零信任综述（下）

首页 > 关于我们 > 新闻中心 > 零信任综述（下）—实践篇

零信任综述（下）—实践篇

2020.08.31
5754

一、零信任架构（ZTA）应用场景

任何企业网络都可以在设计时考虑零信任原则。如今，大多数组织的基础架构已经具有了零信任的某些要素，或者正在通过实施信息安全以及最佳实践来实现。零信任架构的实践应用场景列出如下几种，但不限于这些：

1.1 员工访问企业资源

图1 员工访问企业资源应用场景

员工希望从任何工作地点轻松、安全地访问公司资源。此场景展示了一种特定的用户体验，其中员工尝试使用企业管理的设备访问企业服务（如企业内部网、考勤系统和其他人力资源系统等），该资源的相关访问安全将由ZTA解决方案动态和实时地提供。

1.2 员工访问互联网资源

员工要尝试访问公共internet以完成某些任务，如员工尝试使用企业管理的设备在internet上访问基于web的服务。虽然基于web的服务不是由企业拥有和管理的，但是该场景下的ZTA解决方案仍然会动态和实时地提供对该资源的相关访问请求。允许员工在任何位置访问，也就是说，员工可以使用企业管理设备在企业内网、分支办公室或公共互联网内连接时访问互联网。

图2 员工远程访问企业示图

1.3 承包商访问公司和互联网资源

承包商试图访问某些公司资源和互联网，例如提供特定服务的承包商试图访问某些公司资源和internet以执行组织的计划服务。这些公司资源可以是本地或云中的，承包商将能够在本地或从公共互联网访问公司资源。承包商试图访问的资源的相关安全防护将由ZTA解决方案动态和实时地提供。

图3 外部人员访问企业示图

1.4 企业内的服务器间通信

企业服务通常有不同的服务器相互通信，例如，web服务器与应用服务器通信。应用服务器与数据库通信以将数据检索回到web服务器等，包括内网、云中或在本地和云中服务器之间的服务器。ZTA解决方案将动态和实时地提供相互交互的指定服务器之间的关联网络通信访问服务的安全防护。

图4 企业服务器多云通信示图

1.5 与业务伙伴的跨企业协作

两个企业可以在资源共享的项目上协作，ZTA解决方案将使一个企业的用户能够安全地访问另一个企业的特定资源，反之亦然。例如，企业A用户将能够从企业B访问特定的应用程序，而企业B用户将能够从企业A访问特定的数据库。

图5 跨企业访问示图

二、零信任ZT实施的五步法

图6 零信任实施步骤

界定保护范围：

零信任环境下，企业不会专注于攻击表面，而只会专注于保护表面，专注于对公司最有价值的关键数据、应用程序、资产和服务（DAAS）。一旦界定保护面后，可以将控件尽可能地移近它，附上限制性的、精确的和可理解的策略声明，以此创建一个微边界（或分隔的微边界）。

记录事务流转：

流转传输方式决定了它的保护方式。获得有关DAAS相互依赖关系的上下文信息十分重要。记录特定资源的交互方式有助于适当地加强控制并提供有价值的上下文信息，确保最佳的网络安全环境，同时对用户和业务运营的干扰降到最低。

构建零信任环境：

零信任网络完全可以自定义，而不仅是一个通用的设计。而且该体系结构主要围绕保护表面构建。一旦定义了保护表面并根据业务需求记录了流程，就可以从下一代防火墙开始制定零信任架构。下一代防火墙充当分段网关，在保护表面周围创建一个微边界。对任何尝试访问保护表面内的对象使用分段网关，可以强制执行附加的检查和访问控制层，一直到第七层。

创建零信任安全策略：

构建网络后，将需要创建零信任策略来确定访问流程。访问用户对象、访问的应用程序、访问原因、倾向的这些应用程序连接方式以及可以使用哪些控件来保护该访问，这些问题都要提前了解。使用这种精细的策略实施级别，可以确保仅允许已知的流量或合法的应用程序连接。

监视和维护：

这最后一步，包括检查内部和外部的所有日志，并侧重于零信任的操作方面。由于零信任是一个反复的过程，因此检查和记录所有流量将大大有益，可提供宝贵的参考，以了解如何随着时间的推移改进网络。

图7 零信任五步法

三、零信任ZT的部署方式

前面提到的技术和组件都是逻辑组件，不一定是单一的系统或产品。单个系统可以包括多个逻辑组件；同样，一个逻辑组件可以由多个硬件或软件元素构成，以完成相应任务。在架构组件的部署上有多个变体。根据企业网络和具体应用场景，各个企业可以根据自己的不同业务流程，使用下面几个或多个ZTA部署模式。

3.1. 基于设备代理/网关的部署

在这个部署模式中，PEP被分为两个组件，它们位于资源上，或者作为一个组件直接位于资源前面。例如，每个企业发布的系统，都有一个已安装的设备代理来协调连接，而每个资源都有一个组件（即网关）直接放在前面，以便资源只与网关通信，实质上充当了资源的反向代理。网关负责连接到策略管理器（PA），并且只允许由策略管理器（PA）配置的已批准连接。

图8 设备代理/网关的部署

在典型的连接场景中，拥有企业发放的笔记本电脑的用户，希望连接到企业资源（例如，HR应用程序/数据库）。连接请求由本地代理接收，并将连接请求发送给PA。PA（和PE）可以是企业本地系统或云托管服务。PA将请求转发到PE进行评估。如果请求被授权，PA将在设备代理和相关的资源网关（通过控制平面）之间配置通信通道。这可能包括IP地址/端口信息、会话密钥或类似的安全构件。然后设备代理和网关连接，加密的应用程序数据流开始。当工作流完成或由于安全事件（例如会话超时、无法重新认证等）被PA触发时，设备代理和资源网关之间的连接将终止。

该模式最适合于具有较强的设备管理和可与网关通信的分布资源的企业，包括大量使用云服务的企业，这就是云安全联盟（CSA）软件定义周界（SDP）的客户机-服务器实现，所有访问只能通过设备代理授予访问权限，设备代理可以放置在企业拥有的系统上。

3.2 基于飞地的部署

此部署模式是上述设备代理/网关模型的变体。在这个模式中，网关组件可能不位于系统上或单个资源的前面，而是位于资源飞地（例如，当地数据中心）的边界。通常，这些资源服务于单个业务功能，或者可能无法直接与网关通信（例如，没有API的遗留数据库系统，不能被用于与网关通信）。此部署模型对于使用基于云的微服务进行业务处理（例如，用户通知、数据库查询或薪资支付）的企业也很有用，在这个模式中，整个私有云位于网关之后。

图9 基于飞地部署

此部署模式可能与设备代理/网关模型混合，这样，企业系统有一个用于连接到微边界网关的设备代理，但是这些连接是使用与基本设备代理/网关模型相同的过程创建的。

此模式对于具有遗留应用程序的企业或无法设置单独网关的场内数据中心非常有用。这样的企业需要有一个较强的设备管理程序来安装/配置设备代理。缺点是网关保护的是资源集合，而不是单个资源。这是对ZTA原则的放松，因为ZTA原则要求每种资源都应该有自己的PEP来保护它，可以通过分别独自的网关加强对客户端查看它们本无特权访问的资源的保护。

3.3 基于资源门户的部署

在这个部署模式中，PEP是一个单独的组件，充当用户请求的网关。网关门户可以是单个资源，也可以是用于单个业务功能的资源集合的微周边。一个例子是进入私有云或包含遗留应用程序的数据中心的网关门户。

图10 资源门户部署

此模式的主要优点是不需要在所有企业系统上安装软件组件。该模式对于BYOD政策和组织间协作项目也更加灵活。企业管理员在使用之前不需要确保每个设备都有适当的设备代理。它只能扫描和分析连接到PEP门户的系统和设备，可能无法持续监视它们在端是否存在恶意软件和适当的配置。

此模式的主要区别在于没有处理请求的本地代理，允许在客户端系统和BYOD策略中具有更大的灵活性，并且可以更容易地对非企业协作者授予资源访问。缺点是，企业可能无法完全看到或控制企业拥有的系统，因为它们只能在连接到门户时看到/扫描这些系统。在这些连接会话之间，这些系统对企业而言可能是不可见的。此模式还允许攻击者发现并尝试访问门户，或尝试对门户进行拒绝服务（DoS）攻击。

3.4 系统应用程序沙箱

代理/网关部署模式的另一个变体是让可信应用程序在系统上隔离运行。这种隔离可以是VM、容器或其他一些实现，但目标是相同的：保护应用程序不受主机和系统上运行的其他应用程序的影响。

图11 应用沙盒部署

用户系统在沙箱中运行可信的应用程序，可信应用程序可以与PEP通信以请求对资源的访问，但PEP将拒绝来自系统上其它不可信应用程序的连接。其中PEP可以是企业本地服务，也可以是云服务。

这种模式的主要优点是将单个应用程序与系统的其他部分隔离开来。如果无法扫描系统以检测脆弱性，则可以保护这些单独的沙箱应用程序，使其免受主机系统上潜在的恶意软件感染。这种模式的缺点是，企业必须为所有系统维护这些沙盒应用程序，并且可能无法完全看到客户端系统。

四、零信任最佳实践：谷歌BeyondCorp

在“零信任”的发展过程中，国内外各厂商纷纷提出自己的方法和见解，其中最成功的莫过于谷歌的BeyondCorp体系。从2014年12月起，谷歌共发表了6篇BeyondCorp相关的论文，全面介绍BeyondCorp的架构和谷歌从2011年至今的实施情况，以及BeyondCorp建立的零信任目标：让每位谷歌员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作，不再简单的区分内外网和内外人员。

图12 谷歌应用场景

隐藏：数据、网络、应用和服务不再可见；
网络边界消失：去除基于位置的信任；
基于身份：对人、设备、环境等认证授权；
先认证，授权后再访问：对资源/服务的访问必须先身份认证，授权后再访
通信的端到端加密。

五、什么不是零信任

依据零信任的基本理念“永不信任，始终验证”，遵循零信任的ABCDE 5大原则，可以判断宣传的是否是真正的零信任：

缺省设置：缺省的不设置，什么也过不去；只有明确满足安全策略（如白名单）且具有最小权限的才可以访问和使用；否则，就不是零信任
安全策略：安全策略必须明确匹配并遵循最小授权原则，而且策略的验证是实时的；否则，就不是零信任
认证授权：一切都要验证，否则，不可信；并且，所有的认证和授权必须是动态的；否则，就不是零信任
随时动态：要符合“永不信任，始终验证”，就要随时动态检查验证（根据当时的环境、上下文、状态，不仅验证身份，而且要验证其使用人员的设备、平台、系统、时间、地点、频度等以及被访问的对象的属性等），依据最小授权原则，检查相应策略，完成安全防护；其动态性体现在认证、授权、策略评估和安全防护上；否则，就不是零信任
持续自适应：“永不信任，始终验证”安全理念，强调不是一次性的验证和确权，而是要持续不断的检查、认证、确权和增强安全防护，实时动态适应新的变化和需求，应对新的挑战，满足客户的安全需求；否则，就不是零信任
双向处理：对双向（请求和响应）进行安全处理，不应只验证请求，而信任回答响应，而是对响应也要进行验证；否则，就不是零信任
防护并重：对资产（被保护对象）根据策略需求进行防护（防范和保护），不再仅仅局限于单一的被动防范或保护；否则，就不是零信任
新瓶旧酒：零信任不是现有产品和解决方案的拼装，它是全新的理念和战略，需要在现有的体系上，用新技术，重新搭建；否则，就不是零信任
安全可靠：零信任相应的产品、方案和服务也要符合零信任的理念和原则，其自身首先要安全、可靠和可管理；防范自身的风险漏洞以及单点故障等带来的隐患，避免对保护对象和系统的安全性、可靠性和可用性等的不良影响。否则，就不是零信任。