零信任网络

        零信任（或零信任网络、零信任模型等）这个概念最早是由John Kindervag于2010年提出的，非常敏锐地发现传统的基于边界的网络安全架构存在缺陷， 通常被认为"可信"的内部网络充满威胁，"信任"被过度滥用，并指 出"信任是安全的致命弱点"。因此，他创造出了零信任（Zero Trust） 这个概念。

传统的网络安全架构基于网络边界防护。企业构建网络安全体系时， 首先把网络划分为外网、内网和DMZ区等不同的安全区域，然后在网 络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重 防护，构筑企业业务的数字护城河。这种网络安全架构假设或默认了 内网比外网更安全，在某种程度上预设了对内网中的人、设备、系统 和应用的信任，从而忽视内网安全措施的加强。

---------------------------------------------------------------------------------------------------------------------------------

（DMZ是“Demilitarized Zone”的缩写，又称“非军事区”，是指在互联网和企业内部网络之间设置的一个区域，用于分隔外部网络和内部网络，使得互联网用户只能访问企业的公开服务而不能直接访问企业内部的机密数据。DMZ通常包括一个或多个服务器，这些服务器通过防火墙、路由器等网络设备与外部网络相连，提供对外的服务，如Web服务器、邮件服务器、FTP服务器等。）

相对于零信任网络，DMZ的主要风险是如果DMZ内的服务器被攻破，攻击者可以通过DMZ内的服务器进一步攻击企业内部网络，从而威胁企业内部的敏感数据和系统。此外，DMZ内的服务器通常需要开放特定的端口和协议对外提供服务，这会增加网络攻击的面，需要对这些服务器进行更加严格的安全管理和监控，以避免被攻击。

---------------------------------------------------------------------------------------------------------------------------------

随着网络攻防技术的发展，新 型的网络攻击手段层出不穷，攻击者面对层层设防的网络边界，往往 会放弃代价高昂的强攻手段，转而针对企业内部网络中的计算机，采 用钓鱼邮件、水坑攻击等方法渗透到企业网络内部，轻松绕过网络边 界安全防护措施。此外，企 业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权 限，一旦出现凭证丢失、权限滥用或恶意非授权访问等问题，同样会 导致企业的数据泄露。

基于这样的认知，零信任针对传统边界安全架构思想重新进行了评估 和审视，并对安全架构思路给出了新的建议：默认情况下不应该信任 网络内部和外部的任何人、设备、系统和应用，而是应该基于认证和 授权重构访问控制的信任基础，并且这种授权和信任不是静态的，它 需要基于对访问主体的风险度量进行动态调整。
 

零信任的发展

传统场景中，企业的安全都是在以防火墙为边界的。但是，随着技术的更新，远程办公变得普遍，诸如VPN之类的技术在企业中应用的很普遍。这就使得企业的安全边界必须进行扩大以允许来自全球各地各种类型终端的访问（这取决于从哪里接入VPN）。这就迫使企业的IT安全团队做出改变。

于是，在2010年，Forrester的一位分析师在一份白皮书《No More Chewy Centers：Introducing The Zero Trust Model Of Information Security》中提出了零信任的概念。随着后续的更新，最终形成了目前知名的Zero Trust eXtended框架, 简称ZTX。

几乎同时，Google开始了在内部构建BeyondCorp。BeyondCorp是一个零信任解决方案并且实现了基础的零信任组件，这使得Google能够移除自身企业内部的网络边界。Google在2014年通过一系列的文章阐述了他们的实现理念，这很大的程度上影响了业界。

在2017年，Gartner的一位分析师重新定义了Continuous Adaptive Risk and Trust Assessment（简称CARTA）的概念，使得CARTA和零信任有很多相似的原则。CARTA不仅要关注身份和数据相关的因素，还要关注发生访问时身份和设备所可能带来的风险。

使得零信任被进一步关注的是，美国NIST在2020年发布的《NIST Special Publication——Zero Trust Architecture》以及一个关于零信任的项目US National Cybersecurity Center of Excellence。

发展至今，业界已经普遍认为，零信任所倡导的改变是必要的。因为通过零信任，可以防止恶意用户在企业边界内部访问私有资源、防止数据泄露以及恶意操作。

说了这么多，零信任到底是什么呢？

A Zero Trust system is an integrated security platform that uses contextual information from identity, security and IT infrustructure, and risk and analytics tools to inform and enable the dynamic enforcement of security policies uniformly across the enterprise. Zero Trust shifts security from an ineffective perimeter-centric model to a resource and identity-centric model. As a result, organizations can continuously adapt access controls to a changing environment, obtaining improved security, reduced risk, simplified and resilient operations, and increased business agility.

翻译一下：

零信任系统是企业内部的一个集成的安全平台，他能够根据身份数据、安全基础设施、风险分析数据等信息进行判断，进而来触发企业安全策略的动态执行。零信任将传统的基于边界的低效的安全模型，提升为高效的以资源和身份为中心的企业安全模型。这样做的好处就是，企业可以在一个动态变化的环境中进行合理的访问控制，最终提升安全性、降低风险、简化运营操作、增加业务敏捷性。

再详细一点就是：

        零信任网络（Zero Trust Network）是一种安全模型，其基本原则是“不信任、始终验证”，不仅仅依赖于传统的边界防御，而是通过多种安全措施来保护企业内部网络，以降低风险和损失。

        在零信任网络中，所有网络流量都需要经过认证和授权才能被允许。网络资源和用户设备需要严格控制和验证，以确保仅授权的用户可以访问合适的资源，而未授权的用户则无法访问。这可以通过多种技术来实现，例如网络分割、多重身份验证、行为分析和数据加密等。

        零信任网络强调安全措施必须在网络中的每个节点上实现，包括终端设备、应用程序、数据存储、网络流量和云服务等。它采用了一种基于策略的安全方法，将数据和应用程序视为关键资产，通过实时分析和评估风险来保护它们，以提高整个网络的安全性。

Forrester对零信任的解释

        Forrester使用ZTX模型来解释零信任。ZTX模型提出，零信任的构建要以数据保护（Data）为中心，同时对能够访问数据的元素也要进行保护。这些元素包括：人员（People）、设备（Devices）、网络（Networks）和工作组件（Workloads）。除此之外，ZTX还要求能够基于工作负载中的数据进行分析，以支撑安全决策。并且对于一些手工流程，要能够实现自动化并将其同安全策略和危机响应联系起来。

《BeyondCorp：A New Approach to Enterprise Security》

        简单介绍一下关于谷歌提出的一种新的零信任网络方案BeyondCorp一篇论文。

        传统的企业IT安全体系是构建在边界安全这个理念上的，企业通过防火墙构建企业网络的边界。处于防火墙中的内网被认为是一个相对安全的特权环境，内网中的人可以安全的访问企业的受保护资源。

        就像是中世纪的城堡：一座有厚厚围墙的堡垒，被护城河包围，有一个戒备森严的单一出入口。墙外的任何东西都被认为是危险的，而墙内的任何东西都是可信的。任何通过吊桥的人都可以随时进入城堡的资源。

        谷歌的BeyondCorp计划正在转向一种新的模式，取消特权企业网络。取而代之的是，访问完全取决于设备和用户凭据，而不考虑用户的网络位置--无论是企业位置、家庭网络、酒店还是咖啡馆。根据设备状态和用户凭据，对企业资源的所有访问都经过完全身份验证、完全授权和完全加密。强制对企业资源的不同部分进行细粒度访问。

BeyondCorp的主要组件

BeyondCorp包含了一些列彼此配合的组件，如图1：

安全的识别设备

设备库存数据库（Device Inventory Database）

BeyondCorp中有个“managed device“的概念，它指的是被企业创建和管理的设备。只有“managed device“可以访问企业应用。围绕设备库存数据库的设备跟踪和采购流程是该模型的基石之一。谷歌有一个元库存数据库，其把所有设备信息规范的管理起来，提供给下游组件使用。有了这个元数据库，我们就知道需要访问企业的所有设备。

将企业设备的生命周期信息通过数据库进行统一集中管理，并提供给下游使用。

设备身份（Device Identity）

所有的“managed device”都需要用设备库存数据库中记录的方式进行唯一标识。实现这种唯一标识的一种方法就是给每个设备有一个设备证书。接收证书的前提是，设备必须在设备库存数据库中存在且正确。证书存储在硬件或软件TPM（Trusted Platform Module）或有资质的证书仓库中。设备鉴定流程验证证书仓库的有效性，只有被认为足够安全的设备才能被归类为“managed device“。由于定期更新证书，设备鉴定流程也会强制执行。一旦证书被安装，它将用于与企业服务的所有通信中。虽然证书能够唯一地标识设备，但它不会被单独授予访问权限。相反，它作为关于设备的一组信息的密钥被使用。

企业设备需要有唯一的标识，这个标识要是一个安全的机制，通过设备证书来实现。

从网络中删除信任

部署非特权网络（Deployment of an Unprivileged Network）

为了将本地访问和远程访问等同起来，BeyondCorp定义并部署一个与外部网络非常相似的非特权网络，尽管它位于专用地址空间内。非特权网络仅连接到Internet、有限的基础设施服务（如DNS、DHCP和NTP）以及配置管理系统（如Puppet）。所有客户端设备都被分配到这个网络，同时物理上位于谷歌大楼内。在这个网络和谷歌网络的其他部分之间有一个严格管理的ACL（访问控制列表）。

有线和无线网络接入上的802.1x认证（802.1x Authentication on Wired and Wireless Network Access）

对于有线和无线接入，谷歌使用RADIUS服务器根据802.1x认证将设备分配到适当的网络。谷歌使用动态而非静态的VLAN分配。这种方法意味着，不需要依赖于交换机/端口静态配置，而是使用RADIUS服务器通知交换机已验证设备的适当VLAN分配。“managed device”提供其证书作为802.1x握手的一部分，并分配给非特权网络，而公司网络上未识别和未受管的设备则分配到客户网络（Guest Network）。

---------------------------------------------------------------------------------------------------------------------------------

        802.1x是一种网络访问控制协议，用于对网络中的用户和设备进行身份验证。它允许网络管理员通过限制访问网络资源来控制谁可以访问网络，并确保只有经过身份验证的用户和设备可以接入网络。

        在802.1x身份验证中，用户和设备必须提供用户名和密码、数字证书、智能卡等凭证，以证明它们有权访问网络资源。此外，还可以使用MAC地址绑定、端口安全等技术来限制某些设备的接入。身份验证成功后，网络会授予用户和设备访问权限，并将其视为网络中的可信主体。如果身份验证失败，用户或设备将无法接入网络，并受到拒绝访问的限制。

        802.1x身份验证可以应用于各种网络环境中，如有线和无线网络、局域网和广域网等。它是网络安全中一个重要的措施，可以有效保护网络资源免受未经授权的访问。

---------------------------------------------------------------------------------------------------------------------------------

将应用程序和工作流外部化

面向互联网的访问代理（Access Proxy）

谷歌的所有企业应用程序都会通过面向互联网的访问代理向外部和内部客户端公开，该代理在客户端和企业应用程序之间实施加密。访问代理为每个应用程序配置，并提供通用功能，如全局可达性、负载平衡、访问控制检查、应用程序健康检查和拒绝服务保护。在访问控制检查（如下所述）完成后，此代理会根据需要将请求委托给后端应用程序。

实际上，Access Proxy有点类似于一个企业的网关，但这个网关不但提供给外部客户使用，也提供给内部用户使用。因为BeyondCorp中不再有网络边界的概念，因此所有人（不论内部还是外部）对企业应用的访问都需要通过Access Proxy进行。Access Proxy上进行流量管控、负载均衡、访问控制、安全防护等等。

公共DNS条目（Public DNS Entries）

谷歌的所有企业应用程序都对外公开，并在公共DNS中注册，CNAME将应用程序指向面向互联网的访问代理。

比如一个企业有HR系统（ http://hr.xxxcompany.com）、部署系统（ http://pipeline.xxxcompany.com），实际上这两个系统的域名不是直接A记录到后端IP地址的。而是CNAME到企业统一的Access Proxy上，比如CNAME到 http://gateway.xxxcompany.com上。Acces Proxy会对请求两个系统的流量进行统一的安全管控、身份认证、访问控制，然后把合法的请求转交给到对应的后端服务处理。

实现基于库存的访问控制

设备和用户的信息推理（Trust Inference for Devices and Users）

单个用户和/或单个设备的访问级别可能会随时间而变化。通过查询上述的数据库存信息，我们能够动态推断分配给设备或用户的信任级别。信任级别可以作为Access Control Engine的输入的一部分而被使用。例如，未使用最近的操作系统补丁更新的设备可能会被降低信任级别。特定类别的设备，例如特定型号的手机或平板电脑，可能会被分配特定的信任级别。从新位置访问应用程序的用户可能会被分配不同的信任级别。我们使用静态规则和启发式来确定这些信任级别。

设备库存数据库会维护设备相关的信息，比如操作系统、补丁更新情况、设备型号等元信息。根据这些元信息可以动态的分析设备的可信任级别。

访问控制引擎（Access Control Engine）

访问代理中的访问控制引擎根向企业应用程序提供服务级别授权。授权决策是对用户、用户所属的组、设备证书以及设备库存数据库中的设备信息进行断言。如有必要，访问控制引擎还可以实施基于位置的访问控制。对用户和设备的推断出的信任级别也包括在授权决策中。

例如，可以限制只有使用工程设备的全职工程师才可以访问谷歌的缺陷跟踪系统。可以限制只有使用非工程设备的全职和兼职员工、并且在财务中心组中才具有财务应用程序的访问权限。

访问控制引擎还可以以不同的方式限制应用程序的局部而非整体。例如，在bug跟踪系统中读取条目可能需要比更新或搜索同一bug跟踪系统更严格的访问控制。

访问控制引擎主要的工作就是把设备库存中的信息、用户/组信息、请求上下文信息（地理位置）、信任等级信息等作为输入，作出是否允许进行访问的决定，并把这个决定告知访问代理。

进入访问控制引擎的管道（Pipeline into the Access Control Engine）

访问控制引擎不断地由运行的管道提供信息，该管道动态地提取对访问决策有用的信息。除其他因素外，这些信息包括证书白名单、设备和用户的信任级别，以及有关设备和用户的清单详细信息。

此处描述的管道更像是一个风险等级分析中心，改等级分析中心实时的处理相关数据，并把风险等级的结果作为输入告知访问控制引擎。

端到端的举例

应用

我们假设要在BeyondCorp体系中部署一个代码管理的应用系统（corderreview），工程师使用该应用系统来管理代码的生命周期。从访问控制的角度，这个应用仅仅允许全职或者兼职工程师从受管设备进行访问。

配置面向互联网的访问代理

应用corderreview的管理员要为该应用配置访问代理。该配置指定后端的位置以及每个后端可接受的最大流量。应用corderreview的域名是公网域名，并且以CNAME的方式指向访问代理服务的域名。

配置访问控制引擎

访问控制引擎提供了默认规则，限制只能被全职员工通过受管设备进行访问。访问控制引擎规则可以进行更加详细的限制，比如：只能被具有最高信任级别的受管设备访问，及只能被具有最高信任级别的全职或兼职工程师访问。

工程师访问网络

情况一：网络位于企业运营的实体建筑之外

工程师只要使用谷歌提供的办公电脑，TA就可以访问任何WiFi网络。无论是机场WiFi网络，还是咖啡馆的WiFi。不需要设置到企业网络的VPN连接。

情况二：网络位于企业运营的实体建筑之内

工程师如果使用谷歌提供的电脑，那么电脑在与RADIUS服务器的802.1x协议握手的过程中会提供其设备证书。如果提供的证书有效，电脑将在非特权网络上分配一个地址。如果设备不是公司提供的笔记本电脑，或者其证书已过期，则会在修复网络上为其分配一个地址，该网络的访问权限非常有限。

访问应用，无需关心网络

从公司分配的笔记本电脑上访问corderreview应用，其流程如下（可以参考图1）：

1. 对coderreview应用的请求重定向到访问代理服务，笔记本会提供其设备证书。
2. 访问代理服务不认识请求的用户，将其重定向到SSO服务。
3. 用户输入自己的认证凭据（可能包括多因素认证），SSO服务认证成功后，会颁发令牌token并重定向到访问代理服务。
4. 访问代理服务现在能够从请求的设备证书中获取设备身份，从请求的令牌token中获取用户身份。
5. 访问控制引擎会执行coderreview应用配置的访问控制规则，并且按照规则检查每一次请求，比如：
   1. 请求的用户是谷歌的工程师组的成员。
   2. 请求的用户有足够的信任评级。
   3. 请求的设备是企业管理的设备，并且状态良好。
   4. 请求的设备有足够的信任评级。
   5. 如果所有的检查都通过了，则请求被转发给对应的后端应用。
   6. 如果有一项检查失败了，那么请求被拒绝。

通过这种方法，我们可以对每个请求执行丰富的服务力度的身份验证和授权检查。

迁移到BeyondCorp

与世界上几乎所有其他企业一样，谷歌多年来一直为其客户和应用程序维护着一个特权网络。这种模式已经成为重要的基础设施。虽然公司的所有组件都将迁移到BeyondCorp，但一次性将每个网络用户和每个应用程序迁移到BeyondCorp环境将给业务连续性带来极大的风险。

为了不影响业务连续性，谷歌分阶段迁移、成功地将大量网络用户转移到BeyondCorp。

工作流的改造

谷歌使用的每一个应用程序都必须接入访问代理，并且每个应用程序都经过了如下阶段的改造过程：

1. 可以直接从特权网络和外部VPN访问。
2. 可直接从特权网络访问，也可通过访问代理从外部和非特权网络访问。在本例中，我们使用了拆分DNS，内部域名直接指向应用程序，外部域名直接指向访问代理。
3. 可以通过访问代理从外部网络、特权网络和非特权网络访问。

上述描述的是改造的阶段，比如最原始的阶段，必须从特权网络或者外部VPN才能访问企业应用。接着，把通过外部VPN访问的那部分请求流量切换成通过访问代理进行访问。最后，把所有的流量全部切换成通过访问代理访问。即，所有的流量不再区分为外部流量和内部流量，而是统一对待，都需要经过访问代理的“考验”。

工作职能分析

基于对用户工作流程的分析和BeyondCorp组件当时的能力的了解，能够从财务、销售、法律或工程团队中选择需要改造的优先级高的网络用户。

减少VPN的使用

随着越来越多的用户通过访问代理访问企业应用，可以开始积极地阻止用户使用VPN，采用以下策略：

1. 必须有实际的需要并且通过审核之后，才能使用VPN访问。
2. 监控VPN的使用情况，并删除了在明确规定期限内未使用VPN的用户的访问权限。
3. 监控活跃VPN用户的VPN使用情况。如果他们的所有工作流都可以通过访问代理使用，则强烈建议用户放弃VPN访问权限。

流量分析管道

非常重要的是，只有当我们确定（或非常接近确定）用户的所有工作流程都可以从该网络获得时，我们才将用户移动到非特权网络。为此，建立了一个流量分析管道来对流量进行分析。这样的分析能够确定通过ACL的总流量，以及不通过ACL的有序流量列表。然后，不通过的流量可以连接到特定的工作流和/或特定的用户和/或特定的设备。然后，逐步研究了禁止通行的交通清单，使其在BeyondCorp环境中发挥作用。

为了能够尽可能的迁移到BeyondCorp环境，搭建了一个流量分析机制，把那些在BeyondCorp环境中不能work的流量连接到了特定的工作流和/或特定的用户和/或特定的设备中。

非特权网络模拟

为了增强流量分析管道的效果，谷歌还通过安装在连接到谷歌网络的所有用户设备上的流量监视器模拟了整个公司的非特权网络行为。流量监视器以每个设备为基础检查所有传入和传出流量，根据非特权网络和公司网络其余部分之间的规范ACL验证该流量，并记录未通过验证的流量。监视器有两种模式：

• 记录模式：捕获不合格的流量，但仍允许所述流量离开设备。
• 执行模式：捕获并丢弃不合格的流量。

实际生产过程中，很多安全检查类的软件都会使用这种模式。观察模式和生效模式，所谓观察模式，指的是只记录打日志，却不进行拦截。生效模式指的是既打印日志，也进行拦截。

迁移策略

随着流量分析管道和非特权模拟的实施，定义并正在实施一个分阶段迁移策略，该策略包括以下内容：

1. 根据工作职能和/或工作流程和/或地点确定潜在候选人。
2. 在日志模式下操作模拟器，识别连续30天内合格流量>99.9%的用户和设备。
3. 为该期间合格流量>99.99%的用户和设备激活模拟器强制模式。如有必要，用户可以将模拟器恢复到日志记录模式。
4. 在强制模式下成功运行模拟器30天后，将该事实记录在设备清单中。
5. 除了包含在候选集合中，在模拟器的强制模式下成功运行30天提供了一个非常强烈的信号，即当RADIUS服务器为下一个802.1x身份验证请求提供服务时，设备应被分配到非特权网络。

从BeyondCorp方案的执行过程中可以看到，零信任的关注点主要在两个方面：一个是应层面的限制、比如用户访问企业应用时应该如何进行访问控制；另一个是网络层面的限制，比如用户的设备应该通过什么网络访问企业应用，是特权网络、VPN还是非特权网络。最终要达到的终态是，所有的用户通过非特权网络访问企业应用，而使用特权网络和VPN的用户很少或者没有。

豁免处理

除了尽可能自动化用户和设备从特权网络迁移到新的非特权网络之外，还为用户实施了一个简单的流程，以请求暂时免除这种迁移。我们保留了一个已知的工作流列表，这些工作流尚未符合BeyondCorp的要求。用户可以搜索这些工作流，并使用正确的批准级别，将自己和设备标记为特定工作流的活动用户。当工作流最终符合BeyondCorp的要求时，它的用户会收到通知，并且再次有资格被选择进行迁移。

完成BeyondCorp

谷歌向BeyondCorp的迁移正在顺利进行，它所涉及的大部分工作流程已经通过了资格认证。我们的迁移工具和策略允许我们主动将用户、设备和工作流程迁移到BeyondCorp，而不会影响日常生产效率。我们预计将有一长串工作流程需要一段时间才能转移到BeyondCorp。例如，使用专有协议与服务器对话的胖客户端应用程序将是一个挑战。