零信任安全

2014年，由雲安全聯盟CSA的SDP工作組提出的“軟件定義邊界“（SDP）技術架構標準，在全球成為一個被廣泛應用的零信任安全技術解決方案。SDP，全稱Software Defined Perimeter，是通過軟件定義的方式為企業或者組織機構在互聯網上構建一個安全可信的虛擬邊界。SDP打破了傳統防火牆的物理邊界侷限，讓企業服務器可以在任何數據中心或者雲上，辦公設備也可以位於任何位置，順應雲大物移的時代趨勢，成為企業上雲、移動辦公、遠程辦公、物聯網安全、大數據安全的零信任安全最佳實踐解決方案。 ^[2] 

由於傳統網絡安全模型逐漸失效，零信任安全日益成為新時代下的網絡安全的新理念、新架構，甚至已經上升為美國國家的網絡安全戰略。2020年2月，美國國家標準與技術研究院NIST發表《零信任架構標準》白皮書第二版。 ^[1]  2020年6月， CSA大中華區SDP工作組組長陳本峯帶領工作組完成了國內首個零信任安全專家認證CZTP教材的編寫 ^[3]  以及NIST美國國家標準《零信任架構》草案的中文翻譯版發佈。 ^[4] 

2019年，在工信部發布的《關於促進網絡安全產業發展的指導意見(徵求意見稿)》的意見中， “零信任安全”被列入“着力突破網絡安全關鍵技術”之一。同年，中國信通院發佈了《中國網絡安全產業白皮書》，報告中指出：“零信任已經從概念走向落地”。國家也首次將零信任安全技術和5G、雲安全等並列列為我國網絡安全重點細分領域技術。 ^[5] 

零信任既不是技術也不是產品，而是一種安全理念。根據NIST《零信任架構標準》中的定義：

零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網絡環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構（ZTA）則是一種企業網絡安全的規劃，它基於零信任理念，圍繞其組件關係、工作流規劃與訪問策略構建而成。

零信任理念由7個原則組成：

1. 所有數據源和計算服務都被視為資源。

2. 無論網絡位置如何，所有通信必須是安全的。

3. 對企業資源的訪問授權是基於每個連接的。

4. 對資源的訪問由動態策略（包括客户端身份、應用和被請求資產等的可觀測狀態）決定，並可能包括其他行為屬性。

5. 企業確保其掌握和關聯的所有設備都處於儘可能的最安全狀態，並監控設備資產以確保它們保持在儘可能的最安全狀態。

6. 在訪問被允許之前，所有資源訪問的身份驗證和授權是動態的和嚴格強制實施的。

7. 企業收集儘可能多關於網絡基礎設施當前狀態的信息，並用於改善其安全態勢。 ^[1] 

此外，零信任理念還包含5個假設

在企業自有的網絡上的假設：

1)整個企業專業網絡不被視為隱式信任區域。

2)網絡上的設備可能不可由企業擁有或配置。

3)任何資源本質上都不受信任。

在非企業自有的網絡上的假設：

1)並非所有企業資源都在企業擁有的基礎結構上。

2)遠程企業用户無法完全信任本地網絡連接。 ^[1] 

零信任安全只是理念，企業實施零信任安全理念需要依靠技術方案才能將零信任真正落地。除了目前流行的軟件定義邊界SDP技術方案外，在NIST《零信任架構標準》白皮書中列舉了3個技術方案，可以歸納為“SIM”組合：

1)SDP，軟件定義邊界;2)IAM，身份權限管理;3)MSG，微隔離。 ^[6] 

SDP即“軟件定義邊界”,是國際雲安全聯盟CSA於2014年提出的基於零信任(Zero Trust)理念的新一代網絡安全模型。SDP 旨在使應用程序所有者能夠在需要時部署安全邊界,以便將服務與不安全的網絡隔離開來。SDP 將物理設備替換為在應用程序所有者控制下運行的邏輯組件。SDP 僅在設備驗證和身份驗證後才允許訪問企業應用基礎架構。

陳本峯表示，軟件定義邊界（SDP）是在企業上雲、遠程辦公、移動辦公的大環境下設計出來的，是零信任安全理念具體落地的技術手段。

SDP 的體系結構由兩部分組成:SDP 主機和 SDP 控制器。SDP 主機可以發起連接或接受連接。這些操作通過安全控制通道與 SDP 控制器交互來管理(請參見圖1)。因此,在 SDP 中,控制平面與數據平面分離以實現完全可擴展的系統。此外,為便於擴展與保證正常使用,所有組件都可以是多個實例的。 ^[6] 

圖1:SDP架構及特性

在使用中,每個服務器都隱藏在遠程訪問網關設備後面,在授權服務可見且允許訪問之前用户必須對其進行身份驗證。 SDP 採用分類網絡中使用的邏輯模型,並將該模型整合到標準工作流程中。

1、SDP最小化攻擊面降低安全風險;

2、SDP通過分離訪問控制和數據信道,保護關鍵資產和基礎架構,從而阻止潛在的基於網絡的攻擊;

3、SDP提供了整個集成的安全體系結構,這一體系結構是現有的安全設備難以實現的;

4、SDP提供了基於連接的安全架構,而不是基於IP的替代方案。因為整個IT環境爆炸式的增長,雲環境中的邊界缺失使得基於IP的安全性變得脆弱。

5、SDP允許預先審查控制所有連接,從哪些設備、哪些服務、哪些設施可以進行連接,所以它整個的安全性方面是比傳統的架構是更有優勢的。

身份管理是大多數組織實現安全和IT運營策略的核心。它使企業可以自動訪問越來越多的技術資產,同時管理潛在的安全和合規風險。身份管理為所有用户,應用程序和數據啓用並保護數字身份。

開發ZTA的增強的身份管理方法將參與者的身份用作策略創建的關鍵組成部分。企業資源訪問的主要要求基於授予給定主體的訪問特權。通常使用開放式網絡模型或具有訪問者訪問權限或網絡上頻繁使用非企業設備的企業網絡找到針對企業的基於身份治理的增強方法。最初,所有具有資源訪問權限的資產都將獲得網絡訪問權限,這些權限僅限於具有適當訪問權限的身份。自發布NIST SP 800-207(第二草稿)零信任架構以來,身份驅動的方法與資源門户網站模型配合的很好。身份和狀態提供輔助支持數據以訪問決策。其他模型也可以使用,具體取決於現有的策略。

身份管理可以幫助組織有效地解決複雜業務帶來的挑戰,並平衡四個關鍵目標:

1. 加強安全性並降低風險。

2. 改善合規性和審計績效。

3. 提供快速,有效的業務訪問。

4. 降低運營成本。

圖2: 零信任身份與訪問管理

微隔離是一種網絡安全技術,它可以將數據中心在邏輯上劃分為各個工作負載級別的不同安全段,然後定義安全控制併為每個唯一段提供服務。微隔離使IT人員可以使用網絡虛擬化技術在數據中心內部部署靈活的安全策略,而不必安裝多個物理防火牆。此外,微隔離可用於保護每個虛擬機(VM)在具有策略驅動的應用程序級安全控制的企業網絡中。微隔離技術可以大大增強企業的抵禦能力。

圖: 微隔離

微隔離是一種在數據中心和雲部署中創建安全區域的方法,該方法使企業組織可以分離工作負載並分別保護它們,使網絡安全性更加精細,從而更加有效。如下為微隔離的幾個好處:

1,減少攻擊面

2.改善橫向運動的安全性

3.安全關鍵應用

4.改善法規遵從性狀況 ^[6] 

1. 分支機構訪問總部業務系統

最常見的情況是，企業只有一個總部和一個或多個地理上分散的位置，這些位置沒有企業擁有的物理網絡連接。

圖4：有遠程辦公員工的企業

2. 企業多雲戰略

部署ZTA策略的一個越來越常見的用例是使用多個雲提供商的企業(見圖5)。在這個用例中，企業有一個本地網絡，但使用兩個(或更多)雲服務提供商來承載應用程序和數據。有時，應用程序，而非數據源，託管在一個獨立的雲服務上。為了提高性能和便於管理， 託管在雲提供商A中的應用程序，應該能夠直接連接到託管在雲提供商B中的數據源，而不是強制應用程序通過隧道返回企業網絡。

3 .臨時工、外包員工訪問業務系統

另一個常見的場景是，一個企業包含需要有限訪問企業資源才能完成工作的現場訪問者和/或外包服務提供商(見圖6)。

圖6：具有非員工訪問的企業

4. 跨企業協同

第四個用例是跨企業協作。例如，有一個項目涉及企業A和企業B的員工(見圖7)。這兩個企業可以是獨立的聯邦機構(G2G)，甚至是聯邦機構和私營企業(G2B)。企業A運行用於項目的數據庫，但必須允許企業B的某些成員訪問數據。企業A可以為企業B的員工設置專用賬户，以訪問所需的數據並拒絕訪問所有其他資源。

圖7：跨企業協作

5. 提供面向公眾或面向客户的服務的企業

許多企業的共同特徵是面向公眾的服務，其中可能包含或不包含用户註冊(即用户必須創建或已獲得一組登錄憑據)。這樣服務可能是針對普通大眾，具有現有業務關係的一組客户，或一組特殊的非企業用户。

6.員工訪問互聯網資源

員工正在嘗試訪問公共Internet以完成某些任務。此場景將演示一種特定的用户體驗，其中員工嘗試使用企業管理的設備在Internet上訪問基於web的服務。　　

圖8：訪問互聯網

7.企業內的服務器間通信

企業服務通常有不同的服務器相互通信。例如，web服務器與應用服務器通信。應用服務器與數據庫通信以將數據檢索回web服務器。　　

圖9：企業內的服務器間通信

8.建立企業資源的信任級別

企業有監控系統、安全信息和事件管理(SIEM)系統以及其他資源，這些資源可以向策略引擎提供數據，從而為訪問企業資源創建更細粒度的信任級別，並促進基於信任級別的嚴格訪問。在這種情況下，ZTA解決方案將這些監控和SIEM系統與策略引擎集成，以生成更精確的置信水平計算。 ^[7]