零信任安全:背景,零信任安全理念,零信任安全的技術方案,零信任安全的常見套用場景,

零信任既不是技術也不是產品，而是一種安全理念。根據NIST《零信任架構標準》中的定義：

零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網路環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構（ZTA）則是一種企業網路安全的規劃，它基於零信任理念，圍繞其組件關係、工作流規劃與訪問策略構建而成。

背景,零信任安全理念,零信任安全的技術方案,零信任安全的常見套用場景,

背景

2014年，由雲安全聯盟CSA的SDP工作組提出的“軟體定義邊界“（SDP）技術架構標準，在全球成為一個被廣泛套用的零信任安全技術解決方案。SDP，全稱Software Defined Perimeter，是通過軟體定義的方式為企業或者組織機構在網際網路上構建一個安全可信的虛擬邊界。SDP打破了傳統防火牆的物理邊界局限，讓企業伺服器可以在任何數據中心或者雲上，辦公設備也可以位於任何位置，順應雲大物移的時代趨勢，成為企業上雲、移動辦公、遠程辦公、物聯網安全、大數據安全的零信任安全最佳實踐解決方案。

由於傳統網路安全模型逐漸實效，零信任安全日益成為新時代下的網路安全的新理念、新架構，甚至已經上升為美國國家的網路安全戰略。2020年2月，美國國家標準與技術研究院NIST發表《零信任架構標準》白皮書第二版。2020年6月， CSA大中華區SDP工作組組長陳本峰帶領工作組完成了國內首個零信任安全專家認證CZTP教材的編寫以及NIST美國國家標準《零信任架構》草案的中文翻譯版發布。

2019年，在工信部發布的《關於促進網路安全產業發展的指導意見(徵求意見稿)》的意見中， “零信任安全”被列入“著力突破網路安全關鍵技術”之一。同年，中國信通院發布了《中國網路安全產業白皮書》，報告中指出：“零信任已經從概念走向落地”。國家也首次將零信任安全技術和5G、雲安全等並列列為我國網路安全重點細分領域技術。

零信任安全理念

零信任既不是技術也不是產品，而是一種安全理念。根據NIST《零信任架構標準》中的定義：

零信任理念由7個原則組成：

1. 所有數據源和計算服務都被視為資源。

2. 無論網路位置如何，所有通信必須是安全的。

3. 對企業資源的訪問授權是基於每個連線的。

4. 對資源的訪問由動態策略（包括客戶端身份、套用和被請求資產等的可觀測狀態）決定，並可能包括其他行為屬性。

5. 企業確保其掌握和關聯的所有設備都處於儘可能的最安全狀態，並監控設備資產以確保它們保持在儘可能的最安全狀態。

6. 在訪問被允許之前，所有資源訪問的身份驗證和授權是動態的和嚴格強制實施的。

7. 企業收集儘可能多關於網路基礎設施當前狀態的信息，並用於改善其安全態勢。

此外，零信任理念還包含5個假設

　　在企業自有的網路上的假設：

　　1)整個企業專業網路不被視為隱式信任區域。

　　2)網路上的設備可能不可由企業擁有或配置。

　　3)任何資源本質上都不受信任。

　　在非企業自有的網路上的假設：

　　1)並非所有企業資源都在企業擁有的基礎結構上。

　　2)遠程企業用戶無法完全信任本地網路連線。

零信任安全的技術方案

零信任安全只是理念，企業實施零信任安全理念需要依靠技術方案才能將零信任真正落地。除了目前流行的軟體定義邊界SDP技術方案外，在NIST《零信任架構標準》白皮書中列舉了3個技術方案，可以歸納為“SIM”組合：

1)SDP，軟體定義邊界;2)IAM，身份許可權管理;3)MSG，微隔離。

SDP 軟體定義邊界:

SDP即“軟體定義邊界”,是國際雲安全聯盟CSA於2014年提出的基於零信任(Zero Trust)理念的新一代網路安全模型。SDP 旨在使應用程式所有者能夠在需要時部署安全邊界,以便將服務與不安全的網路隔離開來。SDP 將物理設備替換為在應用程式所有者控制下運行的邏輯組件。SDP 僅在設備驗證和身份驗證後才允許訪問企業套用基礎架構。

陳本峰表示，軟體定義邊界（SDP）是在企業上雲、遠程辦公、移動辦公的大環境下設計出來的，是零信任安全理念具體落地的技術手段。作為SDP領域的代表性安全廠商，雲深互聯利用新一代零信任網路隱身技術，為企業構建起“雲-管-端”一體化的數據資產安全防護體系。

SDP 的體系結構由兩部分組成:SDP 主機和 SDP 控制器。SDP 主機可以發起連線或接受連線。這些操作通過安全控制通道與 SDP 控制器互動來管理(請參見下圖)。因此,在 SDP 中,控制平面與數據平面分離以實現完全可擴展的系統。此外,為便於擴展與保證正常使用,所有組件都可以是多個實例的。

圖:SDP架構及特性

在使用中,每個伺服器都隱藏在遠程訪問網關設備後面,在授權服務可見且允許訪問之前用戶必須對其進行身份驗證。 SDP 採用分類網路中使用的邏輯模型,並將該模型整合到標準工作流程中。

SDP的安全優勢:

1、SDP最小化攻擊面降低安全風險;

2、SDP通過分離訪問控制和數據信道,保護關鍵資產和基礎架構,從而阻止潛在的基於網路的攻擊;

3、SDP提供了整個集成的安全體系結構,這一體系結構是現有的安全設備難以實現的;

4、SDP提供了基於連線的安全架構,而不是基於IP的替代方案。因為整個IT環境爆炸式的增長,雲環境中的邊界缺失使得基於IP的安全性變得脆弱。

5、SDP允許預先審查控制所有連線,從哪些設備、哪些服務、哪些設施可以進行連線,所以它整個的安全性方面是比傳統的架構是更有優勢的。

IAM(增強的身份管理)

身份管理是大多數組織實現安全和IT運營策略的核心。它使企業可以自動訪問越來越多的技術資產,同時管理潛在的安全和合規風險。身份管理為所有用戶,應用程式和數據啟用並保護數字身份。

開發ZTA的增強的身份管理方法將參與者的身份用作策略創建的關鍵組成部分。企業資源訪問的主要要求基於授予給定主體的訪問特權。通常使用開放式網路模型或具有訪問者訪問許可權或網路上頻繁使用非企業設備的企業網路找到針對企業的基於身份治理的增強方法。最初,所有具有資源訪問許可權的資產都將獲得網路訪問許可權,這些許可權僅限於具有適當訪問許可權的身份。自發布NIST SP 800-207(第二草稿)零信任架構以來,身份驅動的方法與資源入口網站模型配合的很好。身份和狀態提供輔助支持數據以訪問決策。其他模型也可以使用,具體取決於現有的策略。

身份管理可以幫助組織有效地解決複雜業務帶來的挑戰,並平衡四個關鍵目標:

1. 加強安全性並降低風險。

2. 改善合規性和審計績效。

3. 提供快速,有效的業務訪問。

4. 降低運營成本。

圖: 零信任身份與訪問管理

MSG(微隔離)

微隔離是一種網路安全技術,它可以將數據中心在邏輯上劃分為各個工作負載級別的不同安全段,然後定義安全控制並為每個唯一段提供服務。微隔離使IT人員可以使用網路虛擬化技術在數據中心內部部署靈活的安全策略,而不必安裝多個物理防火牆。此外,微隔離可用於保護每個虛擬機(VM)在具有策略驅動的應用程式級安全控制的企業網路中。微隔離技術可以大大增強企業的抵禦能力。

圖: 微隔離

微隔離是一種在數據中心和雲部署中創建安全區域的方法,該方法使企業組織可以分離工作負載並分別保護它們,使網路安全性更加精細,從而更加有效。如下為微隔離的幾個好處:

1,減少攻擊面

2.改善橫向運動的安全性

3.安全關鍵套用

4.改善法規遵從性狀況

零信任安全的常見套用場景

　　1. 分支機構訪問總部業務系統

　　最常見的情況是，企業只有一個總部和一個或多個地理上分散的位置，這些位置沒有企業擁有的物理網路連線。

圖：有遠程辦公員工的企業

　　2. 企業多雲戰略

部署ZTA策略的一個越來越常見的用例是使用多個雲提供商的企業(見圖2)。在這個用例中，企業有一個本地網路，但使用兩個(或更多)雲服務提供商來承載應用程式和數據。有時，應用程式，而非數據源，託管在一個獨立的雲服務上。為了提高性能和便於管理，託管在雲提供商A中的應用程式，應該能夠直接連線到託管在雲提供商B中的數據源，而不是強制應用程式通過隧道返回企業網路。

　　3 .臨時工、外包員工訪問業務系統

　　另一個常見的場景是，一個企業包含需要有限訪問企業資源才能完成工作的現場訪問者和/或外包服務提供商(見圖3)。

圖：具有非員工訪問的企業

　　4. 跨企業協同

　　第四個用例是跨企業協作。例如，有一個項目涉及企業A和企業B的員工(見圖4)。這兩個企業可以是獨立的聯邦機構(G2G)，甚至是聯邦機構和私營企業(G2B)。企業A運行用於項目的資料庫，但必須允許企業B的某些成員訪問數據。企業A可以為企業B的員工設定專用賬戶，以訪問所需的數據並拒絕訪問所有其他資源。