網(wǎng)絡(luò)如何支持零信任架構(gòu)

■ 北京 李先齡

編者按：零信任方法種類繁多，可以在主機(jī)操作系統(tǒng)、軟件容器虛擬網(wǎng)絡(luò)、虛擬機(jī)監(jiān)視器或具有SDP或IAP的虛擬云基礎(chǔ)架構(gòu)中實(shí)施。本文探討用戶網(wǎng)絡(luò)如何支持和實(shí)施零信任架構(gòu)。

簡(jiǎn)而言之，零信任要求驗(yàn)證每個(gè)試圖訪問網(wǎng)絡(luò)的用戶和設(shè)備，并執(zhí)行嚴(yán)格的訪問控制和身份管理，以限制那些授權(quán)的用戶僅能訪問其權(quán)限之內(nèi)的資源。

零信任是一種體系架構(gòu)。因此，有許多潛在的解決方案可用，但這只是適用于網(wǎng)絡(luò)領(lǐng)域的一種解決方案。

最小特權(quán)

零信任的一個(gè)廣泛原則是最小特權(quán)，即授予訪問者僅能夠訪問有關(guān)資源的最小的權(quán)限。那么如何實(shí)現(xiàn)這一目的呢？

一種方法是網(wǎng)絡(luò)分段，它可以基于身份驗(yàn)證、信任、用戶角色和拓?fù)鋵⒕W(wǎng)絡(luò)分隔開來。如果得到有效實(shí)施，它可以隔離某個(gè)網(wǎng)段上的主機(jī)，并最大程度地減少其橫向或東西向通信，從而在主機(jī)受到損害時(shí)將損失限制在一定范圍。由于主機(jī)和應(yīng)用程序只能訪問它們有權(quán)訪問的有限資源，因此分段可以防止攻擊者進(jìn)入網(wǎng)絡(luò)的其他部分。

實(shí)體（個(gè)人或設(shè)備等）根據(jù)上下文被授予訪問權(quán)限，并被授權(quán)訪問資源——個(gè)人是誰？使用什么設(shè)備訪問網(wǎng)絡(luò)？其位置、通信方式以及訪問目的是什么？

還有其他強(qiáng)制分割的方法，最傳統(tǒng)的方法之一是物理隔離。物理隔離是通過將專用安全設(shè)備對(duì)網(wǎng)絡(luò)及主機(jī)等進(jìn)行物理上的隔離，并設(shè)置為不同的安全級(jí)別。盡管這是一種久經(jīng)考驗(yàn)并證明比較有效的方法，但為每個(gè)用戶的信任級(jí)別和角色構(gòu)建完全獨(dú)立的環(huán)境可能會(huì)非常昂貴。

二層分段

另一種方法是二層分段，其中最終用戶及其設(shè)備是通過設(shè)備和訪問交換機(jī)之間的內(nèi)聯(lián)安全過濾來進(jìn)行隔離。但是在每個(gè)用戶和交換機(jī)之間安裝防火墻可能成本會(huì)非常高。

還有一種方法是基于端口的網(wǎng)絡(luò)訪問控制，該方法可基于身份驗(yàn)證或通過請(qǐng)求方證書來授予訪問權(quán)限，并將每個(gè)節(jié)點(diǎn)分配給三層VLAN。

以上這些類型的方法通常是通過802.1X標(biāo)準(zhǔn)和可擴(kuò)展的身份驗(yàn)證協(xié)議，部署在有線和無線訪問網(wǎng)絡(luò)。但是企業(yè)可能并不會(huì)利用供應(yīng)商，諸如全套最終用戶角色、身份驗(yàn)證憑據(jù)、設(shè)備配置文件和高級(jí)流量過濾，來根據(jù)用戶的可信度對(duì)用戶進(jìn)行細(xì)分。如果用戶按照這些方式進(jìn)行部署，那么其安全性會(huì)得到大大增強(qiáng)。

三層分段

創(chuàng)建應(yīng)用程序隔離區(qū)的常用方法包括將接入線纜和端口分離到三層VLAN中，并執(zhí)行內(nèi)聯(lián)過濾。可以通過網(wǎng)絡(luò)設(shè)備（例如路由器）來執(zhí)行過濾，也可以通過對(duì)用戶身份和角色有一定認(rèn)知的狀態(tài)防火墻或代理服務(wù)器來執(zhí)行。一個(gè)典型的示例是標(biāo)準(zhǔn)的三層Web應(yīng)用程序體系架構(gòu)，其中Web服務(wù)器、App服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器位于單獨(dú)的子網(wǎng)中。

由此之后的是網(wǎng)絡(luò)切片（Network Slicing），是通過SDN方式將網(wǎng)絡(luò)在邏輯上分為多個(gè)切片，類似于虛擬路由和上下文轉(zhuǎn)發(fā)。

當(dāng)前的做法是為每臺(tái)服務(wù)器分配自己的IPv4子網(wǎng)或IPv6/64前綴，并將其子網(wǎng)發(fā)布給網(wǎng)絡(luò)路由器。該服務(wù)器子網(wǎng)內(nèi)的所有流量都是該服務(wù)器內(nèi)的本地流量，因此該主機(jī)內(nèi)的虛擬網(wǎng)絡(luò)上不會(huì)發(fā)生其他滲透行為。

將流量封裝在IP網(wǎng)絡(luò)頂部運(yùn)行的覆蓋隧道中也可以實(shí)現(xiàn)網(wǎng)段隔離，這可以通過多種方式來完成，其中包括虛擬可擴(kuò)展LAN、使用通用路由封裝的網(wǎng)絡(luò)虛擬化、通用網(wǎng)絡(luò)虛擬化封裝、無狀態(tài)傳輸隧道和TSO（TCP segmentation offload）技術(shù)。

數(shù)據(jù)包標(biāo)記——使用內(nèi)部標(biāo)識(shí)符標(biāo)記數(shù)據(jù)包——可用于在接口之間建立信任關(guān)系，并根據(jù)其身份和授權(quán)隔離最終用戶設(shè)備的數(shù)據(jù)包。可以標(biāo)記協(xié)議，包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec。分段路由則是在IPv6數(shù)據(jù)包中使用特殊的路由頭部來控制MPLS或IPv6網(wǎng)絡(luò)上的通信路徑。

建議

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）列舉了零信任體系架構(gòu)的邏輯組件，并提供了一些部署樣式的定義，包括基于策略決策點(diǎn)和策略執(zhí)行點(diǎn)來驗(yàn)證和認(rèn)證用戶。這類似于云安全聯(lián)盟最初構(gòu)想的軟件定義邊界（SDP）的方式。

此方法通過使用一個(gè)SDP控制器，該控制器對(duì)用戶進(jìn)行身份驗(yàn)證，然后根據(jù)用戶的角色和授權(quán)通知SDP網(wǎng)關(guān)允許訪問特定的應(yīng)用程序。該過程可以使用傳統(tǒng)的用戶名和密碼，也可以使用帶有一次性密碼、軟件令牌、硬件令牌、移動(dòng)應(yīng)用程序或文本消息的新型的多因素身份驗(yàn)證（MFA）方法。

還有一種可供選擇的的方法稱之為單包認(rèn)證（SPA，Single Packet Autho rization）或端口碰撞（Port Knocking）技術(shù)，是通過使用客戶端瀏覽器或應(yīng)用程序?qū)⒁唤M數(shù)據(jù)包發(fā)送到SDP控制器，以識(shí)別相應(yīng)的用戶及其設(shè)備。

其實(shí)存在各種各樣的微分段、主機(jī)隔離和零信任網(wǎng)絡(luò)方法，有些是應(yīng)用在網(wǎng)絡(luò)設(shè)備中，有的是在服務(wù)器中，或是在身份和訪問控制系統(tǒng)中，或在中間設(shè)備（例如代理服務(wù)器或防火墻）中實(shí)現(xiàn)的。零信任方法種類繁多，可以在主機(jī)操作系統(tǒng)、軟件容器虛擬網(wǎng)絡(luò)、虛擬機(jī)監(jiān)視器（Hypervisor）或具有SDP或IAP的虛擬云基礎(chǔ)架構(gòu)中實(shí)施。

許多零信任方法還涉及最終用戶節(jié)點(diǎn)上的軟件代理以及X.509證書、雙向TLS（mTLS）認(rèn)證、SPA和MFA。僅僅通過網(wǎng)絡(luò)、服務(wù)器或安全管理人員無法獨(dú)自完全實(shí)現(xiàn)所有這些功能。為了實(shí)現(xiàn)有效的零信任網(wǎng)絡(luò)架構(gòu)，可以通過與跨部門的IT團(tuán)隊(duì)協(xié)作來實(shí)現(xiàn)這些技術(shù)。