基于“零信任”模型的安全網(wǎng)絡(luò)構(gòu)建

孫梅梅，朱彥斐，劉 剛

（山東電子職業(yè)技術(shù)學院，山東 濟南250200）

近年來，互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展打破了常規(guī)的時空限制，其嘗試把現(xiàn)實社會發(fā)生的一切變得數(shù)字化和數(shù)據(jù)化，伴隨著人工智能的興起，在大量黑客面前，任何細微漏洞都可以被捕獲，導致安全風險被無限放大。這使人們不得不對傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)進行升級和改造，由傳統(tǒng)的模型轉(zhuǎn)變?yōu)樾碌陌踩雷o模型，即“零信任”模型。

1 “零信任”模型是什么

“零信任”即企業(yè)網(wǎng)絡(luò)不自動信任任何內(nèi)部或者外部節(jié)點，對任何試圖進入企業(yè)網(wǎng)絡(luò)的人、事、物都要進行驗證，簡言之，“零信任”的策略就是不相信任何人。隨著網(wǎng)絡(luò)的安全性越來越受到關(guān)注，防火墻的引入是為了在互聯(lián)網(wǎng)內(nèi)部以及公共和私人網(wǎng)絡(luò)之間建立邊界，然后在企業(yè)內(nèi)部添加額外的防火墻以進一步分割網(wǎng)絡(luò)，“零信任”模型是將分段一直進行到網(wǎng)絡(luò)邊緣上的每個用戶、設(shè)備、服務(wù)和應(yīng)用程序。用戶、設(shè)備或應(yīng)用程序創(chuàng)建的每個會話在允許通信之前必須經(jīng)過身份驗證、授權(quán)和賬戶認證，這也是“零信任”原則的體現(xiàn)，即“Trust no-one.Verify everything”?！傲阈湃巍本W(wǎng)絡(luò)在網(wǎng)絡(luò)邊緣強制實施安全策略，并在源頭遏制惡意流量。

在《零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》一書中，零信任網(wǎng)絡(luò)被描述為建立在以下5 個斷言上：①網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中；②網(wǎng)絡(luò)中始終存在著外部或內(nèi)部的威脅；③網(wǎng)絡(luò)位置不足以決定其可信程度；④所有的用戶、設(shè)備和網(wǎng)絡(luò)流量都應(yīng)當經(jīng)過認證和授權(quán)；⑤安全策略必須是動態(tài)，并給予盡可能多的數(shù)據(jù)源計算而來的。

以上斷言很好地闡述了“零信任”的理念，也總結(jié)了“零信任”的幾個原則：驗證用戶、驗證設(shè)備、合理的訪問規(guī)則與權(quán)限控制，以及配套的動態(tài)機制。零信任網(wǎng)絡(luò)架構(gòu)如圖1 所示。

2 傳統(tǒng)的基于區(qū)域的安全模型

“零信任”模型與傳統(tǒng)的基于區(qū)域的安全模型是不同的。基于區(qū)域的安全模型就是將網(wǎng)絡(luò)分解為不同的段或模塊。這種分段將用戶、設(shè)備、服務(wù)和應(yīng)用程序定義到不同的信任域中，在給定區(qū)域內(nèi)，用戶、計算機和服務(wù)器可以自由地相互通話。因為傳統(tǒng)的防火墻和入侵檢測系統(tǒng)（IDS）主要是針對網(wǎng)絡(luò)外部發(fā)起的攻擊，而對來自內(nèi)部的網(wǎng)絡(luò)攻擊是無效的。而事實上，60%～80%的網(wǎng)絡(luò)濫用事件來自內(nèi)部網(wǎng)絡(luò)?；谄髽I(yè)區(qū)域的常見安全模型如圖2 所示。

圖1 零信任網(wǎng)絡(luò)架構(gòu)

防火墻用于控制網(wǎng)絡(luò)流量的南北方向移動，并允許段內(nèi)的任何通信。從圖2 的左上角開始，一旦經(jīng)過身份驗證，用戶和設(shè)備就可以進入受信任的網(wǎng)絡(luò)。在此方案中，允許用戶進入受信任的客戶端網(wǎng)絡(luò)段或區(qū)域內(nèi)的任何位置。在圖2 的左下部分，不受信任的用戶必須使用虛擬專用網(wǎng)絡(luò)（VPN）并通過身份驗證、授權(quán)和帳戶認證（AAA，以下AAA 皆代表此含義）進程以獲取私有IP 地址，然后允許他們進入網(wǎng)絡(luò)。而且用戶只可以進入演示和語音、視頻區(qū)域，不能再進一步訪問其他應(yīng)用。

傳統(tǒng)的基于區(qū)域的安全模型存在諸多缺陷：①在同一網(wǎng)段內(nèi)的設(shè)備或服務(wù)器之間可以無障礙進行通信。因此，如果一個數(shù)據(jù)庫服務(wù)器受到攻擊，黑客可以對該區(qū)域內(nèi)的其他數(shù)據(jù)庫服務(wù)器發(fā)起攻擊，而不會受到防火墻的檢測或干擾。②允許所有服務(wù)器訪問管理區(qū)域。因此，如果管理區(qū)域受到了威脅，就相當于給攻擊者在服務(wù)器中開了“后門”?？紤]到這些限制，應(yīng)該重新審視基于區(qū)域的網(wǎng)絡(luò)安全架構(gòu)并添加微分段技術(shù)，特別是在公共云托管環(huán)境以及私有數(shù)據(jù)中心。

圖2 基于企業(yè)區(qū)域的常見安全模型

3 “零信任”模型的機遇和挑戰(zhàn)

“零信任”模型的發(fā)展面臨兩個方面的機遇：①隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)把世界上的每一個人都聯(lián)系在一起，突破了時間和空間的限制，網(wǎng)絡(luò)邊界變得越來越模糊，實際上已經(jīng)不存在安全的網(wǎng)絡(luò)。因此，以賬戶為基礎(chǔ)的安全體系無以為繼，需要把賬戶轉(zhuǎn)變?yōu)樯矸莶趴梢栽谶@種網(wǎng)絡(luò)中安全生存。②現(xiàn)實生活中涉及巨大價值或公共利益時，往往通過“零信任”體系而不是通過可信任體系來解決。數(shù)據(jù)的價值今非昔比，數(shù)據(jù)的托管性和多面性總會涉及眾多的公共利益，參照現(xiàn)實模型，“零信任”安全體系可以作為最恰當?shù)臄?shù)據(jù)安全體系架構(gòu)。

按目前“零信任”網(wǎng)絡(luò)的發(fā)展來看，“零信任”網(wǎng)絡(luò)還有很多不足。比如BGP、身份和訪問管理（IAM）服務(wù)等路由協(xié)議之間缺乏集成。路由如果足夠智能，可以將具有子IP 地址的源設(shè)備存儲在一個子IP 網(wǎng)絡(luò)中，并通過IP 地址和應(yīng)用程序?qū)?shù)據(jù)包發(fā)送到目標子IP 網(wǎng)絡(luò)。此外，雖然現(xiàn)在IAM可以用于網(wǎng)絡(luò)，但它并不用于確定數(shù)據(jù)包是如何路由的?！傲阈湃巍本W(wǎng)絡(luò)正在將路由器的路由表與目錄的AAA 策略結(jié)合起來，以允許或拒絕一個包從源到目的地的轉(zhuǎn)發(fā)。與目前的二進制規(guī)則相比，更精細的規(guī)則可以應(yīng)用到路由中，可以提高網(wǎng)絡(luò)性能和安全控制。

為了使IP 路由與目錄一起工作并實施“零信任”網(wǎng)絡(luò)策略，網(wǎng)絡(luò)必須能夠保持狀態(tài)。盡管防火墻和其他安全設(shè)備可保持狀態(tài)，但迄今為止的IP 網(wǎng)絡(luò)是無狀態(tài)的。原本路由器無狀態(tài)是為了保持簡單和快速，但現(xiàn)在通過在路由器中添加狀態(tài)，可以添加額外的服務(wù)，使路由器更加動態(tài)、智能和安全。

多年來網(wǎng)絡(luò)流量增長迅速，讓路由器不堪重負，所以創(chuàng)建能夠快速處理數(shù)據(jù)包的路由器尤為重要?，F(xiàn)在的網(wǎng)絡(luò)需要基于邊緣、分布和核心的體系結(jié)構(gòu)，其中路由是在分發(fā)層進行的，交換在邊緣和核心中完成。隨著路由器從專用設(shè)備轉(zhuǎn)向在網(wǎng)絡(luò)邊緣運行的軟件，在路由中增加額外安全和智能的限制或可被解除。

與傳統(tǒng)的邊界安全模型不同，“零信任”模型并不以用戶的物理登錄地點或者來源網(wǎng)絡(luò)作為訪問服務(wù)的判定標準，而是將訪問策略建立在設(shè)備信息、狀態(tài)以及關(guān)聯(lián)用戶的基礎(chǔ)上，更偏向于對用戶行為、設(shè)備狀態(tài)的分析。任何用戶必須使用由公司提供且持續(xù)管理的終端設(shè)備，通過身份認證，并且符合訪問控制引擎中的策略要求，才能通過專門的訪問代理訪問特定的公司內(nèi)部資源。相應(yīng)的，為了保證用戶獲得流暢的資源訪問體驗，“零信任”模型的訪問控制必須能夠準確識別設(shè)備及用戶、移除對網(wǎng)絡(luò)的信任、通過面向互聯(lián)網(wǎng)的訪問代理提供內(nèi)部應(yīng)用和工作流，以此實現(xiàn)基于已知設(shè)備和用戶的訪問控制，并動態(tài)更新設(shè)備和用戶信息。

4 結(jié)語

安全方案不再是應(yīng)用層面或網(wǎng)絡(luò)層面的單一解法，隨著虛擬化技術(shù)的突破，“零信任”的理念也讓人們看到公共和私人網(wǎng)絡(luò)的邊界將逐步消除，網(wǎng)絡(luò)功能和上層應(yīng)用也將機動組合，用戶、設(shè)備、服務(wù)、應(yīng)用和數(shù)據(jù)標識細粒度映射到網(wǎng)絡(luò)會話，可以靈活地應(yīng)用底層設(shè)備以應(yīng)對更為豐富的防護策略。無論是物聯(lián)網(wǎng)設(shè)備的急劇增長，還是黑客行為的增加，勢必將推動企業(yè)考慮采用“零信任”等方式升級網(wǎng)絡(luò)。