认识“零信任”

一、摘要

“零信任”这个词近两年一直活跃在网络安全圈，但是具体是个什么概念，可能很多人都没有统一明确的认识。
简单来说，零信任就是不信任任何人，除非网络明确知道接入者的身份，否则谁都无法接入网络。
零信任和旧式思维的区别在哪儿呢，旧式思维专注边界防御，默认边界内的任何事物是可信的，不会造成威胁。但是越来越多的安全专家并不认可这种做法的有效性，因为近些年发生的重大安全事件往往因为黑客突破了外部防御后，进入企业内网，利用内部系统的一些漏洞逐步获取更高级权限，而黑客在企业内网横向移动过程中基本无阻碍，这也说明，“内部网络是安全的”这一论点本身就是错误的。
另外呢，云技术不断崛起，传统网络边界的概念已经越来越模糊了，仅靠着传统的边界产品（防火墙、WAF、IPS等）已经无法达到一个很好的效果，因此我们亟需一个全新的思维和理念去适应云技术的发展。
零信任也就是永不信任和始终验证，不应该区分网络位置，严格控制访问权限，遵循最小权限原则，所有的访问都应当被记录和跟踪。
安全专家举过这样一个例子，个人认为很合适，如果说传统网络安全模型是用“城墙”将人民保护在一起，那么“零信任网络”则是“城门大开”，但是每个民众都配备一个士兵保护。那我们要彻底废弃传统边界防护设备吗？肯定不能的，彻底点对点的防护会消耗大量的网络资源，甚至可能影响正常业务，传统的防火墙还是能抵挡住大部分网络攻击的，所以传统边界防护加上零信任才是最好的选择。

二、背景

1、传统网络边界越来越模糊
云技术的不断发展，企业应用上云的增加，打破了常规的空间限制，网络边界变得越来越模糊。远程办公的需求一直存在，员工通过VPN接入企业内网，VPN的安全性是一个重大的问题，一方面，密码的脆弱性带来较大的安全风险；另外，终端与内网相接，如果终端存在病毒蠕虫，存在内网扩散的可能。总之，IT环境不断变化，传统的边界防护模式的弊端越来越明显。
2、基于边界的网络安全架构的不足
传统的基于边界的网络安全架构在一定程度上假设或默认内网是值得信任的，假如内部资产已经被渗透，内部人员不可靠，就会造成很大的安全风险，过度信任一定不可取。近年来，数据窃取、违规操作等来自于内部的攻击频发，传统的边界安全防护在企业内部网络中缺乏足够的安全访问控制。
数字化转型过程中，数据对于企业的价值越来越大，APT攻击、数据泄露使企业面临巨大的威胁，传统安全防护无法满足数据安全需求。

三、发展进程

1994 年 Jericho 论坛的工作公开了去边界化的思想—限制基于网络位置默认的信任，以及在一张大网上依赖单一的、静态的防御的局限性。
2010年，John Kindervag在Forrester创立了“零信任”一词。
2019年9月，美国国家标准技术研究所（NIST）发布了《零信任架构》草案（《NIST.SP.800-207-draft-Zero Trust Architecture》）；2020年2月，NIST对《零信任架构》的草案进行了修订；8月11日，标准正式发布。该标准介绍了零信任的基本概念、体系架构的逻辑组件、部署场景、零信任与与现有联邦指南的可能交互等内容。
2020年，奇安信公司牵头在全国信息安全技术标准化委员（TC260）申请的《信息安全技术 零信任参考体系架构》标准在WG4工作组立项，该标准主要致力于提出可信的零信任架构，从概念模型开始，确定零信任原则和技术框架，包括零信任架构的体系、组件和基本工作流程等内容。

四、安全假设

1、网络始终充满威胁，既包括外部威胁，也包括内部威胁。
2、安全不应由网络位置决定。
3、所有网络设备、用户、所有网络流量都应被认证、授权和加密。
4、安全是动态的，每个对象的安全性是动态变化的。
5、访问认证授权应基于尽可能多的数据源去评估，访问控制策略应该是动态的。

五、“零信任”基本原则

1、资源化、服务化。企业的各类信息系统、所有的数据源都应被定义为资源，如果个人设备有权访问企业资源，企业可将该类设备也定义为资源，将信息系统、数据资源化、服务化后，企业可以有选择地暴露，尽量缩小暴露面。
2、唯一标识、身份化。所有可以作为访问客体的实体/资源都应该被标识，所有可以作为访问主体的实体都应该进行唯一标识，并进一步赋予其全局唯一合法的身份。
3、每次连接均应认证授权，授权策略应该是动态的。每次会话、会话中的每一次连接均应进行认证授权，访问控制策略应该是动态的，是一次性的，不能重复使用。
4、认证策略应该足够健壮。认证应该是强制的，足够健壮，例如采用双因子认证、数字证书认证、人脸虹膜等认证技术。
5、权限最小化。应遵循最小授权原则，授权策略不仅仅是基于用户身份、网络位置做出的，应综合考虑用户身份、请求行为、访问资源，以及实时感知的内外部环境信息和历史行为信息等因素，进行实时的信任和风险评估。最小授权原则必须得到持续保证，严格限制设备、应用、服务、数据的可访问性。
6、持续评估信任关系（访问开始前、访问过程中）。应对访问活动进行持续的监控，一旦发现异常应及时响应，阻断会话及后续访问活动，持续保障访问活动的安全、数据的安全。
7、收集信息，完善授权策略。尽可能多的和及时的获取可能影响授权的所有信息，并根据这些信息进行持续的信任评估和安全响应。

六、零信任架构的逻辑组件

给大家介绍一下几个逻辑组件：
策略引擎：该组件负责最终决定是否授予访问主体对访问客体的访问权限，策略引擎以企业自身安全策略和外部威胁情报等为依据，通过信任算法做出最终决策，由策略管理器执行决策（允许或拒绝）。
策略管理器：该组件负责建立客户端和访问资源之间的连接，可以生成客户端访问资源所需要的身份验证令牌或凭证，它与策略引擎紧密相关。
策略执行点：策略执行点的作用就是负责启用客户端与资源的连接，监视访问过程，并最终终止连接。
除了以上几个核心逻辑组件，还有其他数据源可以提供策略规则，以供策略引擎做出决策。
持续诊断和缓解系统：该系统收集关于企业系统当前状态的信息，当前运行的系统或应用程序有没有打过补丁，系统是否存在任何已知的漏洞。
行业合规性：为了保证合规，企业制定一些策略规则，以满足监管制度要求。
威胁情报源：该系统提供外部来源信息，包括IP黑名单、恶意软件、新发现的漏洞等信息，协助策略引擎做出决策。
数据访问策略：基于企业任务需求创建的数据访问的规则、策略，数据访问策略为企业中的参与者和应用程序提供了基本的访问特权。

七、相比传统安全架构的优势

1、边界安全架构是以“网络”为中心的防护，而零信任是以“数据资产”为中心的防护。
2、传统安全架构以“攻防对抗”为主，而零信任关注“应用/服务的安全访问”。
3、传统安全架构是基于“边界”的防护，而零信任是“无边界”防护。
4、传统安全架构以“信任”为基础，而零信任默认“不信任”，以最小权限为原则。
5、传统安全架构采用静态的访问控制策略，而零信任采用基于信任的动态访问控制策略，需要持续评估。
6、边界安全架构外防坏人；零信任外防坏人，内控好人。
7、边界安全架构是被动的、静态的防御，零信任架构是主动的、自动化的防御。

八、IT现代化计划

实施零信任战略是一个过程，而非对基础设施或流程的大规模替换，组织应逐步实施零信任原则、进行流程变更、并采取保护其最高价值数据资产的技术解决方案。大多数企业在持续投资当前IT现代化方案的同时，在很长一段时间内会出现零信任和现有模式并存的局面。
制定一个 IT 现代化计划（包括迁移到基于 ZT 原则的体
系结构）可以帮助企业形成小规模工作流迁移的路线图。

“零信任”系列文章会不断完善更新，尽量针对不同企业场景给出大体解决方案，敬请等待~ 共同学习~
欢迎探讨，一起进步
前行的路总是累的，但是，谁让自己想去的地方是山巅呢~