和联邦PKI3，能与企业PKI集成，也可能未集成。

身份管理系统（ID Management System）：负责创建、存储和管理企业用户账户和身份记录，包含必要的用户信息（如姓名、电子邮件地址、证书等）和其它企业特征，如角色、访问属性或分配的系统。通常利用其它系统（如上面的PKI）来处理与用户账户相关联的工件。

安全信息和事件管理（SIEM）系统：聚合系统日志、网络流量、资源授权和其他事件的企业系统，这些事件提供对企业信息系统安全态势的反馈。然后这些数据可被用于优化策略并警告可能对企业系统进行的主动攻击。

图6 ZTA逻辑图及支持技术架构

2.4.2. ZTA特点：

三个层面：数据、控制、管理
最小授权：从零开始
被保护资源：网络/数据/应用/系统/存储/设备等
身份认证：支持人、设备等动态实时认证管理
防范和保护：隐身衣（减小攻击暴露面）、双向防护（主动保护，被动防堵）
通信加密，子系统间互相认证
全覆盖：云网端、动静用（动态传输流转、静态存储和用态处理计算使用）、前中后（事前防范、事中阻断、事后追溯）、全周期、全方位、全环节，无死角

2.5. 实现零信任架构（ZTA）的三大技术：“SIM”

图7 零信任三大技术SIM

2019年,美国国家标准委员会NIST对外正式发布了《零信任架构ZTA》白皮书,强调了零信任的安全理念,并介绍了实现零信任架构的三大技术“SIM”（SDP，IAM， MSG）:

南北向流量：指用户到服务器的流量（Client-To-Server），通常由SDP（软件定义边界）技术来实现南北向零信任安全。
东西向流量：指服务器到服务器的流量（Server-To-Server），通常由MSG（微隔离）技术来实现东西向零信任安全。
身份安全： IAM作为用户身份信息的输入，实现身份验证以及应用内用户权限的管理。

注：以上做法属于行业里面比较常见的实践方案。从理论上来说，SDP和MSG都能实现东西向和南北向流量的零信任安全。

2.5.1. SDP 软件定义边界技术

云安全联盟CSA于2014年提出SDP标准规范；SDP全称是Software Defined Perimeter，即“软件定义边界”，是国际云安全联盟CSA于2013年提出的基于零信任（Zero Trust）理念的新一代网络安全模型。SDP旨在通过软件的方式，在“移动+云”的时代背景下，为企业构建起一个虚拟边界，利用基于身份的访问控制机制，为企业应用和服务穿上“隐身衣”，使网络黑客因看不到目标而无法对企业的资源发动攻击，有效保护企业的数据安全。

图8 SDP架构

SDP安全模型由3大组件构成，分别是：1）Initiating SDP Host，即IH；2） Accepting SDP Host，即AH；3）SDP Controller，即控制器。3大组件的关系分成两个平面：1）控制平面和2）数据平面。AH 和 IH 都会连接到Controller。IH和AH 之间的连接是通过Controller与安全控制信道的交互来管理的。该结构使得控制平面能够与数据平面保持分离，以便实现完全可扩展的安全系统。此外，所有组件都可以是集群的，用于扩容或提高稳定运行时间。

最小授权：只有明确的必需的最小授权，非必要，无授权
三个层面：包括数据、控制、管理3个层面，各司其职，协作完成
被保护资源/对象：覆盖网络/数据/应用/系统/存储等各种资源对象的各个层次
身份认证：支持人、设备等动态实时认证和策略管理
控制器给网关和资源穿上隐身衣：动态分配网关（IP/端口）、Token
防范和保护：防弹衣、隐身衣、双向防护；SDP最大特点是其隐身功能，将被保护对象隐藏在后面，不被访问者看见，因此保护被访问的资源，因为攻击者无法攻击看不见的对象。
不局限于防御南北向攻击

SDP作为一个新兴架构的价值在于加强了访问控制管理，并为实施用户访问管理、网络访问管理和系统认证控制等设定了标准。SDP有能力通过阻止来自于未授权用户和/或使用未批准设备的网络层访问的方式实施访问控制。因为SDP部署了“全部拒绝”（Deny-all），可以阻止、允许或防止网络数据包在IH和AH间流动。SDP使组织机构能够定义和控制自己的访问策略，决定哪些个体能够从哪些被批准的设备访问哪些网络服务。

SDP并不是要取代已有的身份和访问管理方案，但对认证的访问控制进行了加强，通过将用户认证和授权与其它安全组件集成减小了潜在攻击面。

2.5.2. ZT-IAM（零信任增强型现代身份与访问管理）技术

IAM关注用户认证、权限与审计，面向内部员工，具备人员生命周期管理，具备用户登录时的访问控制，关注权限统一管理，强调用户身份变化和访问信息记录后可以事后审计。

身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。身份管理为所有用户,应用程序和数据启用并保护数字身份。而其中的SSO解决用户体验问题，实现一点登录，全局进入，实现访问控制能力。

图9 增强型现代IAM技术

零信任增强型现代身份与访问管理IAM特征体现为：动态、实时、无密码、分布、自主、不再仅基于角色，其基本核心是持续的动态认证和持续的动态授权。

图10 IAM总体框架

图11 IAM行业形态

2.5.3. MSG（Micro-Segmentation）微隔离技术

微隔离（又称软件定义隔离、微分段）最早由Tony在任VMWare CIO时提出并由其在后来担任美国联邦政府CIO时部署实施，然后又被Gartner在其软件定义的数据中心（SDDC）的相关技术体系中提出。

图12 MSG示例图

Gartner在其《 Technology Insight for Micro-segmentation 》报告中提出了四个主要的微隔离技术路线：

云原生控制
第三方防火墙
混合模式
基于主机代理模式

图23 MSG技术路线图

微隔离是一种网络安全技术,它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部可以简便灵活部署的安全策略,而不必安装多个物理防火墙。此外,微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。