在上一篇《你永遠(yuǎn)也混不熟的零信任》文章中，我們介紹了重點(diǎn)介紹了零信任的原則和理念，這篇文章我們具體來(lái)看看零信任的架構(gòu)、關(guān)鍵技術(shù)，以及企業(yè)如何部署零信任。

[[385342]]

一、零信任總體架構(gòu)

首先，我們來(lái)看看零信任架構(gòu)的總體框架：

上圖是一個(gè)簡(jiǎn)略的零信任架構(gòu)總體框架圖，在圖的左邊是發(fā)起訪(fǎng)問(wèn)的主體，右邊是訪(fǎng)問(wèn)的目標(biāo)資源，訪(fǎng)問(wèn)主體通過(guò)控制平面發(fā)起訪(fǎng)問(wèn)請(qǐng)求，由信任評(píng)估引擎、訪(fǎng)問(wèn)控制引擎實(shí)施身份認(rèn)證和授權(quán)，訪(fǎng)問(wèn)請(qǐng)求獲得允許后，訪(fǎng)問(wèn)代理作為執(zhí)行點(diǎn)，接受訪(fǎng)問(wèn)主體的流量數(shù)據(jù)，建立一次性的安全訪(fǎng)問(wèn)連接。

在整個(gè)過(guò)程中，信任評(píng)估引擎將持續(xù)地進(jìn)行信任評(píng)估，訪(fǎng)問(wèn)控制引擎通過(guò)持續(xù)的評(píng)估數(shù)據(jù)，動(dòng)態(tài)地判斷訪(fǎng)問(wèn)控制策略是否需要改變，一旦發(fā)現(xiàn)問(wèn)題，就可以及時(shí)通過(guò)訪(fǎng)問(wèn)代理中斷連接，防止其做橫向移動(dòng)和惡意提權(quán)，快速實(shí)施對(duì)資源的保護(hù)。

圖中的身份安全基礎(chǔ)設(shè)施可以為訪(fǎng)問(wèn)控制提供基礎(chǔ)的數(shù)據(jù)來(lái)源，以便對(duì)人/設(shè)備/系統(tǒng)進(jìn)行身份管理和權(quán)限管理，典型的身份安全基礎(chǔ)設(shè)施包括:PKI系統(tǒng)、身份管理系統(tǒng)、數(shù)據(jù)訪(fǎng)問(wèn)策略等。

其它安全分析平臺(tái)為持續(xù)的動(dòng)態(tài)評(píng)估提供大量的日志信息，包括資產(chǎn)狀態(tài)、規(guī)范性要求、運(yùn)行環(huán)境安全風(fēng)險(xiǎn)、威脅情報(bào)等數(shù)據(jù)。典型的其他安全分析平臺(tái)包括有：終端防護(hù)與響應(yīng)系統(tǒng)、安全態(tài)勢(shì)感知分析系統(tǒng)、行業(yè)合規(guī)系統(tǒng)、威脅情報(bào)源、安全信息和事件管理系統(tǒng)等。

二、零信任關(guān)鍵技術(shù)“SIM”

1. SDP(軟件定義邊界)

SDP技術(shù)是通過(guò)軟件的方式，在“移動(dòng)+云”的背景下構(gòu)建起虛擬邊界，利用基于身份的訪(fǎng)問(wèn)控制及完備的權(quán)限認(rèn)證機(jī)制，提供有效的隱身保護(hù)。

SDP的基本原則之一就是信息隱身，它會(huì)隱藏服務(wù)器地址、端口，使攻擊者無(wú)法獲取攻擊目標(biāo)。另外，SDP在連接服務(wù)器之前，會(huì)進(jìn)行預(yù)認(rèn)證和預(yù)授權(quán)，先認(rèn)證用戶(hù)和設(shè)備的合法性，接著，用戶(hù)只能看到被授權(quán)訪(fǎng)問(wèn)的應(yīng)用。并且，用戶(hù)只有應(yīng)用層的訪(fǎng)問(wèn)權(quán)限，無(wú)網(wǎng)絡(luò)級(jí)的準(zhǔn)入。SDP還具有擴(kuò)展性，基于標(biāo)準(zhǔn)協(xié)議，可以方便與其他安全系統(tǒng)集成。

2. IAM(增強(qiáng)的身份管理)

全面身份化是零信任架構(gòu)的基石，零信任所需的IAM技術(shù)通過(guò)圍繞身份、權(quán)限、環(huán)境等信息進(jìn)行有效管控與治理，從而保證正確的身份在正確的訪(fǎng)問(wèn)環(huán)境下，基于正當(dāng)理由訪(fǎng)問(wèn)正確的資源。隨著數(shù)字化轉(zhuǎn)型的不斷深入，業(yè)務(wù)的云化、終端的激增均使得企業(yè)IT環(huán)境變得更加復(fù)雜，傳統(tǒng)靜態(tài)且封閉的身份與訪(fǎng)問(wèn)管理機(jī)制已不能適應(yīng)這種變化，因此零信任中的IAM將更加敏捷、靈活且智能，需要適應(yīng)各種新興的業(yè)務(wù)場(chǎng)景，能夠采用動(dòng)態(tài)的策略實(shí)現(xiàn)自主完善，可以不斷調(diào)整以滿(mǎn)足實(shí)際的安全需求。

3. MSG(微隔離)

傳統(tǒng)防護(hù)模式通常采用防火墻作為內(nèi)外部流量的安全防護(hù)手段，一旦攻擊者突破防護(hù)邊界，缺少有效的安全控制手段用來(lái)阻止橫向流量之間的隨意訪(fǎng)問(wèn)。這也就是黑客入侵后能在內(nèi)部進(jìn)行橫向移動(dòng)的重要原因。

隨著東西向流量占比越來(lái)越大，微隔離技術(shù)應(yīng)運(yùn)而生，其作為一種網(wǎng)絡(luò)安全技術(shù)，重點(diǎn)用于阻止攻擊者在進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向移動(dòng)訪(fǎng)問(wèn)。微隔離通過(guò)細(xì)粒度的策略控制，可以靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機(jī)與主機(jī)的隔離，讓東西向流量可視可控，從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。當(dāng)前微隔離方案主要有三種技術(shù)路線(xiàn)，分別是云原生微隔離、API對(duì)接微隔離以及主機(jī)代理微隔離，其中主機(jī)代理微隔離更加適應(yīng)新興技術(shù)不斷更迭及應(yīng)用帶來(lái)的多變的用戶(hù)業(yè)務(wù)環(huán)境。

三、企業(yè)如何開(kāi)始零信任?

現(xiàn)在的企業(yè)網(wǎng)絡(luò)架構(gòu)有云計(jì)算，虛擬化，移動(dòng)互聯(lián)，工業(yè)互聯(lián)網(wǎng)......網(wǎng)絡(luò)情況非常復(fù)雜，那構(gòu)建零信任架構(gòu)應(yīng)該如何開(kāi)始呢?

1. 明確現(xiàn)狀和目標(biāo)

在決定采用零信任架構(gòu)之前，企業(yè)最好思考以下問(wèn)題：

• 公司為什么要采用零信任安全模型?
• 采用零信任架構(gòu)會(huì)不會(huì)干擾目前組織的工作?
• 企業(yè)曾經(jīng)遭受過(guò)網(wǎng)絡(luò)攻擊嗎?如果有，那企業(yè)犯了什么錯(cuò)誤?存在什么問(wèn)題?
• 員工知道這個(gè)安全概念嗎?員工準(zhǔn)備好了嗎?
• 你打算如何做這個(gè)計(jì)劃?

對(duì)以上問(wèn)題的思考有助于明確企業(yè)的現(xiàn)實(shí)需求，進(jìn)而明確企業(yè)的戰(zhàn)略目標(biāo)。因?yàn)榱阈湃渭軜?gòu)是一種理念和戰(zhàn)略，是一個(gè)長(zhǎng)期的目標(biāo)，企業(yè)無(wú)法一蹴而就，但是可以部分實(shí)現(xiàn)零信任，采用混合架構(gòu)，所以，如何根據(jù)現(xiàn)實(shí)情況逐步對(duì)企業(yè)進(jìn)行優(yōu)化調(diào)整才是最重要的。

2. 映射用戶(hù)需求和資源對(duì)象

來(lái)源：微軟

企業(yè)應(yīng)該對(duì)數(shù)據(jù)的流動(dòng)非常清楚，比如人員在訪(fǎng)問(wèn)什么數(shù)據(jù)?人員的身份是什么?他在什么地方?等等。上圖是微軟的按條件、動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的零信任部署模型，通過(guò)該模型梳理企業(yè)的人員、設(shè)備、資源等情況會(huì)更加清晰、系統(tǒng)。

在用戶(hù)層面：

• 首先，要明確用戶(hù)是誰(shuí)?他們需要訪(fǎng)問(wèn)什么應(yīng)用、服務(wù)或數(shù)據(jù)?他們?nèi)绾卧L(fǎng)問(wèn)?在哪里訪(fǎng)問(wèn)?
• 其次，用戶(hù)需要滿(mǎn)足什么條件/屬性/狀態(tài)?才能被允許訪(fǎng)問(wèn)或部分訪(fǎng)問(wèn)?
• 然后，對(duì)于上述條件，我們?nèi)绾瓮ㄟ^(guò)特定的安全控制措施滿(mǎn)足這些條件?
• 最后，如何確保我們的安全控制措施是有效的?也就是說(shuō)如何做好安全監(jiān)控?

在目標(biāo)層面：

從目標(biāo)資源的角度看，同樣也是思考幾個(gè)問(wèn)題：

• 誰(shuí)訪(fǎng)問(wèn)數(shù)據(jù)?他們的身份是什么?他們?nèi)绾卧L(fǎng)問(wèn)?
• 用戶(hù)賬戶(hù)的安全風(fēng)險(xiǎn)如何?(例如使用弱密碼/泄露的密碼、低密碼強(qiáng)度、使用行為等)
• 設(shè)備類(lèi)型是什么?設(shè)備健康狀態(tài)/安全狀態(tài)如何?它在訪(fǎng)問(wèn)什么數(shù)據(jù)?
• 數(shù)據(jù)重要性/機(jī)密性/敏感性如何?
• 用戶(hù)所在位置如何?當(dāng)前登錄位置?歷史登錄行為?
• 訪(fǎng)問(wèn)的目標(biāo)應(yīng)用是什么?SaaS、云端應(yīng)用、企業(yè)本地部署應(yīng)用、還是移動(dòng)App?

在決策層面：

通過(guò)對(duì)用戶(hù)層面和目標(biāo)層面一步一步地梳理和映射之后，基于動(dòng)態(tài)評(píng)估結(jié)果，對(duì)應(yīng)的安全強(qiáng)制措施可以是：允許或拒絕訪(fǎng)問(wèn)、要求多因素身份驗(yàn)證、強(qiáng)制重置用戶(hù)密碼、限制訪(fǎng)問(wèn)特定應(yīng)用/特定功能(例如禁止下載文件等)等。

3. 使用微分段

在企業(yè)網(wǎng)絡(luò)中，不應(yīng)該只有一個(gè)大管道進(jìn)出其中。在零信任方法中，組織應(yīng)在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)位置放置微邊界，將網(wǎng)絡(luò)分成小島，其中包含特定的工作負(fù)載。每個(gè)“小島”都有自己的入口和出口控件。這樣可以增加入侵者在整個(gè)網(wǎng)絡(luò)中滲透的難度，從而減少橫向移動(dòng)的威脅。

至于應(yīng)該怎樣分割網(wǎng)絡(luò)，這里沒(méi)有標(biāo)準(zhǔn)的模型，需要企業(yè)根據(jù)自身情況設(shè)計(jì)。

4. 自動(dòng)化和編排

對(duì)組織的人員、設(shè)備、資源的關(guān)系進(jìn)行梳理和映射之后，我們將網(wǎng)絡(luò)進(jìn)行微隔離，現(xiàn)在，我們需要做的就是在微邊界或者每個(gè)端點(diǎn)上都進(jìn)行自動(dòng)化和編排，將重復(fù)和繁瑣的安全任務(wù)轉(zhuǎn)換為自動(dòng)執(zhí)行、計(jì)劃執(zhí)行或事件驅(qū)動(dòng)的自定義工作流。這樣可以釋放大量的工作人員時(shí)間，并減少人為出錯(cuò)的機(jī)會(huì)。

5. 實(shí)施適應(yīng)性風(fēng)險(xiǎn)政策

一切都安排妥當(dāng)后，還有一個(gè)因素需要考慮，就是人員的權(quán)限也是會(huì)變化的，比如說(shuō)在某個(gè)項(xiàng)目組內(nèi)的成員可以獲得特定的權(quán)限，但是項(xiàng)目結(jié)束或人員離職后，需要及時(shí)的取消其權(quán)限。風(fēng)險(xiǎn)政策需要適應(yīng)動(dòng)態(tài)變化的實(shí)際情況，并根據(jù)需要相應(yīng)地更改權(quán)限。

四、總結(jié)

總結(jié)一下，企業(yè)構(gòu)建零信任首先需要開(kāi)展系統(tǒng)全面地資產(chǎn)梳理、業(yè)務(wù)安全分析，深入研究零信任在企業(yè)部署實(shí)施的必要性和適應(yīng)性、部署場(chǎng)景和方案可行性、與現(xiàn)有安全保障框架的兼容性，在保障網(wǎng)絡(luò)和業(yè)務(wù)安全穩(wěn)定運(yùn)行前提下，分階段、循序漸進(jìn)推動(dòng)系統(tǒng)遷移，完善網(wǎng)絡(luò)安全保障體系，建立自適應(yīng)的安全防御能力。

當(dāng)然，每個(gè)企業(yè)的IT能力、技術(shù)路線(xiàn)、實(shí)際需求，以及對(duì)安全的認(rèn)知都不一樣，所以說(shuō)，沒(méi)有完全一致的零信任部署計(jì)劃，以上步驟也僅供參考。當(dāng)然，無(wú)論企業(yè)最終是否采用零信任，我們?nèi)匀豢梢詮闹刑崛〉接杏玫慕ㄗh，例如身份驗(yàn)證憑據(jù)的保護(hù)、安全數(shù)據(jù)和狀態(tài)的可視化等等。