中小型企業的網絡零信任體系初探

焦士辰，楊海昕，劉澤通，張 澤

（1.星航互聯（北京）科技有限公司，北京 100094；2.中國衛通集團股份有限公司，北京 100086）

1 研究背景

在我國互聯網普及率高達73.0%的今天[1]，很難準確認定所有網絡使用者的行為都是值得信任的。我們無法確認互聯網流量被監聽，更無法確認提供光纖租用服務商或云服務商是完全可信的。隨著應用需求的不斷革新，諸如移動辦公、物聯網、大數據、多云融合等新模式已逐漸打破傳統的基于網絡邊界的安全防護模型。外部網絡邊界被打破的同時，“企業內部的系統和網絡流量”一樣是不可信任的。不論是被劫持的內部人員設備又或是系統中安裝的社區開源組件，都有可能成為企業網絡被攻擊的跳板，攻擊者可能輕易通過跳板在企業網絡內部橫向或縱向發起進一步網絡滲透和攻擊行動。

中小型企業因為處于業務高速發展階段，對于網絡安全和數據安全的投入往往考慮不周，且未劃入最重要預算內。企業通常采用公有云或租用IDC機房構建混合云的方式搭建企業系統，通過購買或租用公網邊界防護設備。但這種安全解決方案往往并未被有效配置和使用，也無法應對內部風險、惡意入侵、APT攻擊等新型威脅。

為應對新網絡安全需求，基于網絡零信任理念的模型被創建，逐漸替代傳統安全模型。零信任模型中未假定任何網絡位置的安全屬性，在不依賴網絡傳輸層安全機制的情況下，有效地保護企業網絡通信和應用訪問安全。本文將從零信任起源出發、逐步分析企業安全需求，試探究適合中小企業部署零信任體系的可行方案。

2 零信任體系基礎

2.1 零信任的起源、發展和定義

零信任最早起源于2004年成立的Jericho Forum，其目的就是為了定義和解決無安全邊界趨勢下的網絡安全問題，提出要約束基于網絡位置的隱性信任，且不依賴于靜態防御機制。

2010年，Forrester研究機構的分析師正式提出零信任（Zero Trust）這個術語。2013年，國際云安全聯盟提出軟件定義邊界（Software Define Permeter，SDP），其核心思想是通過軟件的方法，構建一層虛擬的企業邊界，利用身份的訪問控制去應對網絡邊界模糊帶來的控制粒度問題，成為第一個完整的零信任解決方案。

伴隨技術的革新，于2020年NIST發布《SP800-207:Zero Trust Architecture》標準，其對零信任架構帶來明確定義“零信任的企業網絡安全規劃，包括企業網絡安全架構、工作流規劃和組件關系等，目的在于祛除企業信息系統與系統服務中訪問控制策略的不確定性”。

2.2 零信任體系基礎原則

與傳統網絡安全原則的注重網絡邊界防御、信任內部網絡安全不同[2]，零信任網絡基礎原則建立在五個基礎原則之下。

（1）網絡的內部環境和外部環境無時無刻處在網絡安全威脅之下。網絡所處在任何環境下，都有可能作為網絡攻擊源或網絡攻擊目標。不能默認只有企業內部與公網網絡邊界處于安全威脅下，現實網絡安全環境下任何資源都有可能存在網絡風險。

（2）網絡所處位置不能作為決定網絡可信認度的依據。零信任網絡環境下不根據所處網絡位置給予默認權限和信任度，所有網絡通信均應在安全的方式下進行傳輸，對所有網絡位置均認定為不信任。

（3）所有網絡中的設備、用戶、服務和網絡流量等都應視為企業資源。一個網絡可能由多種資源組成，資源不僅包含網絡中的交換機、路由器、服務器、存儲陣列、網絡安全設備等硬件，網絡中提供廣播的服務、能夠訪問資源的用戶、網絡中帶寬以及傳輸的流量等都應劃歸為企業資源進行管理。

（4）每個企業資源的每次會話和訪問均應獨立認證和授權。在資源進行每次會話或訪問之前，將獨立評估每次資源會話或訪問動作并進行身份認證和給予對應授權。每次認證和授權操作均視為獨立事件，不關聯曾經認證和授權的情況，對一個資源的身份認證和授權也不能自動給訪問另一個資源對象進行授權。

（5）訪問控制策略必須是動態的，且應盡量多地從資源中獲取特征進行計算和評估來生成。資源的訪問控制策略是基于分配給資源指定屬性的訪問規則，這些規則是給定系統流程需求并在可管控風險的前提下設定的。資源訪問和會話權限規則策略必須可以根據需求而動態變更，而訪問控制策略規則的授權要盡可能多地收集資源的屬性特征，如網絡位置、請求時間、既往行為和請求動作等去進行計算和評估。

2.3 企業零信任安全架構的優勢

零信任安全架構更加注重實時可變，將網絡安全定義在動態下。當前越來越多的企業將云計算引入到企業應用服務中，網絡邊界無時無刻在變化。傳統網絡安全模式下需頻繁對網絡邊界進行修改和配置，將極大地損耗企業的資源和財力，且極有可能因遺漏或錯誤配置導致不可預見的風險[3]。企業采用零信任體系進行部署的優勢可以總結為以下三方面。

（1）縮小企業公網暴露面，實時調整訪問控制規則。縮小對公網暴露的窗口，有效減少來自互聯網的刺探攻擊、漏洞掃描和注入攻擊等安全風險；通過動態調整訪問控制策略約束用戶行為，及時防護已出現或可能出現的安全事件。

（2）彌補傳統安全合規弊端，訪問行為審計可控。傳統安全體系不注重行為審計，常造成事后追查困難，嚴重影響系統復原和問題追溯。零信任體系具備無特權特點，將所有用戶的訪問請求進行代理操作，有效審計用戶行為，符合國家安全合規要求，輔助事后安全事件溯源和恢復。

（3）周期性維護企業資源，優化企業資源管理。零信任體系下對企業資源屬性要求周期性更新，有效檢測服務設備和訪問終端的安全問題，及時更新用戶身份變化，輔助更正系統訪問控制規則。精細化管理企業資源，優化資源分配和使用。

2.4 關于零信任國家政策指引

由于傳統網絡安全模型的效果的減弱，基于零信任的安全網絡架構模型逐步得到認可和普及，甚至上升為國家級網絡安全戰略。2021年9月，美國正式發布《聯邦零信任戰略》，并于2022年1月發布政令要求在整個政府范圍內啟動零信任框架遷移。

2019年9月，我國工業和信息化部發布的《關于促進網絡安全產業發展的指導意見》（征求意見搞）中將“著力突破網絡安全關鍵技術”作為重要任務，并同時提及“零信任安全”。2021年5月，中國信息通信研究院發布了《數字化時代零信任安全藍皮報告（2021年）》，報告中分析了零信任安全對企業網絡安全的作用和優勢，指出了我國零信任的發展趨勢。零信任已成為我國網絡安全的重點技術之一。

3 零信任體系部署解決方案

3.1 企業零信任部署案例分析

本處借Google的BeyondCorp零信任解決方案，試解析企業零信任體系的特點。BeyondCorp零信任解決方案是基于開創新的安全訪問方式，提供給用戶與網絡位置無關、不依賴接入VPN、不默認劃分用戶權限，僅通過設備憑證和用戶身份憑證進行認證、授權和加密的零信任安全架構[4]。用戶狀態（如操作行為審計、用戶信息變更等）推斷用戶和設備的信任等級。在上述過程中管道的作用是實時動態地從后端數據庫和發證機構提取訪問控制引擎所需求的信息。

（5）通過所有驗證確認用戶請求符合要求，訪問代理通過訪問控制引擎開通對應訪問控制策略，準許用戶請求轉發到應用后端獲取服務。訪問控制引擎基于每個訪問請求，根據獲得的用戶和設備身份以及用戶和設備信任等級開通對應策略。

3.2 中小企業零信任體系可行方案

一般中小企業不具備大型企業的研發和維護能力，下面針對中小企業特點和安全防護需求進行簡要梳理并嘗試給出基于零信任體系的解決方案。

依據圖1結構，模擬員工在企業辦公地點使用受控設備，請求企業內部網絡應用服務來分析各組件在BeyondCorp零信任架構中的作用，梳理各組件的邏輯關系，對現代典型企業零信任架構進行初步的了解和認識。

圖1 BeyondCorp組件關聯關系圖

（1）員工在使用受控設備與RADIUS服務器進行IEEE 802.1x握手的過程中提供設備證書，驗證證書有效后，設備被分配到無特權網絡。無特權網絡與互聯網絡沒有任何區別，授權登錄到無特權網絡也僅能登錄有限基礎服務，并非進入企業內網。可以理解為完成互聯網Wi-Fi登錄，并未真正完成信任認證步驟。

（2）用戶發送應用請求指向訪問代理，由于未完成信任認證，代理將請求重定向到單點登錄系統。訪問代理對所有企業應用服務均進行保護，并提供負載均衡、訪問控制檢查、應用健康檢查、防護拒絕服務等功能。

（3）用戶通過雙因素認證憑據，完成單點登錄認證獲得頒發的令牌，重新返回訪問代理。此時用戶訪問代理持有設備證書和單點登錄令牌。單點登錄系統是企業集中認證門戶，對訪問用戶進行雙因子認證，在完成用戶和群組數據庫驗證后，生成有短暫時效的令牌，用于下步訪問驗證。

（4）對服務的每個請求均需通過訪問控制引擎進行驗證。通過用戶群組數據庫和設備清單數據庫對用戶和設備身份進行核驗，通過信任推斷引擎根據受控設備狀態（如系統補丁信息、軟件安全風險告警等）、

3.2.1 中小企業網絡安全防護需求

中小企業安全防護需求主要分為兩方面，第一是企業自身網絡安全防護需求，第二是符合國家安全合規需求。

從企業自身特點角度出發，首先，隨著云技術的廣泛應用，中小型企業更多采取云與本地結合的方式進行部署，這種方式雖具備較強擴展性和運維成本低的優勢，但訪問邊界不固定；其次，中小企業處于業務發展快速迭代期，企業應用服務變動頻繁，企業資源配置隨市場變化傾向頻繁調整；最后，為了擴展業務，不少企業都在全國乃至全世界開拓分支，同時因出差或特殊需求（如抗擊新冠疫情）等，遠程辦公成為用戶剛需。由此可以得出企業安全防護邊界較為模糊、企業資源變動較為頻繁、安全防護策略要求較為復雜的需求特點。

從安全合規角度考慮，我國從2017年6月正式實施《中華人民共和國網絡安全法》，標志著我國網絡空間安全已有法可依。《網絡安全法》第二十一條“國家實行網絡安全等級保護制度”，明確將“等保”寫入國家法規，企業均需遵照執行。2019年12月發布的網絡安全等級保護基本要求中體現了“一個中心，三重防護”的思想，也正契合當前網絡安全形式下的企業網絡安全防護的需求。

3.2.2 中小企業零信任體系部署方案

企業安全防護需求已明確，根據中小企業特點，本文采用“用戶端—網關模式”進行部署，下面我們就從模式介紹、核心價值、實施階段三方面進行簡要分析。

3.2.2.1 用戶端—網關模式介紹

圖2為用戶端—網關模式模型示例，模型中包含用戶端、服務端、網關和控制端四部分。用戶端為用戶訪問源端，接入方式包含個人辦公計算機、手機、PAD和虛擬云桌面等；服務端為企業提供的服務、應用等，是用戶訪問目的端；網關為用戶訪問統一入口，也作為企業對外唯一暴露點，用戶訪問均通過網關進行代理操作；控制端為數據處理中心，包含系統內所有服務信息、用戶信息、訪問控制策略和服務代理策略等。

圖2 用戶端-網關模式

我們以“一個企業服務從注冊到用戶訪問”作為原型，簡要介紹模型運作過程。

（1）企業進行服務注冊，控制端將服務基礎信息包含訪問地址、服務權限劃分、服務端代理規則和預訪問控制規則等進行記錄，根據預訪問控制規則對用戶訪問表進行更新，并將該企業服務網絡進行邏輯隔離。

（2）用戶發起訪問請求，網關收集用戶信息及用戶硬件環境（包含用戶端狀態、用戶訪問網絡狀態等）信息。

（3）網關請求控制端，將用戶信息及用戶硬件環境信息進行上傳。

（4）控制端核對用戶身份、驗證用戶硬件環境是否安全，根據預訪問控制規則通過策略引擎生成用戶訪問控制規則。控制端下發用戶訪問控制規則和服務端代理規則。

（5）用戶在通過身份驗證，獲得服務訪問權限，通過網關代理訪問企業服務，開始正常使用企業服務。

注：用戶每次發起新的服務請求或切換系統用戶權限時，均會重新連接網關進行身份驗證，用戶訪問控制規則僅單次訪問有效。

3.2.2.2 用戶端—網關模式實施部署介紹

零信任體系實施很難做到一蹴而就，需要進行多方面協調和配置，我們將部署分為資源信息整理改造、網關代理部署、控制引擎維護三個主要階段。

第一階段為資源信息整理改造階段，重在將企業資源進行分類匯總，不僅要將企業系統進行整理，也要將企業用戶、企業硬件資源、企業虛擬化資源等進行整理，并對企業應用訪問方式進行改造，使服務可通過代理的方式進行訪問；同時還需要為企業所有操作系統配置統一的安全管理客戶端，對用戶設備進行安全加固，為實施安全初始化打好基礎。

第二階段為網關代理部署，傳統網絡安全體系中企業內部服務設備可能未進行網絡隔離，各服務間存在設備復用情況，企業需要在此階段分離各服務資源，將各服務拆分為獨立個體并對各服務進行網絡邏輯隔離；配置統一訪問代理至安全網關，企業需采購或二次開發安全代理網關，將所有企業服務資源均代理至網關，在不影響現有業務訪問的情況下進行全服務代理訪問測試，完成服務代理初始化配置。

第三階段為控制引擎維護，此階段需部署控制訪問引擎服務，將收集到的企業資源信息維護至控制引擎，并初始化各服務訪問控制策略，調試信任算法。完善服務注冊、客戶訪問邏輯，優化用戶訪問流程，逐步封閉原直連訪問模式，將零信任體系融合至企業日常使用中。

3.2.2.3 用戶端—網關模式優勢分析

用戶端—網關模式的核心是將企業所有資源都隱藏在網關后面，隱藏實際服務提供入口，極大地縮減外界攻擊面。用戶端不區分網絡環境，均通過網關請求訪問，不設置默認信任規則，所有服務請求均通過驗證后訪問，充分體現零信任體系價值。

雖然用戶端—網關模式未限制網關后各獨立服務內服務端設備互訪，具體到各獨立服務還存在傳統網絡安全概念的管理網絡。但網關后各服務網絡均采用微隔離方式進行單獨邏輯隔離，且零信任模式改造部署過程中不影響原應用部署架構，既可以達成用戶訪問零信任，又可以在最小影響下融合企業原安全部署架構，夯實全面轉化成零信任體系架構的基礎，十分適合中小型企業過渡使用。

4 中小企業零信任體系待解決問題

4.1 企業零信任體系部署難點

在零信任安全體系中，信任算法和由企業各資源屬性匯總生成的訪問控制策略是整個體系中的核心。

策略生成引擎中的信任算法是零信任體系能否成立的關鍵，但一般中小型企業不具備訓練成熟信任算法的資源和時間。企業可以借助部署成熟策略引擎產品替代自研過程。經過初始調整階段，對引擎內標準和權限重進行調整，在時間成本和費用成本中尋求平衡。

企業用戶發起的所有通信均需通過訪問控制策略的認證和配置，也就表示及時維護企業資源屬性信息，正確配置和維護訪問控制策略將成為決定企業零信任架構乃至整個企業網絡是否能夠正常運轉的關鍵。這些工作將給企業運維人員帶來較大壓力，企業需要支持零信任系統運行和維護。

4.2 企業零信任體系面臨的威脅

雖然基于零信任體系的企業網絡比傳統網絡要安全，但任何方式都無法將安全風險削減至零[5]。以下列舉兩種常見的安全威脅，展示零信任體系下的獨特風險和通常的應對方法。

4.2.1 拒絕服務威脅

在零信任體系中，各企業服務訪問點基本不存在被DDoS或者CC攻擊的可能性。但所有企業用戶均需訪問統一網關進行驗證，這也給攻擊者一個明確的攻擊目標。如果攻擊者對統一網關進行中斷或拒絕訪問攻擊，則很有可能造成企業所有應用訪問中斷，繼而對生產經營造成不利影響。針對這種威脅企業通常采用網關集群部署和智能流量清洗的方式降低安全風險。

4.2.2 策略引擎錯誤威脅

策略引擎安全風險也是零信任體系中一個獨有的致命風險。如果策略生成引擎被錯誤配置，極有可能造成訪問控制策略失效，攻擊者會輕松進入系統進行破壞。如果一個管理員有意破壞安全策略引擎，甚至可能造成企業所有數據面臨泄露風險。因此所有系統級別操作，均需被記錄和嚴格審計；企業也要經常開展網絡安全教育，提升員工安全意識。

5 結束語

本文介紹了零信任的起源和發展，總結了零信任體系的基本原則，簡要剖析了企業采用零信任體系相較于傳統安全體系在安全網絡管理上的優勢，著重從中小企業的安全需求出發，試探尋一套切實可行的解決方案。

企業部署零信任體系并不是一勞永逸，安全威脅依然時刻隱藏在網絡的各個角落，我們需要時刻銘記零信任的名言“永不信任，始終驗證”。文中的中小企業零信任體系部署方案，還存在服務微隔離方案設計、信任算法選擇和優化的課題需要探討，筆者將繼續在這些方面學習、研究和實踐，為企業網絡安全設計和建設提供更有力參考。