1、背  景

零信任因其“永不信任，持續(xù)驗證”的特點而一度被認(rèn)為是當(dāng)下網(wǎng)絡(luò)安全領(lǐng)域最重要、最前沿的一個理念[8]。根據(jù)NIST 特別出版物800-207《零信任架構(gòu)》（正式版）（下均簡稱《零信任架構(gòu)》）可以定義為一組以信任動態(tài)評估為前提、以資源保護(hù)為核心、不斷迭代優(yōu)化的網(wǎng)絡(luò)安全范式。學(xué)習(xí)《零信任架構(gòu)》之前，首先需要理解零信任理念以及《零信任架構(gòu)》這個標(biāo)準(zhǔn)的時代背景。

1.1 零信任的提出背景

隨著“云大移物智”技術(shù)發(fā)展和產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，傳統(tǒng)安全防御理念的“邊界”概念逐漸模糊，傳統(tǒng)安全防御模型也越來越不足以應(yīng)對威脅。越來越多來自企業(yè)“可信”內(nèi)部人員與設(shè)備的威脅和APT攻擊讓企業(yè)“內(nèi)網(wǎng)”也充滿風(fēng)險，傳統(tǒng)靜態(tài)的“隱式信任”模型急需重構(gòu)革新。零信任理念在這樣的背景下產(chǎn)生。

零信任的最早雛形源于2004年的耶利哥論壇，這期間只提出了模糊的概念，而具體概念最早在2010年由時任Forrester首席分析師的John Kindervag提出[1,2]。2018年Forrester提出零信任拓展生態(tài)系統(tǒng)（Zero Trust eXtended, ZTX）研究報告，拓寬了零信任的應(yīng)用視野。2020年2月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST SP800-207：Zero Trust Architechture草案第二版發(fā)布，成為世界首部與零信任架構(gòu)相關(guān)的由研究組織發(fā)布的官方標(biāo)準(zhǔn)參考[1]。

我國零信任發(fā)展形勢也緊跟國際。2020年6月，騰訊聯(lián)合零信任領(lǐng)域16家機(jī)構(gòu)企業(yè)，共同成立了“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”，并于同年8月正式對外發(fā)布國內(nèi)首個基于攻防實踐總結(jié)的零信任安全白皮書《零信任實戰(zhàn)白皮書》。2020年9月，由騰訊主導(dǎo)的“服務(wù)訪問過程持續(xù)保護(hù)參考框架”國際標(biāo)準(zhǔn)立項，該立項標(biāo)準(zhǔn)也成為了國際首個零信任安全技術(shù)標(biāo)準(zhǔn)。零信任已成為我國網(wǎng)絡(luò)安全發(fā)展中最重要、最前沿的領(lǐng)域之一[3]。

1.2 NIST 特別出版物800-207零信任架構(gòu)

零信任發(fā)展至今已有10余年，期間不同機(jī)構(gòu)開發(fā)出不同架構(gòu)，形成所謂的“8大流派”，而2020年發(fā)布的NIST SP800-207零信任架構(gòu)則是第一次由研究組織發(fā)布的基于文檔形式的零信任架構(gòu)設(shè)計詳細(xì)指導(dǎo)[2]。NIST SP800-207《零信任架構(gòu)》正式版分為7個部分，分別為總體介紹、零信任基本概念介紹、零信任體系架構(gòu)邏輯組件、部署場景/用例、與零信任架構(gòu)相關(guān)安全威脅、零信任架構(gòu)及現(xiàn)有聯(lián)邦政府引導(dǎo)的相互作用和（項目）遷移到零信任架構(gòu)[4]。該標(biāo)準(zhǔn)的發(fā)行背景是NCCoE《實施零信任架構(gòu)》項目的實施，而該項目對于零信任架構(gòu)的落地實踐這一目標(biāo)十分重視，并且期望能在實現(xiàn)安全性的同時保證用戶體驗[5]。不難看出，《零信任架構(gòu)》的提出建立于為企業(yè)安全服務(wù)的目的之上，并希望在商用產(chǎn)品上應(yīng)用零信任架構(gòu)，建立零信任的實現(xiàn)示例。因此《零信任架構(gòu)》不僅包含零信任架構(gòu)的抽象定義，也給出了大量的應(yīng)用零信任以改進(jìn)企業(yè)信息安全狀況的通用部署模型和使用案例[4]。出于學(xué)習(xí)的目的，本報告主要關(guān)注《零信任架構(gòu)》的“核心技術(shù)”即零信任相關(guān)基本概念和實現(xiàn)零信任架構(gòu)的三大技術(shù)，而不過多關(guān)注其中對企業(yè)實施零信任以及遷移的相關(guān)指導(dǎo)。

2、零信任的基本概念

2.1 零信任的原則

《零信任架構(gòu)》對零信任總結(jié)了7大原則。該部分首先強(qiáng)調(diào)了零信任是一組網(wǎng)絡(luò)安全范式，其目的是為了將網(wǎng)絡(luò)防御的重心從靜態(tài)的、基于邊界的轉(zhuǎn)移到基于用戶、設(shè)備和資源上，并使用零信任原則來規(guī)劃企業(yè)的基礎(chǔ)設(shè)施和工作流[4]。零信任7大原則主要關(guān)注企業(yè)的資源劃分定義、杜絕隱式信任、基于連接的身份認(rèn)證與授權(quán)、訪問權(quán)限策略非靜態(tài)、企業(yè)應(yīng)監(jiān)控并測量資產(chǎn)完整性及安全態(tài)勢、整個過程的持續(xù)實施以及企業(yè)對網(wǎng)絡(luò)安全關(guān)注改善的自主性。

2.2 零信任視角的網(wǎng)絡(luò)

《零信任架構(gòu)》基于所有使用零信任架構(gòu)的網(wǎng)絡(luò)對網(wǎng)絡(luò)連接性提出了6點基本假設(shè)，并要求實施零信任的企業(yè)遵循2.1中零信任的原則與這些假設(shè)。這6條基本假設(shè)圍繞人員不可信、設(shè)備不可信、資源（源）不可信、服務(wù)不可信、本地連接不可信、資源轉(zhuǎn)移需保持安全態(tài)勢6個要點，詳細(xì)解釋了零信任在網(wǎng)絡(luò)實施中的核心思想——去除隱式信任，而實際上整本《零信任架構(gòu)》無論從原則，架構(gòu)理論到實施指導(dǎo)，始終圍繞著這一核心思想。

3、實現(xiàn)零信任架構(gòu)三大技術(shù)“SIM”

事實上《零信任架構(gòu)》在這部分首先定義了零信任架構(gòu)部署的邏輯組件（為一個理想模型），模型如圖1所示，且之后的所有架構(gòu)方案、部署方案、信任算法和網(wǎng)絡(luò)組件均基于該模型設(shè)計。該邏輯組件主要包括策略引擎PE、策略管理器PA、策略執(zhí)行點PEP、持續(xù)診斷和緩解系統(tǒng)CDMS、行業(yè)合規(guī)系統(tǒng)、威脅情報源、網(wǎng)絡(luò)與系統(tǒng)行為日志、數(shù)據(jù)訪問策略、（企業(yè)）公鑰基礎(chǔ)設(shè)施PKI、身份管理系統(tǒng)IDMS、安全信息和事件管理系統(tǒng)SIEMS。其中最重要的是PE與PA配合作為策略決策點PDP和策略執(zhí)行點PEP。這些邏輯組件相互作用，為達(dá)成“零信任”訪問提供了基礎(chǔ)。

圖1 零信任架構(gòu)部署的邏輯組件及其相關(guān)關(guān)系

《零信任架構(gòu)》提出的實現(xiàn)零信任架構(gòu)的三大技術(shù)“SIM”即軟件定義邊界SDP、身份與訪問管理IAM和微隔離MSG。SDP有由CSA發(fā)布的《SDP標(biāo)準(zhǔn)規(guī)范》作為標(biāo)準(zhǔn)；IAM則有ISO/IEC 29760系列標(biāo)準(zhǔn)、ISO/IEC 29146:2016標(biāo)準(zhǔn)和ISO/IEC 29115:2013標(biāo)準(zhǔn)等；MSG作為新興的網(wǎng)絡(luò)安全技術(shù)，我國工信部《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）》也將微隔離列入鼓勵深化技術(shù)產(chǎn)品應(yīng)用的行列。

3.1 基于軟件定義邊界SDP的零信任架構(gòu)實現(xiàn)

國際云安全聯(lián)盟CSA在2013年專門成立了SDP工作組，該組在2014年發(fā)布了《SDP標(biāo)準(zhǔn)規(guī)范》1.0版本，并在2022年4月CSA發(fā)布了《SDP標(biāo)準(zhǔn)規(guī)范》的2.0版本。

《SDP標(biāo)準(zhǔn)規(guī)范》中對SDP做出的定義是一種旨在使應(yīng)用程序所有者能在需要的時候部署安全邊界將服務(wù)與不安全的網(wǎng)絡(luò)隔離開來的技術(shù)，如圖2所示為《SDP標(biāo)準(zhǔn)規(guī)范》中定義的SDP架構(gòu)組成結(jié)構(gòu)。而《零信任架構(gòu)》對使用軟件定義邊界SDP方法的說明則是在頂層網(wǎng)絡(luò)實現(xiàn)零信任，也強(qiáng)調(diào)其可在更低的ISO網(wǎng)絡(luò)協(xié)議棧實現(xiàn)。實際上SDP實現(xiàn)了應(yīng)用程序所有者可控下運行的邏輯組件，并且僅當(dāng)設(shè)備驗證和身份驗證同時通過時才允許對企業(yè)資源架構(gòu)的后續(xù)訪問，以應(yīng)對邊界模糊化下“可信”的粒度控制，以保護(hù)企業(yè)的數(shù)據(jù)安全。

圖2 《SDP標(biāo)準(zhǔn)規(guī)范》中定義的SDP架構(gòu)組成結(jié)構(gòu)

3.2 基于增強(qiáng)身份治理IGN的零信任架構(gòu)實現(xiàn)

《零信任框架》對IAM的指導(dǎo)方案為基于增強(qiáng)身份自治（IGN）的零信任架構(gòu)實現(xiàn)。接下來介紹身份與訪問管理IAM。嚴(yán)格上講，身份管理本身也是訪問管理的一部分，訪問管理通過對客體的鑒別與授權(quán)，從而實現(xiàn)對信息資源訪問的控制，但是在實踐中，實現(xiàn)身份鑒別和實體鑒別的身份管理系統(tǒng)往往被作為獨立的功能處理，因此，加上訪問管理系統(tǒng)，身份管理和訪問管理經(jīng)常被一起合稱為身份與訪問管理[6]。對于身份管理和訪問管理問題，已經(jīng)產(chǎn)生了一系列國際標(biāo)準(zhǔn)：ISO/IEC 29146:2016中對身份管理與訪問管理的關(guān)系進(jìn)行了定義（圖3），ISO/IEC 29760標(biāo)準(zhǔn)關(guān)于身份管理做了定義，而ISO/IEC 29146關(guān)于訪問管理做出了定義（圖4），對于相關(guān)的實體鑒別保證，在ISO/IEC 29115:2013中也有詳細(xì)定義[6]。

身份治理指通過一定機(jī)制來規(guī)范、約束和引導(dǎo)企業(yè)中不同身份主體的行為，以實現(xiàn)組織目標(biāo)的治理模式?！读阈湃慰蚣堋分性摬糠謱ο嚓P(guān)概念做了解釋，并著重強(qiáng)調(diào)了“身份”是訪問控制的基礎(chǔ)，信任值的取值應(yīng)來源于端到端對象的“身份”，并且訪問控制的構(gòu)建需要基于“身份”，而不是網(wǎng)絡(luò)位置（如傳統(tǒng)網(wǎng)絡(luò)邊界劃分后得到的內(nèi)、外網(wǎng)）。由此不難看出，《零信任架構(gòu)》對基于“身份”的訪問控制的著重強(qiáng)調(diào)，實際上也體現(xiàn)出零信任的核心變革：打破邊界，將企業(yè)的“IP網(wǎng)絡(luò)”升級到“ID網(wǎng)絡(luò)”。

圖3 ISO/IEC 29146:2016定義的身份管理與訪問管理的關(guān)系

圖4 ISO/IEC 29146定義的訪問管理參考架構(gòu)

3.3 基于微隔離MSG的零信任架構(gòu)實現(xiàn)

微隔離MSG是一種新興的網(wǎng)絡(luò)安全技術(shù)，《零信任架構(gòu)》對微隔離的定義是企業(yè)將單個或一組資源放在由網(wǎng)關(guān)安全組件保護(hù)的私有網(wǎng)段上，百度百科對微隔離的定義則是把一個無結(jié)構(gòu)無邊界的網(wǎng)絡(luò)分成多個邏輯上的微小網(wǎng)段，以確保每一個網(wǎng)段上只有一個計算資源，而所有需要進(jìn)出這個微網(wǎng)段的流量都需要經(jīng)過訪問控制設(shè)備。[7]總的來說，微隔離本質(zhì)上是一種隔離技術(shù)，這種技術(shù)實現(xiàn)了在邏輯上將企業(yè)的數(shù)據(jù)中心劃分為多個控制段，詳細(xì)到各個工作負(fù)載，還要對每個控制段進(jìn)行訪問控制策略配置，以保證達(dá)到隔離的目的?！读阈湃渭軜?gòu)》強(qiáng)調(diào)該方案最關(guān)鍵的地方在于對PEP組件的管理，并按需反應(yīng)和重新配置以應(yīng)對多變的情況。我認(rèn)為微隔離比起技術(shù)，更重要的是這種劃分微元并單獨隔離的思想，但是高昂的管理成本和難以適應(yīng)快速變化的環(huán)境對這種新興技術(shù)仍是一種極大的挑戰(zhàn)。

（本文部分內(nèi)容翻譯修改自NIST SP800-207(final), Zero Trust Architechture）

參考文獻(xiàn)

[1]  零信任安全架構(gòu)的誕生, https://baijiahao.baidu.com/s?id=1735694428166577246.

[2]  零信任的歷史與演進(jìn), https://baijiahao.baidu.com/s?id=1743099719081480169.

[3] 百度百科: 零信任, https://baike.baidu.com/item/%E9%9B%B6%E4%BF%A1%E4%BB%BB.

[4]  NIST SP800-207(final), Zero Trust Architechture[S].

[5]  NIST NCCoE發(fā)布《實施零信任架構(gòu)》正式版, https://baijiahao.baidu.com/s?id=1683491312237273425.

[6]  謝宗曉, 龔喜杰. 身份與訪問管理（IAM）及其國際標(biāo)準(zhǔn)簡析[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報, 2019(10): 14-17.

[7]  百度百科: 微隔離, https://baike.baidu.com/item/%E5%BE%AE%E9%9A%94%E7%A6%BB/61814283.

[8]  A. Wylde. Zero trust: Never trust,always verify[C]. 2021 International Conference on Cyber Situational Awareness. Data Analytics and Assessment (CyberSA). 2021, pp. 1-4.