劉 歡，楊 帥，劉 皓

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著企業(yè)數(shù)字化轉型的逐漸深入，特別是移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、微服務為代表的新一代信息化建設愈演愈烈，伴隨而來的網(wǎng)絡安全風險及威脅也日益復雜，APT 攻擊、身份假冒、內(nèi)部威脅等新型網(wǎng)絡攻擊手段層出不窮，給數(shù)字時代的信息安全帶來了嚴峻的挑戰(zhàn)。

為了解決傳統(tǒng)的基于網(wǎng)絡邊界建立安全防護帶來的諸多問題，由研究機構Forrester 的首席分析師JohnKindervag 于2010 年首次提出了“零信任網(wǎng)絡”的概念。零信任是一種全新的安全理念，它對網(wǎng)絡安全進行了范式上的顛覆，打破了網(wǎng)絡邊界的概念，引導網(wǎng)絡安全體系架構從網(wǎng)絡中心化向身份中心化的轉變，實現(xiàn)對用戶、設備和應用的全面、動態(tài)、智能訪問控制，建立應用層面的安全防護體系。谷歌公司早在2011 年便啟動了名為BeyondCorp 項目[1]，旨在將零信任架構應用于客戶分布式訪問業(yè)務。2019 年9 月，工信部公開征求對《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見》的意見中，明確將“零信任安全”列入網(wǎng)絡安全亟需重點突破的關鍵技術。

本文首先分析了傳統(tǒng)網(wǎng)絡邊界防護體系的諸多缺陷，并詳細闡述了零信任安全網(wǎng)絡架構，以及涉及的關鍵功能組件和技術，在此基礎上，以移動遠程辦公應用為例，提出了基于零信任架構的安全防護應用解決方案。

1 傳統(tǒng)網(wǎng)絡邊界防護存在的問題

傳統(tǒng)的網(wǎng)絡安全結構專注于對網(wǎng)絡邊界的監(jiān)管和防御，以邊界模型為基礎而逐漸完善，它的核心理念是分區(qū)、分層防護，目標是試圖把攻擊者阻擋在可信的內(nèi)部網(wǎng)絡之外，具有強大的縱深防御能力。傳統(tǒng)網(wǎng)絡邊界防護模型如圖1 所示。

圖1 傳統(tǒng)網(wǎng)絡邊界防護模型

典型邊界防護模型通過把網(wǎng)絡劃分為不同區(qū)域，不同區(qū)域授予了一定程度的信任。能夠被遠程訪問的應用服務器等高風險資源，被部署在可信區(qū)或特權區(qū)，通過部署在邊界隔離區(qū)的防火墻、IPS和VPN 網(wǎng)關等安全設備對進入網(wǎng)絡流量進行嚴格監(jiān)控，目的是構建基于網(wǎng)絡邊界的外圍防御，從而一定程度確保隔離區(qū)以內(nèi)私有網(wǎng)絡的安全。

這種傳統(tǒng)的網(wǎng)絡分區(qū)和城墻式隔離防護模型，至今仍然作為主流網(wǎng)絡安全防護架構發(fā)揮著積極作用，但是隨著網(wǎng)絡規(guī)模的爆發(fā)式增長和網(wǎng)絡攻擊手段越來越多樣化、隱蔽化，一個網(wǎng)絡即使采用了完備的邊界防御措施，仍然存在被攻陷的風險。邊界防護模型缺陷主要表現(xiàn)為以下幾個方面。

（1）缺乏網(wǎng)絡內(nèi)部防護

基于邊界的防護策略采用嚴格監(jiān)控機制，對外網(wǎng)流量進行嚴格訪問控制，試圖在私有網(wǎng)絡和外網(wǎng)之間建立一堵防護墻，同時默認私有網(wǎng)絡內(nèi)部是安全的，并為受保護的內(nèi)部網(wǎng)絡賦予一定程度的信任，私有網(wǎng)絡內(nèi)部主機自我保護能力較弱。這種城墻式防護模式無法有效阻止從內(nèi)部網(wǎng)絡發(fā)起的攻擊，比如傳統(tǒng)的邊界VPN 提供的安全防護能力，當網(wǎng)絡流量穿透隔離區(qū)后就會失效。攻擊者在突破外部防御后，能夠利用私有網(wǎng)絡內(nèi)部漏洞和管理缺陷，獲取某主機權限，近而采用橫向移動方式對更高級別安全域服務實施攻擊。

（2）存在單點部署失效

在網(wǎng)絡邊界采用分布式部署安全設備，構建的廣域城墻式防御體系，隨著網(wǎng)絡規(guī)模的增大以及不同安全等級和防護水平的異構網(wǎng)絡互通互聯(lián)，擴大了網(wǎng)絡攻擊面。攻擊者通過集中攻破安全防御能力較弱的某些部署點，從而繞過具有較強安全防御網(wǎng)絡邊界，對網(wǎng)絡內(nèi)部實施攻擊，使得整體網(wǎng)絡邊界防御體系崩塌。

（3）缺乏全局安全策略

傳統(tǒng)邊界防護機制規(guī)定了不同安全區(qū)域的訪問控制規(guī)則，比如對來自不可信區(qū)的網(wǎng)絡交互流量，通常采用基于密碼技術的強制身份認證及訪問控制，對可信區(qū)內(nèi)部的網(wǎng)絡流量、用戶訪問等則基于一定程度的信任機制，采用弱化的安全策略控制，基本暢通無阻。這種差異化的安全控制策略，使得攻擊者不必強行攻破邊界防護，而可以將惡意軟件遠程投遞到網(wǎng)絡內(nèi)部，在獲得訪問權限后，利用內(nèi)部策略控制漏洞發(fā)起網(wǎng)絡攻擊。

上述問題產(chǎn)生的原因歸根到底是由于傳統(tǒng)網(wǎng)絡邊界構建的安全防護體系，是基于“私有網(wǎng)絡內(nèi)部的系統(tǒng)和網(wǎng)絡流量是可信的”這一假設。隨著云計算、移動計算等新型數(shù)字基礎設施建設加速，IT 技術架構發(fā)生了劇烈變革，網(wǎng)絡扁平化以及無邊界化趨勢，使得不可信網(wǎng)絡區(qū)域和安全可信的私有網(wǎng)絡區(qū)域界限愈發(fā)模糊，從而引導網(wǎng)絡安全體系架構，逐漸從以網(wǎng)絡為中心的分層防護，向以身份為中心的全域訪問控制轉變。

2 零信任安全網(wǎng)絡架構研究

2.1 零信任概念和基本特征

零信任網(wǎng)絡以保護服務數(shù)據(jù)安全為目標，旨在解決“基于網(wǎng)絡邊界建立信任”這種理念本身固有的問題。它強調網(wǎng)絡是不可信的。它將網(wǎng)絡防御的邊界縮小到單個或更小的資源組，不再根據(jù)網(wǎng)絡區(qū)域位置授予預設信任權限，將防護措施從傳統(tǒng)的網(wǎng)絡層面擴展到應用層面。

零信任安全本質是以身份為中心進行動態(tài)訪問控制，構建從訪問主體到目標客體之間的端到端，具有最小訪問授權的網(wǎng)絡安全防護機制。

零信任網(wǎng)絡的基本概念建立在以下5 個基本假定之上[2]：

（1）網(wǎng)絡無時無刻不處于危險環(huán)境中。

（2）網(wǎng)絡中自始至終存在外部或內(nèi)部威脅。

（3）網(wǎng)絡位置不足以決定網(wǎng)絡的可信程度。

（4）所有設備、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權。

（5）安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源進行計算。

相比傳統(tǒng)的網(wǎng)絡邊界防護對象，零信任網(wǎng)絡將威脅源從網(wǎng)絡外部延伸至網(wǎng)絡內(nèi)部，將網(wǎng)絡中一切行為實體均視為不可信，將邊界模型中的“信任但驗證”轉換到“從不信任，始終驗證”的模式。相應地，零信任安全網(wǎng)絡具有如下關鍵特征：

第一，多維身份認證。零信任網(wǎng)絡中，身份認證的概念不再局限于對單一用戶認證或設備進行認證，而是將用戶信息、設備信息、網(wǎng)絡流量以及應用訪問行為均作為廣義身份認證對象，對多維度身份組合，進行強制持續(xù)認證。

第二，動態(tài)訪問控制。零信任網(wǎng)絡是建立在身份認證和授權重構的訪問控制基礎上，并且訪問策略機制不是靜態(tài)不變，它基于網(wǎng)絡業(yè)務活動眾多屬性來實時分析當前訪問風險，并動態(tài)的調整控制策略和訪問權限來應對網(wǎng)絡攻擊。

第三，可變信任管理。零信任網(wǎng)絡擯棄了傳統(tǒng)的基于角色和權限預分配的靜態(tài)策略方式，采用細粒度信任度量機制，對網(wǎng)絡訪問業(yè)務活動進行持續(xù)監(jiān)控，并據(jù)此不斷更新網(wǎng)絡訪問實體的信任評分，并根據(jù)信任評分高低，賦予實體最小訪問權限。

2.2 零信任安全架構

美國國家標準技術研究院（NIST）對零信任架構定義為：零信任架構提供一系列概念、理念、組件及其交互關系，已便消除針對信息系統(tǒng)和服務進行精準訪問判定所存在的不確定性[3]。文獻[4-5]分別從邏輯組件和技術方案層面研究了零信任架構的參考模型。

總的來說，零信任模型采用身份管理基礎設施、數(shù)據(jù)平面、控制平面三層架構，實現(xiàn)訪問主體到目標客體的端到端安全控制。零信任安全架構如圖2所示。

圖2 零信任安全架構

身份管理基礎設施作為權威、可信的第三方，是實現(xiàn)零信任架構以身份為中心的關鍵支撐。它負責為零信任網(wǎng)絡提供網(wǎng)絡實體統(tǒng)一身份認證、公鑰證書簽發(fā)及身份全生命周期管理等功能。

控制平面和數(shù)據(jù)平面為零信任架構核心支撐系統(tǒng)。其中控制平面實現(xiàn)對訪問主體的策略制定、信任管理和持續(xù)動態(tài)訪問授權等；數(shù)據(jù)平面由控制平面指揮和配置，接收來自控制平面下發(fā)的管控策略和網(wǎng)絡參數(shù)，實現(xiàn)對具體網(wǎng)絡訪問請求的策略控制執(zhí)行。

采用控制平面和數(shù)據(jù)平面分離設計，有效地縮小了網(wǎng)絡攻擊面，降低了零信任架構的安全風險，同時能夠更有效地對訪問實施策略管控。

2.3 關鍵功能組件

零信任安全在多維身份認證的基礎上，通過強化授權和信任管理，重構訪問控制安全架構。其關鍵功能組件包括策略執(zhí)行引擎、授權策略引擎和信任評估引擎等，各功能組件通常由各專用設備或子系統(tǒng)組成，通過協(xié)同配合，支撐零信任網(wǎng)絡的安全能力。

（1）策略執(zhí)行引擎

策略執(zhí)行引擎配置于數(shù)據(jù)平面，負責攔截網(wǎng)絡訪問請求，同時通過和授權策略引擎組件交互，完成對該訪問的授權決策，并根據(jù)決策結果，強制執(zhí)行。只有通過認證，并且具備訪問權限的請求才被予以訪問目標客體。此外策略執(zhí)行引擎還能夠針對網(wǎng)絡流程，動態(tài)配置加密算法參數(shù)、加密隧道等參數(shù)，對網(wǎng)絡流量實施加密保護，支持高性能和安全性的彈性功能伸縮。

（2）策略授權引擎

策略授權引擎部署在控制平面，和策略執(zhí)行引擎聯(lián)動，對訪問授權請求進行動態(tài)授權判定，并將決策結果返回策略執(zhí)行引擎組件強制執(zhí)行。這種控制平面和數(shù)據(jù)平面的分離部署方式，能夠支持實施、動態(tài)、按需的授權決策，同時有效地縮小了網(wǎng)絡攻擊面，降低了零信任架構的安全風險。

（3）信任評估引擎

信任評估引擎組件同樣部署在控制平面，和策略授權引擎聯(lián)動，基于一定算法，結合網(wǎng)絡上下文、基本屬性及訪問機制等安全要素，對網(wǎng)絡實體及訪問請求風險進行量化評估，策略授權引擎根據(jù)信任評估水平，近一步生成授權決策，確定網(wǎng)絡活動的合法性。

2.4 關鍵技術

零信任安全網(wǎng)絡在控制平面和數(shù)據(jù)平面分離設計的基礎上，采用了包括網(wǎng)絡代理、可變信任評估和動態(tài)訪問控制等關鍵技術，共同構建零信任安全防護體系。

（1）網(wǎng)絡代理技術

網(wǎng)絡代理技術是在用戶和設備成功通過認證的基礎上，將包括用戶、應用程序以及設備等網(wǎng)絡身份實體信息進行整合后，作為訪問請求唯一主體，提供的實時訪問控制依據(jù)。

網(wǎng)絡代理代表了用戶信息、設備狀態(tài)、網(wǎng)絡地址、業(yè)務上下文以及訪問時間、空間位置等各個維度的身份實體屬性，在授權申請時刻的實時狀態(tài)。具有即時性特征，在申請授權時按需臨時產(chǎn)生。這種對多維度身份屬性，執(zhí)行整體申請授權的訪問機制，有效地避免了對每個單一屬性授權的復雜性，同時降低基于單一維度實施訪問授權的漏洞風險。

（2）可變信任評估技術

可變信任評估技術對網(wǎng)絡代理提供的多維度實時屬性信息，進行實時信任評估和分析，通過持續(xù)量化評估網(wǎng)絡活動風險等級，為訪問授權提供判斷依據(jù)。

該技術在使用了靜態(tài)規(guī)則匹配的基礎上，還采用機器學習、人工智能等技術，通過對網(wǎng)絡活動數(shù)據(jù)特征提取、模型訓練等過程，構建信任評估模型，利用模型輸出和人工定義風險評分，實現(xiàn)模型的驗證和評估，并正向反饋至評估模型，提升模型分析準確性，增強信任評估的智能化水平和準確性，應對日益復雜的未知網(wǎng)絡威脅。

（3）動態(tài)訪問控制技術

傳統(tǒng)訪問控制基于網(wǎng)絡實體定義和預分配的二值判定策略，通常利用靜態(tài)授權規(guī)則，以及黑白名單等手段，對業(yè)務訪問執(zhí)行一次性評估。而零信任架構采用安全和易用平衡的持續(xù)度量，執(zhí)行動態(tài)訪問控制，基于可變信任評估，訪問主題的授權范圍會根據(jù)過去和當前行為、身份信息及網(wǎng)絡環(huán)境的等因素影響，不斷變化，對每次業(yè)務訪問動態(tài)實施最小授權，解決了傳統(tǒng)靜態(tài)控制機制下，安全策略動態(tài)性不足問題，增強了零信任網(wǎng)絡防御任意威脅的能力。

3 零信任網(wǎng)絡安全應用研究

3.1 遠程移動辦公應用安全風險

隨著信息技術發(fā)展，移動遠程辦公已成為一種新型高效辦公模式，在2020 年初新冠疫情爆發(fā)的情況下，越來越多的企業(yè)選擇了移動遠程辦公，一方面，有效地促進了企業(yè)復工復產(chǎn)，同時對抑制了疫情的近一步集中爆發(fā)，起到了積極作用。

但另一方面，由于遠程辦公涉及到不同種類的用戶終端，以及公共網(wǎng)絡傳輸環(huán)境的復雜性，使得企業(yè)敏感信息在訪問、處理、傳輸、應用等過程中，存在著很大的信息安全風險，安全成為了移動遠程辦公亟需解決的關鍵問題，主要表現(xiàn)為以下幾方面。

（1）網(wǎng)絡開放性增加

目前遠程移動辦公多采用基于公共互聯(lián)網(wǎng)設施，建立企業(yè)VPN 通道，實現(xiàn)對企業(yè)內(nèi)部服務的遠程訪問。這種建立在公開網(wǎng)絡基礎上的信息交換，使得內(nèi)外網(wǎng)絡邊界更加模糊化，增加了網(wǎng)絡攻擊面，通過VPN 訪問的方式，本質上還是利用傳統(tǒng)的邊界防護的思想，企圖在企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間建立牢固的“護城河”。

（2）接入設備多樣性增加

遠程移動辦公允許員工使用包括智能手機、辦公平板、家用PC 機等多種類型用戶終端，隨時隨地登錄訪問服務。各種接入設備的身份管理強度、設備安全性均參差不齊。通過這些用戶終端實施遠程訪問，給企業(yè)內(nèi)網(wǎng)帶來了極大安全隱患。

（3）業(yè)務傳輸復雜性增加

遠程移動辦公將之前企業(yè)內(nèi)部流通的業(yè)務信息，完全暴露在公共網(wǎng)絡上，愈發(fā)復雜的業(yè)務處理，使得企業(yè)敏感數(shù)據(jù)和個人數(shù)據(jù)在網(wǎng)絡上頻繁傳輸，增加了數(shù)據(jù)泄漏和濫用的風險。

3.2 基于零信任的企業(yè)移動遠程辦公安全架構

針對遠程移動辦公應用迫切的安全防護需求，零信任安全架構利用多維身份認證、持續(xù)信任管理和動態(tài)訪問控制等關鍵能力，并結合企業(yè)當前的信息化網(wǎng)絡建設現(xiàn)狀，構建基于零信任的企業(yè)移動遠程辦公安全架構，如圖3 所示。

圖3 基于零信任的移動遠程辦公安全架構

信任評估服務器和訪問授權系統(tǒng)構成零信任網(wǎng)絡架構的控制平面；數(shù)據(jù)平面由目前已部署的直接處理網(wǎng)絡流量的防火墻、IDS 入侵檢測等安全設備以及應用服務網(wǎng)關組成；企業(yè)統(tǒng)一身份認證系統(tǒng)、數(shù)字證書管理系統(tǒng)等，構成企業(yè)身份管理基礎設施。

智能手機、辦公平板和PC 客戶端等各類遠程訪問終端，通過公共互聯(lián)網(wǎng)接入企業(yè)內(nèi)網(wǎng)時，數(shù)據(jù)平面捕獲網(wǎng)絡訪問，首先對用戶和設備進行身份認證，認證成功后向控制平面發(fā)起訪問授權請求?？刂破矫娼M件檢查請求相關數(shù)據(jù)，采用細粒度業(yè)務管控策略，分析評估訪問主體的信任度，確定訪問授權級別，同時將授權判定結果，以控制策略方式下發(fā)，重新配置數(shù)據(jù)平面，對請求授予最小訪問權限。在獲取訪問許可后，遠程訪問終端可通過數(shù)據(jù)平面訪問企業(yè)內(nèi)部應用服務和數(shù)據(jù)信息。

采用零信任網(wǎng)絡架構，增強企業(yè)遠程移動辦公應用安全防護能力，能夠有效地緩解端到端的應用訪問風險，為企業(yè)常態(tài)化遠程辦公以及近一步的數(shù)字化轉型保駕護航。

4 結語

數(shù)字新時代下，異構網(wǎng)絡之間互聯(lián)互通愈發(fā)頻繁，企業(yè)內(nèi)外網(wǎng)界限的越發(fā)模糊，同時隨著網(wǎng)絡攻防技術的不斷發(fā)展，傳統(tǒng)的基于網(wǎng)絡邊界的安全防護策略，已難以應對層出不窮的網(wǎng)絡攻擊。采用以身份為中心的零信任安全架構，利用基于多維屬性的可變信任管理、最小授權的動態(tài)訪問控制，構建“端到端”的應用安全防護體系，將逐漸成為企業(yè)網(wǎng)絡安全發(fā)展新趨勢，推動企業(yè)網(wǎng)絡安全架構的轉型和變革。