零信任平臺方案及關鍵技術

嚴波/YAN Bo，王小偉/WANG Xiaowei

（ 深信服科技股份有限公司，中國 深圳 518055）

隨著數字化進程的深入演進，網絡邊界已逐漸模糊，基于“外網危險、內網安全”理念構建的安全防御體系已不再適用。在網絡威脅不斷變化和網絡攻擊日益猖獗的形勢下，以“零信任”為代表的白環境分析手段也逐漸出現，從而逐漸替代基于威脅特征“一刀切”的黑名單機制。

2010年，著名研究機構Forrester的首席分析師J.KINDERVAG首次提出零信任，核心思想是“從不信任，始終驗證”。此后，零信任開始得到業界關注。零信任發展至今，主流三大技術方案分別是：軟件定義邊界（SDP）、身份和訪問管理（IAM）和基于身份的微隔離（MSG）。不同技術方案各有特點，適用于不同的業務場景需求。SDP重點在于按需定義業務訪問邊界，僅為合法請求提供業務資源的訪問支持；IAM重點在于用戶的身份管理與權限分配，與業務深度結合；MSG重點在于數據中心內部東西向流量的控制[1-4]。

對于跨國、跨地區的龐大業務規模、資源類別繁多的企業，僅依靠某一個技術路線而開發的單一產品，難以應對企業發展過程中面臨的不同業務挑戰，如遠程辦公、混合云環境、數據中心數據保護等安全問題。基于上述需求，融合各技術方案特色的零信任平臺應運而生。從企業環境的關鍵業務需求出發，結合三大技術方案的防護思路與功能，統一規劃、統一建設，可以打造安全與業務融合的零信任閉環[5]。

1 零信任平臺方案

零信任平臺（以下簡稱“ZTA平臺”）是以SDP為核心，融合其他零信任技術產品、功能組件的方案。在零信任平臺方案中，各個產品和安全組件實現靈活解耦，在充分發揮各自功能特性的同時，還實現了“統一策略”“統一管理”的平臺聯動機制，達到“1+1＞2”的效果。組件的解耦，可實現不同業務場景下的靈活組合：一是可解決單一產品覆蓋場景不全的問題；二是可以在整體規劃之下，按階段選擇需要的組件，實現安全防御強需求，并同步實現建設成本可控的要求，具體如圖1所示。

▲圖1 零信任建設階段

ZTA平臺分為3個部分：零信任中心、零信任組件、服務支撐，它們分別承擔不同的功能職責，彼此聯動，互相支撐。ZTA平臺具體如圖2所示。

▲圖2 零信任平臺

零信任中心部分位于ZTA平臺的控制平面，是ZTA平臺的核心和關鍵所在。該部分包括兩個子中心：分析中心和控制中心。分析中心基于多源數據對訪問主體的信任等級進行持續分析、評估，并將評估結果發送至控制中心，用于訪問策略的選擇和應用。除此之外，分析中心還肩負實時風險展示、權限梳理、應用識別、辦公安全行為可視等多種職責。控制中心是根據分析中心的評估結果，動態匹配訪問控制策略，并將策略下發至數據平面的執行組件。

零信任組件部分位于ZTA平臺的數據平面（或業務平面）。作為訪問控制策略的執行點，該組件主要與控制平臺聯動，兼顧情報點、自身安全防護等職能。執行點主要負責訪問策略的執行，即控制中心對具體的訪問請求進行分析評估，并下發選定的執行策略，并負責執行[6]。在平臺化中，執行類設備被稱為網關，所有業務流量均由網關設備轉發；情報點主要用于訪問請求中的信息收集、分析和傳輸，包括認證登錄、業務訪問行為信息等。該類信任一方面用于優化使用體驗，另一方面則為分析中心提供數據分析的來源[7]。

服務支撐部分是ZTA平臺持續迭代、安全防御能力優化、業務保障的重要組成部分。通過交付階段的業務梳理，服務支撐部分完成基礎能力的建設，并進行動態策略調整，在業務運行平穩后，逐步擴大零信任的覆蓋和使用范圍，最終達成業務的全部遷移；在運營階段，通過安全運營，持續完善業務白名單，建立、優化訪問控制關系和策略調整，確保業務訪問的合規化、合理化，達到安全自適應的閉環。

2 功能組成

2.1 零信任控制中心

零信任控制中心在ZTA平臺中占具核心地位，與信任分析中心、零信任組件進行控制聯動，提供的管理功能包括：身份管理、認證管理、權限管理、策略管理、策略下發、組件管理、第三方能力集成等。本文中，我們主要介紹身份認證管理、應用管理、策略管理三大內容。

身份認證管理主要通過與統一身份管理平臺對接或由控制器自身提供認證服務，實現身份的認證和權限管理。身份認證的對象包括用戶（人）、終端、設備、程序等。控制中心根據用戶登錄信息、終端環境信息等內容動態調整訪問策略，例如，用戶首次使用賬戶信息登錄或在非常用地區登錄時可能觸發增強認證，即觸發多因子認證，保障接入安全；在終端已被設置為授信終端或登錄環境安全時，進行認證豁免，免除二次認證過程或實現離線客戶端一鍵上線，以提升用戶的使用體驗[8]。

應用管理部分主要圍繞業務系統的訪問需求，確定合適的安全發布機制和訪問模式。例如，當用戶的訪問環境為內網時，應用管理觸發直連網關（DGW）的訪問模式；當用戶的訪問環境為互聯網時，自動調整為SDP代理網關訪問模式。

策略管理部分主要為不同環境下的訪問需求，能夠提供多類型的動態控制策略，常見的包括：安全策略、客戶端接入策略等。動態策略選定主要來源于零信任分析中心，控制中心通過與分析中心聯動，完成風險分析和持續信任評估，最終確定并生成動態的訪問控制策略，下發給安全組件后完成執行。

為了更清晰地展現以上原理，我們以圖3為例進行說明。由“客戶端及用戶”側向“業務系統”發起業務訪問，會經歷以下幾個階段：首先客戶端及用戶需要與零信任控制中心完成身份驗證，身份驗證可以由控制器自身或統一身份管理平臺來實現；認證成功后，控制中心檢查與之相匹配的策略和該用戶所具備的業務資源列表，判定滿足訪問條件后，下發放通或拒絕的策略到網關設備節點，網關設備來完成該策略執行。在以上過程中，控制中心還會持續接收來自分析中心的分析結果，輔助策略決策。

▲圖3 零信任訪問請求控制

2.2 零信任分析中心

零信任分析中心主要為控制中心提供決策依據輸入，并基于用戶訪問行為或訪問環境等信息進行綜合風險分析。例如，用戶的客戶端登錄源IP地址在授信IP地址范圍內時，在提供正確的身份信息后，即可訪問業務系統；當源IP地址在非授信IP地址范圍內時，即使提供了正確的身份信息，也可下發策略阻止本次訪問。分析中心可以周期性檢測客戶端的源IP地址的變化情況，并將分析結果及時傳遞給控制器，以供決策參考。

分析中心的情報數據采用的是多源并行的方式，不僅匯集客戶端的數據信息，還可匯集其他安全組件或日志分析平臺的數據，例如：終端安全環境檢測的風險分析數據、用戶認證和訪問流量的風險分析數據，以及第三方策略信息點（PIP）分析中心分析數據。零信任分析中心對多源輸入的情報信息進行統一聚合處理，控制中心將參考分析中心的具體分析結果做出訪問決策，并匹配、下發具體的訪問控制策略，如圖4所示。

▲圖4 零信任分析中心

2.3 零信任組件

零信任組件主要指各類場景下負責策略執行處的安全管控組件，例如：SDP代理網關、DGW、安全訪問服務邊緣（SASE）類網關、物聯網安全網關等。根據實際的業務場景和安全需求設置不同的安全組件，遠程接入辦公可選擇SDP代理網關，內網辦公場景可以選擇DGW，物聯網可選擇物聯網安全網關，互聯網云上業務訪問場景使用安全訪問服務邊緣-專用訪問（SASE-PA）。

在ZTA平臺中，常見的網關分為三大類：SDP代理網關、DGW、SASE-PA網關。

SDP代理網關適用于互聯網接入和遠程辦公場景，如圖5所示。SDP采用的是代理轉發模式，即與終端建立連接，再與業務系統建立連接。SDP代理網關工作在“內外”網的邏輯邊界處，業務系統隱藏在SDP代理網關之后。這樣能夠實現暴露面的收縮（僅剩余SDP代理網關本身對外暴露），而SDP代理網關的安全可通過其他的安全措施加以防護，例如單包授權（SPA）技術。

▲圖5 軟件定義邊界代理網關模式

DGW適用于內網辦公場景，因業務訪問由內部網絡承載，所以又被稱為直連網關，如圖6所示。DGW采用防火墻架構設計，用于放通/禁止內網客戶端對于業務的訪問。對于客戶端發起的訪問，DGW仍然會對客戶端做應用級的校驗，校驗通過后才會放通本次訪問請求。

▲圖6 DGW模式

SASE-PA網關適用于跨地區分支需要訪問總部業務的辦公場景，如圖7所示。該模式是將網關組件以云化的方式部署在云端，通過終端客戶端與SASE-PA網關建立加密隧道，實現業務數據引流。當客戶端發起業務訪問請求，流量會被“抓”取并放入隧道，通過云上SASE-PA網關實現代理訪問。同時，客戶端的非業務流量會自動過濾分流。相比于傳統的SDWAN組網，SASE-PA網關模式極大地實現了企業跨地區靈活組網、高性價的安全業務訪問需求。

▲圖7 SASE-PA網關模式

以上3類網關各具特點。對于SDP代理網關模式，當網關出現故障時，通常需要通過修改域名或者映射配置來恢復業務訪問；對于DGW模式，在網關故障發生時，可以通過透明模式部署來實現業務訪問的快速逃生；相比于SDP代理網關與DGW，SASE-PA網關模式天生具備易部署、易擴展、訪問健壯的特點，主要應用于云托管場景。

2.4 ZTA平臺落地與服務支撐

傳統的網絡安全防御體系與被保護的業務系統屬于分割、松耦合關系，在計算環境、網絡邊界、傳輸網絡中以設定“黑名單”為主的安全策略。ZTA平臺作為一種全新的安全架構，與業務需求、安全能力動態持續融合，增強“白環境”檢測邏輯，以場景化、階段化的方式，逐步構建完整的業務安全防御體系，所以ZTA平臺方案落地可分為三大階段，分步實施。

第1階段，優先實現通過互聯網或廣域網（類似政務外網等專網）進行遠程接入訪問的業務場景部分，通過零信任架構，收縮業務對外的暴露面。

第2階段，優先考慮內網訪問和分支機構接入訪問的業務場景部分，可將傳統網絡安全升級為零信任架構體系，實現內外網統一、無差別的安全訪問辦公體驗。

第3階段，深入組織數據中心內部訪問場景，主要解決數據中心主機、虛擬機、容器、服務之間相互訪問調用的安全訪問控制邏輯。

在平臺的運營階段，還需專業團隊以安全運營服務的方式，持續提升企業的“白”化能力。通過可視化報表和自動化技術的輔助，主動挖掘和發現未知風險，實現動態、自進化式的安全策略調整。

3 關鍵技術

ZTA平臺是通過在多個層面，以多種安全控制技術，實現以下的一些安全目標：正確的人利用可信的終端，通過安全的通道，使用適當的權限，訪問重要的業務，從而保護敏感的數據。

3.1 第3代SPA技術

零信任核心能力之一是實現基于身份的安全訪問控制。這需要兩個必要條件：一是實現流量身份化；二是在通過身份認證之前，要充分縮小業務的暴露面，做到先認證后訪問。

在傳統的遠程辦公場景中，客戶端需要先與業務系統建立連接，再進行用戶身份認證，認證通過后即可獲取相應的業務資源列表。先連接的前提條件是業務端口保持開放，但這種開放先天就存在被攻擊的風險，例如：端口掃描、分布式拒絕服務攻擊（DDOS）等。

在ZTA平臺中，客戶端在正式發起連接前，需要完成身份驗證，驗證通過后才能進行正式連接，同時實現對設備自身的安全防護。未通過身份驗證的客戶端，無法得知業務端口，更無法與之建立連接。整個過程包括兩個階段：第1個階段，通過控制平面的身份校驗后，控制平臺通過策略配置，打開業務連接端口；第2個階段，客戶端與打開的端口，在數據平面建立業務連接，實現業務訪問。零信任鑒“白”流量示意如圖8所示。

▲圖8 零信任鑒“白”流量示意圖

在互聯網訪問的具體場景中，SDP代理網關通過第3代SPA技術和隧道技術，實現暴露面隱藏和流量身份化。由于安全網關采用代理的方式替代了客戶端進行業務訪問，所以在隧道頭部中以插入字段的方式，傳遞身份驗證所需內容。

零信任系統默認隱藏所有服務端口，僅開放所需的用戶數據報協議（UDP）端口。在正常用戶訪問前，客戶端發送含有身份憑證的UDP SPA“敲門”包，驗證通過后會臨時打開一個時間窗口，且僅允許指定源IP地方訪問的443端口（即TCP SPA敲門端口）。后續的傳輸控制協議（TCP）連接過程遵循第2代TCP SPA流程，在安全傳輸層協議（TLS）協商過程中完成TCP敲門，具體如圖9所示。

▲圖9 第3代SPA技術

由于非代理模式下不能修改數據包內容，所以DGW訪問場景無法直接使用SDP來實現業務端口隱藏。該場景以使用前置驗證包的方式來實現應用級鑒權。客戶端在每一次發起會話連接時，需要先通過一個前置驗證包來完成驗證，驗證通過后才能建立會話；驗證失敗，則會拒絕建立會話。

3.2 新一代沙箱技術

在零信任方案中，數據安全也需要重點考慮。實現數據安全保護的技術主要包括：桌面云（VDI）、虛擬瀏覽器（SBC）、沙箱（SandBox）。桌面云和虛擬瀏覽器技術能實現數據云端存儲，可見、可用，但不可得；沙箱技術能實現數據落地，但不泄密。

沙箱技術是通過在終端上創建與當前終端環境邏輯隔離的安全工作空間，來實現數據隔離保護。該技術通常是以插件的形態來實現輕量化、簡潔化的應用。沙箱技術使用驅動層的文件透明加解密技術，在文件系統添加一個加解密過濾層。所有軟件的磁盤寫入操作最終都會經過這個加解密模塊，再進入磁盤。加解密模塊會對寫入操作的進程進行判斷，屬于工作空間的進程則寫加密、讀解密，屬于終端空間的進程讀寫均不做額外操作。沙箱技術在應對勒索病毒方面也具有一定優勢。勒索病毒主要是通過磁盤文件遍歷的方式來獲取對應格式的文件并實行加密。寫入沙箱文件系統的文件被隔離保護，在個人桌面無法搜索找到對應文件，也就無法實現對其加密勒索。與此同時，沙箱技術還可以實現對數據導入和傳出的控制，避免數據失控、外泄。

3.3 動態訪問控制列表（ACL）技術

傳統網絡安全的ACL策略是靜態制定、規則匹配的模式，無法實現動態、細粒度、差異化管控，無法實現主動防御和響應。ZTA平臺中以動態ACL技術來評估終端接入的風險，從而實現動態策略控制。

零信任的策略引擎主流模式有兩種：一種是信任評分機制，一種是規則機制。

信任評分機制又分為配置評分和智能評分兩種模式。配置評分模式是管理員為不同安全缺陷情況預設分值，并對整體評估結果設定一個“及格線”分值；智能評分則是通過平臺引擎進行統計、學習從而完成判斷和賦值，整個過程無須人員參與，所以智能評分機制的弊端是如何設定合理的“及格線”。

規則機制是通過在不同的板面上分別設定安全策略基線，以“短板”效應的方式，達到設定目標。相比于信任評分機制，規則機制更有利于保障安全的底線和原則，不會單方面通過得分情況做出策略判斷。

在ZTA平臺方案中，我們采用規則+評分的混合模式，以規則機制為主，評分機制為輔，共同完成安全分析判定。ZTA平臺的理念是：“安全有原則，管理有灰度，信任有智慧”。“安全有原則”是指策略引擎以規則為主；“管理有灰度”是指在動態ACL規則方面可配置二次認證或告警，或提供過渡期整改再處置，以保證業務優先，而非“一刀切”的統一策略；“信任有智慧”是指在規則基礎上引入智能評分機制，輔助決策。

ZTA平臺中的動態ACL涵蓋時間、位置、可信應用程序等多種維度，可根據實際場景需求進行細粒度設置。在智能評分模式下，零信任中心聯動終端安全設備，實現客戶端的環境評估賦值，輔助決策；在規則模式下，通過對發起訪問請求的終端程序進程的使用情況、簽名信息等內容進行安全評估，與預置的可信進程和不可信進程標簽進行動態匹配，以支撐不同策略的差異化選擇。

3.4 三層轉四層隧道技術

隧道技術是在傳輸層面實現安全控制，主要包括3個關鍵內容：引流、傳輸和代理。引流是精準“抓”取業務訪問流量，傳輸是指以加密后傳輸給隧道代理網關，代理是由網關代理客戶端完成業務訪問。

傳統的三層引流技術主要是通過虛擬網卡和路由完成引流，兼容性較好。其原理是通過在終端本地安裝虛擬網卡，并下發路由的方式，實現引流進入隧道，同時通過虛擬域名系統（DNS）配合，實現域名資源的訪問。由于工作在三層，也被稱為是三層隧道。當客戶端存在多個客戶端/服務端模式（C/S）的應用程序時，會通過一條傳輸控制協議（TCP）長連接與代理網關實現數據交互。長連接的傳輸受網絡波動、切換的影響較大，用戶感知明顯。

三層轉四層技術是在三層虛擬網卡處，通過IP路由表引流獲取到終端的請求流量，之后以輕量級IP協議棧轉換成四層數據包，再將數據包通過客戶端私有隧道代理的方式發送至網關。這種模式使用TCP的短連接，客戶端與代理網關之間會為每個隧道均建立一個TCP短連接。當數據傳輸完成后，立即釋放該短連接資源。由于短連接對應用層（四層以上）流量不做改寫，在數據包被加密封裝的payload部分長度要比長連接更短，因此在大文件傳輸和下載場景中，傳輸效率高于長連接方式。

4 結束語

零信任是內生安全模型的代表之一，以強調業務“白”化能力的方式，與被保護的業務深度融合。依托零信任平臺方案和可行技術的應用，零信任構建了安全與生產力的平衡發展態勢，優先保障業務可用性，并以系統化思維全面提升業務自身的安全免疫力，為數字化、智能化社會的安全建設指明了方向，奠定了的“可信”基石。零信任架構旨在加強安全性以保護企業資產的系統和操作設計指南，它本身并不是一個單一的架構。零信任平臺通過融合軟件定義邊界、身份與訪問管理、微隔離的技術優勢，為企業提供業務與安全同行的網絡環境，是保障企業數字化良好發展的重要路徑。

致謝

本文的撰寫得到深信服科技股份有限公司游建舟、王琦然的幫助，在此表示感謝。