1、背  景

零信任因其“永不信任，持續(xù)驗(yàn)證”的特點(diǎn)而一度被認(rèn)為是當(dāng)下網(wǎng)絡(luò)安全領(lǐng)域最重要、最前沿的一個(gè)理念[8]。根據(jù)NIST 特別出版物800-207《零信任架構(gòu)》（正式版）（下均簡(jiǎn)稱《零信任架構(gòu)》）可以定義為一組以信任動(dòng)態(tài)評(píng)估為前提、以資源保護(hù)為核心、不斷迭代優(yōu)化的網(wǎng)絡(luò)安全范式。學(xué)習(xí)《零信任架構(gòu)》之前，首先需要理解零信任理念以及《零信任架構(gòu)》這個(gè)標(biāo)準(zhǔn)的時(shí)代背景。

1.1 零信任的提出背景

隨著“云大移物智”技術(shù)發(fā)展和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，傳統(tǒng)安全防御理念的“邊界”概念逐漸模糊，傳統(tǒng)安全防御模型也越來(lái)越不足以應(yīng)對(duì)威脅。越來(lái)越多來(lái)自企業(yè)“可信”內(nèi)部人員與設(shè)備的威脅和APT攻擊讓企業(yè)“內(nèi)網(wǎng)”也充滿風(fēng)險(xiǎn)，傳統(tǒng)靜態(tài)的“隱式信任”模型急需重構(gòu)革新。零信任理念在這樣的背景下產(chǎn)生。

零信任的最早雛形源于2004年的耶利哥論壇，這期間只提出了模糊的概念，而具體概念最早在2010年由時(shí)任Forrester首席分析師的John Kindervag提出[1,2]。2018年Forrester提出零信任拓展生態(tài)系統(tǒng)（Zero Trust eXtended, ZTX）研究報(bào)告，拓寬了零信任的應(yīng)用視野。2020年2月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST SP800-207：Zero Trust Architechture草案第二版發(fā)布，成為世界首部與零信任架構(gòu)相關(guān)的由研究組織發(fā)布的官方標(biāo)準(zhǔn)參考[1]。

我國(guó)零信任發(fā)展形勢(shì)也緊跟國(guó)際。2020年6月，騰訊聯(lián)合零信任領(lǐng)域16家機(jī)構(gòu)企業(yè)，共同成立了“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”，并于同年8月正式對(duì)外發(fā)布國(guó)內(nèi)首個(gè)基于攻防實(shí)踐總結(jié)的零信任安全白皮書《零信任實(shí)戰(zhàn)白皮書》。2020年9月，由騰訊主導(dǎo)的“服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)參考框架”國(guó)際標(biāo)準(zhǔn)立項(xiàng)，該立項(xiàng)標(biāo)準(zhǔn)也成為了國(guó)際首個(gè)零信任安全技術(shù)標(biāo)準(zhǔn)。零信任已成為我國(guó)網(wǎng)絡(luò)安全發(fā)展中最重要、最前沿的領(lǐng)域之一[3]。

1.2 NIST 特別出版物800-207零信任架構(gòu)

零信任發(fā)展至今已有10余年，期間不同機(jī)構(gòu)開發(fā)出不同架構(gòu)，形成所謂的“8大流派”，而2020年發(fā)布的NIST SP800-207零信任架構(gòu)則是第一次由研究組織發(fā)布的基于文檔形式的零信任架構(gòu)設(shè)計(jì)詳細(xì)指導(dǎo)[2]。NIST SP800-207《零信任架構(gòu)》正式版分為7個(gè)部分，分別為總體介紹、零信任基本概念介紹、零信任體系架構(gòu)邏輯組件、部署場(chǎng)景/用例、與零信任架構(gòu)相關(guān)安全威脅、零信任架構(gòu)及現(xiàn)有聯(lián)邦政府引導(dǎo)的相互作用和（項(xiàng)目）遷移到零信任架構(gòu)[4]。該標(biāo)準(zhǔn)的發(fā)行背景是NCCoE《實(shí)施零信任架構(gòu)》項(xiàng)目的實(shí)施，而該項(xiàng)目對(duì)于零信任架構(gòu)的落地實(shí)踐這一目標(biāo)十分重視，并且期望能在實(shí)現(xiàn)安全性的同時(shí)保證用戶體驗(yàn)[5]。不難看出，《零信任架構(gòu)》的提出建立于為企業(yè)安全服務(wù)的目的之上，并希望在商用產(chǎn)品上應(yīng)用零信任架構(gòu)，建立零信任的實(shí)現(xiàn)示例。因此《零信任架構(gòu)》不僅包含零信任架構(gòu)的抽象定義，也給出了大量的應(yīng)用零信任以改進(jìn)企業(yè)信息安全狀況的通用部署模型和使用案例[4]。出于學(xué)習(xí)的目的，本報(bào)告主要關(guān)注《零信任架構(gòu)》的“核心技術(shù)”即零信任相關(guān)基本概念和實(shí)現(xiàn)零信任架構(gòu)的三大技術(shù)，而不過(guò)多關(guān)注其中對(duì)企業(yè)實(shí)施零信任以及遷移的相關(guān)指導(dǎo)。

2、零信任的基本概念

2.1 零信任的原則

《零信任架構(gòu)》對(duì)零信任總結(jié)了7大原則。該部分首先強(qiáng)調(diào)了零信任是一組網(wǎng)絡(luò)安全范式，其目的是為了將網(wǎng)絡(luò)防御的重心從靜態(tài)的、基于邊界的轉(zhuǎn)移到基于用戶、設(shè)備和資源上，并使用零信任原則來(lái)規(guī)劃企業(yè)的基礎(chǔ)設(shè)施和工作流[4]。零信任7大原則主要關(guān)注企業(yè)的資源劃分定義、杜絕隱式信任、基于連接的身份認(rèn)證與授權(quán)、訪問(wèn)權(quán)限策略非靜態(tài)、企業(yè)應(yīng)監(jiān)控并測(cè)量資產(chǎn)完整性及安全態(tài)勢(shì)、整個(gè)過(guò)程的持續(xù)實(shí)施以及企業(yè)對(duì)網(wǎng)絡(luò)安全關(guān)注改善的自主性。

2.2 零信任視角的網(wǎng)絡(luò)

《零信任架構(gòu)》基于所有使用零信任架構(gòu)的網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)連接性提出了6點(diǎn)基本假設(shè)，并要求實(shí)施零信任的企業(yè)遵循2.1中零信任的原則與這些假設(shè)。這6條基本假設(shè)圍繞人員不可信、設(shè)備不可信、資源（源）不可信、服務(wù)不可信、本地連接不可信、資源轉(zhuǎn)移需保持安全態(tài)勢(shì)6個(gè)要點(diǎn)，詳細(xì)解釋了零信任在網(wǎng)絡(luò)實(shí)施中的核心思想——去除隱式信任，而實(shí)際上整本《零信任架構(gòu)》無(wú)論從原則，架構(gòu)理論到實(shí)施指導(dǎo)，始終圍繞著這一核心思想。

3、實(shí)現(xiàn)零信任架構(gòu)三大技術(shù)“SIM”

事實(shí)上《零信任架構(gòu)》在這部分首先定義了零信任架構(gòu)部署的邏輯組件（為一個(gè)理想模型），模型如圖1所示，且之后的所有架構(gòu)方案、部署方案、信任算法和網(wǎng)絡(luò)組件均基于該模型設(shè)計(jì)。該邏輯組件主要包括策略引擎PE、策略管理器PA、策略執(zhí)行點(diǎn)PEP、持續(xù)診斷和緩解系統(tǒng)CDMS、行業(yè)合規(guī)系統(tǒng)、威脅情報(bào)源、網(wǎng)絡(luò)與系統(tǒng)行為日志、數(shù)據(jù)訪問(wèn)策略、（企業(yè)）公鑰基礎(chǔ)設(shè)施PKI、身份管理系統(tǒng)IDMS、安全信息和事件管理系統(tǒng)SIEMS。其中最重要的是PE與PA配合作為策略決策點(diǎn)PDP和策略執(zhí)行點(diǎn)PEP。這些邏輯組件相互作用，為達(dá)成“零信任”訪問(wèn)提供了基礎(chǔ)。

圖1 零信任架構(gòu)部署的邏輯組件及其相關(guān)關(guān)系

《零信任架構(gòu)》提出的實(shí)現(xiàn)零信任架構(gòu)的三大技術(shù)“SIM”即軟件定義邊界SDP、身份與訪問(wèn)管理IAM和微隔離MSG。SDP有由CSA發(fā)布的《SDP標(biāo)準(zhǔn)規(guī)范》作為標(biāo)準(zhǔn)；IAM則有ISO/IEC 29760系列標(biāo)準(zhǔn)、ISO/IEC 29146:2016標(biāo)準(zhǔn)和ISO/IEC 29115:2013標(biāo)準(zhǔn)等；MSG作為新興的網(wǎng)絡(luò)安全技術(shù)，我國(guó)工信部《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）》也將微隔離列入鼓勵(lì)深化技術(shù)產(chǎn)品應(yīng)用的行列。

3.1 基于軟件定義邊界SDP的零信任架構(gòu)實(shí)現(xiàn)

國(guó)際云安全聯(lián)盟CSA在2013年專門成立了SDP工作組，該組在2014年發(fā)布了《SDP標(biāo)準(zhǔn)規(guī)范》1.0版本，并在2022年4月CSA發(fā)布了《SDP標(biāo)準(zhǔn)規(guī)范》的2.0版本。

《SDP標(biāo)準(zhǔn)規(guī)范》中對(duì)SDP做出的定義是一種旨在使應(yīng)用程序所有者能在需要的時(shí)候部署安全邊界將服務(wù)與不安全的網(wǎng)絡(luò)隔離開來(lái)的技術(shù)，如圖2所示為《SDP標(biāo)準(zhǔn)規(guī)范》中定義的SDP架構(gòu)組成結(jié)構(gòu)。而《零信任架構(gòu)》對(duì)使用軟件定義邊界SDP方法的說(shuō)明則是在頂層網(wǎng)絡(luò)實(shí)現(xiàn)零信任，也強(qiáng)調(diào)其可在更低的ISO網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)。實(shí)際上SDP實(shí)現(xiàn)了應(yīng)用程序所有者可控下運(yùn)行的邏輯組件，并且僅當(dāng)設(shè)備驗(yàn)證和身份驗(yàn)證同時(shí)通過(guò)時(shí)才允許對(duì)企業(yè)資源架構(gòu)的后續(xù)訪問(wèn)，以應(yīng)對(duì)邊界模糊化下“可信”的粒度控制，以保護(hù)企業(yè)的數(shù)據(jù)安全。

圖2 《SDP標(biāo)準(zhǔn)規(guī)范》中定義的SDP架構(gòu)組成結(jié)構(gòu)

3.2 基于增強(qiáng)身份治理IGN的零信任架構(gòu)實(shí)現(xiàn)

《零信任框架》對(duì)IAM的指導(dǎo)方案為基于增強(qiáng)身份自治（IGN）的零信任架構(gòu)實(shí)現(xiàn)。接下來(lái)介紹身份與訪問(wèn)管理IAM。嚴(yán)格上講，身份管理本身也是訪問(wèn)管理的一部分，訪問(wèn)管理通過(guò)對(duì)客體的鑒別與授權(quán)，從而實(shí)現(xiàn)對(duì)信息資源訪問(wèn)的控制，但是在實(shí)踐中，實(shí)現(xiàn)身份鑒別和實(shí)體鑒別的身份管理系統(tǒng)往往被作為獨(dú)立的功能處理，因此，加上訪問(wèn)管理系統(tǒng)，身份管理和訪問(wèn)管理經(jīng)常被一起合稱為身份與訪問(wèn)管理[6]。對(duì)于身份管理和訪問(wèn)管理問(wèn)題，已經(jīng)產(chǎn)生了一系列國(guó)際標(biāo)準(zhǔn)：ISO/IEC 29146:2016中對(duì)身份管理與訪問(wèn)管理的關(guān)系進(jìn)行了定義（圖3），ISO/IEC 29760標(biāo)準(zhǔn)關(guān)于身份管理做了定義，而ISO/IEC 29146關(guān)于訪問(wèn)管理做出了定義（圖4），對(duì)于相關(guān)的實(shí)體鑒別保證，在ISO/IEC 29115:2013中也有詳細(xì)定義[6]。

身份治理指通過(guò)一定機(jī)制來(lái)規(guī)范、約束和引導(dǎo)企業(yè)中不同身份主體的行為，以實(shí)現(xiàn)組織目標(biāo)的治理模式?！读阈湃慰蚣堋分性摬糠謱?duì)相關(guān)概念做了解釋，并著重強(qiáng)調(diào)了“身份”是訪問(wèn)控制的基礎(chǔ)，信任值的取值應(yīng)來(lái)源于端到端對(duì)象的“身份”，并且訪問(wèn)控制的構(gòu)建需要基于“身份”，而不是網(wǎng)絡(luò)位置（如傳統(tǒng)網(wǎng)絡(luò)邊界劃分后得到的內(nèi)、外網(wǎng)）。由此不難看出，《零信任架構(gòu)》對(duì)基于“身份”的訪問(wèn)控制的著重強(qiáng)調(diào)，實(shí)際上也體現(xiàn)出零信任的核心變革：打破邊界，將企業(yè)的“IP網(wǎng)絡(luò)”升級(jí)到“ID網(wǎng)絡(luò)”。

圖3 ISO/IEC 29146:2016定義的身份管理與訪問(wèn)管理的關(guān)系

圖4 ISO/IEC 29146定義的訪問(wèn)管理參考架構(gòu)

3.3 基于微隔離MSG的零信任架構(gòu)實(shí)現(xiàn)

微隔離MSG是一種新興的網(wǎng)絡(luò)安全技術(shù)，《零信任架構(gòu)》對(duì)微隔離的定義是企業(yè)將單個(gè)或一組資源放在由網(wǎng)關(guān)安全組件保護(hù)的私有網(wǎng)段上，百度百科對(duì)微隔離的定義則是把一個(gè)無(wú)結(jié)構(gòu)無(wú)邊界的網(wǎng)絡(luò)分成多個(gè)邏輯上的微小網(wǎng)段，以確保每一個(gè)網(wǎng)段上只有一個(gè)計(jì)算資源，而所有需要進(jìn)出這個(gè)微網(wǎng)段的流量都需要經(jīng)過(guò)訪問(wèn)控制設(shè)備。[7]總的來(lái)說(shuō)，微隔離本質(zhì)上是一種隔離技術(shù)，這種技術(shù)實(shí)現(xiàn)了在邏輯上將企業(yè)的數(shù)據(jù)中心劃分為多個(gè)控制段，詳細(xì)到各個(gè)工作負(fù)載，還要對(duì)每個(gè)控制段進(jìn)行訪問(wèn)控制策略配置，以保證達(dá)到隔離的目的?！读阈湃渭軜?gòu)》強(qiáng)調(diào)該方案最關(guān)鍵的地方在于對(duì)PEP組件的管理，并按需反應(yīng)和重新配置以應(yīng)對(duì)多變的情況。我認(rèn)為微隔離比起技術(shù)，更重要的是這種劃分微元并單獨(dú)隔離的思想，但是高昂的管理成本和難以適應(yīng)快速變化的環(huán)境對(duì)這種新興技術(shù)仍是一種極大的挑戰(zhàn)。

（本文部分內(nèi)容翻譯修改自NIST SP800-207(final), Zero Trust Architechture）

參考文獻(xiàn)

[1]  零信任安全架構(gòu)的誕生, https://baijiahao.baidu.com/s?id=1735694428166577246.

[2]  零信任的歷史與演進(jìn), https://baijiahao.baidu.com/s?id=1743099719081480169.

[3] 百度百科: 零信任, https://baike.baidu.com/item/%E9%9B%B6%E4%BF%A1%E4%BB%BB.

[4]  NIST SP800-207(final), Zero Trust Architechture[S].

[5]  NIST NCCoE發(fā)布《實(shí)施零信任架構(gòu)》正式版, https://baijiahao.baidu.com/s?id=1683491312237273425.

[6]  謝宗曉, 龔喜杰. 身份與訪問(wèn)管理（IAM）及其國(guó)際標(biāo)準(zhǔn)簡(jiǎn)析[J]. 中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào), 2019(10): 14-17.

[7]  百度百科: 微隔離, https://baike.baidu.com/item/%E5%BE%AE%E9%9A%94%E7%A6%BB/61814283.

[8]  A. Wylde. Zero trust: Never trust,always verify[C]. 2021 International Conference on Cyber Situational Awareness. Data Analytics and Assessment (CyberSA). 2021, pp. 1-4.