基于零信任的系統(tǒng)架構(gòu)應(yīng)用

張夢杰

摘要：當(dāng)前，網(wǎng)絡(luò)攻擊、文件破壞、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件頻頻發(fā)生，內(nèi)網(wǎng)訪問和VPN訪問的安全模式已經(jīng)難以適應(yīng)當(dāng)前網(wǎng)絡(luò)安全要求。為解決影響企業(yè)發(fā)展的網(wǎng)絡(luò)安全問題，零信任的系統(tǒng)框架以用戶為中心、以動態(tài)認(rèn)證和最小授權(quán)為機制，通過終端、鏈路、節(jié)點全方位的安全監(jiān)測為企業(yè)提供全過程的安全保障。在零信任機制上搭建的統(tǒng)一身份認(rèn)證平臺不僅解決了系統(tǒng)整合問題，也實現(xiàn)了統(tǒng)一管理、統(tǒng)一授權(quán)。

中圖分類號：TP311? ? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2022）06-0036-04

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 概述

當(dāng)前社會信息技術(shù)飛速發(fā)展，信息化越來越成為企業(yè)綜合競爭的核心要素，網(wǎng)絡(luò)安全是信息化的保障，與信息化發(fā)展相輔相成。飛快的網(wǎng)絡(luò)速度、龐大的用戶群體、靈活的訪問模式使得傳統(tǒng)網(wǎng)絡(luò)防護逐漸失效，零信任安全架構(gòu)以其動態(tài)的訪問控制、持續(xù)的身份驗證、最小的訪問權(quán)限最大限度地減少被攻擊的概率，保障數(shù)據(jù)的安全。文章通過介紹零信任的理念、架構(gòu)和其核心機制，并列舉零信任架構(gòu)的實際應(yīng)用，希望在這個萬物互聯(lián)的時代，給予網(wǎng)絡(luò)安全工作一個解決思路。

云安全聯(lián)盟定義了SDP模型[1]成為全球廣泛應(yīng)用的零信任技術(shù)解決方案，該方案對用戶身份和設(shè)備進行識別校驗，從而實施行為管控;谷歌公司提出了beyondcorp網(wǎng)絡(luò)安全零信任架構(gòu)[2]，明確的用戶、設(shè)備、應(yīng)用的零信任體系，通過不信任的持續(xù)性的認(rèn)證機制來建立一條信任鏈;學(xué)者張澤洲介紹了新形勢下的零信任安全模型[3];學(xué)者李先齡介紹了網(wǎng)絡(luò)如何支持零信任[4];學(xué)者胡志軍講述了央行對于零信任的應(yīng)用[5]。

2 零信任簡介

零信任既不是產(chǎn)品也不是新技術(shù)，而是網(wǎng)絡(luò)安全的一種理念。是假定當(dāng)前網(wǎng)絡(luò)環(huán)境已經(jīng)淪陷的情況下，在進行系統(tǒng)請求和訪問的過程中，降低其決策準(zhǔn)確度的不確定性。零信任的框架是在零信任理念的基礎(chǔ)上，企業(yè)單位根據(jù)其組件之間的關(guān)系、工作流程規(guī)劃和訪問策略等建立而成。零信任架構(gòu)是以用戶身份為中心、進行動態(tài)訪問與控制的新型網(wǎng)絡(luò)架構(gòu)，使網(wǎng)絡(luò)安全架構(gòu)從之前的網(wǎng)絡(luò)中心化向用戶身份中心化轉(zhuǎn)變，其核心是基于認(rèn)證和授權(quán)訪問的基礎(chǔ)，實現(xiàn)以用戶身份為中心的訪問機制。

3 當(dāng)前網(wǎng)絡(luò)安全架構(gòu)的缺陷

目前，網(wǎng)絡(luò)安全架構(gòu)基本是采用傳統(tǒng)的網(wǎng)絡(luò)隔離的方式，通過防火墻、VPN、IPS、行為審計防護設(shè)備建立網(wǎng)絡(luò)安全防御架構(gòu)，劃分企業(yè)的內(nèi)網(wǎng)和外網(wǎng)，形成以網(wǎng)絡(luò)邊界為中心的安全體系。對于外界訪問用戶（通過互聯(lián)網(wǎng)訪問）防火墻等防御設(shè)備具有較深度的防御能力，增加了被攻擊的難度，但是對于內(nèi)部訪問用戶基本無監(jiān)管，一旦內(nèi)部用戶發(fā)生數(shù)據(jù)盜竊問題則無法避免，所以內(nèi)網(wǎng)環(huán)境中可能會存在內(nèi)部攻擊，此攻擊完美避開了邊界防護。

在互聯(lián)網(wǎng)高速發(fā)展的今天，網(wǎng)絡(luò)環(huán)境復(fù)雜多變，隨著大數(shù)據(jù)、云計算、移動互聯(lián)等新興技術(shù)不斷發(fā)展，網(wǎng)絡(luò)安全逐步成為焦點問題，數(shù)據(jù)泄露、賬號密碼安全、設(shè)備風(fēng)險等諸多外部因素威脅網(wǎng)絡(luò)安全，以網(wǎng)絡(luò)邊界為中心的安全架構(gòu)亟待重組。

4 零信任網(wǎng)絡(luò)安全架構(gòu)

零信任網(wǎng)絡(luò)安全架構(gòu)的思想是假定所有網(wǎng)絡(luò)均不可信，任何訪問行為需要進行信任評估以后才能被允許訪問，安全評估系統(tǒng)會不斷地分析和評估訪問行為的信任度，“可信”的訪問會被允許，“不可信”的訪問會被禁止。對于“可信”的訪問權(quán)限均按資源最小化去設(shè)定，以減少受攻擊的概率。

綜上所述，零信任網(wǎng)絡(luò)安全架構(gòu)的核心關(guān)系就是訪問主體、運行環(huán)境、業(yè)務(wù)應(yīng)用之間的“信任”紐帶的建立，該紐帶是通過建立持續(xù)健全的可信機制來確保訪問者對業(yè)務(wù)系統(tǒng)的安全性訪問。

在零信任機制中，企業(yè)或者單位的內(nèi)外網(wǎng)絡(luò)并不是可信的，它的任何訪問行為都需要通過策略管理實行信任評估，評估通過的行為由網(wǎng)關(guān)給予通行，評估不通過的則會被禁止訪問。詳細零信任架構(gòu)如圖1所示。

對于用戶的訪問行為，決策的依據(jù)主要有用戶的身份、終端運行的環(huán)境、應(yīng)用系統(tǒng)對網(wǎng)絡(luò)威脅信息的收集，從而形成網(wǎng)絡(luò)安全態(tài)勢，為決策提供依據(jù)。

（1） 威脅情報源：收集內(nèi)部和外部網(wǎng)絡(luò)中的威脅。

（2） 網(wǎng)絡(luò)日志：網(wǎng)絡(luò)訪問、資源訪問等操作記錄。

（3） CDM：收集狀態(tài)數(shù)據(jù)，主要有操作系統(tǒng)、應(yīng)用程序等。

（4） SIEM：收集各類網(wǎng)絡(luò)安全事件，以供做出正確決策。

（5） 策略引擎：對于請求的主體給予相應(yīng)的資源訪問權(quán)限，是實現(xiàn)持續(xù)信任評估的核心組件為策略管理器提供信任的評估結(jié)果，供其判斷。

（6） 策略管理器：策略管理器決定訪問主體和客體之間是建立或關(guān)閉連接，它與策略引擎緊密關(guān)聯(lián)，相互作用，根據(jù)策略引擎做出對應(yīng)的決策，具體決策行為由策略執(zhí)行點執(zhí)行。

（7） ID管理：存儲和管理訪問主體的身份信息。

（8） PKI：生成和記錄數(shù)字證書，并發(fā)送給訪問主體和客體。

（9） 策略執(zhí)行點：是確保安全訪問的第一道關(guān)口，對訪問行為進行動態(tài)訪問控制。

首先訪問主體提出訪問請求，策略執(zhí)行點把情況向安全決策機制反饋需求，策略引擎會收集訪問主體、訪問客體、第三方安全報告動態(tài)分析信任度，并把決策返回給策略執(zhí)行點，決策執(zhí)行點根據(jù)決策，允許或禁止訪問行為。

零信任網(wǎng)絡(luò)機制的主要環(huán)節(jié)可以分為以下幾種。

（1） 搭接信任鏈路

零信任的理論和機制決定其是根據(jù)數(shù)字身份信息來對訪問主體身份實現(xiàn)可信任的識別，根據(jù)設(shè)備終端安全技術(shù)實現(xiàn)對訪問設(shè)備的可信任識別，根據(jù)應(yīng)用系統(tǒng)的黑白名單信息實現(xiàn)應(yīng)用的可信任識別。提供3個方位的可信任識別，從而實現(xiàn)可信任的用戶使用可信任的設(shè)備通過可信任的應(yīng)用對訪問客體進行信任鏈路的搭接和訪問。

（2） 零信任評估原則

在整個訪問環(huán)節(jié)，策略機制對訪問主體進行動態(tài)監(jiān)控，進行持續(xù)性的信任評估，根據(jù)訪問需要不斷調(diào)整訪問權(quán)限，從而形成完整、安全的訪問評估，具體信任評估原則有以下幾點：

①不可信原則

任何用戶、任何網(wǎng)絡(luò)、任何設(shè)備在整個訪問過程中都是不可信的，即使之前授權(quán)過或者認(rèn)證過。

②動態(tài)評估

訪問主體對客體中資源的訪問都需要進行動態(tài)評估，主要是對安全事件、安全數(shù)據(jù)和安全環(huán)境進行評估，滿足信任標(biāo)準(zhǔn)才會被允許訪問。

③最小權(quán)限原則

對于通過信任評估的訪問行為，按照最小授權(quán)原則授予該行為最小滿足權(quán)限，實現(xiàn)該訪問行為對資源的最小權(quán)限訪問。

5 零信任的適用場景

（1） 開放場景

API開放場景在服務(wù)類企業(yè)中比較常見，零信任安全對各類API服務(wù)提供管理和發(fā)布，對第三方申請訪問的服務(wù)進行動態(tài)調(diào)控，還可以控制流量，保障API安全防護能力。

（2） 遠程服務(wù)場景

隨著大數(shù)據(jù)、云計算等新興技術(shù)的興起，遠程會議、遠程協(xié)助、遠程辦公等遠程服務(wù)得到迅猛發(fā)展，遠程服務(wù)的安全性成為限制發(fā)展的主要因素，利用零信任機制，以身份為核心、評估為基礎(chǔ)進行動態(tài)控制。

（3） 跨平臺協(xié)作場景

跨平臺協(xié)作是現(xiàn)在企業(yè)都需要面臨的問題，隨著信息化的提高，各類網(wǎng)站、系統(tǒng)層出不窮，面對各自獨立的系統(tǒng)，怎樣相互融合、相互協(xié)作成了問題。零信任機制在安全層面給予了支撐，例如單點登錄的應(yīng)用，使得多系統(tǒng)可以用統(tǒng)一的賬號密碼登錄，并且在內(nèi)部交互時無須重新登錄系統(tǒng)。

6 零信任架構(gòu)的應(yīng)用

隨著公司業(yè)務(wù)不斷發(fā)展，累積的各類業(yè)務(wù)管理系統(tǒng)已過半百。系統(tǒng)建立之初的目標(biāo)是幫助企業(yè)提升業(yè)務(wù)水平、管理水平，因信息化水平逐步提升，各類大大小小的業(yè)務(wù)都已經(jīng)推行信息化。隨之帶來的問題也越發(fā)凸顯，例如賬號密碼難以記住，經(jīng)常需要管理員修改、登錄網(wǎng)址繁多，瀏覽器收藏夾幾乎都是各類系統(tǒng)地址等。現(xiàn)對信息化系統(tǒng)架構(gòu)進行全面升級改造，主要包括網(wǎng)絡(luò)鏈路、統(tǒng)一身份認(rèn)證登錄、數(shù)據(jù)加密，立足于解決當(dāng)前系統(tǒng)煩瑣的問題，并確保系統(tǒng)之間的安全。

6.1 網(wǎng)絡(luò)鏈路

從網(wǎng)絡(luò)安全性考慮，對企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)的連接做出改變。把企業(yè)網(wǎng)絡(luò)分為兩個獨立的網(wǎng)絡(luò)，第一是有線網(wǎng)絡(luò)，主要是用于電腦、打印機、機房各類設(shè)備的網(wǎng)絡(luò)連接;第二是無線網(wǎng)絡(luò)，主要用于員工手機上網(wǎng)和訪客臨時上網(wǎng)。無線網(wǎng)通過防火墻直接和互聯(lián)網(wǎng)連接，有線網(wǎng)則是經(jīng)過交換機、上網(wǎng)管理器、入侵檢測設(shè)備、防火墻等設(shè)備，通過專線連接訪問外網(wǎng)，其中有線網(wǎng)和無線網(wǎng)通過網(wǎng)閘設(shè)備做了物理隔斷，確保有線網(wǎng)絡(luò)的安全，部分網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

6.2 統(tǒng)一身份認(rèn)證平臺搭建

在內(nèi)部各系統(tǒng)之間，建立統(tǒng)一身份認(rèn)證平臺，用于各系統(tǒng)的用戶身份統(tǒng)一管理，有利于驗證訪問者的身份，同時可以把各系統(tǒng)連接起來，通過驗證用戶身份后，根據(jù)用戶的權(quán)限級別，個性化展示與權(quán)限匹配的辦公系統(tǒng)。

（1） 訪問機制

統(tǒng)一認(rèn)證平臺的訪問機制對于內(nèi)部網(wǎng)絡(luò)環(huán)境基于密碼、短信、手機客戶端實現(xiàn)動態(tài)登錄。對于密碼方式登錄，只適用于單位內(nèi)網(wǎng)且登錄設(shè)備是常用設(shè)備，在系統(tǒng)后臺會設(shè)置員工常用設(shè)備庫，用于記錄常用設(shè)備，以便進行設(shè)備管理;短信和手機客戶端登錄方式適用于非常用設(shè)備，選擇短信方式登錄系統(tǒng)會根據(jù)登錄申請通過運營商短信功能發(fā)送隨機驗證碼至綁定手機號，選擇手機客戶端掃碼登錄，手機客戶端會彈出登錄確認(rèn)提醒，手機端確認(rèn)后電腦端才會登錄。為便于員工在互聯(lián)網(wǎng)環(huán)境訪問系統(tǒng)，需為每位員工定制UK設(shè)備，內(nèi)置個人數(shù)字驗證ID，在登錄過程中首先驗證UK，確定員工身份，再通過網(wǎng)絡(luò)環(huán)境動態(tài)驗證登錄信息，以保證系統(tǒng)數(shù)據(jù)安全。此類網(wǎng)絡(luò)安全的保障離不開大數(shù)據(jù)分析、認(rèn)證技術(shù)與算法及攻擊監(jiān)測，這些新技術(shù)的應(yīng)用，滿足了統(tǒng)一身份平臺多環(huán)境認(rèn)證，提升了整體安全水平。

（2） 權(quán)限配置

企業(yè)內(nèi)部都有自己的分工協(xié)作體系，不同的工作崗位負(fù)責(zé)不同的工作內(nèi)容，對于崗位職責(zé)之外的事情，員工通常不具備知情權(quán)及參與權(quán)。若是人員權(quán)限無限制或無匹配，員工可以看到系統(tǒng)內(nèi)所有的信息，參與所有的事情，會對企業(yè)的分工協(xié)作體系造成巨大的災(zāi)難，導(dǎo)致企業(yè)內(nèi)部管理的混亂，也為非法謀取利益提供了渠道，只有崗位、權(quán)限分配得當(dāng)，才能保障企業(yè)運行流程，維護企業(yè)信息安全。統(tǒng)一身份認(rèn)證平臺對于權(quán)限的配置分為三個層級結(jié)構(gòu)。第一層是用戶訪問管理層，主要用來驗證用戶身份，保障用戶登錄統(tǒng)一平臺;第二層是用戶信息權(quán)限匹配層，根據(jù)系統(tǒng)中用戶信息和組織架構(gòu)信息判斷用戶權(quán)限范圍;第三層是應(yīng)用系統(tǒng)層，根據(jù)人員權(quán)限的匹配結(jié)果顯示對應(yīng)的應(yīng)用系統(tǒng)。如圖3所示。

通過單點登錄方式，用戶可以直達權(quán)限范圍內(nèi)的各系統(tǒng)，不用再記錄各系統(tǒng)網(wǎng)址，方便員工操作，提升工作效率。

6.3 數(shù)據(jù)加密

數(shù)據(jù)是信息系統(tǒng)價值的源泉，數(shù)據(jù)的安全性影響整個系統(tǒng)的運行，為保障信息系統(tǒng)數(shù)據(jù)安全，在設(shè)備端、數(shù)據(jù)鏈路端和數(shù)據(jù)交換節(jié)點都設(shè)置了加密算法。

（1） 設(shè)備端加密

所謂設(shè)備端加密是指在應(yīng)用端和服務(wù)器端數(shù)據(jù)傳輸過程中不存在中間節(jié)點解密行為，而是在設(shè)備端進行解密操作。端到端的加密方式為通信提供了最高標(biāo)準(zhǔn)，黑客無法訪問服務(wù)器上的數(shù)據(jù)，因為他們沒有私鑰去解密數(shù)據(jù)，也很難操控用戶終端設(shè)備，增加了數(shù)據(jù)破解的難度。這種加密方式被稱為不對稱加密，采用公鑰和私鑰兩種形式，公鑰被用于加密消息，并相互通信，私鑰用于解密被公鑰加密的數(shù)據(jù)，而私鑰只有所有者才有，其他人無法解密數(shù)據(jù)，即使解密也不會得到正確的數(shù)據(jù)。

（2） 鏈路加密

鏈路加密是在物理層進行加密，加密的信息包括數(shù)據(jù)信息、路由信息、各類協(xié)議信息等，發(fā)送者和接收者之間所經(jīng)過的路由設(shè)備都需要對鏈路解密后才能進行下一步操作。由于數(shù)據(jù)都是經(jīng)過加密的，即使黑客截取了數(shù)據(jù)內(nèi)容，也無法解析出數(shù)據(jù)的結(jié)構(gòu)，也就無法知道數(shù)據(jù)的交換雙方信息、信息長度、通信時間等。鏈路加密也不太復(fù)雜，只需要鏈路的兩端有共同的密鑰，它們可以獨立地更換密鑰，而不用考慮網(wǎng)絡(luò)中的其他部分，當(dāng)信息發(fā)送時候，鏈路進行加密，黑客無法知道通信的開始時間和結(jié)束時間，得到的僅僅是無窮盡的隨機位流。由于路由信息鏈路上一切數(shù)據(jù)都是密文形式存在，需要進行大量的解密、加密操作，對于資源和時間的消耗比較多，另外由于異步信息傳遞情況存在，信息的重復(fù)傳遞、漏傳甚至丟失的情況出現(xiàn)，這就需要對鏈路設(shè)備做好管理工作。

（3） 節(jié)點加密

節(jié)點加密和鏈路加密類似，都是在中間過程對信息進行先解密再加密的操作，不同點在于它不允許消息在網(wǎng)絡(luò)節(jié)點以明文的形式存在，它先把消息進行解密操作，再在安全模塊中用不同的密鑰進行加密。節(jié)點加密允許報頭和路由信息以明文方式傳輸，方便其他節(jié)點知道如何處理信息，此方式在防止黑客攻擊的情況具有一定的安全隱患。

7 總結(jié)

基于零信任思維的系統(tǒng)架構(gòu)是對人員、設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)等要素進行的精細化訪問控制，并且可以根據(jù)需求進行動態(tài)調(diào)整。通過對網(wǎng)絡(luò)架構(gòu)、系統(tǒng)集成權(quán)限、驗證機制、數(shù)據(jù)加密的升級改造，強化對網(wǎng)絡(luò)安全的保障，通過統(tǒng)一身份認(rèn)證登錄動態(tài)驗證人員身份、網(wǎng)絡(luò)環(huán)境并匹配對應(yīng)的權(quán)限。對于“信任”的訪問行為，可以在同一平臺連接進入權(quán)限范圍內(nèi)的系統(tǒng)，實現(xiàn)跨系統(tǒng)操作，提升信息化系統(tǒng)架構(gòu)。突然爆發(fā)的新冠肺炎疫情也加速了零信任架構(gòu)的部署，原本企業(yè)都用VPN來獲取信任鏈路，疫情導(dǎo)致遠程辦公、遠程會議等需求暴增，VPN需求量早已達到瓶頸，而且VPN 的安全漏洞也正威脅著網(wǎng)絡(luò)安全，許多企業(yè)正考慮采用零信任架構(gòu)替代VPN模式。零信任思維和架構(gòu)越來越成為面對新型辦公環(huán)境下網(wǎng)絡(luò)安全的機制。

參考文獻：

[1] 云安全聯(lián)盟.CSA GCR發(fā)布零信任架構(gòu)草案[EB/OL].[2020-06-09]. https：//www.sohu.com/a/400731440_785543

[2] Google.谷歌的零信任安全架構(gòu)實踐[EB/OL].[2018-02-24].https：//www.sohu.com/a/223839510_256833

[3] 張澤洲.新IT環(huán)境下的零信任安全架構(gòu)[J].網(wǎng)絡(luò)安全和信息化，2021（2）：50-51.

[4] 李先齡.網(wǎng)絡(luò)如何支持零信任架構(gòu)[J].網(wǎng)絡(luò)安全和信息化，2020（10）：111-112.

[5] 胡志軍.零信任架構(gòu)在央行安全體系中的應(yīng)用思考[J].金融科技時代，2021，29（11）：68-72.

【通聯(lián)編輯：代影】