零信任架構(gòu)構(gòu)建安全網(wǎng)絡(luò)環(huán)境

■ 云南 王軍峰

編者按：如今傳統(tǒng)的網(wǎng)絡(luò)安全邊界變得越來越模糊，目前的網(wǎng)絡(luò)防御技術(shù)存在諸多漏洞，為黑客攻擊提供了極大的便利。隨著網(wǎng)絡(luò)攻擊演變得更加復雜，新的網(wǎng)絡(luò)安全防御思維應運而生。

由公安部第三研究所網(wǎng)絡(luò)安全法律研究中心與百度聯(lián)合發(fā)布的2019年《網(wǎng)絡(luò)犯罪治理防范白皮書》中披露，每分鐘因網(wǎng)絡(luò)犯罪導致的經(jīng)濟損失高達290萬美元，每分鐘泄露的可標識數(shù)據(jù)記錄為8100條，數(shù)據(jù)表明，33.9%數(shù)據(jù)泄露事件與內(nèi)部威脅有關(guān)。

認識到了現(xiàn)有安全防御的不足以及應對愈趨嚴峻的安全態(tài)勢，我們需要更好的東西，而零信任模型恰好就能得到最好的結(jié)果。

網(wǎng)絡(luò)先天存在的缺陷

1.網(wǎng)絡(luò)協(xié)議的缺陷

TCP/IP協(xié)議是建立在可信的環(huán)境之下，由于在其設(shè)計初期人們過分強調(diào)其開發(fā)性和便利性，沒有仔細考慮其安全性，因此很多的網(wǎng)絡(luò)協(xié)議都存在嚴重的安全漏洞，給Internet留下了許多安全隱患。

2.終端系統(tǒng)漏洞

互聯(lián)網(wǎng)的飛速發(fā)展打破了常規(guī)的時間、空間限制，使我們可以服務的人群變得無限多。然而，互聯(lián)網(wǎng)帶來無限多客戶的同時也帶來了無限多的黑客。在黑客面前，任何細微漏洞都可能被捕獲，導致安全風險被無限放大。特別是兩個基本假設(shè)的成立讓我們無所適從：

任何應用程序都會存在漏洞；黑客總是比用戶更早地發(fā)現(xiàn)漏洞。

3.邊界防火墻的缺陷

由于傳統(tǒng)的防御體系側(cè)重于互聯(lián)網(wǎng)、第三方等邊界的網(wǎng)絡(luò)安全防護，認為只要構(gòu)筑了企業(yè)的數(shù)字護城河，通過防火墻、WAF、IPS等邊界安全產(chǎn)品或方案，就能實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認了內(nèi)網(wǎng)比外網(wǎng)更安全，在某種程度上預設(shè)了對內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任，從而忽視內(nèi)網(wǎng)安全措施的加強。網(wǎng)絡(luò)邊界的安全防護一旦被突破，即使只有一臺計算機被攻陷，攻擊者也能夠在安全的網(wǎng)絡(luò)中心內(nèi)部自由移動。

網(wǎng)絡(luò)安全面臨的重大挑戰(zhàn)

在網(wǎng)絡(luò)新時代，網(wǎng)絡(luò)攻擊給我們帶來了新威脅和大挑戰(zhàn)，主要面臨著6大新威脅。

第一，網(wǎng)絡(luò)攻擊正在威脅國家安全。敵對勢力通過網(wǎng)絡(luò)攻擊可以在敵對國家內(nèi)部的網(wǎng)絡(luò)空間搞破壞，最終達到影響民意等目的，甚至實現(xiàn)“顏色革命”。

第二，網(wǎng)絡(luò)戰(zhàn)威脅國防安全。網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為國際沖突的常見形式，網(wǎng)絡(luò)戰(zhàn)時時刻刻都在發(fā)生，網(wǎng)絡(luò)戰(zhàn)會成為未來戰(zhàn)爭的首選，給國家國防安全帶來了嚴重威脅。

第三，網(wǎng)絡(luò)攻擊也在威脅國家關(guān)鍵基礎(chǔ)設(shè)施安全。物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)正在把虛擬世界和物理世界打通，所有原先虛擬世界的攻擊都可以直接影響現(xiàn)實物理世界，通過網(wǎng)絡(luò)就可以破壞水、電、氣、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施。

第四，網(wǎng)絡(luò)攻擊威脅社會穩(wěn)定和公共安全。現(xiàn)在整個社會的運轉(zhuǎn)、公共服務、老百姓的吃喝玩樂都建立在網(wǎng)絡(luò)之上。一旦遭受網(wǎng)絡(luò)攻擊，社會秩序就會混亂。

第五，網(wǎng)絡(luò)攻擊威脅金融和經(jīng)濟安全。互聯(lián)網(wǎng)金融已經(jīng)深入大眾生活，而針對金融系統(tǒng)的網(wǎng)絡(luò)攻擊也層出不窮，威脅金融和經(jīng)濟安全。例如區(qū)塊鏈的火熱也讓虛擬貨幣已經(jīng)成為黑客攻擊的新目標。

第六，網(wǎng)絡(luò)攻擊威脅用戶個人安全。數(shù)據(jù)顯示，網(wǎng)絡(luò)犯罪正在成為第一大犯罪類型，未來絕大多數(shù)犯罪都可能借助網(wǎng)絡(luò)實施。網(wǎng)絡(luò)犯罪除了造成用戶隱私泄露、財產(chǎn)損失外，甚至也在影響人身安全。

傳統(tǒng)的可信任網(wǎng)絡(luò)體系面臨巨大挑戰(zhàn)，無法滿足安全的需求。我們需要構(gòu)建零信任體系，以管理戰(zhàn)略情報的思維來管理數(shù)據(jù)。

零信任網(wǎng)絡(luò)構(gòu)建提升網(wǎng)絡(luò)安全

互聯(lián)網(wǎng)給我們帶來了很多的安全方面的經(jīng)驗教訓，人們意識到舊的網(wǎng)絡(luò)防護體系需要打破。

2010年John Kindervag提出信任網(wǎng)絡(luò)（亦稱零信任架構(gòu)）模型，零信任是一個安全概念，中心思想是不應自動信任內(nèi)部或外部的任何人/事/物，應在授權(quán)前對任何試圖接入內(nèi)部系統(tǒng)的人/事/物進行驗證。

簡言之，零信任的策略就是不相信任何人。除非網(wǎng)絡(luò)明確知道接入者的身份，否則任誰都別想進入。什么IP地址、主機之類的，不知道用戶身份或者不清楚授權(quán)途徑的，統(tǒng)統(tǒng)不放進來。

零信任架構(gòu)假設(shè)網(wǎng)絡(luò)自始至終充滿外部和內(nèi)部威脅，不能僅憑網(wǎng)絡(luò)位置來評估信任，從傳統(tǒng)的以網(wǎng)絡(luò)為中心轉(zhuǎn)變?yōu)橐陨矸轂橹行倪M行訪問控制，這種轉(zhuǎn)變的必然性是因為網(wǎng)絡(luò)邊界正在瓦解，已經(jīng)無法區(qū)分內(nèi)外網(wǎng)，因此，索性將內(nèi)網(wǎng)按照互聯(lián)網(wǎng)安全的思路進行建設(shè)，而互聯(lián)網(wǎng)對業(yè)務的安全防護的典型解決方案就是基于身份與訪問控制。因此，零信任安全自然而然的將身份和訪問控制作為信任重建的基石。

1.加強用戶身份驗證

每個人都有身份，它是現(xiàn)實社會中個體的象征，是個體進行社會活動的基礎(chǔ)，在網(wǎng)絡(luò)系統(tǒng)中，身份就是社會人/用戶所對應的數(shù)字個體的標識，是用戶在網(wǎng)絡(luò)系統(tǒng)中活動的基礎(chǔ)。認證對于零信任網(wǎng)絡(luò)至關(guān)重要，它是強制行為，在現(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)中主要包括密碼認證、生物特征認證和安全令牌認證。

密碼是常用的認證機制，安全性高的密碼需要具備以下的特征。

長度足夠長：最近的NIST密碼標準建議密碼長度最小為8位，但是具有高度安全意識的個人通常使用的密碼長度為20位以上。

難以猜測：最好利用隨機數(shù)生成器生成的數(shù)值作為密碼，每個應用和服務都選用不同的、位數(shù)足夠長且難以猜測的密碼。

生物特征識別更加便捷安全，如指紋、虹膜掃描、掌紋、人臉識別等技術(shù)。雖然生物特征識別有助于提高系統(tǒng)安全性，但是這種機制的一些天然缺陷也不可忽略：生物特征認證極大依賴于物理特征的精準度量，攻擊者可能欺騙傳感器；另一個缺點是它們不可變更。

安全令牌是一種應用于用戶認證的硬件設(shè)備，隨做安全企業(yè)的發(fā)展，越來越多的企業(yè)傾向于使用硬件機制認證用戶身份，將用戶身份與硬件設(shè)備綁定，大大減小了用戶憑證被復制和盜竊的風險。

2.建立設(shè)備信任

在零信任網(wǎng)路中建立設(shè)備信任至關(guān)重要，建立設(shè)備信任是基石，直接影響零信任網(wǎng)絡(luò)架構(gòu)的成敗。

大多數(shù)網(wǎng)絡(luò)安全事件都和攻擊者獲得信任設(shè)備的控制性相關(guān)，這種情況一旦發(fā)生，信任就將被徹底瓦解，無法通過設(shè)備來確保安全信任鏈的建立。必須確保使用標準化的健康合規(guī)要求，對網(wǎng)絡(luò)生態(tài)系統(tǒng)中對接入的設(shè)備進行一致的掃描和監(jiān)測，如果沒有這些措施，將很難在整個網(wǎng)絡(luò)上運行健康檢查，也將為惡意行為體提供訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的機會。網(wǎng)絡(luò)環(huán)境已經(jīng)延伸到了接觸生態(tài)系統(tǒng)的每一臺設(shè)備，這一切都要做好抵御攻擊的防護，包括受管和非受管的端點：移動設(shè)備、平板電腦以及物聯(lián)網(wǎng)設(shè)備。

有效的零信任安全戰(zhàn)略意味著您必須審核每臺設(shè)備；確保其值得信賴；授予訪問權(quán)限；然后隨時隔離、保護和控制每臺接觸網(wǎng)絡(luò)的設(shè)備。因為設(shè)備驗證屬于一個重要環(huán)節(jié)，因此要對設(shè)備進行清點。

3.加密認證

在零信任網(wǎng)絡(luò)中，系統(tǒng)接收到的所有數(shù)據(jù)包都是不可信的，因此在處理封裝與數(shù)據(jù)包中的數(shù)據(jù)之前必須嚴格檢查這些數(shù)據(jù)包，強認證機制是完成該項該項檢查的受選方案。

加密是零信任安全的一個關(guān)鍵組件，因為它假定網(wǎng)絡(luò)本身不可信任，網(wǎng)絡(luò)上的任何數(shù)據(jù)都必須相應地受到保護。還應考慮與過程/處理中數(shù)據(jù)相關(guān)的風險，并對該階段的數(shù)據(jù)管理進行加密，此外還應考慮傳輸或靜止的數(shù)據(jù)。

加密和認證通常是緊密相關(guān)的，盡管其目的截然不同。加密提供機密性，用于確保只有接收者才能讀取發(fā)送的數(shù)據(jù)；認證則用于接收者可以驗證消息確實是由所聲明的對象發(fā)送的。

4.審查訪問行為

有效的零信任策略包括監(jiān)控訪問行為和分析模式和趨勢。為了增加從開關(guān)中使用抽象的流量分析管道，在整個網(wǎng)絡(luò)的安裝了流量監(jiān)控的用戶設(shè)備來模擬非特權(quán)網(wǎng)絡(luò)中的行為。

這個流量監(jiān)控檢測作為每一個設(shè)備的基礎(chǔ)服務，檢查所有輸入和輸出流量，長期記錄并分析網(wǎng)絡(luò)流量，能夠發(fā)現(xiàn)現(xiàn)有網(wǎng)絡(luò)中存在哪些類型的網(wǎng)絡(luò)連接。

收集并記錄所有網(wǎng)絡(luò)流量后，基于高級系統(tǒng)連接對網(wǎng)絡(luò)流量進行分類，有了這些網(wǎng)絡(luò)定義，就可以更好的執(zhí)行已知連接的訪問控制，感知網(wǎng)絡(luò)中通信模式的變化。

網(wǎng)絡(luò)流量和網(wǎng)絡(luò)上用戶/設(shè)備行為的日志和監(jiān)控，這將提供對網(wǎng)絡(luò)映射的更好理解，并使識別可能指示對網(wǎng)絡(luò)資源的未經(jīng)許可訪問的異常行為變得更加容易。用諸如安全信息管理、高級安全分析平臺、安全用戶行為分析和其他分析系統(tǒng)這樣的工具，使安全專家能夠?qū)崟r地觀察正在發(fā)生的事情和更智能地定向防御。對網(wǎng)絡(luò)相關(guān)事件數(shù)據(jù)的分析，有助于在實際事件發(fā)生之前制定主動安全措施。

結(jié)語

零信任是一個演進式的框架，而不是革命性的方法。它建立在現(xiàn)有的安全概念之上，并沒有引入一種全新的網(wǎng)絡(luò)安全方法。與大多數(shù)安全概念一樣，零信任依賴于對組織的服務、數(shù)據(jù)、用戶、端點的基本理解。關(guān)于前期資源投資，沒有“免費午餐”。策略定義、部署概念、信任確定（和衰退）、執(zhí)行機制、日志聚合等，都需要在部署解決方案之前考慮。