焦士辰，楊海昕，劉澤通，張 澤

（1.星航互聯(lián)（北京）科技有限公司，北京 100094；2.中國(guó)衛(wèi)通集團(tuán)股份有限公司，北京 100086）

1 研究背景

在我國(guó)互聯(lián)網(wǎng)普及率高達(dá)73.0%的今天[1]，很難準(zhǔn)確認(rèn)定所有網(wǎng)絡(luò)使用者的行為都是值得信任的。我們無法確認(rèn)互聯(lián)網(wǎng)流量被監(jiān)聽，更無法確認(rèn)提供光纖租用服務(wù)商或云服務(wù)商是完全可信的。隨著應(yīng)用需求的不斷革新，諸如移動(dòng)辦公、物聯(lián)網(wǎng)、大數(shù)據(jù)、多云融合等新模式已逐漸打破傳統(tǒng)的基于網(wǎng)絡(luò)邊界的安全防護(hù)模型。外部網(wǎng)絡(luò)邊界被打破的同時(shí)，“企業(yè)內(nèi)部的系統(tǒng)和網(wǎng)絡(luò)流量”一樣是不可信任的。不論是被劫持的內(nèi)部人員設(shè)備又或是系統(tǒng)中安裝的社區(qū)開源組件，都有可能成為企業(yè)網(wǎng)絡(luò)被攻擊的跳板，攻擊者可能輕易通過跳板在企業(yè)網(wǎng)絡(luò)內(nèi)部橫向或縱向發(fā)起進(jìn)一步網(wǎng)絡(luò)滲透和攻擊行動(dòng)。

中小型企業(yè)因?yàn)樘幱跇I(yè)務(wù)高速發(fā)展階段，對(duì)于網(wǎng)絡(luò)安全和數(shù)據(jù)安全的投入往往考慮不周，且未劃入最重要預(yù)算內(nèi)。企業(yè)通常采用公有云或租用IDC機(jī)房構(gòu)建混合云的方式搭建企業(yè)系統(tǒng)，通過購(gòu)買或租用公網(wǎng)邊界防護(hù)設(shè)備。但這種安全解決方案往往并未被有效配置和使用，也無法應(yīng)對(duì)內(nèi)部風(fēng)險(xiǎn)、惡意入侵、APT攻擊等新型威脅。

為應(yīng)對(duì)新網(wǎng)絡(luò)安全需求，基于網(wǎng)絡(luò)零信任理念的模型被創(chuàng)建，逐漸替代傳統(tǒng)安全模型。零信任模型中未假定任何網(wǎng)絡(luò)位置的安全屬性，在不依賴網(wǎng)絡(luò)傳輸層安全機(jī)制的情況下，有效地保護(hù)企業(yè)網(wǎng)絡(luò)通信和應(yīng)用訪問安全。本文將從零信任起源出發(fā)、逐步分析企業(yè)安全需求，試探究適合中小企業(yè)部署零信任體系的可行方案。

2 零信任體系基礎(chǔ)

2.1 零信任的起源、發(fā)展和定義

零信任最早起源于2004年成立的Jericho Forum，其目的就是為了定義和解決無安全邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題，提出要約束基于網(wǎng)絡(luò)位置的隱性信任，且不依賴于靜態(tài)防御機(jī)制。

2010年，F(xiàn)orrester研究機(jī)構(gòu)的分析師正式提出零信任（Zero Trust）這個(gè)術(shù)語。2013年，國(guó)際云安全聯(lián)盟提出軟件定義邊界（Software Define Permeter，SDP），其核心思想是通過軟件的方法，構(gòu)建一層虛擬的企業(yè)邊界，利用身份的訪問控制去應(yīng)對(duì)網(wǎng)絡(luò)邊界模糊帶來的控制粒度問題，成為第一個(gè)完整的零信任解決方案。

伴隨技術(shù)的革新，于2020年NIST發(fā)布《SP800-207:Zero Trust Architecture》標(biāo)準(zhǔn)，其對(duì)零信任架構(gòu)帶來明確定義“零信任的企業(yè)網(wǎng)絡(luò)安全規(guī)劃，包括企業(yè)網(wǎng)絡(luò)安全架構(gòu)、工作流規(guī)劃和組件關(guān)系等，目的在于祛除企業(yè)信息系統(tǒng)與系統(tǒng)服務(wù)中訪問控制策略的不確定性”。

2.2 零信任體系基礎(chǔ)原則

與傳統(tǒng)網(wǎng)絡(luò)安全原則的注重網(wǎng)絡(luò)邊界防御、信任內(nèi)部網(wǎng)絡(luò)安全不同[2]，零信任網(wǎng)絡(luò)基礎(chǔ)原則建立在五個(gè)基礎(chǔ)原則之下。

（1）網(wǎng)絡(luò)的內(nèi)部環(huán)境和外部環(huán)境無時(shí)無刻處在網(wǎng)絡(luò)安全威脅之下。網(wǎng)絡(luò)所處在任何環(huán)境下，都有可能作為網(wǎng)絡(luò)攻擊源或網(wǎng)絡(luò)攻擊目標(biāo)。不能默認(rèn)只有企業(yè)內(nèi)部與公網(wǎng)網(wǎng)絡(luò)邊界處于安全威脅下，現(xiàn)實(shí)網(wǎng)絡(luò)安全環(huán)境下任何資源都有可能存在網(wǎng)絡(luò)風(fēng)險(xiǎn)。

（2）網(wǎng)絡(luò)所處位置不能作為決定網(wǎng)絡(luò)可信認(rèn)度的依據(jù)。零信任網(wǎng)絡(luò)環(huán)境下不根據(jù)所處網(wǎng)絡(luò)位置給予默認(rèn)權(quán)限和信任度，所有網(wǎng)絡(luò)通信均應(yīng)在安全的方式下進(jìn)行傳輸，對(duì)所有網(wǎng)絡(luò)位置均認(rèn)定為不信任。

（3）所有網(wǎng)絡(luò)中的設(shè)備、用戶、服務(wù)和網(wǎng)絡(luò)流量等都應(yīng)視為企業(yè)資源。一個(gè)網(wǎng)絡(luò)可能由多種資源組成，資源不僅包含網(wǎng)絡(luò)中的交換機(jī)、路由器、服務(wù)器、存儲(chǔ)陣列、網(wǎng)絡(luò)安全設(shè)備等硬件，網(wǎng)絡(luò)中提供廣播的服務(wù)、能夠訪問資源的用戶、網(wǎng)絡(luò)中帶寬以及傳輸?shù)牧髁康榷紤?yīng)劃歸為企業(yè)資源進(jìn)行管理。

（4）每個(gè)企業(yè)資源的每次會(huì)話和訪問均應(yīng)獨(dú)立認(rèn)證和授權(quán)。在資源進(jìn)行每次會(huì)話或訪問之前，將獨(dú)立評(píng)估每次資源會(huì)話或訪問動(dòng)作并進(jìn)行身份認(rèn)證和給予對(duì)應(yīng)授權(quán)。每次認(rèn)證和授權(quán)操作均視為獨(dú)立事件，不關(guān)聯(lián)曾經(jīng)認(rèn)證和授權(quán)的情況，對(duì)一個(gè)資源的身份認(rèn)證和授權(quán)也不能自動(dòng)給訪問另一個(gè)資源對(duì)象進(jìn)行授權(quán)。

（5）訪問控制策略必須是動(dòng)態(tài)的，且應(yīng)盡量多地從資源中獲取特征進(jìn)行計(jì)算和評(píng)估來生成。資源的訪問控制策略是基于分配給資源指定屬性的訪問規(guī)則，這些規(guī)則是給定系統(tǒng)流程需求并在可管控風(fēng)險(xiǎn)的前提下設(shè)定的。資源訪問和會(huì)話權(quán)限規(guī)則策略必須可以根據(jù)需求而動(dòng)態(tài)變更，而訪問控制策略規(guī)則的授權(quán)要盡可能多地收集資源的屬性特征，如網(wǎng)絡(luò)位置、請(qǐng)求時(shí)間、既往行為和請(qǐng)求動(dòng)作等去進(jìn)行計(jì)算和評(píng)估。

2.3 企業(yè)零信任安全架構(gòu)的優(yōu)勢(shì)

零信任安全架構(gòu)更加注重實(shí)時(shí)可變，將網(wǎng)絡(luò)安全定義在動(dòng)態(tài)下。當(dāng)前越來越多的企業(yè)將云計(jì)算引入到企業(yè)應(yīng)用服務(wù)中，網(wǎng)絡(luò)邊界無時(shí)無刻在變化。傳統(tǒng)網(wǎng)絡(luò)安全模式下需頻繁對(duì)網(wǎng)絡(luò)邊界進(jìn)行修改和配置，將極大地?fù)p耗企業(yè)的資源和財(cái)力，且極有可能因遺漏或錯(cuò)誤配置導(dǎo)致不可預(yù)見的風(fēng)險(xiǎn)[3]。企業(yè)采用零信任體系進(jìn)行部署的優(yōu)勢(shì)可以總結(jié)為以下三方面。

（1）縮小企業(yè)公網(wǎng)暴露面，實(shí)時(shí)調(diào)整訪問控制規(guī)則。縮小對(duì)公網(wǎng)暴露的窗口，有效減少來自互聯(lián)網(wǎng)的刺探攻擊、漏洞掃描和注入攻擊等安全風(fēng)險(xiǎn)；通過動(dòng)態(tài)調(diào)整訪問控制策略約束用戶行為，及時(shí)防護(hù)已出現(xiàn)或可能出現(xiàn)的安全事件。

（2）彌補(bǔ)傳統(tǒng)安全合規(guī)弊端，訪問行為審計(jì)可控。傳統(tǒng)安全體系不注重行為審計(jì)，常造成事后追查困難，嚴(yán)重影響系統(tǒng)復(fù)原和問題追溯。零信任體系具備無特權(quán)特點(diǎn)，將所有用戶的訪問請(qǐng)求進(jìn)行代理操作，有效審計(jì)用戶行為，符合國(guó)家安全合規(guī)要求，輔助事后安全事件溯源和恢復(fù)。

（3）周期性維護(hù)企業(yè)資源，優(yōu)化企業(yè)資源管理。零信任體系下對(duì)企業(yè)資源屬性要求周期性更新，有效檢測(cè)服務(wù)設(shè)備和訪問終端的安全問題，及時(shí)更新用戶身份變化，輔助更正系統(tǒng)訪問控制規(guī)則。精細(xì)化管理企業(yè)資源，優(yōu)化資源分配和使用。

2.4 關(guān)于零信任國(guó)家政策指引

由于傳統(tǒng)網(wǎng)絡(luò)安全模型的效果的減弱，基于零信任的安全網(wǎng)絡(luò)架構(gòu)模型逐步得到認(rèn)可和普及，甚至上升為國(guó)家級(jí)網(wǎng)絡(luò)安全戰(zhàn)略。2021年9月，美國(guó)正式發(fā)布《聯(lián)邦零信任戰(zhàn)略》，并于2022年1月發(fā)布政令要求在整個(gè)政府范圍內(nèi)啟動(dòng)零信任框架遷移。

2019年9月，我國(guó)工業(yè)和信息化部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》（征求意見搞）中將“著力突破網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”作為重要任務(wù)，并同時(shí)提及“零信任安全”。2021年5月，中國(guó)信息通信研究院發(fā)布了《數(shù)字化時(shí)代零信任安全藍(lán)皮報(bào)告（2021年）》，報(bào)告中分析了零信任安全對(duì)企業(yè)網(wǎng)絡(luò)安全的作用和優(yōu)勢(shì)，指出了我國(guó)零信任的發(fā)展趨勢(shì)。零信任已成為我國(guó)網(wǎng)絡(luò)安全的重點(diǎn)技術(shù)之一。

3 零信任體系部署解決方案

3.1 企業(yè)零信任部署案例分析

本處借Google的BeyondCorp零信任解決方案，試解析企業(yè)零信任體系的特點(diǎn)。BeyondCorp零信任解決方案是基于開創(chuàng)新的安全訪問方式，提供給用戶與網(wǎng)絡(luò)位置無關(guān)、不依賴接入VPN、不默認(rèn)劃分用戶權(quán)限，僅通過設(shè)備憑證和用戶身份憑證進(jìn)行認(rèn)證、授權(quán)和加密的零信任安全架構(gòu)[4]。用戶狀態(tài)（如操作行為審計(jì)、用戶信息變更等）推斷用戶和設(shè)備的信任等級(jí)。在上述過程中管道的作用是實(shí)時(shí)動(dòng)態(tài)地從后端數(shù)據(jù)庫和發(fā)證機(jī)構(gòu)提取訪問控制引擎所需求的信息。

（5）通過所有驗(yàn)證確認(rèn)用戶請(qǐng)求符合要求，訪問代理通過訪問控制引擎開通對(duì)應(yīng)訪問控制策略，準(zhǔn)許用戶請(qǐng)求轉(zhuǎn)發(fā)到應(yīng)用后端獲取服務(wù)。訪問控制引擎基于每個(gè)訪問請(qǐng)求，根據(jù)獲得的用戶和設(shè)備身份以及用戶和設(shè)備信任等級(jí)開通對(duì)應(yīng)策略。

3.2 中小企業(yè)零信任體系可行方案

一般中小企業(yè)不具備大型企業(yè)的研發(fā)和維護(hù)能力，下面針對(duì)中小企業(yè)特點(diǎn)和安全防護(hù)需求進(jìn)行簡(jiǎn)要梳理并嘗試給出基于零信任體系的解決方案。

依據(jù)圖1結(jié)構(gòu)，模擬員工在企業(yè)辦公地點(diǎn)使用受控設(shè)備，請(qǐng)求企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用服務(wù)來分析各組件在BeyondCorp零信任架構(gòu)中的作用，梳理各組件的邏輯關(guān)系，對(duì)現(xiàn)代典型企業(yè)零信任架構(gòu)進(jìn)行初步的了解和認(rèn)識(shí)。

圖1 BeyondCorp組件關(guān)聯(lián)關(guān)系圖

（1）員工在使用受控設(shè)備與RADIUS服務(wù)器進(jìn)行IEEE 802.1x握手的過程中提供設(shè)備證書，驗(yàn)證證書有效后，設(shè)備被分配到無特權(quán)網(wǎng)絡(luò)。無特權(quán)網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)沒有任何區(qū)別，授權(quán)登錄到無特權(quán)網(wǎng)絡(luò)也僅能登錄有限基礎(chǔ)服務(wù)，并非進(jìn)入企業(yè)內(nèi)網(wǎng)?？梢岳斫鉃橥瓿苫ヂ?lián)網(wǎng)Wi-Fi登錄，并未真正完成信任認(rèn)證步驟。

（2）用戶發(fā)送應(yīng)用請(qǐng)求指向訪問代理，由于未完成信任認(rèn)證，代理將請(qǐng)求重定向到單點(diǎn)登錄系統(tǒng)。訪問代理對(duì)所有企業(yè)應(yīng)用服務(wù)均進(jìn)行保護(hù)，并提供負(fù)載均衡、訪問控制檢查、應(yīng)用健康檢查、防護(hù)拒絕服務(wù)等功能。

（3）用戶通過雙因素認(rèn)證憑據(jù)，完成單點(diǎn)登錄認(rèn)證獲得頒發(fā)的令牌，重新返回訪問代理。此時(shí)用戶訪問代理持有設(shè)備證書和單點(diǎn)登錄令牌。單點(diǎn)登錄系統(tǒng)是企業(yè)集中認(rèn)證門戶，對(duì)訪問用戶進(jìn)行雙因子認(rèn)證，在完成用戶和群組數(shù)據(jù)庫驗(yàn)證后，生成有短暫時(shí)效的令牌，用于下步訪問驗(yàn)證。

（4）對(duì)服務(wù)的每個(gè)請(qǐng)求均需通過訪問控制引擎進(jìn)行驗(yàn)證。通過用戶群組數(shù)據(jù)庫和設(shè)備清單數(shù)據(jù)庫對(duì)用戶和設(shè)備身份進(jìn)行核驗(yàn)，通過信任推斷引擎根據(jù)受控設(shè)備狀態(tài)（如系統(tǒng)補(bǔ)丁信息、軟件安全風(fēng)險(xiǎn)告警等）、

3.2.1 中小企業(yè)網(wǎng)絡(luò)安全防護(hù)需求

中小企業(yè)安全防護(hù)需求主要分為兩方面，第一是企業(yè)自身網(wǎng)絡(luò)安全防護(hù)需求，第二是符合國(guó)家安全合規(guī)需求。

從企業(yè)自身特點(diǎn)角度出發(fā)，首先，隨著云技術(shù)的廣泛應(yīng)用，中小型企業(yè)更多采取云與本地結(jié)合的方式進(jìn)行部署，這種方式雖具備較強(qiáng)擴(kuò)展性和運(yùn)維成本低的優(yōu)勢(shì)，但訪問邊界不固定；其次，中小企業(yè)處于業(yè)務(wù)發(fā)展快速迭代期，企業(yè)應(yīng)用服務(wù)變動(dòng)頻繁，企業(yè)資源配置隨市場(chǎng)變化傾向頻繁調(diào)整；最后，為了擴(kuò)展業(yè)務(wù)，不少企業(yè)都在全國(guó)乃至全世界開拓分支，同時(shí)因出差或特殊需求（如抗擊新冠疫情）等，遠(yuǎn)程辦公成為用戶剛需。由此可以得出企業(yè)安全防護(hù)邊界較為模糊、企業(yè)資源變動(dòng)較為頻繁、安全防護(hù)策略要求較為復(fù)雜的需求特點(diǎn)。

從安全合規(guī)角度考慮，我國(guó)從2017年6月正式實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，標(biāo)志著我國(guó)網(wǎng)絡(luò)空間安全已有法可依?！毒W(wǎng)絡(luò)安全法》第二十一條“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，明確將“等?！睂懭雵?guó)家法規(guī)，企業(yè)均需遵照?qǐng)?zhí)行。2019年12月發(fā)布的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求中體現(xiàn)了“一個(gè)中心，三重防護(hù)”的思想，也正契合當(dāng)前網(wǎng)絡(luò)安全形式下的企業(yè)網(wǎng)絡(luò)安全防護(hù)的需求。

3.2.2 中小企業(yè)零信任體系部署方案

企業(yè)安全防護(hù)需求已明確，根據(jù)中小企業(yè)特點(diǎn)，本文采用“用戶端—網(wǎng)關(guān)模式”進(jìn)行部署，下面我們就從模式介紹、核心價(jià)值、實(shí)施階段三方面進(jìn)行簡(jiǎn)要分析。

3.2.2.1 用戶端—網(wǎng)關(guān)模式介紹

圖2為用戶端—網(wǎng)關(guān)模式模型示例，模型中包含用戶端、服務(wù)端、網(wǎng)關(guān)和控制端四部分。用戶端為用戶訪問源端，接入方式包含個(gè)人辦公計(jì)算機(jī)、手機(jī)、PAD和虛擬云桌面等；服務(wù)端為企業(yè)提供的服務(wù)、應(yīng)用等，是用戶訪問目的端；網(wǎng)關(guān)為用戶訪問統(tǒng)一入口，也作為企業(yè)對(duì)外唯一暴露點(diǎn)，用戶訪問均通過網(wǎng)關(guān)進(jìn)行代理操作；控制端為數(shù)據(jù)處理中心，包含系統(tǒng)內(nèi)所有服務(wù)信息、用戶信息、訪問控制策略和服務(wù)代理策略等。

圖2 用戶端-網(wǎng)關(guān)模式

我們以“一個(gè)企業(yè)服務(wù)從注冊(cè)到用戶訪問”作為原型，簡(jiǎn)要介紹模型運(yùn)作過程。

（1）企業(yè)進(jìn)行服務(wù)注冊(cè)，控制端將服務(wù)基礎(chǔ)信息包含訪問地址、服務(wù)權(quán)限劃分、服務(wù)端代理規(guī)則和預(yù)訪問控制規(guī)則等進(jìn)行記錄，根據(jù)預(yù)訪問控制規(guī)則對(duì)用戶訪問表進(jìn)行更新，并將該企業(yè)服務(wù)網(wǎng)絡(luò)進(jìn)行邏輯隔離。

（2）用戶發(fā)起訪問請(qǐng)求，網(wǎng)關(guān)收集用戶信息及用戶硬件環(huán)境（包含用戶端狀態(tài)、用戶訪問網(wǎng)絡(luò)狀態(tài)等）信息。

（3）網(wǎng)關(guān)請(qǐng)求控制端，將用戶信息及用戶硬件環(huán)境信息進(jìn)行上傳。

（4）控制端核對(duì)用戶身份、驗(yàn)證用戶硬件環(huán)境是否安全，根據(jù)預(yù)訪問控制規(guī)則通過策略引擎生成用戶訪問控制規(guī)則?？刂贫讼掳l(fā)用戶訪問控制規(guī)則和服務(wù)端代理規(guī)則。

（5）用戶在通過身份驗(yàn)證，獲得服務(wù)訪問權(quán)限，通過網(wǎng)關(guān)代理訪問企業(yè)服務(wù)，開始正常使用企業(yè)服務(wù)。

注：用戶每次發(fā)起新的服務(wù)請(qǐng)求或切換系統(tǒng)用戶權(quán)限時(shí)，均會(huì)重新連接網(wǎng)關(guān)進(jìn)行身份驗(yàn)證，用戶訪問控制規(guī)則僅單次訪問有效。

3.2.2.2 用戶端—網(wǎng)關(guān)模式實(shí)施部署介紹

零信任體系實(shí)施很難做到一蹴而就，需要進(jìn)行多方面協(xié)調(diào)和配置，我們將部署分為資源信息整理改造、網(wǎng)關(guān)代理部署、控制引擎維護(hù)三個(gè)主要階段。

第一階段為資源信息整理改造階段，重在將企業(yè)資源進(jìn)行分類匯總，不僅要將企業(yè)系統(tǒng)進(jìn)行整理，也要將企業(yè)用戶、企業(yè)硬件資源、企業(yè)虛擬化資源等進(jìn)行整理，并對(duì)企業(yè)應(yīng)用訪問方式進(jìn)行改造，使服務(wù)可通過代理的方式進(jìn)行訪問；同時(shí)還需要為企業(yè)所有操作系統(tǒng)配置統(tǒng)一的安全管理客戶端，對(duì)用戶設(shè)備進(jìn)行安全加固，為實(shí)施安全初始化打好基礎(chǔ)。

第二階段為網(wǎng)關(guān)代理部署，傳統(tǒng)網(wǎng)絡(luò)安全體系中企業(yè)內(nèi)部服務(wù)設(shè)備可能未進(jìn)行網(wǎng)絡(luò)隔離，各服務(wù)間存在設(shè)備復(fù)用情況，企業(yè)需要在此階段分離各服務(wù)資源，將各服務(wù)拆分為獨(dú)立個(gè)體并對(duì)各服務(wù)進(jìn)行網(wǎng)絡(luò)邏輯隔離；配置統(tǒng)一訪問代理至安全網(wǎng)關(guān)，企業(yè)需采購(gòu)或二次開發(fā)安全代理網(wǎng)關(guān)，將所有企業(yè)服務(wù)資源均代理至網(wǎng)關(guān)，在不影響現(xiàn)有業(yè)務(wù)訪問的情況下進(jìn)行全服務(wù)代理訪問測(cè)試，完成服務(wù)代理初始化配置。

第三階段為控制引擎維護(hù)，此階段需部署控制訪問引擎服務(wù)，將收集到的企業(yè)資源信息維護(hù)至控制引擎，并初始化各服務(wù)訪問控制策略，調(diào)試信任算法。完善服務(wù)注冊(cè)、客戶訪問邏輯，優(yōu)化用戶訪問流程，逐步封閉原直連訪問模式，將零信任體系融合至企業(yè)日常使用中。

3.2.2.3 用戶端—網(wǎng)關(guān)模式優(yōu)勢(shì)分析

用戶端—網(wǎng)關(guān)模式的核心是將企業(yè)所有資源都隱藏在網(wǎng)關(guān)后面，隱藏實(shí)際服務(wù)提供入口，極大地縮減外界攻擊面。用戶端不區(qū)分網(wǎng)絡(luò)環(huán)境，均通過網(wǎng)關(guān)請(qǐng)求訪問，不設(shè)置默認(rèn)信任規(guī)則，所有服務(wù)請(qǐng)求均通過驗(yàn)證后訪問，充分體現(xiàn)零信任體系價(jià)值。

雖然用戶端—網(wǎng)關(guān)模式未限制網(wǎng)關(guān)后各獨(dú)立服務(wù)內(nèi)服務(wù)端設(shè)備互訪，具體到各獨(dú)立服務(wù)還存在傳統(tǒng)網(wǎng)絡(luò)安全概念的管理網(wǎng)絡(luò)。但網(wǎng)關(guān)后各服務(wù)網(wǎng)絡(luò)均采用微隔離方式進(jìn)行單獨(dú)邏輯隔離，且零信任模式改造部署過程中不影響原應(yīng)用部署架構(gòu)，既可以達(dá)成用戶訪問零信任，又可以在最小影響下融合企業(yè)原安全部署架構(gòu)，夯實(shí)全面轉(zhuǎn)化成零信任體系架構(gòu)的基礎(chǔ)，十分適合中小型企業(yè)過渡使用。

4 中小企業(yè)零信任體系待解決問題

4.1 企業(yè)零信任體系部署難點(diǎn)

在零信任安全體系中，信任算法和由企業(yè)各資源屬性匯總生成的訪問控制策略是整個(gè)體系中的核心。

策略生成引擎中的信任算法是零信任體系能否成立的關(guān)鍵，但一般中小型企業(yè)不具備訓(xùn)練成熟信任算法的資源和時(shí)間。企業(yè)可以借助部署成熟策略引擎產(chǎn)品替代自研過程。經(jīng)過初始調(diào)整階段，對(duì)引擎內(nèi)標(biāo)準(zhǔn)和權(quán)限重進(jìn)行調(diào)整，在時(shí)間成本和費(fèi)用成本中尋求平衡。

企業(yè)用戶發(fā)起的所有通信均需通過訪問控制策略的認(rèn)證和配置，也就表示及時(shí)維護(hù)企業(yè)資源屬性信息，正確配置和維護(hù)訪問控制策略將成為決定企業(yè)零信任架構(gòu)乃至整個(gè)企業(yè)網(wǎng)絡(luò)是否能夠正常運(yùn)轉(zhuǎn)的關(guān)鍵。這些工作將給企業(yè)運(yùn)維人員帶來較大壓力，企業(yè)需要支持零信任系統(tǒng)運(yùn)行和維護(hù)。

4.2 企業(yè)零信任體系面臨的威脅

雖然基于零信任體系的企業(yè)網(wǎng)絡(luò)比傳統(tǒng)網(wǎng)絡(luò)要安全，但任何方式都無法將安全風(fēng)險(xiǎn)削減至零[5]。以下列舉兩種常見的安全威脅，展示零信任體系下的獨(dú)特風(fēng)險(xiǎn)和通常的應(yīng)對(duì)方法。

4.2.1 拒絕服務(wù)威脅

在零信任體系中，各企業(yè)服務(wù)訪問點(diǎn)基本不存在被DDoS或者CC攻擊的可能性。但所有企業(yè)用戶均需訪問統(tǒng)一網(wǎng)關(guān)進(jìn)行驗(yàn)證，這也給攻擊者一個(gè)明確的攻擊目標(biāo)。如果攻擊者對(duì)統(tǒng)一網(wǎng)關(guān)進(jìn)行中斷或拒絕訪問攻擊，則很有可能造成企業(yè)所有應(yīng)用訪問中斷，繼而對(duì)生產(chǎn)經(jīng)營(yíng)造成不利影響。針對(duì)這種威脅企業(yè)通常采用網(wǎng)關(guān)集群部署和智能流量清洗的方式降低安全風(fēng)險(xiǎn)。

4.2.2 策略引擎錯(cuò)誤威脅

策略引擎安全風(fēng)險(xiǎn)也是零信任體系中一個(gè)獨(dú)有的致命風(fēng)險(xiǎn)。如果策略生成引擎被錯(cuò)誤配置，極有可能造成訪問控制策略失效，攻擊者會(huì)輕松進(jìn)入系統(tǒng)進(jìn)行破壞。如果一個(gè)管理員有意破壞安全策略引擎，甚至可能造成企業(yè)所有數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)。因此所有系統(tǒng)級(jí)別操作，均需被記錄和嚴(yán)格審計(jì)；企業(yè)也要經(jīng)常開展網(wǎng)絡(luò)安全教育，提升員工安全意識(shí)。

5 結(jié)束語

本文介紹了零信任的起源和發(fā)展，總結(jié)了零信任體系的基本原則，簡(jiǎn)要剖析了企業(yè)采用零信任體系相較于傳統(tǒng)安全體系在安全網(wǎng)絡(luò)管理上的優(yōu)勢(shì)，著重從中小企業(yè)的安全需求出發(fā)，試探尋一套切實(shí)可行的解決方案。

企業(yè)部署零信任體系并不是一勞永逸，安全威脅依然時(shí)刻隱藏在網(wǎng)絡(luò)的各個(gè)角落，我們需要時(shí)刻銘記零信任的名言“永不信任，始終驗(yàn)證”。文中的中小企業(yè)零信任體系部署方案，還存在服務(wù)微隔離方案設(shè)計(jì)、信任算法選擇和優(yōu)化的課題需要探討，筆者將繼續(xù)在這些方面學(xué)習(xí)、研究和實(shí)踐，為企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)和建設(shè)提供更有力參考。