什么是“零信任”网络

原创

franket

修改于 2020-04-21 10:01:34

9.9K0

修改于 2020-04-21 10:01:34

文章被收录于专栏：技术杂记技术杂记

一.零信任介绍

1.什么是零信任

2.为什么选择零信任网络

3.零信任网络与传统安全模型

4.零信任参考架构

5.零信任网络设计原则

6.零信任安全体系的实践原则

二.零信任产品厂商

1.奇安信

2.Google

3.Akamai

4.思科

5.其他厂商及其产品

三．参考文章

一、零信任介绍

1.什么是零信任

“零信任”是一个安全术语也是一个安全概念，它将网络防御的边界缩小到单个或更小的资源组，其中心思想是企业不应自动信任内部或外部的任何人/事/物、不应该根据物理或网络位置对系统授予完全可信的权限，应在授权前对任何试图接入企业系统的人/事/物进行验证、对数据资源的访问只有当资源需要的时候才授予。

简单来说，“零信任”的策略就是不相信任何人。除非网络明确知道接入者的身份，否则任谁都无法接入到网络。现有传统的访问验证模型只需知道IP地址或者主机信息等即可，但在“零信任”模型中需要更加明确的信息才可以，不知道用户身份或者不清楚授权途径的请求一律拒绝。用户的访问权限将不再受到地理位置的影响，但不同用户将因自身不同的权限级别拥有不同的访问资源，而过去从外网登陆内网所需的V**也将被一道废弃。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。这与无边界网络概念有点类似。在无边界网络概念中，最终用户并不是所有都位于办公室以及防火墙后，而是在远程工作，使用他们的iPad或者其他移动设备。网络需要了解他们角色的更多信息，并明确哪些用户被允许连接网络来工作。

零信任架构是对企业级网络发展趋势的回应，企业级网络开始包含远程用户和位于企业网络边界的基于云的资产。零信任架构关注于保护资源、而非网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。

2.为什么选择零信任网络

a.云技术的崛起打破了传统网络架构

如今企业的IT部门为什么急需一种新的安全思维，直接原因是大部分是网络边界已经不存在了，纯内部系统组成的企业数据中心不再存在，企业应用一部分在办公楼里，一部分在云端—-分布各地的雇员、合作伙伴和客户通过各种各样的设备访问云端应用。根本原因是云技术近几年的大力发展初显成效，云防火墙技术逐渐成熟、云计算的算力不断提升导致云服务器几乎成为了每家企业的必要设备。而随着云技术的不断深入可能导致各种人员通过不同方式接入企业网络，对原有的企业内网架构造成冲击，到时候内网可能回和外网一样透明，毫无隐私而言，这一点与当初架构的设计理念可以说是大相径庭，因此我们必须寻求一种能适应云服务的全新架构，而“零信任架构“也能满足这个需求。综上所述，由于种种宏观变化，都推动了“零信任网络“的发展与流行，面对工作更加移动化和云端化，曾经给过我们无数安全感的”防火墙“不得不逐步退后，割舍自己曾经”主导的阵地“，一直后退到需要保护的资产身边。这也恰恰是“零信任网络”所追求的场景。

b.网络安全形势日趋严峻，急需一种有效的解决方案

直至今年，网络犯罪导致的经济损失越来越多，数据泄露事件的规模不断提升，企业越来越意识到如果仅仅依靠现有安全方法并不足以应对愈趋严峻的安全态势，他们需要更好的东西，而零信任模型恰好就能得到最好的结果。

零信任模型”基本上打破了旧式边界防护思维，旧式思维专注防御边界，假定已经在边界内的任何事物都不会造成威胁，因而边界内部事务基本畅通无阻，全部拥有访问权限。但越来越多的安全专家和技术专家并不认同边界防御的效果。尤其是最近几起严重的数据泄露事件都是因为黑客突破了外部防御后，便潜伏于企业内网，利用内部系统漏洞和管理缺陷逐步获得更高级权限，而黑客在公司内网下的横向移动过程中几乎没遇到什么阻碍。这也证明曾经大多数人主张的“内部网络是安全的”这一论点从根本上就是错误的。

3.零信任网络与传统安全模型

传统的安全模型是以边界模型为基础而逐步完善的，传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护。它的核心思想是分区、分层（加强纵深防御）。边界模型专注防御边界，将攻击者尽可能挡在外面，假定已经在边界内的任何事物都不会造成威胁，因此边界内部基本畅通无阻。而反观“零信任架构”，“零信任网络“强调的是永不信任和始终验证，不信任任何人、事、物。

JohnKindervag在提出“零信任”概念时提出过三个原则：①不应该区分网络位置，②所有的访问控制都应该是最小权限且严格限制，③所有的访问都应当被记录和跟踪。如果说传统网络安全模型是用“城墙”将人民保护在一起，那么“零信任网络”则是“城门大开”，但是每个民众都配备一个士兵保护。相比于用广阔的“城墙”来防护，这种“点到点”的防护策略显得更加灵活与安全。

那么我们是否可以彻底舍弃城墙，完全转为这种灵活的安全策略呢？答案显然是否定的，传统防火墙至今仍可以抵御80%以上的攻击，如果完全舍弃防火墙一类的传统安全产品全部使用“零信任“的策略，由于”零信任“需要足够强的带宽来支撑大量的访问控制请求，那么势必会消耗大量的网络资源，造成卡顿，请求超时等等后果还有可能影响业务功能的正常使用。所以在传统边界防护的基础上搭建”零信任架构“才是最好的选择。

4.零信任参考架构

零信任架构的关键能力包括：以身份为基石、业务安全访问、持续信任评估和动态访问控制。

零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系，通过以身份为基石、业务安全访问、持续信任评估和动态访问控制的关键能力，基于对网络所有参与实体的数字身份，对默认不可信的所有访问请求进行加密、认证和强制授权，汇聚关联各种数据源进行持续信任评估，并根据信任的程度动态对权限进行调整，最终在访问主体和访问客体之间建立一种动态的信任关系，如下图所示。

零信任架构下，访问客体是核心保护的资源，针对被保护资源构建保护面，资源包括但不限于企业的业务应用、服务接口、操作功能和资产数据。访问主体包括人员、设备、应用和系统等身份化之后的数字实体，在一定的访问上下文中，这些实体还可以进行组合绑定，进一步对主体进行明确和限定。

零信任架构核心逻辑架构组件，如下图所示：

对4这种关键模型和核心逻辑架构组件的详细解释可参考Gartner与奇安信联合发布的《零信任架构及解决方案》白皮书（译文）。

链接：https://www.secrss.com/articles/18624

5.零信任网络设计原则

“零信任架构”提供了旨在消除在信息系统和服务中实施准确访问决策时的不确定性的一系列概念、思想和组件关系（体系结构）。为了减少不确定性，“零信任”在网络认证机制中减少时间延迟的同时更加关注认证、授权、以及可信域。访问规则被限制为最小权限。

在Evan Gilman《零信任网络》一书中，根据“零信任网络”的创建理念在合理的推测下被描述为建立在以下五个基本断言上：

① 应该始终假设网络充满威胁。

② 外部和内部威胁每时每刻都充斥着网络。

③ 不能仅仅依靠网络位置来建立信任关系。

④ 所有设备、用户和网络流量都应该被认证和授权。

⑤ 访问控制策略应该是动态的基于尽量多的数据源进行计算和评估。五个断言简单易懂但又直击要害，由此可以看出，“零信任”的理念已经从边界模型“信任但验证”转换到“从不信任，始终验证”的模式。

所以我们在此基础上进一步推理可以总结出在“零信任架构”的设计下要遵循的六点基本原则：

① 所有的数据源和计算服务都被认为是资源。

② 所有的通信都是安全的，而且安全与网络位置无关。

③ 对单个企业资源的访问的授权是对每次连接的授权。

④ 对资源的访问是通过策略决定的，包括用户身份的状态和要求的系统，可能还包括其他行为属性。

⑤ 企业要确保所有所属的和相关的系统都在尽可能最安全的状态，并对系统进行监控来确保系统仍然在最安全的状态。

⑥ 用户认证是动态的，并且在允许访问前严格执行。

6.零信任安全体系的实践原则

(1) 明确保护的目标

很难想象，在连保护目标都不知道的情况下如何保证安全性。当你不知道保护目标的时候或者保护目标虽然知道但是不可描述的时候，你只能竭力去识别可能的“坏人”，你只能进行面面俱到的通用防护，或者对于臆想中的攻击进行场景式防御。数据安全不同于网络安全，它定义了一个明确的保护目标：数据。每一份数据都有其固有的特征和行为，我们可以围绕着这些固有的特征和行为来构建保护和防御体系。

(2) 保护要由内而外，而不是由外而内

当我们明确定义了数据是保护目标时，由内而外的保护就成为我们自然的选择。越靠近数据的地方，保护措施就越健壮，这是一个常识性认知。由内而外的层层保护都本着相同的目的——更加有效地保护数据安全。

(3) 以身份为基础而不是以账户为基础

定义数据本身访问的时候，并非以账户为基础。账户仅仅是一个信息化符号，是访问数据库、业务、操作系统等的一个凭证，但并非是访问数据的凭证。我们总是尽可能以接近于人的真实身份来定义数据的访问，定义某个人或者某个身份可以访问特定的数据。或者定义特定的数据可以被特定的代表身份的规则所访问。

(4) 知白守黑，从正常行为和特征来推断安全

当我们明确了保护目标的数据时，发现访问数据的正常行为是可以被定义和穷尽的。因此，所有在穷尽的访问定义列表之外的访问都是不合规、不安全的。而且，通过对于历史访问行为的学习，可以刻画出正常访问的特征，不符合正常访问特征的访问行为都是不合规的、不安全的。

(5) 消除特权账户

消除特权账户是零信任安全体系建设的前提条件。引进多方联动监督制约机制，是零信任安全的基础实践。

二、零信任产品厂商

1. 奇安信

产品：奇安信TrustAccess动态可信访问控制平台、奇安信TrustID智能可信身份平台、奇安信ID智能手机令牌及各种终端Agent组成。

1) 奇安信TrustAccess动态可信访问控制平台

奇安信TrustAccess提供零信任架构中动态可信访问控制的核心能力，可以为企业快速构建零信任安全架构，实现企业数据的零信任架构迁移。TrustAccess的核心组件包括：可信应用代理TAP、可信API代理TIP、可信访问控制台TAC、智能身份分析系统IDA、可信终端环境感知系统TESS和可信网络感知系统TNSS。

2) 奇安信TrustID智能可信身份平台

奇安信TrustID智能可信身份平台是零信任参考架构身份安全基础设施的产品实现，是一种现代身份与权限管理系统。

TrustID可为企业提供更高级、更灵活的现代身份与权限管理能力，当TrustAccess自带的基础身份和权限管理能力，或企业现有的身份基础设施无法满足企业的管理需求时，可借助TrustID对身份与权限管理方面的能力进行提升，达到零信任架构对身份安全基础设施的能力要求。除了为TrustAccess服务，TrustID也可为企业的业务系统和其他需要身份、认证、授权的场景提供身份及权限基础服务。

3) 奇安信零信任安全解决方案与参考架构的关系

奇安信零信任安全解决方案在零信任参考架构的基础上对产品组件进行了拆分和扩展，但在总体架构上保持了高度一致，将其产品组件映射到零信任参考架构。

另外，奇安信零信任安全解决方案和奇安信丰富的安全产品和平台之间可以实现联动，比如，和奇安信的移动安全解决方案联动，可以实现强大的移动零信任解决方案；和奇安信的数据安全解决方案联动，可以实现数据访问场景的零信任解决方案；和奇安信云安全管理平台联动，可以实现云及虚拟化场景的零信任解决方案。

2. Google

产品：BeyondCorp

首先，我们来看一下BeyondCorp建立的目标：让每位谷歌员工都可以在不借助V**的情况下通过不受信任的网络顺利开展工作。这意味着需要摈弃对企业特权网络(企业内网)的依赖并开创一种全新的安全访问模式。在这种全新的无特权内网访问模式下, 访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。因此，BeyondCorp在实施过程中始终遵循：

1) 发起连接时所在的网络不能决定你可以访问的服务；

2) 服务访问权限的授予以我们对你和你的设备的了解为基础；

3) 对服务的访问必须全部通过身份验证, 获得授权并经过加密。

结合组网图( BeyondCorp组件图和访问数据流)总结一下BeyondCorp组网的几个特点：

1）企业应用程序和服务不再对公网可见

整个BeyondCorp对外暴露的组件只有访问代理(AP, Access Proxy), 单点登录(SSO)系统和在谷歌大楼中的RADIUS组件, 以及间接暴露的访问控制引擎组件。其中访问代理和访问控制引擎组件共同组成前端访问代理(GFE), 集中对访问请求进行认证和授权。BeyondCorp系统通过DNS CNAME方式, 将访问代理组件暴露在公网中, 所有对企业应用或服务的的域名访问, 都指向了访问代理, 由访问代理集中进行认证, 授权和对访问请求的转发。

2）企业内网的边界消失

发起连接的设备或终端所在网络位置和IP地址不再是认证授权的必要因素。无论设备或终端在哪里, 是在谷歌大楼内, 还是在家里, 或者在机场, 所有对企业应用或服务的访问请求, 都必须经过一个逻辑集中访问代理组件的认证和授权。

3）基于身份, 设备, 环境认证的精准访问

只有公司的设备清单数据库组件中的受控设备(公司购买并管控), 并且用户必须在用户/群组数据库组件中存在, 才能通过认证; 然后经过信任推断组件的计算后, 才会获得相应的授权。

4）仅对特定应用，而非底层网络授予访问权限

BeyondCorp的使命就是替代V**, 最终用户设备获得授权仅仅是对特定应用的访问。

5）提供网络通信的端到端加密

用户设备到访问代理之间经过TLS加密, 访问代理和后端企业应用之间使用谷歌内部开发的认证和加密框架 LOAS(Low Overhead Authentication System)双向认证和加密。

有关BeyondCorp的效果：

1）BeyondCorp 如今已融入大部分谷歌员工的日常工作，针对谷歌的核心基础架构提供基于用户和设备的身份验证与授权服务

2）IAP(Cloud Identity-Aware Proxy) 已经商用: 在谷歌内部，已经能够将在BeyondCorp 工作中所学到的东西应用到其他项目和服务中。其中最显著的就是最近为谷歌云平台(Google Cloud Platform,即 GCP) 增加的新服务(比如：基于身份识别的访问代理 IAP)

有关BeyondCorp的缺点：

历时时长: 从2011到2017, 历时6年才完成大部分的企业应用的系统改造。

仅仅对Web系统有较好的支持: 对企业采购第三方软件, 远程桌面, UDP协议之类的软件支持, 需要做较大的改造或者体验上的牺牲。

不支持BYOD: 仅仅是受控设备即企业采购并可管理的设备, 才能纳入到BeyondCorp的安全管理体系。

最后，值得注意的是，BeyondCorp是一个零信任安全模型, 并不是一个产品。所以, 它只是在谷歌公司内部实践, 谷歌没有将整个BeyondCorp的安全能力抽象成一个产品, 仅仅抽象一部分能力做成了商业化的产品(IAP)在GCP上发布。

3. Akamai

产品：Enterprise Application Access

特点：主要针对企业终端用户，在边缘上交付自适应访问与威胁防护。给企业带来最直接的作用就是免去昂贵的设备投入，降低管理成本。Akamai的零信任产品经过独家设计，可以在实现最低权限访问、应用程序漏洞保护以及高级威胁防护的同时，提供更优化且安全的用户体验。此外，Akamai提供详细且具体的企业零信任实施教程，是基于实践的经验沉淀。

4. 思科

产品:DUO Security、Tetration、SD-Access

DUO Security

帮助建立了对人员及其设备的信任，可以从任何地方访问应用，防止用户及其设备遭到凭证窃取、网络钓鱼和其他基于身份的攻击。它会验证用户身份并建立设备可信度，在确保安全无虞后才授予应用访问权限。

Tetration

可保护通过工作负载，从而保护应用程序，跨越数据中心和多云之间的所有连接。通过确定工作负载并实施策略，深入洞察正在运行的工作负载和关键工作负载。通过应用微分段来遏制攻击并尽量减少横向移动。通过持续监控感染指标并做出响应，在发生违反策略的情况时发出警报或阻止通信。

SD-Access

可划分工作场所，确保整个网络的用户和设备安全连接。通过网络身份验证和授权，向用户和设备授予正确级别的网络访问权限。通过网络分段功能，对网络中的用户、设备和应用进行分类并划分不同网段。通过持续监控威胁并做出响应，遏制受感染的终端并撤销网络访问权限。

随着时间的推移，信任级别会动态调整以应对新的风险级别，可通过以下三步来长期确保信任：1）建立信任2）实施基于信任的控制3）持续验证信任。结合思科的网络和设备工具，针对分析和云负载的新产品以及Duo对用户和端点的关注，支持多组件、部署和易用性成为了整个产品组合的特点。

5. 其他厂商及其产品

1）Zscaler

产品：ZPA