業(yè)界對零信任理念的了解，大多最早來自谷歌的BeyondCorp項(xiàng)目和Forrester提出的零信任模型。雖然兩者關(guān)注的側(cè)重點(diǎn)不同，但“不再對網(wǎng)絡(luò)和流量信任”和“貫徹最小權(quán)限原則”兩個核心一致且被業(yè)界廣泛接受。

[[322073]]

谷歌的BeyondCorp項(xiàng)目背景：隨著云技術(shù)越來越普及，大量員工在外網(wǎng)辦公，大量手機(jī)、PAD等新設(shè)備出現(xiàn)，外協(xié)、臨時員工的加入，使得邊界變得沒有意義。谷歌認(rèn)為傳統(tǒng)防火墻的保護(hù)效果變得不明顯，不如破除內(nèi)外網(wǎng)實(shí)行統(tǒng)一，將所有應(yīng)用部署在公網(wǎng)上，用戶不再需要通過VPN連接到內(nèi)網(wǎng)，而是通過與設(shè)備為中心的認(rèn)證、授權(quán)工作流，實(shí)現(xiàn)員工任何地點(diǎn)對資源的訪問。

隨著業(yè)務(wù)電子化，在移動互聯(lián)網(wǎng)復(fù)雜多變的環(huán)境下，企業(yè)需要面臨來自內(nèi)外部的風(fēng)險(xiǎn)，疫情期間，企業(yè)紛紛開啟移動辦公模式，便捷處理帶來便利的同時，也面臨著移動端數(shù)據(jù)泄露、賬號密碼泄露、特權(quán)賬號共享、內(nèi)部員工違規(guī)操作、設(shè)備風(fēng)險(xiǎn)等眾多問題;同時，企業(yè)對外業(yè)務(wù)還要面臨資深黑產(chǎn)、薅羊毛、基礎(chǔ)設(shè)施、金融欺詐、信貸欺詐等外部安全威脅，可謂“腹背受敵”，安全防護(hù)模式亟待改變。

安全牛近期就“零信任”這一話題，采訪到了專注以“人”為業(yè)務(wù)安全切入點(diǎn)的零信任安全企業(yè)芯盾時代的聯(lián)合創(chuàng)始人兼CTO-孫悅。此文將結(jié)合具體實(shí)踐案例，探討企業(yè)實(shí)施零信任架構(gòu)應(yīng)對異構(gòu)網(wǎng)絡(luò)的業(yè)務(wù)安全需求之前，需要關(guān)注的六個關(guān)鍵問題：

零信任安全理念的起源和主要應(yīng)用范圍?

零信任概念是由網(wǎng)絡(luò)去邊界化發(fā)展改進(jìn)而來。之前網(wǎng)絡(luò)的建設(shè)理念中，將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)，網(wǎng)絡(luò)攻擊來自于企業(yè)外部是業(yè)界的共識，默認(rèn)做好邊界防護(hù)就安全了。企業(yè)安全部門通過防火墻、IDS/IPS、VPN、行為審計(jì)等技術(shù)手段和產(chǎn)品，保證員工的正常訪問和合法的操作，能夠識別和攔截惡意或非授權(quán)訪問。

云的廣泛應(yīng)用和移動互聯(lián)網(wǎng)技術(shù)的發(fā)展，帶來日趨開放和復(fù)雜的網(wǎng)絡(luò)邊界，快速變化的人員架構(gòu)，靈活的移動辦公，內(nèi)網(wǎng)邊界也日趨復(fù)雜與模糊，讓基于邊界的安全防護(hù)逐漸失效，來自企業(yè)外部的欺詐和內(nèi)部的信息泄露造成的損失逐年劇增。這些都在倒逼企業(yè)和安全服務(wù)提供商，尋找和嘗試新的安全防護(hù)體系，以求在不降低辦公效率前提下有效應(yīng)對新型挑戰(zhàn)。

逐利的本質(zhì)使得攻擊往往發(fā)生在有價值的利益點(diǎn)上，也就是企業(yè)的業(yè)務(wù)系統(tǒng)中。入侵者不再僅僅依靠0day漏洞入侵網(wǎng)絡(luò)，更多是通過弱密碼、臨時員工賬號等方式入侵網(wǎng)絡(luò)。目前看來，業(yè)務(wù)發(fā)展、數(shù)據(jù)應(yīng)用和安全訪問的矛盾主要發(fā)生在金融、政府機(jī)構(gòu)、電信、教育、互聯(lián)網(wǎng)企業(yè)等行業(yè)，無論是哪個行業(yè)的企業(yè)，都會面臨信息泄露和欺詐等新型威脅。在復(fù)雜的異構(gòu)網(wǎng)絡(luò)基礎(chǔ)下，只有為企業(yè)用戶解決業(yè)務(wù)安全問題，才能助推業(yè)務(wù)快速發(fā)展。

零信任安全“不以邊界作為信任條件”符合當(dāng)下異構(gòu)網(wǎng)絡(luò)和業(yè)務(wù)的發(fā)展需求的，尤其是對會帶來巨額損失的業(yè)務(wù)系統(tǒng)的防護(hù)有著重要價值，是業(yè)務(wù)安全的防護(hù)的基礎(chǔ)理念。零信任安全架構(gòu)對業(yè)務(wù)的防護(hù)，主要通過對來自企業(yè)內(nèi)外部的所有訪問進(jìn)行信任評估和動態(tài)訪問控制，對所有訪問企業(yè)資源的請求，進(jìn)行認(rèn)證、授權(quán)和加密，其中認(rèn)證包括對用戶和使用設(shè)備的全面驗(yàn)證，且對每一次訪問請求進(jìn)行不限于終端環(huán)境、用戶操作風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、外部威脅等因素的實(shí)時風(fēng)險(xiǎn)評估，根據(jù)評估結(jié)果進(jìn)行動態(tài)訪問控制。

何為異構(gòu)網(wǎng)絡(luò)?與零信任的關(guān)系?

異構(gòu)網(wǎng)絡(luò)是業(yè)務(wù)增長自然發(fā)展而來，網(wǎng)絡(luò)的開放、技術(shù)的發(fā)展、業(yè)務(wù)線上化趨勢及承載設(shè)備類型增加等方面，都使得異構(gòu)網(wǎng)絡(luò)的程度在加深，這是較為明確的未來發(fā)展方向。

當(dāng)下企業(yè)的業(yè)務(wù)處于異構(gòu)網(wǎng)絡(luò)中，在進(jìn)行安全防護(hù)體系建設(shè)時，需要考慮到各種異構(gòu)元素，主要有：異構(gòu)的終端設(shè)備——接入業(yè)務(wù)的不同終端系統(tǒng)的設(shè)備，如手機(jī)、PC、服務(wù)器、瀏覽器等;異構(gòu)的網(wǎng)絡(luò)環(huán)境——可通過3G、4G、5G等移動網(wǎng)絡(luò)或固定網(wǎng)絡(luò)接入;異構(gòu)的安全場景——以漏洞挖掘、攻防、邊界為核心的網(wǎng)絡(luò)安全需求和以識別并處置惡意用戶、惡意操作為主的業(yè)務(wù)安全需求;異構(gòu)的法規(guī)標(biāo)準(zhǔn)——安全體系需要滿足不同的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和行業(yè)規(guī)范;還有異構(gòu)的使用人群也是重要要素，包括固定辦公、移動辦公長期員工，外協(xié)單位、安保人員等短期員工，供應(yīng)商、運(yùn)維人員等合作單位及實(shí)習(xí)、離職員工等。

零信任安全的理念，以保護(hù)企業(yè)資源安全為目標(biāo)，通過建立以人的身份為中心，人、設(shè)備、行為為子集的新安全架構(gòu)，從設(shè)備風(fēng)險(xiǎn)、真實(shí)身份、數(shù)字身份、歷史信譽(yù)和當(dāng)前行為五個維度展開，解決當(dāng)今企業(yè)IT環(huán)境下的風(fēng)險(xiǎn)問題。“人”對應(yīng)組織架構(gòu)復(fù)雜、人員組成多樣化的特點(diǎn)，人具有其真實(shí)身份和數(shù)字身份的對應(yīng)，這是人員異構(gòu)的問題;手機(jī)、物聯(lián)網(wǎng)設(shè)備帶來終端設(shè)備快速更迭，人與設(shè)備的綁定關(guān)系越來越弱，設(shè)備對應(yīng)網(wǎng)絡(luò)環(huán)境越來越開放、設(shè)備越來越多樣化的特點(diǎn)，這是設(shè)備終端異構(gòu)和網(wǎng)絡(luò)異構(gòu);行為對應(yīng)歷史信譽(yù)和當(dāng)前行為，賬號攻擊、漏洞攻擊等網(wǎng)絡(luò)攻擊方式都可以從行為上發(fā)現(xiàn)端倪，對訪問行為的主動干預(yù)勢在必行，即對應(yīng)異構(gòu)的安全場景。

零信任安全架構(gòu)為異構(gòu)網(wǎng)絡(luò)下的業(yè)務(wù)安全需求提供了方法論的支持，是零信任的核心能力所在。零信任安全架構(gòu)是符合當(dāng)下業(yè)務(wù)安全需求和發(fā)展前景的，其核心目的主要是通過對于身份的驗(yàn)證和持續(xù)驗(yàn)證，發(fā)現(xiàn)并解決業(yè)務(wù)風(fēng)險(xiǎn)。

如何建設(shè)合理的零信任網(wǎng)絡(luò)架構(gòu)?

零信任安全架構(gòu)具有五個基本假設(shè)：

• 網(wǎng)絡(luò)一直處于危險(xiǎn)的環(huán)境中，網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅;
• 網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度，默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部或外部的任何人/設(shè)備/系統(tǒng);
• 基于認(rèn)證和授權(quán)重構(gòu)業(yè)務(wù)訪問控制的信任基礎(chǔ);
• 所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)被認(rèn)證、授權(quán)和加密;
• 安全策略必須是動態(tài)的，并基于設(shè)備和用戶的多源環(huán)境數(shù)據(jù)和訪問行為數(shù)據(jù)計(jì)算而來。

零信任引導(dǎo)安全體系架構(gòu)由“網(wǎng)絡(luò)中心化”走向“身份中心化”，其本質(zhì)訴求是以“人”為中心進(jìn)行訪問控制，在不可信的網(wǎng)絡(luò)環(huán)境中，以身份為核心，基于認(rèn)證和授權(quán)的訪問控制管理重構(gòu)可信的、安全的網(wǎng)絡(luò)框架，滿足異構(gòu)網(wǎng)絡(luò)的安全需求，解決因網(wǎng)絡(luò)環(huán)境開放，用戶角色復(fù)雜引發(fā)的各種身份安全風(fēng)險(xiǎn)、設(shè)備安全風(fēng)險(xiǎn)和行為安全風(fēng)險(xiǎn)。

我們認(rèn)為零信任安全架構(gòu)主要由四個組件組成，包括：設(shè)備端安全管理組件(驗(yàn)證設(shè)備)、用戶的統(tǒng)一身份管理(驗(yàn)證用戶)、動態(tài)訪問控制網(wǎng)關(guān)(動態(tài)授予最小化權(quán)限)、智能安全大腦(持續(xù)自適應(yīng)風(fēng)險(xiǎn)和信任評估)，四個功能組件各有分工又互相聯(lián)動，達(dá)到為企業(yè)業(yè)務(wù)安全服務(wù)。

網(wǎng)絡(luò)架構(gòu)微分層

如果將用戶“訪問網(wǎng)絡(luò)-登錄應(yīng)用-使用及操作-退出應(yīng)用”的過程，可以將網(wǎng)絡(luò)架構(gòu)由下到上分為網(wǎng)絡(luò)通訊、設(shè)備認(rèn)證、身份認(rèn)證和行為管控四個微層次。每個微層次有其不同的作用：

• 網(wǎng)絡(luò)通訊層：解決網(wǎng)絡(luò)連通問題，以及網(wǎng)絡(luò)層安全。
• 設(shè)備認(rèn)證層：解決設(shè)備層安全威脅，包括移動設(shè)備、PC機(jī)、服務(wù)器、物聯(lián)網(wǎng)設(shè)備等，分為識別和控制兩個層面。
• 身份認(rèn)證層：解決用戶身份識別問題，通過對用戶進(jìn)行所知、所持、所有的信息進(jìn)行持續(xù)、自適應(yīng)認(rèn)證的方式確定用戶身份。
• 行為管控層：解決威脅發(fā)現(xiàn)與應(yīng)急處置問題，通過人工智能技術(shù)動態(tài)發(fā)現(xiàn)用戶行為中的安全風(fēng)險(xiǎn)，并進(jìn)行主動干預(yù)。

從建設(shè)零信任網(wǎng)絡(luò)的角度來看，可以參考這四個微分層，在完成基礎(chǔ)網(wǎng)絡(luò)體系后，根據(jù)自身特點(diǎn)和業(yè)務(wù)情況逐步有序的進(jìn)行建設(shè)。另外，很多企業(yè)在考慮是否上零信任時，大多會擔(dān)心員工和外部用戶的正常訪問體驗(yàn)，其實(shí)隨著控制節(jié)點(diǎn)的增加，對惡意用戶而言是愈加嚴(yán)厲的認(rèn)證策略，正常用戶則趨向無感知。

零信任安全架構(gòu)最突出的一個特點(diǎn)是?

如果只能有一個突出特定，我想將它留給“動態(tài)”。

零信任安全是風(fēng)險(xiǎn)和信任之間的平衡狀態(tài)，對于不同的風(fēng)險(xiǎn)級別，授予不同信任程度，分配不同的權(quán)限。在零信任架構(gòu)中，沒有絕對的可信或不可信。密碼認(rèn)證錯誤可能是輸入錯誤，通過驗(yàn)證的多賬號登錄可能存在高危風(fēng)險(xiǎn)，異地登錄、換設(shè)備登錄，單獨(dú)每一項(xiàng)都沒有辦法唯一確定信任與風(fēng)險(xiǎn)，風(fēng)險(xiǎn)和信任是互相糾纏的。

零信任還有一個不得不提的特定是最小授權(quán)，以O(shè)A具體應(yīng)用為例，我們可以針對不同的功能設(shè)定風(fēng)險(xiǎn)等級，如查詢個人郵件、回復(fù)郵件、群發(fā)郵件、查詢工資、查詢組織架構(gòu)等，每次訪問都會實(shí)時評估風(fēng)險(xiǎn)與權(quán)限的匹配。

另外，零信任建設(shè)過程中，需要與大量的應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)對接，如操作系統(tǒng)、應(yīng)用系統(tǒng)、安全產(chǎn)品、網(wǎng)關(guān)設(shè)備、終端設(shè)備等，這些數(shù)據(jù)可以做實(shí)時風(fēng)險(xiǎn)分析，也可以用于梳理用戶畫像，發(fā)現(xiàn)如監(jiān)守自盜、數(shù)據(jù)泄露等潛在的安全風(fēng)險(xiǎn)。

零信任安全架構(gòu)對于當(dāng)下的新基建范圍是否適用?

新基建指以5G、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)為代表的新型基礎(chǔ)設(shè)施，本質(zhì)上是信息數(shù)字化的基礎(chǔ)設(shè)施。新基建的實(shí)施必然加深移動辦公等業(yè)務(wù)體系建設(shè)，新業(yè)務(wù)體系建設(shè)規(guī)范需符合網(wǎng)絡(luò)安全法/密碼法/等級保護(hù)等相關(guān)法律法規(guī)的要求。

新階段以“身份治理”為核心的系統(tǒng)建設(shè)將快速開展，身份治理以互信、移動認(rèn)證、2FA、UEBA接口為核心功能，這些均是零信任安全架構(gòu)中建設(shè)的重點(diǎn)。新基建推動網(wǎng)絡(luò)建設(shè)方向與零信任解決問題的范疇一致，可以說零信任安全架構(gòu)不僅可以兼容移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等新興應(yīng)用場景，也可兼容等級保護(hù)2.0、國密改造、自主可控、可信計(jì)算等標(biāo)準(zhǔn)，是可預(yù)見未來的業(yè)務(wù)安全防護(hù)最佳方式。

能否結(jié)合實(shí)際案例的闡述來驗(yàn)證零信任理念的落地實(shí)踐?

目前零信任解決方案在某股份制銀行得到較大范圍的推廣，其內(nèi)部數(shù)萬人協(xié)調(diào)分工合作，全國范圍分支網(wǎng)點(diǎn)，每一個崗位或多或少都能接觸到行內(nèi)的敏感數(shù)據(jù)。這背后的風(fēng)險(xiǎn)主要為數(shù)據(jù)/憑證泄露、員工違規(guī)操作、身份以及設(shè)備的異常等帶來的風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。以零信任架構(gòu)的業(yè)務(wù)安全方案，可以結(jié)合身份鑒別、設(shè)備歸屬和行為判斷，幫助客戶完善對員工的管理，從而防止風(fēng)險(xiǎn)向威脅的轉(zhuǎn)變，以及后續(xù)帶來的經(jīng)濟(jì)和聲譽(yù)損失。

• 在身份認(rèn)證層面，以多因素認(rèn)證能力，以多種認(rèn)證手段結(jié)合的形式，利用短信、動態(tài)碼、手勢和基于生物特征的指紋、人臉、聲紋等15種手段，進(jìn)行真實(shí)身份和數(shù)字身份匹配關(guān)系的判斷。
• 設(shè)備認(rèn)證層面，則通過設(shè)備指紋來確保設(shè)備的唯一性，結(jié)合沙箱、白盒密鑰、密鑰拆分等能力的終端安全防護(hù)控件，作為獨(dú)立系統(tǒng)的進(jìn)程，對 app 以及終端環(huán)境以可視化的形式進(jìn)行實(shí)時監(jiān)測，也為終端安全存儲密鑰等敏感數(shù)據(jù)提供了基礎(chǔ)保障。
• 行為管控層面，銀行需求可大致分為移動端行為管控和業(yè)務(wù)操作行為管控兩類，移動端行為特征包括用戶的行走速度、擺動幅度、使用角度、按壓力度等;業(yè)務(wù)操作的行為特征包括點(diǎn)擊順序、頁面停留時間、日均下載次數(shù)、日均瀏覽次數(shù)等。通過異常行為判斷是否為本人操作，并基于既定合規(guī)、安全管理以及風(fēng)控規(guī)則進(jìn)行違規(guī)操作判斷。

此外，為了在不改造、不遷移現(xiàn)有業(yè)務(wù)系統(tǒng)的基礎(chǔ)上實(shí)現(xiàn)持續(xù)且自適應(yīng)的風(fēng)險(xiǎn)與信任平衡，該銀行在業(yè)務(wù)系統(tǒng)前端部署了符合等級保護(hù)要求的業(yè)務(wù)網(wǎng)關(guān)集群，從身份、設(shè)備、行為三個方面進(jìn)行持續(xù)評估，同時通過該集群進(jìn)行訪問控制，以最小權(quán)限為基礎(chǔ)，對提權(quán)操作或可疑身份/行為要求多次認(rèn)證，對高風(fēng)險(xiǎn)用戶以及確定的違規(guī)行為進(jìn)行降權(quán)或者阻斷，并后臺告警。

在面對手機(jī)銀行等業(yè)務(wù)風(fēng)控(交易、信貸等欺詐行為)需求，基于終端環(huán)境、威脅情報(bào)、用戶行為等數(shù)據(jù)，利用機(jī)器學(xué)習(xí)(囊括多種主流機(jī)器學(xué)習(xí)算法模塊以及六類機(jī)器學(xué)習(xí)模型)進(jìn)行畫像(人工智能反欺詐IPA方案)實(shí)現(xiàn)持續(xù)的業(yè)務(wù)操作風(fēng)險(xiǎn)評估所提供的反欺詐能力也極為重要。

安全牛評

今天，零信任受到企業(yè)和廠商的格外關(guān)注，究其根源是因?yàn)?ldquo;傳統(tǒng)安全投資失效”，企業(yè)每年增加安全預(yù)算和投入，但是安全威脅、攻擊損失和業(yè)務(wù)風(fēng)險(xiǎn)依然在持續(xù)增長。面對碎片化異構(gòu)環(huán)境中數(shù)據(jù)安全風(fēng)險(xiǎn)不斷累積，以及新冠疫情對企業(yè)IT和數(shù)字化轉(zhuǎn)型帶來的深遠(yuǎn)影響，一次重大的網(wǎng)絡(luò)安全變革——零信任，已經(jīng)迫在眉睫。這一次，企業(yè)用戶比廠商更為心急。而零信任作為業(yè)界目前公認(rèn)的最佳網(wǎng)絡(luò)安全方法和架構(gòu)之一，可以幫助企業(yè)實(shí)現(xiàn)更細(xì)粒度更高效的安全訪問控制，更好地保護(hù)數(shù)據(jù)安全和業(yè)務(wù)安全，向前向后與傳統(tǒng)網(wǎng)絡(luò)安全投資都有不錯的兼容性和擴(kuò)展性。

但是對于大多數(shù)企業(yè)來說，零信任架構(gòu)的“落地“時機(jī)和方法依然存在諸多疑慮和爭議，與敏捷開發(fā)類似，零信任也是“條條大道通羅馬”，有多種框架和實(shí)現(xiàn)路徑，對于不同行業(yè)、規(guī)模和需求的企業(yè)來說，如何理解零信任概念方法，如何選擇適合自己的零信任道路，如何提高安全技術(shù)和投資的有效性，這正是眼下網(wǎng)絡(luò)安全和企業(yè)用戶最關(guān)切的話題。非常感謝芯盾時代創(chuàng)始人孫悅從六個問題角度為我們解讀零信任架構(gòu)和最佳實(shí)踐，我們也期待更多業(yè)界專家分享觀點(diǎn)和心得，為中國網(wǎng)絡(luò)安全的“零時代”集思廣益，添磚加瓦。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文