读零信任网络：在不可信网络中构建安全系统16确定实现范围

1.       RFC

1.1.         RFC格式是用来记录互联网规范、协议和过程等的标准格式

1.2.         必须

• 1.2.1.           该术语定义的是实现零信任网络系统的必要条件

1.3.         必须不

• 1.3.1.           用于描述零信任网络设计实现时禁止出现的条件

1.4.         应当

• 1.4.1.           该术语用于描述期望在零信任网络中出现的架构特性，但是考虑到成本的约束，可以忽略该特性

• 1.4.2.           忽略该特性虽然会减少成本，但同时也会影响系统的安全性

• 1.4.3.           满足此要求带来的系统安全性的提升绝对值得当前的成本投入

1.5.         不应当

• 1.5.1.           “应当”的反义词

1.6.         可以

• 1.6.1.           一个可选的架构特性要求，该特性对零信任网络的实现有一定的价值，可以不满足该要求，但是如果能满足的话更好

2.       实现

2.1.         零信任不是可以拿来就用的产品，而是一组基于网络需求和约束的架构理念与原则

2.2.         提供在现有网络系统基础上构建零信任网络的框架

3.       确定实现范围

3.1.         在构建零信任网络之前，首先需要确定实现范围，成熟度较高的零信任网络包含许多交互的子系统

3.2.         完整的零信任架构是一个理想的愿景，刚开始构建零信任网络时不需要满足全部需求，而应当在实现过程中逐步完善，这一点与构建基于边界安全架构的网络没有区别

3.3.         零信任网络诸多特性的安全价值并不是完全等同的，因此在设计零信任网络时，需要仔细分辨并确定哪些组件必不可少，哪些组件是锦上添花，这一工作会在很大程度上确保零信任架构的成功实施

4.       优先级建议

4.1.         所有网络流量在处理前必须经过认证

• 4.1.1.           在零信任网络中，系统接收到的所有数据包都是不可信的

• 4.1.2.           在处理封装于数据包中的数据之前必须严格检查这些数据包，强认证机制是完成该项检查的首选方案

• 4.1.3.           零信任网络的核心思想是不信任网络内部以及外部的任何人、设备和系统，如果没有认证机制，那么系统将被迫信任接收到的网络流量，处理它们传输的数据、执行请求，而这与零信任的基本原则相矛盾

4.2.         所有网络流量在传输前应当被加密

• 4.2.1.           只要攻击者和攻击目标之间物理网络可达，要攻陷目标就并非难事

• 4.2.2.           即便是物理上安全隔离的网络，攻击者仍然可以通过渗透攻击和被动嗅探的方式获取高价值的数据

• 4.2.3.           在通过网络传输数据之前，由端点设备对数据进行加密，就可以将网络通信的攻击面收缩到端点设备的可信度上，也就是应用和物理设备的安全性层面

4.3.         必须由网络中的端点系统执行认证和加密

• 4.3.1.           建立应用层端点系统之间的安全通信是非常重要的，但是在网络中额外增加负责认证加密的中间组件（如VPN设备或者支持TLS的负载均衡设备）会使其到端点系统的上行流量暴露于物理和虚拟威胁之下

• 4.3.2.           零信任网络必须在网络中每个应用层的端点系统上部署认证和加密模块

4.4.         必须枚举所有网络流量，这样系统才可以执行强制访问控制

• 4.4.1.           零信任网络的访问控制依赖于定义网络预期特征的数据，因此界定每一个预期的网络流量对于保证网络安全相当重要

• 4.4.2.           枚举网络流量并不需要通过变更控制流程来体现其价值所在，定义预期网络流量的简单过程就可以给网络策略强制执行和变更审计带来巨大价值

• 4.4.3.           构建预期网络流量数据库的较好办法就是将其作为访问请求授权时的数据源

• 4.4.4.           抓取与访问控制策略有关的网络流量

  • 4.4.4.1.            如负载均衡设备的访问流量，从负载均衡设备到Web应用程序的网络流量

• 4.4.5.           抓取精确限定范围的网络流量

4.5.         应当使用网络中安全强度最高的认证和加密算法套件

• 4.5.1.           零信任网络假定所有的网络环境都不安全，因此强认证和加密套件是保证零信任网络安全性的重要组件

• 4.5.2.           设备和应用的计算能力会限制可选择的密码算法套件种类，但是系统管理员应当始终以尽可能选择安全强度更高的密码算法套件为目标，并且意识到安全强度较低的密码算法套件会损害网络的安全性

4.6.         认证不应当依赖公共PKI供应商，而应当使用私有PKI系统

• 4.6.1.           公共PKI系统可以在安全的通信中为非受控的端点系统提供信任保证，证书颁发机构为通信双方签发证书以建立安全的通信

• 4.6.2.           通过在系统中预置可信证书颁发机构列表的方式，端点系统就可以和之前从来没有通信过的未知系统建立安全信道

• 4.6.3.           对于零信任来说信任第三方机构（公共PKI系统的认证中心）将会增加系统的风险，因为零信任的核心是不信任任何人、设备和系统，因此零信任的认证应当依赖于私有PKI

• 4.6.4.           可信任的公共认证中心的数量会增加带来的威胁

  • 4.6.4.1.            每一个CA中心都有能力和可能性为攻击者签发证书，从而使得恶意系统能够利用CA中心签发的证书来证明其可信度

  • 4.6.4.2.            为了减少这种威胁，我们可以使用证书锁定技术

    4.6.4.2.1.             证书锁定技术能够提前将特定证书信息保存在端点系统上，当其他请求连接的端点系统所提供的证书和保存的信息一致时才会建立这两个端点系统之间的连接

• 4.6.5.           使用公共PKI系统还存在CA认证中心的可信度问题

  • 4.6.5.1.            公共CA认证中心无法确保中立的可信第三方机构的地位，违背应该给客户提供的信任保证

  • 4.6.5.2.            这些干预行为通常都不会公开，这使得公共CA认证中心签发的证书变得不可靠

  • 4.6.5.3.            鉴于政府部门的这种做法，当他们能够利用公共CA认证中心干预零信任网络的信任机制时，应该暂停管理员对系统的任何操作

4.7.         应当定期执行设备扫描、为设备安装补丁以及轮换设备

• 4.7.1.           管理员构建零信任网络时，需要假设网络中的可信设备存在已经被攻陷的风险，因此需要在设备管理中建立防御机制以减少这种威胁造成的损害

• 4.7.2.           定期扫描设备以获得某一时间点该设备运行或安装的软件信息

  • 4.7.2.1.            设备扫描的主要目的是发现和预防恶意软件带来的危害，这一工作通常由设备上运行的恶意软件防护工具（如防病毒软件）来完成

• 4.7.3.           保证设备的定期更新

  • 4.7.3.1.            系统管理员应该有计划地定期安装最新的安全补丁

• 4.7.4.           有规律的设备轮换政策有助于确保设备不会积累恶意软件或者其他一些冗余软件，以避免对系统安全性的损害

• 4.7.5.           设备遭受损害的风险会随着时间逐渐增加，其可信度也会降低

• 4.7.6.           虽然定期进行设备的系统恢复可能会造成某些系统运行的中断，但是却可以保证将设备的可信度维持在一定水平，从而确保系统的安全性

• 4.7.7.           建议一个季度对服务器进行一次系统恢复，每两年对个人设备进行一次系统恢复