零信任架构：下一代网络安全架构？

最新推荐文章于 2024-07-17 22:33:18 发布

网络空间发展与战略研究中心

最新推荐文章于 2024-07-17 22:33:18 发布

阅读量3.4k

点赞数 1

分类专栏：网络空间安全

原文链接：https://mp.weixin.qq.com/s/-SkvCf8fzSqw2z5b1WP7Ig

版权

网络空间安全专栏收录该内容

27 篇文章 12 订阅

订阅专栏

编者荐语：

云计算和大数据时代，网络安全边界逐渐瓦解，内外部威胁愈演愈烈，传统的边界安全架构难以应对，零信任安全架构应运而生。

首席安全官+ 是一个围绕“大数据、云计算和人工智能”高技术领域，发布相关网络安全前沿技术和产业趋势的平台，努力打造“有特色、高水平、国际化”的网络安全思想高地。如投稿，请发送到：csoplus@163.com。

组织机构的网络基础设施日益复杂，安全边界逐渐模糊。数字化转型的时代浪潮推动着信息技术的快速演进，云计算、大数据、物联网、移动互联等新一代IT技术为各行各业带来了新的生产力，但同时也给组织机构的网络基础设施带来了极大的复杂性。组织机构的安全边界正在逐渐瓦解，传统的基于边界的网络安全架构和解决方案难以适应新一代网络基础设施。

网络安全形势不容乐观，外部攻击和内部威胁愈演愈烈。有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击(APT)仍然能轻易找到各种漏洞突破组织机构的网络边界；内部业务的非授权访问、雇员犯错、有意的数据窃取等内部威胁愈演愈烈。

安全事件层出不穷，传统安全架构失效背后的根源是什么呢？答案是信任。传统的基于边界的网络安全架构某种程度上假设、或默认了内网的人和设备是值得信任的，认为网络安全就是构筑企业的数字护城河，通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护就足够了。

事实证明：正确的思维应该是假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠。“四个假设”彻底推翻了传统网络安全通过隔离、修边界的技术方法，彻底推翻了边界安全架构下对“信任”的假设和滥用，基于边界的网络安全架构和解决方案已经难以应对现今的网络威胁。

因此，需要全新的网络安全架构以应对现代复杂的新一代网络基础设施，以应对日益严峻的网络威胁形势，零信任架构正是在这种背景下应运而生，是安全思维和安全架构进化的必然。

一、零信任的定义

零信任架构一直在快速发展和成熟，不同版本的定义基于不同的维度进行描述。在《零信任网络》一书中，埃文.吉尔曼（Evan Gilman）和道格.巴斯(Doug Barth)将零信任的定义建立在如下五个基本假定之上：

网络无时无刻不处于危险的环境中。
网络中自始至终存在外部或内部威胁。
网络的位置不足以决定网络的可信程度。
所有的设备、用户和网络流量都应当经过认证和授权。
安全策略必须是动态的，并基于尽可能多的数据源计算而来。

简而言之：默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆，其本质是以身份为基石的动态可信访问控制。

NIST在最近发表的《零信任架构》（草案）中指出，零信任架构是一种网络/数据安全的端到端方法，关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施，认为零信任是一种关注数据保护的架构方法，认为传统安全方案只关注边界防护，对授权用户开放了过多的访问权限。零信任的首要目标就是基于身份进行细粒度的访问控制，以便应对越来越严峻的越权横向移动风险。

基于如上观点，NIST对零信任及零信任架构定义如下：

零信任（ZT）提供了一系列概念和思想，旨在面对失陷网络时，减少在信息系统和服务中执行准确的、按请求访问决策时的不确定性。零信任架构（ZTA）是一种组织机构的网络安全战略规划，它利用零信任概念，并囊括其组件关系、工作流规划与访问策略。

二、零信任的发展历史

从零信任的发展历史进行分析，也不难发现零信任的各种不同维度的观点也在持续发展、融合，并最终表现出较强的一致性。

零信任的最早雏形源于2004年成立的耶利哥论坛（Jericho Forum ），其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年，零信任这个术语正式出现，并指出所有的网络流量都是不可信的，需要对访问任何资源的任何请求进行安全控制，零信任提出之初，其解决方案专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。

随着零信任的持续演进，以身份为基石的架构体系逐渐得到业界主流的认可，这种架构体系的转变与移动计算、云计算的大幅采用密不可分。2014年开始，Google基于其内部项目BeyondCorp的研究成果，陆续发表了多篇论文，阐述了在Google内部如何为其员工构建零信任架构。BeyondCorp的出发点在于仅仅针对企业边界构建安全控制已经不够了，需要把访问控制从边界迁移到每个用户和设备。通过构建零信任，Google成功地摒弃了对传统VPN的采用，通过全新架构体系确保所有来自不安全网络的用户能安全地访问企业业务。

通过业界对零信任理论和实践的不断完善，零信任已经超越了最初的网络层微分段的范畴，演变为以身份为基石的，能覆盖云环境、大数据中心、微服务等众多场景的新一代安全解决方案。

综合分析各种零信任的定义和框架，不难看出零信任架构的本质是以身份为基石的动态可信访问控制，聚焦身份、信任、业务访问和动态访问控制等维度的安全能力，基于业务场景的人、流程、环境、访问上下文等多维的因素，对信任进行持续评估，并通过信任等级对权限进行动态调整，形成具备较强风险应对能力的动态自适应的安全闭环体系。