如果土匪都懂“零信任网络”，杨子荣还能智取威虎山吗？

SDNLAB

发布于 2019-05-17 16:21:42

6050

发布于 2019-05-17 16:21:42

文章被收录于专栏：SDNLABSDNLAB

“天王盖地虎。”

“宝塔镇河妖！”

……

《林海雪原》中，侠客般的杨子荣靠着“黑话”/“暗号”，赢得了土匪头子“座山雕”的信任，成功打入土匪内部，智取了威虎山。

假如将这一场景类比于网络，它与早期的网络攻击何其相似。

传统的网络安全中，用户与系统之间依靠防火墙隔离，用户只需完成如“盖地虎，镇河妖”的“暗号”就可访问系统内部整个网络区域，使网络存在非常大的安全隐患。随着企业业务复杂性的增加、黑客的“进化”以及网络虚拟化等技术的发展，安全防御方式也在进一步提升，“盖地虎，镇河妖”式“暗号”已不能支撑整个网络安全系统，“零信任网络”正悄悄走来。

什么是零信任？为了更好地理解，我们讲个故事。

从前有个土豪，家里有个巨大的金库。土豪有20个儿子，土豪规定，除非他允许，否则不能随便出入金库。然而，巨大的诱惑让儿子们一个个都悄悄潜入金库偷钱。土豪无奈之下给金库加了一把大锁。可土豪的儿子们精得跟个猴儿似的，不知道从哪偷配了钥匙，又偷走了好多宝贝。

正在土豪苦恼时，忠实的管家说道：“只锁一屋，何以锁天下。”，土豪意会，将金库的宝贝分别放到了几十个硕大的保险箱中，金库门口还养了只狗。土豪安心地笑了，心想这下不会被偷了吧！

可事情并不像土豪想象的那样，金库又被偷了，虽然只有一个保险箱被打开，但依然损失不小。

怎么才能守住金库呢？忠实的的管家再次建议，“您不能再相信上锁的地方就是安全的，锁之有解，因锁在眼中；锁之无解，因锁在心中”。土豪听了，一脸懵逼：“此话何解？”

“您将金库里的贵重物品清点后分区，做一个资产管理系统，列明哪些物品只有谁才可以取，在取时需要提供什么材料证明取货人的身份，将物品、所属人和身份验证一一对应起来。”土豪半信半疑，但还是找了最牛X的IT团队做了该系统。从此土豪的金库再也没失窃过！

这个故事中，土豪开始采用了信任的锁，只要有钥匙就能进入，最后采用“谁都不相信，每个家庭成员在进入金库之前必须经过身份验证的方法”守住了自己的财宝。零信任网络（亦称零信任架构）模型即是如此，可以有效防止网络攻击。

零信任网络模型在2010年由John Kindervag提出，零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。

零信任架构意味着每个用户、设备、服务或应用程序都是不可信任的，必须经历身份和访问管理过程才能获得最低级别的信任和关联访问特权。

下面SDNLAB君将从传统网络安全模式（基于区域的网络安全模型）、网络微分段谈起，介绍零信任网络这位大佬。

小编提醒：前方有基于区域的网络安全模型、网络微分段、零信任网络“神”词汇可能看不懂，请做好深呼吸。

传统的基于区域的安全模型

基于区域的安全模型就是将网络分解为不同的段或模块。这种分段将用户、设备、服务和应用程序定义到不同的信任域中。在给定区域内，用户、计算机和服务器可以自由地相互通话。然而由于防火墙的购买和成本很高，组织只会创建受防火墙保护的受信任区域，不会在每个服务器或端点上放置防火墙，虽然简单且经济高效，但因为此模型受信任区域比较大，同时易攻击的范围也大。

图1 基于区域的安全模型

图1是基于企业区域的常见安全模型的示例。下一代防火墙（NG-FW）用于控制网络流量的南北方向移动，并允许段内的任何通信。

从图1的左上角开始，一旦经过身份验证，用户和设备就可以进入受信任的网络。在此方案中，允许用户进入受信任的客户端网络段或区域内的任何位置。

在图1的左下部分，不受信任的用户必须使用虚拟专用网络（V**）并通过身份验证、授权和帐户认证(AAA，以下AAA皆代表此含义)进程以获取私有IP地址，然后允许他们进入网络。而且用户只可以进入演示和语音、视频区域，不能再进一步访问其他应用。

为了更好的理解基于区域的网络安全模型，可以将企业比作一个国家，在这个国家内有公共和私人场所，人们能不能进入这些场所，这取决于他们是谁（需要身份证明）以及他们要做什么。他们一旦经过验证，就可以在该场所内自由活动（即所谓的“信任域”）。在企业中访问应用程序、设备也同样如此。

传统的基于区域的安全模型存在许多缺陷，包括：1）没有东西向安全（东西向网络是指在同一网段内的设备或服务器之间可以无障碍进行通信）。例如，如果一个数据库服务器受到攻击，黑客可以对该区域内的其他数据库服务器发起攻击，而不会受到防火墙的干扰或检测。 2）非对称规则 - 允许所有服务器访问管理区域。如果管理区域受到威胁，那就相当于给攻击者在服务器中开了“后门”。由于这些限制，组织正在重新审视基于区域的网络安全架构并添加微分段技术，尤其是在其私有数据中心和公共云托管环境中。

网络微分段

黑客获得数据区中的某一服务器或网段的访问权限，如何阻断其攻击该区域内的另一个服务器？在数据中心，智慧的人们创建了网络微分段。

网络微分段在传统的基于区域的架构下，进一步细分区域内的网络，以增强安全性。微分段常用于数据中心网络中，以细分区域内的应用程序。例如，在应用程序区域内分离提供CRM和ERP应用程序的服务器。

然而随着网络虚拟化的兴起，虚拟化加深了分段的复杂程度，因为虚拟化服务器可能具有单个物理网络端口，但支持许多逻辑网络，其中服务和应用程序驻留在多个安全区域中。因此，微分段必须在物理网络层以及虚拟化网络层内工作。

微分段控制流量的南北以及东西方向的流动（弥补了基于区域网络的安全模型），进一步隔离广播域的大小。图2显示了不同安全区域（以不同颜色表示的点）如何共享硬件。

图2 不同的安全区域共享硬件

微分段也发生在用户层面，它利用不同的网络将不同的用户分成不同的区段。例如：一个企业可能有九个不同的分类或人物角色，从外部客户到承包商，再到不同级别访问的员工。这9个不同的分段具有不同程度的网络信任和性能要求，每个段适用不同的安全和路由规则。图3是一个基于信任和网络性能需求的3x3分段模型。

图3 用户层面微分段

微分段的挑战包括：1）非标准虚拟化网络——虽然有很多组织已经在物理网络层对以太网和IP进行了标准化，但逻辑网络层所处的虚拟化平台有所不同，种类也多。因此，如果组织有不同的虚拟化平台或者在多个私有云服务和公共云服务之间进行混合计算，则虚拟化网络的映射将成为编排的噩梦。 2）以IP地址为中心——管理用户和设备访问权限的规则与其IP地址以及用户想访问的服务和应用程序的TCP / UDP端口相关联。当用户在网络（LAN，WLAN，移动，V**，合作伙伴）之间漫游并在每个网络上获得新的IP地址时，提供一致的基于角色的访问控制（RBAC）具有挑战性。3）物联网——创建微段网络成本很高，因此主要集中在数据中心，以保护机密数据。由于用户通过许多设备使用应用程序，以及作为物联网中传感器和照相机的激增，今天的微分段无法经济有效地扩展。

在通往零信任网络的道路上，微分段所扮演的角色是在一个可信任区域内进一步限制信任区域大小。

零信任网络

据加利福尼亚州旧金山的计算机安全研究所称，60％到80％的网络滥用事件来自内部网络。因为传统的防火墙和入侵检测系统（IDS）主要是针对网络外部发起的攻击，而对来自内部的网络攻击是无效的。

在早期，互联网架构师专注于将事物联系在一起，而很少考虑安全性。随着安全成为大家关注焦点，防火墙的引入是为了在互联网内部以及公共和私人网络之间建立边界。然后在企业内部添加额外的防火墙以进一步分割网络。零信任网络正在继续这种演进，将分段一直进行到网络边缘上的每个用户、设备、服务和应用程序。

零信任网络的原则:“从不信任，总是验证”

它认为IP网络上的所有网络流量都是不可信的。所有网络资源的安全访问，无论在什么位置或设备上，都采取最小特权的网络访问策略，以严格执行访问控制。用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和帐户认证，这也是零信任原则的体现“Trust no-one. Verify everything”。零信任网络在网络边缘强制实施安全策略，并在源头遏制恶意流量。

零信任网络架构

在零信任网络中，整个网络架构也可以类比SDN，可分为控制平面和数据平面。控制平面主要负责协调和配置，支撑整个系统。其他的内容都可以看作是数据平面。

图4 零信任网络控制平面

在控制平面中，对受保护资源的访问请求首先要通过控制平面的同意，设备和用户都必须经过身份验证和授权。细粒度策略可以应用于这一层，策略可以是基于组织中的角色、时间或设备类型。访问更敏感的资源还可以强制进行更强大的身份验证。

一旦控制平面同意了请求，它将动态配置数据平面以接受来自该客户机的流量。此外，它还可以在请求者和资源之间对隧道进行加密。加密的方式包括临时凭据、密钥和临时端口号。

接本文开头，《林海雪原》中如果杨子荣想伪装成土匪胡彪攻下威虎山，在零信任的原则下，除了“黑话”外，或许他还要经过指纹验证、面部识别、熟人指认等种种认证，这个故事或许又有新的续笔。

零信任网络的挑战:虽受众人追捧，但道阻且长

按目前零信任网络的发展来看，零信任网络还有很多不足。比如BGP、身份和访问管理（IAM）服务等路由协议之间缺乏集成。路由如果足够智能，可以将具有子IP地址的源设备存储在一个子IP网络中，并通过IP地址和应用程序将数据包发送到目标子IP网络。此外，虽然现在IAM可以用于网络，但它并不用于确定数据包是如何路由的。图4说明了零信任网络正在将路由器的路由表与目录的AAA策略结合起来，以允许或拒绝一个包从源到目的地的转发。与目前的二进制规则相比，更精细的规则可以应用到路由中，后者可以提高网络性能和安全控制。

图5 启用零信任网络的路由和目录

为了使IP路由与目录一起工作并实施零信任网络策略，网络必须能够保持状态。尽管防火墙和其他安全设备保持状态，但迄今为止的IP网络是无状态的。原本路由器无状态是为了保持它们的简单和快速，但现在通过在路由器中添加状态，可以添加额外的服务，使路由更加动态、智能和安全。

多年来网络流量的增长迅速，让路由器不堪重负，所以创建能够快速处理数据包的路由器尤为重要。现在的网络需要基于边缘、分布和核心的体系结构，其中路由是在分发层进行的，交换在边缘和核心中完成。随着路由器从专用设备转向在网络边缘运行的软件，在路由中增加额外安全和智能的限制或可被解除。

如果将网络比作道路系统，路面的各种车辆是IP包，路边的房屋是设备或系统。今天，任何人都可以离开自己的房子，通过各种路线（网络）开车（IP包）到你家门口。他（或她）可能没有钥匙进入你的家，但他（或她）可以藏起来，等待进入的机会，就如同网络病毒一样等待机会侵入你的电脑系统。然而在一个零信任的世界里，任何人想去你家（访问设备或系统）必须事先和你预约（上报身份信息、设备、系统信息等），并得到同意后才能拜访。零信任网络是数字虚拟世界中必要的安全保障。

零信任网络的实践——谷歌的BeyondCorp

从2014年12月起，Google共在《;login:》杂志上发表了5篇BeyondCorp相关的论文，全面介绍BeyondCorp的架构和Google从2011年至今的实施情况。

图6 BeyondCorp架构

Google将BeyondCorp项目的目标设定为“让所有Google员工从不受信任的网络中不接入V**就能顺利工作”。尽管听起来像是要解决远程接入的安全问题，BeyondCorp实际上是抛弃了对本地内网的信任，进而提出了一个新的方案，取代基于网络边界构筑安全体系的传统做法。

在这个新方案中，Google做的第一件事就是了解公司的人员与设备情况。当网络不再提供访问公司重要信息所需的信任时，谷歌选择根据手中掌握的员工及其设备的信息来决定是否允许访问。如果缺乏员工及其设备的可靠实时数据，便无法做出明智的决策。

为实现这一点，谷歌在员工端重构了工作角色层次结构，重新划定了工作分类以便更准确地捕捉员工的日常实际工作，核定各职能角色所需的访问类型。

该过程需要答出一些很难回答但非常合理的问题，比如：

谁需要查看内部漏洞信息？
谁需要访问源代码？
谁需要跟踪客户关系？

谷歌的零信任安全架构还涉及复杂的库存管理，记录具体谁拥有网络里的哪台设备。设备库存服务从多个系统管理渠道搜集每个设备的各种实时信息，比如活动目录（Active Directory）或 Puppet。

对于用户的认证则基于一套代表敏感程度的信任层。无论员工使用什么设备或身处何处，都能得到相应的访问权限。低层次的访问不需要对设备做太严格的审核。

谷歌企业项目经理Max Saltonstall表示，对于访问授权是基于上下文：“你是谁，是否经过严格认证？你使用什么设备？对你的设备了解情况如何？”

在谷歌网络中不存在特权用户。谷歌使用安全密钥进行身份管理，比密码更难伪造。每个入网的设备都有谷歌颁发的证书。网络的加密则是通过TLS（传输层安全协议）来实现。

图7 BeyondCorp基础设施（USENIX）

与传统的边界安全模型不同，BeyondCorp不是以用户的物理登录地点或来源网络作为访问服务或工具的判定标准，其访问策略是建立在设备信息、状态和关联用户的基础上，更偏向用户行为和设备状态的分析。

总之，在这个新方案中Google平等对待位于外部公共网络和本地网络的设备，在默认情况下都不会授予任何特权。用户必须1）使用由公司提供且持续管理的设备，2）通过身份认证，且3）符合访问控制引擎中的策略要求，才能4）通过专门的访问代理5）访问特定的公司内部资源。相应的，为了保证用户获得流畅的资源访问体验，Google主要完成了：1）准确识别设备；2）准确识别用户；3）移除对网络的信任；4）通过面向互联网的访问代理提供内部应用和工作流；5）实现基于已知设备和用户的访问控制，并动态更新设备和用户信息。

结语

安全在防护意识诞生之日起便成为经久不衰的话题，从单一防护到零信任的发展，人类用科技进一步保护着每一个互联网单元的安全。安全方案也不再是应用层面或网络层面的单一解法，随着虚拟化技术的突破，零信任的理念也让我们看到公共和私人网络的边界将逐步消除，网络功能和上层应用也将机动组合，用户、设备、服务、应用和数据标识细粒度映射到网络会话，可以灵活的应用底层设备以应对更为丰富的防护策略。无论是物联网设备的急剧增长、还是黑客行为的增加，势必将推动企业考虑采用零信任等方式升级网络。