零信任学习系列四——研读零信任架构在高校网络安全建设中的应用和研究

高校网络安全形势

（一）：网络资产形式各异
网络资产是指在一个机构或组织内部用于支撑网络信息相关行为的任何数据，设备及其他组件。网络资产通常包括硬件（服务器和交换机），软件（关键任务应用程序和支持系统）和数据信息。在高校中，由于学术研究的开放性，同学和老师通常会携带自己的设备，寻求和周围的同学或者老师进行学习，交流，合作。校园网络更像咖啡店或酒店的网络而非公司或者政府机关的内部网络。在这种情况下，学校通常对学生和教师在校园网络中的使用设备具有相对较少的控制权。
（二）：攻击行为复杂多变
高校网络用户群体庞大，学生安全防范意识薄弱，网络攻击门槛低，开销小，深受犯罪分子青睐。高校网络中存在大量的个人计算机，服务器，甚至超级计算机中心，这类设备为勒索软件和挖矿劫持的重点对象，一旦被感染将导致严重的后果。
（三）：防御体系浅显单一
传统的网络安全建设中，校园网采用防火墙，流量监控，VPN及防病毒软件等软硬件设备来保护网络边界及计算机安全，但是这种安全模型存在很大问题，因为校园网的网络边界越来越难以鉴定与实施防护。攻击者能够很容易的突破网络边界，从而访问高校内部网络，从而传播病毒。而在高校内，大量的文件传输和共享行为为这种病毒传播提供了天然的媒介。

零信任网络

基于BeyondCorp的基础，提出了一种豁免特权的新模型
（一）：零信任网络的构成组件
1：安全设备和标识
在零信任网络中，我们定义了“受信设备”的概念，这是一个隶属于高校并由其主动管理的设备，只有受信设备才能访问高校网络。针对此类设备，我们需要一个设备数据库对其网络行为，虚拟地址等进行跟踪和分析。此外，所有的受信设备都需要以唯一标志的方式引用设备数据库中的相关记录，而此过程需要设备拥有其特定证书。而证书可以唯一地识别设备，它被用作获取该设备信息的钥匙，代表了该设备在设备数据库中存在且设备信息完整有效，通常证书存储在硬件或软件上可信平台模块或合格证书存储区。设备的认证过程中需要验证其证书的有效性，只有被认定为足够安全的设备可以归类为可信设备，同时需要强制性定期检查证书的有效性，一旦证书安装完毕，该证书用于高校网络服务的所有通信行为。
2：安全用户与用户组
高校为网络的使用者及相关团体构成了零信任网络的用户数据库和组数据库，这些数据库涵盖了高校教师，学生，访问学者等对象的用户名，身份，有效期等各种属性并与教学管理等多个流程结合在一起。通过对数据库的跟踪和管理，当用户信息发生变化时，数据库进行实时更新。
3.单点登录系统
单点登录系统（SSO）系统是一种集中式的用户认证系统，只需要一次认证就可以访问所有相互信任的应用系统，其调用安全用户和用户组信息，生成短期令牌授权用户获取部分资源，能够解决高校网络中身份认真机制不兼容的问题。
4.无特权网络
为了使本地和远程访问收到相同安全策略的约束，我们可以定义并部署一个非特权网络。非特权网络仅能连接到互联网与基础设施服务（例如：DNS，DHCP，NTP）（没学过，这些是什么东西？）针对所有物理位置在高校内部的联网设备等同于互联网设备一律分配在该非特权网络中。
5.面向Internet的访问代理
高校网络的所有应用程序都暴露在外，内外部客户端使用加密方式通过面向Internet的访问代理访问应用服务器，访问代理为每个应用程序提供全局可达性，负载平衡，访问控制，应用程序运行状况检查和拒绝服务保护等功能。
6.公共DNS服务
高校网络中所有的应用服务程序都是公开的，并在公共DNS中注册，并通过CNAME指向该应用服务器的访问代理。
7.访问控制引擎
访问代理中的访问控制引擎根据应用服务的等级提供授权操作，并决策过程依据用户，用户所属的组，设备证书以及设备数据库中记录，进行推演。访问控制引擎可以从不同方式和角度限制应用程序的各个部分，例如，访问高校网络的某一专业竞赛平台可以限制其他专业的可信设备
8.设备和用户的信任链
零信任网络中用户和设备的访问级别并非一成不变的。通过分析多个数据源，我们能够动态地分配用户需要访问设备的相关权限。然后，访问控制引擎可以使用此信息作为其决策过程的一部分。例如，未及时更新操作系统的，未对已知存在漏洞设备打补丁的，将会导致其信任级别降低。一个特定类型的设备，例如手机，智能设备等，将会被分配一个特定的信任级别。用户从不同位置访问应用程序可能会被分配不同的信任等级，并使用静态规则和启发式算法来确定这些用户和设备的信任等级。
‘（二）：零信任网络的安全模型

（1）：用户使用计算机请求某一校园网服务，该请求被重定向到访问代理，同时计算机需要提供其的设备证书。
（2）：访问代理无法识别该用户身份并重定向到单点登录系统。用户提供其身份验证凭据，由单点登录系统进行身份验证，并发出令牌，并重定向回访问代理
（3）：访问代理现具有设备证书，单点登录令牌。
（4）：访问控制引擎执行对每次访问请求进行授权检查，判断该用户ji’qi设备在相关应用服务上的权限。其利用设备数据库，用户和组数据库，信任链及相关证书，分析该用户及其设备的细粒度权限。
确认用户拥有足够的信任级别。
确认该设备为受信设备。
确认该用户及设备具有足够的信任级别。即如果所有这些检查都通过，则请求被传递给后端服务。
如果上述任何检查失败，则拒绝该请求。通过此方法，可以构建完整的服务级身份验证和依据请求响应的鉴权机制。