企业的网络基础设施越来越复杂,安全边界也逐渐模糊。一方面,云计算、移动互联网等技术的采用,让企业的人、业务、数据“走出”企业边界;平台和服务“跨越”企业的数字护城河。企业的安全边界正在逐渐瓦解。传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。迫切需要一种新的网络安全架构来应对现代复杂的企业网络基础设施和日益严峻的网络威胁形势,零信任架构就是在这样的背景下应运而生的,学术界和工业界都投入了大量的精力进行研究。图1基于边界的传统网络安全架构1.零信任的诞生零信任最早的雏形起源于2004年成立的杰里科论坛,其使命是定义无边界问题趋势下的网络安全并寻求解决方案。2010年,零信任一词正式出现,指出所有网络流量都是不可信的。这一时期的重点是通过微隔离对网络进行细粒度访问控制,以限制攻击者的横向移动。基于身份的架构体系逐渐被业界主流认可。2014年,谷歌基于内部项目BeyondCorp的研究成果构建了零信任架构。2017年,Gartner将其自适应安全架构优化为持续自适应风险和信任评估架构。2.零信任的定义零信任的本质是基于身份的动态可信访问控制。它需要满足五个条件:网络始终处于危险环境中;网络中始终存在外部或内部威胁;网络的位置不足以确定网络的可信度;所有设备、用户和网络流量都应该经过身份验证和认证。授权;安全策略必须是动态的,并根据尽可能多的数据源进行计算。根据零信任的定义和准则,可以提取和浓缩四个要素:(1)身份作为基石,(2)业务安全访问,(3)持续信任评估,(4)动态访问控制。3.零信任架构模型(1)基于身份而非网络位置构建访问控制系统,首先需要为网络中的人和设备分配数字身份,将基于身份的人进行组合构建和设备在运行时访问主题,并设置访问主题所需的最低权限。图2.以身份为基石(2)业务安全接入零信任架构着重于业务防护面的构建,通过业务防护面实现对资源的保护。在零信任架构中,应用、服务、接口、数据都可以看作是业务资源。通过构建保护面来缩小暴露面,要求所有服务默认隐藏,根据授权结果最低限度开放。所有的服务访问请求都应该是完全加密和授权的,业务安全访问相关的机制需要尽可能的发挥作用。在应用协议层。图3业务安全接入(3)持续信任评估持续信任评估是零信任架构从无到有建立信任的关键手段。通过信任评估模型和算法,实现了基于身份的信任评估能力,同时需要监控访问上下文。风险判断,识别访问请求异常行为,调整信任评估结果。图4持续信任评估(4)动态访问控制动态访问控制是零信任架构安全闭环能力的重要体现。推荐通过RBAC和ABAC的联合授权实现灵活的访问控制基线,实现基于信任级别的分级业务访问。同时,当接入上下文和环境存在风险时,需要实时介入,评估接入主体是否信任降级。图5动态访问控制4.零信任架构组件基于零信任模型架构,以构建面向实际应用的零信任系统为目标,需要依赖四个核心组件——(1)可信代理,(2)动态访问控制引擎,(3)信任评估引擎,(4)身份安全基础设施。(1)可信代理可信代理是零信任架构的数据平面组件,是保证业务安全访问的第一网关,是动态访问控制能力的策略执行点。可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行认证,动态确定访问主体的权限。只有通过认证并具有访问权限的访问请求才会被释放。(2)动态访问控制引擎动态访问控制引擎与可信代理相连,对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略决策点。动态访问控制引擎对所有访问请求进行权限判断。权限判断不再是基于简单的静态规则,而是基于上下文属性、信任级别和安全策略的动态判断。(3)信任评估引擎信任评估引擎是零信任架构的核心组件,实现持续的信任评估能力,并与动态访问控制引擎联动,为其提供信任等级评估,作为授权的依据判断。信任评估引擎不断接收可信代理和动态访问控制引擎的日志信息,结合身份数据库和权限数据库的数据,进行持续身份画像,持续分析访问行为,持续评估信任,提供动态访问控制引擎决策依据。此外,信任评估引擎还可以接收外部安全分析平台的分析结果。这些外部风险源可以很好地补充身份分析所需的场景数据,丰富上下文,进行更准确的风险识别和信任评估。(4)身份安全基础设施身份基础设施是实现以身份为基石能力的零信任架构的关键支撑部件。身份基础设施至少包括身份管理和权限管理功能组件。通过身份管理,实现各种实体的身份识别和身份生命周期管理。通过权限管理,对授权策略进行细粒度管理和跟踪分析。五、思考与结论在从零信任开发、定义、模型架构、模型组件等角度深入分析零信任架构后,我们最终得出以下结论与思考。零信任架构目前仅应用于企业网络系统的防御,实际应用于公共服务还存在一定困难。具体原因包括:零信任原则是基于身份的,为参与网络的每个角色分配一个特定的数字身份,而现实公共服务中的角色数量过多,为每个角色分配一个数字身份访问控制可以导致网络负载过大的问题。零信任架构中有一个权限控制中心,它必须位于绝对安全的位置,比如企业内网的防护中心,而公共服务很难做到这一点。
