零信任架构在关键信息基础设施安全保护中的应用

关键信息基础设施作为经济社会运行的神经中枢，随着信息信息技术的发展，关键信息基础设施加速与云计算、大数据、物联网、移动计算等新技术进行结合，通过互联互通实现数据共享协同，提高生产力，提升创新能力。

在当前的网络安全态势下，针对关键信息技术建设的新型攻击技术手段层出不穷，网络安全事件时有发生，同时，非授权访问、人员犯错、有意的数据窃取等内部威胁也层出不穷，关键信息基础设施面临前所未有的安全挑战。

如果你决心部署零信任模型，或者仅仅在考虑阶段，可以仔细阅读这篇文章，即便“条条大道通零信任”，这些普适建议仍然能帮您聚焦重点问题，少走弯路和邪路。

零 信 任 架 构

零信任架构是一种网络安全的端到端方法，关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施，认为零信任是一种关注数据保护的架构方法。它的首要目标就是基于身份进行细粒度的访问控制，以便应对越来越严峻的越权横向移动风险。

零信任架构建立在五个基本假定之上：

• 网络无时无刻不处于危险的环境中

• 网络中自始至终存在外部或内部威胁

• 网络的位置不足以决定网络的可信程度

• 所有的设备、用户和网络流量都应当被认证和授权

• 安全策略必须是动态的，并基于尽可能多的数据源计算而来

基于零信任架构的安全解决方案

零信任架构下，访问客体是核心保护的资源，针对被保护资源构建保护面，资源包括但不限于业务应用、服务接口、操作功能和数据等关键信息基础设施。访问主体包括人员、设备、应用和系统等身份化之后的数字实体，在一定的访问上下文中，这些实体还可以进行进行组合绑定，进一步对主体进行明确和限定。

零信任架构的核心能力

零信任架构的关键能力

（1）以身份为基石

在零信任架构中，根据一定的访问上下文，访问主体可以是人、设备和应用等实体数字身份的动态组合。

（2）业务安全访问

通过构建保护面实现对暴露面的收缩，要求所有业务默认隐藏，根据授权结果进行最小程度的开放，所有的业务访问请求都应该进行全流量加密和强制授权，业务安全访问相关机制需要尽可能工作在应用协议层。

（3）持续信任评估

持续信任评估是零信任体系从零开始构建信任的关键手段，通过信任评估模型和算法，实现基于身份的信任评估能力，同时需要对访问的上下文环境进行风险判定，对访问请求进行异常行为识别，并对信任评估结果进行调整。

（4）动态访问控制

建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线，基于信任等级实现分级的业务访问。

零信任架构的参考架构

零信任架构的关键能力需要通过具体的逻辑架构组件来实现，其逻辑组件参考架构。

零信任通用参考架构

（1）可信代理

可信代理是零信任架构的数据平面组件，是确保业务安全访问的第一道关口，是动态访问控制能力的策略执行点。

（2）动态访问控制引擎

动态访问控制引擎和可信代理联动，对所有访问请求进行认证和动态授权，是零信任架构控制平面的策略判定点。

（3）信任评估引擎

信任评估引擎是零信任架构中实现持续信任评估能力的核心组件，和动态访问控制引擎联动，为其提供信任等级评估作为授权判定依据。

（4）身份安全基础设施

身份基础设施是实现零信任架构以身份为基石能力的关键支撑组件，至少包含身份管理和权限管理功能组件，通过身份管理实现各种实体的身份化及身份生命周期管理，通过权限管理，对授权策略进行细粒度的管理和跟踪分析。

零信任安全架构对传统的边界安全架构思想重新进行了评估和审视，并对安全架构思路给出了新的建议：

默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用，而是应该基于认证、授权和加密技术重构访问控制的信任基础，并且这种授权和信任不是静态的，它需要基于对访问主体的风险度量进行动态调整。