读零信任网络：在不可信网络中构建安全系统02零信任模型

1. 零信任网络

1.1. 利用分布式策略实施和应用零信任原则，可以构建零信任架构网络安全架构

1.2. 信任级别（Trust Level）定义了所需安全协议强度的下限

1.2.1. 安全协议强度超出需求的情况是很少见的，因此尽可能减少信任是更明智的做法

1.2.2. 一旦信任被内置于系统中，就很难消除

1.3. 零信任网络就是一个完全不可信的网络

1.3.1. 零信任模型认为，主机无论处于网络的什么位置，都应当被视为互联网主机

1.3.2. 它们所在的网络，无论是互联网还是内部网络，都必须被视为充满威胁的危险网络

1.3.3. 零信任模型首先假设内部网络中同样存在恶意的攻击者，并据此建立安全机制来防范这种威胁

1.3.4. 只有认识到这一点，才能建立安全通信

1.3.4.1. 至少有办法阻止针对某个特定IP地址（主机）的拦截或篡改攻击

1.3.4.2. 自动化系统使我们能够把这一级别的安全防护机制应用到基础设施中的所有系统

1.4. 5个基本假定

1.4.1. 网络无时无刻不处于危险的环境中

1.4.2. 网络中自始至终存在外部或内部威胁

1.4.3. 网络的位置不足以决定网络的可信程度

1.4.4. 所有的设备、用户和网络流量都应当经过认证和授权

1.4.5. 安全策略必须是动态的，并基于尽可能多的数据源计算而来

1.5. 零信任架构的支撑系统称为控制平面，其他部分称为数据平面，数据平面由控制平面指挥和配置

1.6. 控制平面

1.6.1. 访问受保护资源的请求首先经过控制平面处理，包括设备和用户的身份认证与授权

1.6.2. 细粒度的控制策略也在这一层进行，控制平面可以基于组织中的角色、时间或设备类型进行授权

1.6.3. 如果用户需要访问安全等级更高的资源，那么就需要执行更高强度的认证

1.6.4. 一旦控制平面完成检查，确定该请求具备合法的授权，它就会动态配置数据平面，接收来自该客户端（且仅限该客户端）的访问流量

1.6.5. 能够为访问请求者和被访问的资源协调配置加密隧道的具体参数

1.6.5.1. 一次性的临时凭证、密钥和临时端口号

1.6.6. 由一个权威的、可信的第三方基于多种输入来执行认证、授权、实时的访问控制等操作

1.7. 零信任模型的确将安全水平提高到了一定的程度，即使降低或取消这些安全外壳也不是不可行的

1.7.1. 零信任模型中的绝大多数安全功能都能够对最终用户透明，这看起来甚至解决了安全性和易用性的矛盾

1.7.2. 零信任模型更安全、更易用

2. 零信任网络的关键组件

2.1. 3个关键组件：用户/应用程序认证、设备认证和信任

2.2. 第一个组件包含了用户认证和应用认证两层含义

2.2.1. 并不是所有的操作都由用户执行，比如在数据中心内部，很多操作由应用程序自动执行，在这种情况下，通常把应用程序等同于用户看待

2.2.2. 采用密码学技术对身份进行强认证，意味着对于任意连接都可以不用在意它的源IP地址到底是什么

2.3. 设备的认证和授权与用户/应用程序的认证和授权同样重要，这一特性很少出现在采用边界安全模型保护的网络中

2.3.1. 在传统的网络中，设备认证通常会出现在VPN或NAC技术中，但是在端到端的场景下很少用到

2.4. 如果代理发出的访问请求被批准，那么零信任模型的控制平面会通知数据平面接受该请求，这一动作还可以配置流量加密的细节参数

2.5. 通过这些认证/授权组件，以及使用控制平面协助完成的加密通道，就可以确保网络中每一个访问流量都按照预期经过了认证、授权和加密

2.6. 没有经过认证、授权和加密完整处理的流量会被主机和网络设备丢弃，以确保敏感数据不会泄露出去

2.7. 控制平面的每个事件和每项操作都会被记录下来，用于完成基于访问流或访问请求的审计工作

3. 自动化系统

3.1. 构建零信任网络并不需要太多新的技术，而是采用全新的方式使用现有技术

3.2. 自动化系统是建设和运营零信任网络的关键组件

3.2.1. 控制平面和数据平面之间的交互需要自动化系统来处理

3.2.2. 如果策略执行不能动态更新，那么零信任网络就无法实现，因此，策略执行过程的自动化和速度是问题的关键

4. 云环境

4.1. 零信任非常适合在云环境中部署

4.1.1. 你完全不需要信任公有云环境中的网络

4.2. 由于零信任模型主张加密所有通信数据，哪怕通信双方位于同一个数据中心内部，因此管理员不需要操心哪些数据包流经互联网，哪些不流经互联网

4.3. 在AWS这样的大型公有云中，一个“区域”（region）往往由若干数据中心组成，这些数据中心之间采用光纤进行连接，最终用户往往并不清楚公有云的这些架构细节

4.4. 网络服务供应商自身的网络实施也可能存在风险，或许网络中的邻居也能够看到你的网络流量

4.5. 网络管理员在进行故障排查时监听捕获了你的网络流量

4.6. 不能认为数据中心内部的网络流量就是安全的，就能够防监听、防篡改

5. 边界安全模型与零信任模型的对比

5.1. 边界安全模型试图在可信资源和不可信资源（本地网络和互联网）之间建一堵墙

5.2. 零信任模型则“认输”了，它接受“坏人”无处不在的现实

5.2.1. 零信任模型不是依靠建造城墙来保护墙内柔弱的身体，而是让全体民众都拥有了自保的能力

5.3. 边界安全模型事实上为受保护的内部网络赋予了一定级别的信任

5.3.1. 这种做法违背了零信任模型的基本原则，会导致一系列问题的发生

5.3.2. 可信区域内部的主机很少有自我保护的能力，因为既然这些主机共享同一个可信区域，也就意味着它们之间是互相信任的

5.4. 零信任模型假定整个网络完全不可信，那么就必须假定攻击者可以使用任意IP地址进行通信

5.4.1. 仅使用IP地址或物理位置作为标识符来保护资源是不够的

5.4.2. 仅有主机的身份标识是不够的，还需要对网络流量进行强加密处理

5.4.3. 攻击者并不仅限于发起主动攻击，他们还可以执行被动攻击，通过监听网络流量获取敏感信息