零信任，重构网络安全架构！

放点花椒～

已于 2023-05-23 16:02:22 修改

阅读量6k

点赞数 4

分类专栏：网络安全文章标签：信息安全网络规划设计

于 2021-06-15 15:43:56 首次发布

本文链接：https://blog.csdn.net/N2O_666/article/details/117787804

版权

零信任安全架构自2010年提出以来，已成为网络安全的新趋势。传统安全模型侧重边界防护，但随着云计算和远程工作的普及，边界变得模糊。零信任基于不信任任何人的原则，对所有访问请求进行严格的认证、授权和持续评估，确保数据和资源的安全。NIST发布的指导原则强调了零信任架构的设计和部署，包括动态策略、身份验证和授权。企业可通过增强身份治理、微隔离和SDP等方案实现零信任。该架构适用于有分支机构、多云环境、外包服务、跨企业协作和公共/用户服务的企业，有效提升网络安全态势。

摘要由CSDN通过智能技术生成

一、引言

2021年5月12日美国总统拜登签署网络安全行政命令，要求联邦政府采用“零信任架构”。让零信任又大火了一把，近几年安全圈里面越来越热的“零信任”到底是个啥呢？本文就跟大家一起来探讨下“零信任”这个IP。

二、传统安全架构的困境

在传统的IT组网中，网络安全需求的落地往往把重心放在以下工作：

精心设计的网络架构，如：带外管理网段/带内生产网段的严格划分、不同网段之间的严格隔离，严格划分网络区域，不同区域执行不同的安全策略等；
网络边界处部署专门的边界安全设备，如F5、IPS/IDS、防火墙、WAF、DDOS等，这些经典的网络安全部署方案，长期以来起到了较好的安全防护作用。但随着企业网络规模的日益扩大、网络攻击技术的不断发展、云技术/容器化的不断发展，传统安全方案的缺点越来越明显；
整体防御能力重边界、轻纵深，这种理念通过“边界”来区分“可信”与“不可信”。但是复杂的网络部署环境造成过长的网络边界，同时云计算、大数据、移动互联、物联网等技术的混搭也导致网络边界越来越模糊，所以边界的界定也越来越困难。黑客一旦突破边界防御，就如同进入无人之境，而在过于强调边界防护的传统安全方案下，网络边界越来越容易成为实际上的“马奇诺防线”；
攻击者往往第一步会利用通过应用薄弱点（0day或nday）、水坑攻击、钓鱼邮件等手段绕过企业重兵部署的防御边界，找到突破点后，通过端口扫描探测更大的攻击目标。
检测能力的局限性，传统的类似IPS、WAF、DDOS和防病毒这样的防护工具，基本上都属于对已知固定恶意代码进行特征识别的一种静态分析方法，无法有效应对恶意代码变形、加壳等隐蔽手段，特别是对于针对性很强APT攻击更是无能为力。一般情况攻击者可以通过以下两种方法逃逸：
1）通过编码、异形报文进行逃逸；
2）通过大流量的攻击报文，超出设备检测能力逃逸。
审计、权限控制的缺失。当攻击者或内部人员以正常业务操作途径，尝试恶意登录、越权下载数据、破坏数据完整性时，现有的“盒子”设备欠缺防护能力。往往APT组织会利用社会工程系进行网络攻击，获取“合法权限”，就可以轻松绕过边界的“盒子”。对于上述恶意操作，一般采用以下方式进行管控：
1）确保业务系统对人员的最小授权；
2）能够通过审计能力，在事中或事后发现侵害行为；
3）通过动态风控手段，结合一定规则、用户行为特征，实现侵害行为的事前阻断。
无法满足企业服务上云后的安全需求
服务上云已经成为越来越多企业的必然选择，公有云、混合云部署场景下，云上服务存在网络界面扁平、攻击面大、服务动态伸缩等特点，传统的防护手段已无法适用。而现有云上的安全组、防火墙策略，则存在配置不灵活等问题。

基于边界的网络安全模型一直是信息安全的主要模型。它假设用户在企业网络边界内的用户是“受信任的”，而外部的任何人都是“不受信任的”。几十年来，这种观点一直是确定用户/设备可以访问哪些资源的准则。

一旦进入边界内部，用户通常可以广泛访问许多企业资源，这意味着恶意行为者可以来自网络内部或外部。此外，云计算和远程员工的增加使组织数字资源的保护工作更加复杂，因为存在比以往更多的出入口和数据访问点。在这种情况下，安全人员不得不寻求更加安全的方法以保障企业的网络安全。

这里特别强调下“内部”，选在很多著名的攻击都是利用社会工程学的手段，绕过边界盒子的安检，渗透到内部，成为“合法用户”去访问系统资源并执行恶意攻击。

三、零信任的概念

这里引用NIST Special Publication 800-207中的一句话：“零信任是一种思想，而非一种技术”。

理解上面这句话很重要！零信任和我们常见的抗DDOS技术、入侵检测技术、身份认证等技术不一样，它不是一种新的技术，也很难有一款产品，可以称之为“零信任产品”。但是从另一个角度思考，凡是符合零信任思想的安全产品甚至是网络产品，也都可以称之为“零信任”产品。

拜登要求联邦政府采用的“零信任架构”就是利用“零信任”思想，建立的网络架构。

狭义概念：即零信任网络访问（ZTNA），解决的是人、用户、物、设备和终端的信任问题。“由一个控制点控制它怎样对 IT 资源进行访问，授予它什么权限”。

广义概念：即零信任架构（ZTA），它是基于数据的安全，从各方面采集多种数据，包括网络数据、安全数据、终端数据、身份数据等，利用这些数据做信任的计算和决策，真正动态的判断全网安全态势，最终做好决策后再交给部署在整个数字架构中各种各样的决策执行点（可能是一个网关、一个软件或 API），来决定是否允许此次访问以及能访问到何种程度。

简而言之，“零信任”即对一切区域、一切请求，均保持不信任的状态，需要对其进行身份认证、合理授权以及持续的信任评估。

零信任访问模型如下，在图 1 的抽象模型中，如果用户或计算机需要访问企业资源时，其需要通过策略决策点(PDP)和相应的策略执行点(PEP)授予访问权限。