零信任落地路徑研究*

秦益飛，張英濤，張曉東

（江蘇易安聯網絡技術有限公司，江蘇 南京 210012）

0 引 言

零信任的概念已經深入人心，一夜之間，仿佛每個安全廠家都有了自己的零信任產品，每個企業都在準備零信任轉型，然而，面對企業網錯綜繁瑣的應用系統和紛雜散亂的安全產品，如何再去部署一套零信任的產品、如何才能在不影響現有業務的前提下完成改造、如何才能最大化的遵循零信任的理念、如何才能構筑統一的安全管理平臺，一系列的問題擺在了企業領導和安全負責人的面前。

1 零信任落地路徑概述

1.1 零信任理念已被廣泛接受

隨著信息技術的快速發展，云計算、大數據、物聯網、移動互聯、人工智能等新興技術為政府部門、各類企業的信息化發展及現代化建設帶來了新的生產力，但同時也給信息安全帶來了新挑戰。一方面，云計算、移動互聯導致的企業邊界瓦解，難以繼續基于邊界構筑企業的安全防線；另一方面，外部攻擊和內部攻擊愈演愈烈，各種高級持續攻擊仍然能找到各種漏洞突破企業的邊界，同時，內部業務的非授權訪問、雇員犯錯、有意的數據竊取等內部威脅層出不窮[1]。

傳統的網絡安全模型基于邊界防護的思想，已經無法適應當前的需求，零信任網絡安全技術應運而生，零信任的不做任何假設、不相信任何人事物、任何事物都要驗證等理念逐步被認可和接受。并迅速成為當前網絡空間安全技術研究熱點[2-3]。

1.2 企事業零信任轉型的普遍目標

零信任打造了一種全新安全訪問模式，但對于目前絕大多數企事業單位來說，主要還是用零信任解決遠程辦公、身份管理和應用微隔離三方面的問題：

（1）近年來由于VPN漏洞造成的數據泄露事件頻頻發生，因而眾多企事業單位將目光轉向了零信任網絡安全，通過零信任安全改造，解決員工、分支機構和三方人員的遠程安全接入問題；

（2）隨著企事業的數字化發展，用戶賬號的分布更加復雜和多樣化，身份認證方式從傳統的“賬號+密碼”逐漸向“社交賬號+多因素認證”方式轉變，因此有效的身份管理成為保障組織各項數字業務安全、高效開展的前提條件；

（3）同時為了防止東西向的風險，眾多企事業單位考慮在傳統的物理隔離基礎上進行基于零信任的應用隔離，這種應用微隔離方式不需要考慮應用的網絡和物理位置，只需要考慮應用的類別和邏輯關系，可以對每個類別的應用制定對應的安全策略。

1.3 零信任落地的方式和步驟

各企事業單位的網絡基礎設施已經變得越來越復雜，零信任的落地方式也沒有標準的流程可依，目前有兩種主流的方式：一是按照物理或網絡位置按片區逐步部署的方式；二是基于應用邏輯分類的落地方式。前者的優點是部署便捷、對網絡和應用幾乎無任何影響，缺點是僅對端側和訪問通道進行防護；后者的優點是可以對企業的應用和數據進行徹底的零信任改造，缺點是部署和實施周期長，可能涉及應用的改造[4]。

零信任的宗旨是保護數據和應用，零信任架構構建了從用戶到應用的安全訪問空間，因此零信任的落地實施路徑應該以數據和應用的分類、改造為起點，以用戶和設備的識別為基礎，以SDP架構為核心，以用戶角色為依據，以過渡白名單為保障，在業務使用影響最小的前提下實現對數據、應用和用戶的零信任改造，逐步實現企事業單位的零信任轉型。

2 基于應用分類和用戶角色的零信任落地路徑

零信任落地路徑，包括應用、用戶、策略幾個方面。

2.1 應用分類，界定保護范圍

零信任改造是一個過程，面對企事業單位少則上百多則上千的應用，不建議也不可能一次改造完成，畢其功于一役的想法是不能存在的。正確的做法首先是要把所有的應用按照邏輯和場景進行梳理，基于業務類別分類，同時要保證業務連續性并考慮實施難度，選取部分應用進行零信任改造。對于首次改造，主要考慮兩類應用，核心應用和需要遠程訪問的應用（如圖1所示）。

圖1 應用邏輯分類

2.2 應用微隔離

通過在所有待保護的應用上安裝應用訪問網關插件，實現對被保護應用的代理和隱藏，所有對應用的訪問，都需要通過應用網關，以保障每一次應用訪問的安全和細粒度的權限控制。同時基于業務分類進行應用級的邏輯隔離，對每類應用制定特有的安全策略，不同類別之間的調用需要通過部署API網關實現統一的API驗證和調用，規范各應用類別之間、各微服務間的API接口，快速完成組織內部系統的前后端分離，實現可視化的安全互訪，解決業務開展、數據共享、數據安全的問題，同時API網關減小了惡意軟件或病毒在內網的傳播和擴散，對接口的統一管理也便于新增業務的部署和內外網業務的調用（如圖2所示）。對于同一類別下各個應用之間，考慮彼此之間的互相調用和訪問頻繁程度，采用ACL方式控制，后續可以根據企事業對零信任的要求和業務改造的實際情況逐步遷移到通過API網關統一管理。

圖2 應用邏輯隔離

為了保障企事業單位的數據安全，在部署API網關的同時，還需要對企業的數據庫進行安全審計，尤其是針對運維場景中運維人員的訪問及操作。通過數據庫審計系統對各類操作進行審計，包括嵌套、函數、綁定變量、長語句、返回結果、腳本等復雜和隱秘統方等，構建立體防御系統，深度識別和立體分析，準確防范各種危險統方等行為。審計不僅僅是數據庫審計，還要包括對應的應用，精準定位到“人”，同時與零信任安全策略中心聯動，進行策略管控及行為審計日志上報，當異常情況發生時，可以通過告警、調整權限、阻斷等方式規避風險并精準溯源，保障組織的數據安全。

2.3 統一身份認證

零信任的基本要求就是對用戶持續的驗證，對用戶和設備的識別是零信任改造的基礎和前提，需要用戶管理系統（Identity and Access Management，IAM），對企業復雜的賬號和權限體系進行統一治理，統一管理用戶在各個應用系統中的賬號，提供用戶的全生命周期管理，當員工入職、轉崗或離職時，數據庫都要相應更新，以保障用戶身份的可信。

零信任針對內外網絡數據的核實，從而高強度把控多種數據身份，針對多種不可信的訪問信息尋求多重信息關卡設置，增加加密權限以及綜合認證，強化總體信息權限，集合整理多種關聯性的信息內容，并對其采取零信任的管理方式，在多次登錄中進行多重的安全檢驗，此種信任程度會根據動態的權限變化從而做出調整，促使在最終的訪問限制結構中可以遵循相對應的權限客體，從而創建一層動態化的綜合信任聯系[5]。

用戶管理系統不僅要管理所有用戶的崗位分類、用戶名和群組成員關系，為用戶提供統一的認證接口，根據用戶的權限級別來確保對應業務安全級別的準確性，同時還需要支持多因素認證能力，包括但不限于：密碼、郵箱、手機、令牌、X.509證書、智能卡、定制表單和生物識別，及多種認證方法組合。多因素認證應該滿足的基本原則：同一安全域之間鑒權方式簡單易用滿足一定的多因子交叉，跨安全域（尤其是低級向高級訪問時）需要增加二次驗證，保證安全性提升。簡言之，同級安全域之間保證單點能力的便捷性，而跨域時保證安全性前提下，滿足便捷性。

2.4 可信設備識別

除了身份可信，還需要設備可信，所有訪問應用的設備都必須是可管可控的設備，只有受控設備才能訪問企業應用。設備管理確保用戶每次接入網絡的設備是可信的，系統要為每個設備生成唯一的硬件識別碼，并關聯用戶賬號，確保用戶每次登陸都使用的是合規、可信的設備，對非可信的設備要進行強身份認證，用戶通過后則允許新設備入網。對可信設備的管理還包括設備狀態的識別，比如識別設備當前的狀態是否通過安全基線，殺毒軟件、系統補丁等，確保設備自身狀態足夠安全。

系統在確保用戶在正確的設備上使用正確的賬號登錄的同時，對賬戶的登錄時間、登錄地點及IP地址進行嚴格控制，以防止非法人員非法接入業務系統，而且一次授權不會伴隨終生，信任度和風險度會隨著時間和空間發生變化，系統會根據安全等級要求，環境因素，不斷評估，達到信任和風險的平衡，對疑似違規的用戶，系統會降低其訪問權限或者直接強制下線。

2.5 構建零信任架構

完成了應用分類、身份認證、設備可信這些基礎準備工作之后，就可以開始部署零信任架構了。基于云安全聯盟提出的零信任SDP架構，考慮企事業單位對系統可靠性的要求，常見的部署方式有主備模式和集群模式。集群模式也被稱作高可用方案，是指將SDP方案中的控制中心和應用網關分別集群化部署、同時提供接入網關實現訪問接入和負載均衡。

高可用方案將安全接入網關部署在被保護的應用系統之前，作為負載分擔將業務有序的發送至對應的控制器，由控制器下發策略到應用網關上，控制中心建立集群方式承擔所有請求，當其中某一臺設備出現故障后不影響業務的快速轉發，應用網關同樣采用集群方式，可以根據需要彈性擴展，同時有效規避了單點故障對應用訪問的影響（如圖3所示）。

圖3 零信任架構

相比較主備模式，首先高可用方案將控制中心和應用網關分離，實現了控制流和數據流的分離，為應用提供了更好的安全防護，其次高可用方案具備更好的穩定性，實現單點故障無感知，保障系統持續穩定運行和應用訪問無間斷，最后高可用方案具備彈性擴展的能力，后續擴容僅需要增加應用網關虛擬機即可，不需要改造網絡或變更設備。

2.6 應用統一門戶

提供企事業單位應用訪問統一門戶，實現企事業單位互聯網統一入口，實現跨設備的統一管理，一方面提升用戶的使用體驗；另一方面隱藏原有的需要對外開放的應用和端口，保障數據與應用安全。用戶通過統一入口登錄后，用戶首頁僅顯示用戶角色有權限訪問的應用快捷鏈接，并且基于動態權限控制允許用戶訪問其角色范圍內的全部或部分應用，同時支持單點登陸(SSO)功能，實現應用程序、業務門戶、統一安全訪問域的各業務系統一次登錄，多業務共享登錄標識，無需再次登錄鑒權。通過單點登錄和統一鑒權，解決系統多應用，多賬戶的問題，實現細粒度的用戶權限集中控制。

2.7 制定零信任策略

部署零信任產品，遵循零信任訪問模式，這僅僅是零信任改造的開始，零信任理念是要持續監測用戶的行為和環境的狀態，不斷地驗證和動態調整訪問策略，因此一個好的訪問策略，是零信任成功落地的關鍵。在企事業單位零信任改造過程中，需要制定基于信任得分的動態訪問策略（如圖4所示）。

圖4 動態訪問策略

在這種訪問策略下，用戶每一次訪問應用都會對用戶身份、使用設備和接入環境進行驗證并給出信任級別分數，同時對每個應用設置安全等級分數，只有信任級別分數大于安全等級分數，才允許用戶訪問應用，否則將限制或者拒絕本次訪問。這種基于得分的訪問策略可以靈活的細化為針對具體應用的訪問策略，比如限制只有最高信任等級的受控設備可以訪問；限制只有最高信任等級的全職和兼職工程師可以訪問；限制只有全職工程師且使用工程設備才可以登錄研發類系統；限制只有財務部門的全職和兼職員工使用受控的非工程設備才可以訪問財務系統（如表1所示）。

表1 用戶信任級別和應用安全級別

每個用戶和/或設備的訪問級別可能隨時改變。通過查詢多個數據源，能夠動態推斷出分配給設備或用戶的信任等級。例如，如果一個設備沒有安裝操作系統的最新補丁，或者沒有安裝殺毒軟件，其信任等級會被降低；某一類特定設備，比如特定型號的手機或者平板電腦，會被分配特定的信任等級；一個設備長期未使用，會被降低信任等級；一個從新位置訪問應用的用戶會被分配與以往不同的信任等級。信任等級可以通過靜態規則和啟發式方法來綜合確定。

動態訪問策略的有效執行，離不開日志審查和異常行為關聯分析。在傳統網絡安全架構中，一般都是在網絡邊界處布置防火墻，檢查進/出流量。但是現在，邊界安全已不再滿足需要。現代網絡安全控制必須深入所有網段，審查橫向流量、云端網絡通信，以及根本不觸及公司網絡的SaaS遠程網絡通信。換句話說，所有網絡流量都應納入審查覆蓋范圍。網絡安全檢測和保護的觸角越來越往用戶和應用服務處延伸。

基于零信任架構，網絡和應用的操作和訪問信息都可以在控制中心統一管理。用戶側，客戶端將用戶的每一次網絡登陸訪問操作的信息(比如時間、IP地址)、用戶的環境信息(比如操作系統版本和補丁號，病毒庫信息)、用戶的驗證信息、用戶訪問請求信息等實時同步到控制中心日志中心。服務器側，零信任網關記錄用戶的每一次應用訪問信息，這個訪問信息一般都是對于一個URL資源的訪問信息，同時網關側接收到的異常信息，也可以以告警的形式，同步到控制中心。控制中心，是統一的用戶日志和策略中心，日志記錄以用戶為中心，記錄操作和訪問的行為，從用戶請求網絡連接開始，到訪問服務返回結果結束，真正能夠做到端到端的行為記錄。

通過日志審查，可以發現各種異常情況，并作為動態訪問策略的輸入條件。這些異常情況包括用戶訪問行為異常，網絡入侵異常和內部威脅異常等。例如，頻繁更換賬號登錄、登錄地點變更、頻繁更換登錄設備、頻繁登錄失敗、瞬時訪問流量過大、非正常時間段訪問、密碼暴力破解、端口掃描、Web入侵等。

2.8 基于應用類別和用戶角色逐步遷移

零信任轉型不是一步到位，而是一個過程，首次進行零信任改造的企事業單位應該只選擇部分應用和部分用戶，即便如此，這部分應用和部分用戶也要逐步遷移，以不影響業務為前提完成零信任的切換。

（1）使用應用網關代理遠程辦公類應用和選中的核心應用。被代理的應用提供通過應用網關代理訪問的方式，同時保留原來的通過內網直接訪問的方式；對于原來需要在外網通過VPN訪問的應用，保留原有的VPN方式，同時增加通過應用網關代理訪問的方式。

（2）確定需要使用零信任訪問的用戶，包括原有的使用VPN的用戶和內部需要訪問核心數據的用戶，考慮用戶的使用習慣，我們首先將原有的使用VPN的用戶按照部門確定用戶群組遷移的優先級并逐步遷移到零信任體系下，然后再將內部需要訪問核心數據的用戶逐步遷移到零信任體系下。

（3）隨著原來使用VPN 的用戶逐步通過訪問代理訪問，我們開始阻止用戶使用VPN，包括：刪除VPN用戶的訪問權限；只有經證實確有需要的用戶才能使用VPN訪問。對于內部訪問核心數據的用戶，公司前期強制要求使用零信任客戶端訪問，后期通過應用和端口隱藏或訪問控制列表的方式禁止用戶直接訪問。

（4）過渡白名單策略，為了不影響企業業務的正常訪問，在零信任轉型的過程中，需要考慮過渡白名單策略，即通過白名單允許用戶通過原有的方式訪問應用，待用戶已經遷移到零信任訪問模式下并運行一段時間經過驗證沒有問題之后，再逐步修正白名單的內容直至最后完全遷移成功。

3 結 語

零信任落地沒有統一的標準路徑，各個企事業單位可以按照自身的特點選擇最合適的方式和步驟，基于應用分類和用戶角色的零信任落地路徑能夠幫助企事業單位快速完成零信任轉型的第一步，實現對遠程接入用戶、內網訪問敏感數據用戶，和內網核心應用的零信任改造，給遠程用戶提供統一安全接入門戶，同時對核心應用數據進行了微隔離處理，在保障外網訪問安全的同時，也減少內網東西向擴展的可能，全方位提升企業的安全。

零信任改造的終極目標是完全摒棄內外網的差別，所有的用戶都采用統一的訪問方式，所有的應用都需要隱藏保護和微隔離處理，同時還需要和已有的傳統安全產品對接以形成完整統一的安全管理平臺。因此徹底的零信任之路是很漫長的，這取決于領導者的決心、零信任本身的技術以及企業的成熟度等多種因素。