基于零信任架构的行业内数据安全防护

网络边界模糊化的今天，基于网络边界的传统网络安全架构已无法有效保障行业内部数据安全性。更多基于云架构的业务系统需要新的网络安全架构保护数据的安全利用。基于零信任网络安全架构近年来获得了越来越多的关注，本文探讨了基于零信任架构的行业内数据安全防护架构。

传统行业内部数据安全防护的问题多用对行业内部网络设置来实现与互联网的物理隔离作为保护数据安全的解决方案。通常这种解决方案会提出对边界安全、防火墙、入侵检测设备配置等的安全需求，并用信息安全等级保护的标准来规范系统及数据安全。

但这种传统的安全方式在逐渐变化的网络环境下越来越清晰地显示出其弊端和局限性。另外，云计算的发展，使得用户根本无法得知自己的数据到底存储在什么物理位置。显然，用户存储数据的位置是动态的，对于终端用户而言是透明的。

这种发展态势使得将终端用户、提供相应服务的服务器拘泥于特定地理位置成为不可能。即使构建再稳固的“安全堡垒”，由于无法保障服务器、终端客户处于“堡垒里面”。这使得传统网络安全架构越来越难以保障网络的安全性。谷歌BeyondCorp计划中，提出了“零信任”模型的安全架构。BeyondCorp认为，应该假定整个网络不可信，即：“零信任”。基于“零信任”模型的网络架构是一种有效维护行业内部数据中心安全的新型网络架构。

01

传统安全架构下的行业内数据安全防护

为维护行业内数据安全，一般会在内网、外网接口处建立安全边界，安装防火墙、入侵检测、防病毒等安全设备，需要的话要在边界部署网闸等设备。当然，根据具体业务需求，在行业内部，划分若干物理或逻辑隔离区域。

图1 传统安全模型下的网络架构

如图1所示，根据任务不同，将行业内网隔离为不同网段，完成相应任务。不同网段之间通信，遵循一定的安全策略，需要通过边界传输，并且根据需要设置通信方式是单工方式还是双工方式等。

基于这种方式构建的安全网络架构，假设已经完成确认内网使用用户身份，并假设所有内网使用用户不会发生任何异常使用行为。这种假设存在的先天缺陷，使得攻击者一旦冒充身份进入内网，就存在极大威胁能够将自身权限不断升级直至掌控内网的完全控制权限。

该安全架构存在本质上的缺陷，使得数据安全保障堪忧。零信任网络架构无疑是一种很好的解决思路，越来越多为国内外安全专家、企事业单位所接受。

02

零信任网络安全架构

如前所述，谷歌公司提出的“零信任”网络安全架构是指整合现有成熟技术，不断兼容新技术，根据行业用户业务需求及安全需求、用户所处地理位置等等，对用户进行分类分级管理，并根据相关标准规范，对每个组的用户策略进行设置。BondCorp基础设施组件如图2所示。

图2 BondCorp基础设施组件

进行数据交互及通信时，根据策略进行判断用户的合法性，并且根据用户行为进行动态审计，综合任务需求及安全级别，每次以“权限最小化”原则，在确认用户身份后对其分配权限，完成数据交互及通信。当然，在任务完成后将及时收回赋予其权限。基于该网络架构进行认证及通信的过程如下所述。

基于零信任网络安全架构内网数据安全防护过程监管

首先，汇总行业内部网络架构，对行业内部网络业务系统进行合理分类分级，根据实际需求，确定划分粒度。

当然，根据任务阶段不同，基于人工智能技术，实现对于系统划分的动态化和常态化。

其次，引入“第三方”或“权威”认证中心，设置相应策略，使得所有未授权用户无法访问内网。并且对每个用户根据其业务范畴动态赋予其需要的权限，并规范其安全需求。引入常态化审计机制，对于用户行为进行过程控制，能够及时发现异常行为并联动进行处置。

再次，内网中构建能够完成常态式动态性监管审计中心。审计中心应独立于认证中心，通过审计中心实现实时监控、管理内网设备（如路由器、交换机等网络组网设备；网络生产服务器、网络存储、终端用户等网络实体）。实现对上述网络节点状态的动态感知，实时监控，并能够及时发现异常情况，以实现“主动防御”，防患于未然，而并非亡羊补牢。

另外，在内网建立统一的管理中心，在审计中心发现网络设备故障点后，能够及时定位故障设备。

重要的是，实现行业内部各实体之间的联动工作。真正意义上实现用户访问数据时的动态授权，实时管控，对于机器设备及业务系统的及时修复。

最后，引入质量监控过程性控制流程。在PDCA每个重要节点对网络进行管控，拟将问题的暴露变得更加明显，问题的发现变得更为及时，问题处置变得更加适合，利用质量监控的方式，实现行业内部网络安全性的持续提升。

整个访问流程如图3所示。

图3 基于零信任的网络访问流程