NEWS INFORMATION

“零信任”與傳統的邊界模型有什麽區别？

前言

“零信任網絡”（又(yòu)稱零信任架構）自2010年由某研究機構首席分(fēn)析師提出以來，一(yī)直處于安全圈的“風口浪尖”，成爲不斷争論和讨論的對象。有人說這是未來安全發展的必然産物(wù)，也有人說它太先進了，無法實現，但無論“零信任”有多大(dà)争議，不可否認的是，随着安全技術支撐技術的逐步發展“零信任”，這個以前隻存在于理論上的“安全最優解”正在逐漸成爲現實。

2019年9月，工(gōng)信部就《關于促進網絡安全産業發展的指導意見（征求意見稿）》公開(kāi)征求意見。網絡安全企業，形成一(yī)批具有國際競争力的網絡安全骨幹企業，網絡安全産業規模要超過2000億。《意見》除了對市場規模和網絡安全企業提出要求外(wài)，還将“零信任安全”列爲網絡安全需要重點突破的關鍵技術。

那麽究竟什麽是“零信任安全架構”，它與傳統的邊界模型有什麽區别。從本周開(kāi)始，美創安全實驗室将分(fēn)三個階段帶大(dà)家詳細了解“零信任”的發展。

01

什麽是零信任網絡？

“零信任”是一(yī)個安全術語和安全概念，它将網絡防禦的邊界縮小(xiǎo)到單個或較小(xiǎo)的一(yī)組資(zī)源，其中(zhōng)心思想是企業不應自動信任内部或外(wài)部的任何人/事物(wù)/事物(wù)，沒有應根據物(wù)理或網絡位置向系統授予完全受信任的權限，任何試圖訪問企業系統的人/事物(wù)/事物(wù)都應在授權之前進行身份驗證，并且僅在需要資(zī)源時才應授予對數據資(zī)源的訪問權限。簡單來說，“零信任”策略就是不信任任何人。除非網絡清楚地知(zhī)道接入人的身份，否則任何人都無法接入網絡。現有的傳統訪問驗證模型隻需要知(zhī)道IP地址或主機信息等，但在“ 最終用戶并非都位于辦公室和防火(huǒ)牆後面，而是使用他們的 iPad 或其他移動設備遠程工(gōng)作。網絡需要更多地了解他們的角色，并确定允許哪些用戶連接到網絡工(gōng)作。零信任架構是對企業級網絡趨勢的回應，企業級網絡開(kāi)始包括遠程用戶和企業網絡外(wài)圍的基于雲的資(zī)産。零信任架構專注于保護資(zī)源，而不是網絡分(fēn)段，因爲網絡位置不再被視爲資(zī)源安全态勢的主要組成部分(fēn)。零信任架構是對企業級網絡趨勢的回應，企業級網絡開(kāi)始包括遠程用戶和企業網絡外(wài)圍的基于雲的資(zī)産。零信任架構專注于保護資(zī)源，而不是網絡分(fēn)段，因爲網絡位置不再被視爲資(zī)源安全态勢的主要組成部分(fēn)。零信任架構是對企業級網絡趨勢的回應，企業級網絡開(kāi)始包括遠程用戶和企業網絡外(wài)圍的基于雲的資(zī)産。零信任架構專注于保護資(zī)源，而不是網絡分(fēn)段，因爲網絡位置不再被視爲資(zī)源安全态勢的主要組成部分(fēn)。

02

爲什麽選擇零信任網絡？

2.1 網絡安全形式越來越嚴峻，迫切需要有效的解決方案。美國網絡安全公司發布的《2017 年度網絡犯罪報告》預測，到 2021 年，全球因網絡犯罪造成的經濟損失總額将達到每年 6 萬億美元，是 2015 年的 3 萬億美元的兩倍多。同時， 的 2017由 IBM 資(zī)助的數據洩露研究發現，數據洩露的平均成本爲 362 萬美元。雖然這個數字比上一(yī)年有所下(xià)降，但數據洩露的平均規模上升了 1.8%，達到平均每次事件 24,000 條記錄。業務主管意識到，如果僅靠現有的安全方法不足以應對不斷增長的安全形勢，他們需要更好的東西，零信任模型恰好可以提供最佳結果。“零信任模式”基本打破了老式的外(wài)線防守思維，重在防守外(wài)線，假設已經在外(wài)線内的任何東西都不會構成威脅，所以外(wài)線的内部事務基本暢通無阻，都有訪問權限。但越來越多的安全專家和技術專家對邊境防禦的有效性持不同意見。尤其是在近期發生(shēng)的嚴重數據洩露事件中(zhōng)，黑客突破外(wài)部防禦後，潛伏在企業内網，利用内部系統漏洞和管理漏洞逐漸獲得更高的權限。一(yī)路上幾乎沒有遇到什麽障礙。這也證明了“内網是安全的”

IT 系統的一(yī)個固有問題是太多東西可以通過默認連接“巡航”。人們的信任度太高，這就是互聯網起飛的原因，因爲每個人都可以随時随地分(fēn)享任何東西。但“信任”也是一(yī)把雙刃劍，這就是互聯網安全的關鍵：如果你信任一(yī)切，你就沒有機會保證任何東西的安全。2.2 雲技術的興起打破了傳統的網絡架構。爲什麽企業的IT部門急需一(yī)種新的安全思維？直接原因是大(dà)部分(fēn)網絡邊界不複存在網絡設計理念，純内部系統組成的企業數據中(zhōng)心不複存在。企業應用部分(fēn)在辦公樓，部分(fēn)在雲端——分(fēn)布式員(yuán)工(gōng)，合作夥伴和客戶通過各種設備訪問雲應用程序。根本原因在于，近年來雲技術的蓬勃發展已經初見成效。雲防火(huǒ)牆技術的逐漸成熟和雲計算能力的不斷提升，使得雲服務器成爲幾乎每個企業的必備設備。随着雲技術的不斷深入，各種人員(yuán)可能以不同的方式訪問企業網絡，這将對原有的企業内網架構産生(shēng)影響。那時内網可能和外(wài)網一(yī)樣透明，沒有隐私。這與架構最初的設計理念有很大(dà)不同，所以我(wǒ)們必須尋求一(yī)種能夠适應雲服務的新架構，并且”

03

零信任網絡和傳統安全模型

傳統的安全模型是在邊界模型的基礎上逐步完善的。傳統的基于邊界的網絡安全架構通過防火(huǒ)牆、WAF、IPS等邊界安全産品/解決方案保護企業網絡邊界。它的核心思想是分(fēn)區和分(fēn)層（加強縱深防禦）。外(wài)圍模型側重于防守外(wài)圍，盡可能将攻擊者拒之門外(wài)，假設外(wài)圍已經沒有任何東西構成威脅，因此外(wài)圍内部基本上是暢通無阻的。另一(yī)方面網絡設計理念，“零信任架構”，“零信任網絡”強調從不信任和始終驗證，不信任任何人、事物(wù)或事物(wù)。在提出“零信任”的概念時，提出了三個原則：1。不應該區分(fēn)網絡位置， 2. 所有訪問控制都應該是最小(xiǎo)權限和嚴格限制的， 3. 所有訪問都應該被記錄和跟蹤。如果說傳統的網絡安全模式是用“城牆”共同保護人民，那麽“零信任網絡”就是“城門大(dà)開(kāi)”，但每個公民都配備了一(yī)名士兵來保護。與用巨大(dà)的“城牆”進行防護相比，這種“點對點”的防護策略更加靈活和安全。那麽我(wǒ)們是否可以完全放(fàng)棄城牆，完全改用這種靈活的安全策略呢？答案顯然是否定的。傳統防火(huǒ)牆仍然可以抵抗 80% 以上的攻擊。如果徹底抛棄防火(huǒ)牆等傳統安全産品，全部使用“

04

零信任網絡的設計原則

“零信任架構”提供了一(yī)組概念、想法和組件關系（架構），旨在消除在信息系統和服務中(zhōng)實施準确訪問決策時的不确定性。爲了減少不确定性，“零信任”在減少網絡認證機制時延的同時，更加注重認證、授權和可信域。訪問規則僅限于最低權限。在 Evan 的《零信任網絡》一(yī)書(shū)中(zhōng)，根據“零信任網絡”的概念，在合理的推測下(xià)将其描述爲基于以下(xià)五個基本斷言： ① 應始終假設網絡充滿威脅。②外(wài)部和内部威脅無時無刻不在充斥着網絡。③ 不能僅僅依靠網絡位置建立信任關系。④ 所有設備、用戶和網絡流量都應該經過認證和授權。⑤ 訪問控制策略應基于盡可能多的數據源進行動态計算和評估。這五個斷言簡單易懂，但一(yī)針見血。可以看出，“零信任”的概念已經從“信任但驗證”的邊界模型轉變爲“從不信任，始終驗證”的模型。因此，我(wǒ)們在此基礎上進一(yī)步推理，總結出“零信任架構”設計應遵循的六大(dà)基本原則：①所有數據源和計算服務均視爲資(zī)源。② 所有通信都是安全的，安全性與網絡位置無關。③ 訪問單個企業資(zī)源的授權是對每個連接的授權。④ 對資(zī)源的訪問由策略決定，包括用戶身份和所需系統的狀态，以及可能的其他行爲屬性。⑤ 企業應确保所有所屬及相關系統盡可能處于最安全狀态，并對系統進行監控以确保系統仍處于最安全狀态。⑥ 用戶身份驗證是動态的，并且在允許訪問之前會嚴格執行。⑤ 企業應确保所有所屬及相關系統盡可能處于最安全狀态，并對系統進行監控以确保系統仍處于最安全狀态。⑥ 用戶身份驗證是動态的，并且在允許訪問之前會嚴格執行。⑤ 企業應确保所有所屬及相關系統盡可能處于最安全狀态，并對系統進行監控以确保系統仍處于最安全狀态。⑥ 用戶身份驗證是動态的，并且在允許訪問之前會嚴格執行。

05

零信任架構的邏輯組成

在組織和企業中(zhōng)，通常有許多邏輯組件構成零信任架構部署。《NIST SP800-207：零信任架構草案》描述了典型的解決方案邏輯和核心産品組件：

( )：該組件負責最終決定是否授予指定的訪問主體(tǐ)對資(zī)源（訪問對象）的訪問權限。策略引擎使用企業安全策略以及來自外(wài)部源（例如 IP 黑名單、威脅情報服務）的輸入作爲“信任算法”的輸入，以決定是否允許或拒絕對該資(zī)源的訪問。策略引擎的核心作用是信任評估。 ( )：該組件負責在客戶端和資(zī)源之間建立連接。它将生(shēng)成客戶端用于訪問企業資(zī)源的任何身份驗證令牌或憑據。它與策略引擎密切相關，取決于其最終允許或拒絕連接的決定。策略管理者的核心角色是策略決策點，這是零信任動态權限的決策組件。策略執行點（Point）：這實際上是一(yī)個組件系統，負責啓動、持續監控、最終結束訪問主體(tǐ)和訪問對象之間的連接。策略執行點實際上可以分(fēn)爲兩個不同的組件：客戶端組件（例如用戶筆記本電(diàn)腦上的代理）和資(zī)源端組件（例如在資(zī)源之前控制訪問的網關）。策略執行點的核心功能是保證業務訪問的安全。除了上述核心組件之外(wài)，還有許多數據源在做出訪問決策時爲策略引擎提供輸入和策略規則。包括本地和外(wài)部數據源，包括：持續診斷和緩解計劃系統 (CDM)：該系統收集有關企業系統當前狀态的信息，并将更新應用于配置和軟件組件。企業 CDM 系統還向策略引擎提供有關系統訪問請求的信息。行業合規系統（ ）：該系統确保遵守當前的政府管理。包括企業制定的所有政策規則，以确保合規。威脅情報流 ( )：此系統提供有助于策略引擎做出訪問決策的信息。數據訪問策略（Data）：數據訪問策略是企業爲企業資(zī)源創建的數據訪問屬性、規則和策略的集合。策略規則集可以在策略引擎中(zhōng)編碼或由 PE 動态生(shēng)成。企業公鑰基礎設施（PKI）：該系統負責生(shēng)成和記錄企業對資(zī)源、應用等頒發的證書(shū)，包括全球CA生(shēng)态系統和聯合PKI。ID 管理系統 (ID)：負責創建、維護和管理企業用戶帳戶和身份記錄的系統。該系統包含必要的用戶信息和其他企業特征，例如角色、訪問屬性或分(fēn)配的系統。安全事件和事件管理系統 (SIEM) 維護和管理公司用戶帳戶和身份記錄。該系統包含必要的用戶信息和其他企業特征，例如角色、訪問屬性或分(fēn)配的系統。安全事件和事件管理系統 (SIEM) 維護和管理公司用戶帳戶和身份記錄。該系統包含必要的用戶信息和其他企業特征，例如角色、訪問屬性或分(fēn)配的系統。安全事件和事件管理系統 (SIEM)

06

零信任架構的部署形式

基于設備代理/網關的部署 在基于設備代理/網關的部署模型中(zhōng)，PEP（策略實施點）分(fēn)爲 2 個組件，或者在資(zī)源上，或者作爲組件直接在資(zī)源之前。例如，企業發布的每個系統都安裝了設備代理，每個資(zī)源都預裝了一(yī)個隻與網關直接通信的組件，作爲資(zī)源的反向代理。網關共享連接到策略管理員(yuán)并允許策略管理員(yuán)批準的連接。

基于微邊界的部署 基于微邊界的部署模型是基于設備代理/網關的部署模型的變體(tǐ)。在此模型中(zhōng)，不相關的組件可能駐留在系統中(zhōng)或單個資(zī)源之前。通常，這些資(zī)源充當單一(yī)業務功能，不直接與網關通信。在此模型中(zhōng)，企業私有雲位于網關之後。

基于資(zī)源門戶的部署 在基于資(zī)源門戶的部署模型中(zhōng)，PEP 作爲一(yī)個單獨的組件充當用戶請求的網關。網關門戶可以充當單個資(zī)源，也可以充當單個業務功能集合的微邊界。

系統應用沙箱系統應用沙箱部署模型也是基于代理/網關部署模型的變體(tǐ)。沙盒模型使受信任的應用程序能夠在系統中(zhōng)獨立運行。這些隔離(lí)的部分(fēn)可以是虛拟機、容器和其他實現，但目标是一(yī)樣的：保護系統中(zhōng)運行的主機和應用程序不受其他應用程序的影響。

07

總結

回顧本期内容，我(wǒ)們首先詳細介紹了“零信任”的誕生(shēng)過程，它是如何在 2010 年提出的，提出以來一(yī)直存在争議。爲什麽“信任網絡”是未來三年互聯網的主要發展方向，接下(xià)來我(wǒ)們對比傳統網絡邊界模型，總結“零信任網絡”相對于傳統邊界模型的優勢，推導出爲什麽“零信任網絡” ”，然後根據互聯網環境和“零信任”的設計理念，合理推出“零信任網絡”的六點設計原則。基于既定的設計原則，我(wǒ)們仔細介紹了“零信任網絡”的詳細邏輯組件和工(gōng)作原理，并提出了理想化的模型後，我(wǒ)們簡要說明了該架構的部署方式，并提出了四種不同環境對應的部署方式。至此，本期“零信任網絡架構”的文章就到這裏了。相信以大(dà)家的聰明才智，通過這篇文章想必已經明白(bái)了幾個關鍵問題：what（這是什麽），why（他爲什麽是？），how（如何工(gōng)作）。那麽，下(xià)期美創安全實驗室，我(wǒ)們将繼續爲大(dà)家帶來《零信任網絡》第二篇，敬請持續關注。

轉自杭州美創科技有限公司公衆号，如需轉載請聯系

了解更多學習網絡推廣知(zhī)識，就來廣西網絡推廣。

上一(yī)篇：微信營銷是網絡經濟時代企業營銷模式的一(yī)種創新(組圖)
下(xià)一(yī)篇：網站建設一(yī)般需要準備什麽？費(fèi)用多少？(圖)