基于零信任的網絡安全架構研究與應用

［龐浩 何淵文］

1 引言

技術創新一直是推動產業改革的重要因素，在國家“新基建”政策和數字化轉型浪潮的推動下，隨著AI、大數據、物聯網、云計算、5G、信息與互聯網等技術的創新和融合發展電子信息產業體系處于變革重組，人們日常生活和工作模式發生巨大的變化，互聯網應用場景日趨多樣，電信運營商的網絡架構和業務場景也隨之發生了重大的變化，傳統的網絡邊界已經變得模糊甚至消失。隨著云計算資源池彈性化以及移動化辦公趨勢發展，面對無處不在的網絡邊界以及動態變化的IP 信息，通過手工不斷修改VPN/防火墻策略已無法滿足新的安全接入需求。

零信任安全最早是由行業研究機構（Forrester Research）提出，主要思路是數據中心零信任網絡的信任重構依賴于全新身份標識的構建。面對邊界安全的局限性，它提供了一組相對折衷的安全思想：在信息系統和服務中對每個訪問請求執行精確的且最小的訪問權限，來最小化數據訪問風險的不確定性。默認不授予任何訪問信任，而是基于對訪問程序的不斷評估動態授予所需的最小權限，從而將資源限制為那些僅需要訪問的資源。

零信任安全針對傳統邊界安全架構思想進行了重新評估和審視，建議圍繞業務系統創建一種以身份為中心的全新邊界，旨在解決“基于網絡位置建立信任”這種理念本身固有的安全問題。

因此，基于零信任模型的網絡安全架構技術性研究和實踐，實現以身份標識為中心建立網絡信任關系，防止數據泄露和限制網絡內部橫向移動，從而更有效地保護網絡通信和業務訪問。……