在传统边界安全模型中,企业 IT 部门采用以防火墙、VPN 为代表的网络安全产品和 技术,通过对流经企业网络边界的流量进行检查、验证和加密,保护网络中的应用、服务和 数据等资产。
在全球数字化转型浪潮下,企业网络安全面临诸多挑战。一是基础设施多样化、云化, 业务访问需求复杂化,使得企业原有的网络边界逐渐模糊;二是远程办公、自有设备 (BYOD)增加了数据泄露的风险;三是内部横向移动、APT 攻击、勒索软件等网络攻击手 段不断提升,网络内部安全态势严峻。传统基于边界的网络安全防护手段已无力应对各种 潜在的安全威胁,企业组织迫切需要优化网络安全架构,以为遍布世界各地的分支机构、 合作伙伴、客户和员工提供多样化的网络接入和服务访问。
秉承“永不信任,持续验证”理念的零信任理念是解决上述问题的有效手段之一。零信 任起源于耶利哥论坛(Jericho Forum,成立于 2004 年)对企业“去边界化”网络安全解决 方案的探索。2010 年,Forrester 的首席分析师 John Kindervag 正式提出零信任概念 (Zero Trust),认为默认情况下所有的网络流量都是不可信的,需要对访问任何资源的任 何请求进行鉴别,通过微隔离架构实现对网络的细粒度访问控制,以限制攻击者的横向移 动。 伴随着云计算、移动互联网的发展,零信任逐渐开始向以身份为基础的动态访问控制 体系演变。2014 年,谷歌通过一系列论文介绍了 BeyondCorp 的设计思路和落地方案,使用零信任架构替代了传统 VPN 的使用,将安全边界细化至用户和应用,确保来自不同位 置的所有用户均能安全地访问企业业务。
2013 年,云安全联盟(CSA)提出 SDP(Software Defined Perimeter)软件定义边界, 成为零信任的代表解决方案,并于 2014 年发布《SDP 标准规范》(1.0 版),介绍了 SDP 的 架构组成、工作流程、交互协议和应用场景等内容。2020 年 8 月,美国国家标准技术研究 所(NIST)发布《零信任架构》(SP 800-207),全面阐述零信任理念的核心原则、逻辑架构、 典型场景的部署方式,以及与已有系统的交互支撑等内容。2021 年 2 月,DISA 和 NSA 联 合发布了《DOD 零信任参考架构》,该报告采用美国军队体系结构描述方法(DoDAF),对 零信任架构的预期目标、能力组成、组件关系、数据流转,以及应用场景等内容进行了说 明。2021 年 10 月,ITU-T 发布标准《服务访问过程的持续保护指南》(X.1011),提出从主体 发起访问请求到收到服务响应的访问过程中,基于零信任理念执行动态策略保护,通过不 断分析相关实体的安全状况,验证访问活动的合理性,以保护访问过程的安全,推动零信 任内涵从“持续验证”向“持续保护”升级。2022 年 4 月,CSA《SDP 标准规范》(2.0 版)正式 发布,与 1.0 相比,该版本对 SDP 架构、部署模型和单包认证协议进行了细化说明,并解释 了 SDP 与 NIST 零信任架构的映射关系。
综合来看,近几年零信任标准化研制工作已经进入高产阶段,零信任相关技术和产品 逐步走向成熟。2019 年,中国信通院发布的《中国网络安全产业白皮书》指出:“零信任已 经从概念走向落地”。2021 年以来,由奇安信牵头制定的国家标准《信息安全技术零信任 参考体系架构》、中国信通院牵头制定的系列行业标准《面向云计算的零信任体系》等工作 也取得了持续进展,为我国零信任产业的规模化发展打下良好基础。
零信任代表了新一代的企业网络安全架构,将由防火墙、IPS/IDS 等安全设备所构建 的网络安全边界,转换成围绕受保护资产的软件定义边界,放弃了基于网络位置的信任假 设,重新审视网络中信任关系的建立、维系方式,通过基于上下文的精细化访问控制,减少 暴露面和攻击面,使网络安全管理能够更灵活地应对复杂的安全事件和网络变化。 零信任在萌芽阶段,主要关注企业网络的微隔离保护问题,John Kindervag 围绕零 信任网络架构,给出了 3 个基本原则: (1)不再以网络位置区分网络、设备接口和用户的可信度; (2)访问控制应该遵从最小权限原则; (3)所有的访问都应当被记录和跟踪。
在零信任蓬勃发展阶段,应用场景不断变化,安全技术更新迭代,零信任理念的关注 方向已经从企业网络基础架构发展为企业业务访问安全架构,提供了旨在消除访问决策 不确定性的一系列概念和组件,进一步细化明确了零信任架构设计的前提假设和基本原 则,以便指导零信任架构的落地实施,为企业数字资源建设打造体系化的安全控制能力。 零信任的安全假设是其基本原则的设计前提,在以 NIST 零信任架构为代表的安全框 架中,零信任重点关注企业应用与资源的访问安全问题,对上下文的安全状况做出了一些 基本的前提假设,主要包括: (1)从访问所处的空间维度来看,在网络的不同位置(内网、外网、云端等)、区域、节点, 均存在无法避免的各种安全威胁; (2)从访问过程的组成维度来看,参与访问过程的所有对象默认都不可信任,包括用 户、设备、网络、应用、数据等; (3)从访问发生的时间维度来看,在整个访问过程中,每个实体对象的安全性(机密性、 完整性、可用性、真实性等)是动态变化的。
基于这些前提假设,零信任架构设计需要遵循的基本原则包括: (1)受保护资源应覆盖企业的所有数字资产,包括用户、设备、数据、服务等; (2)业务、资源访问所依赖的通信机制必须满足相应的安全要求(身份鉴别、机密性、 完整性保护等),而且与资源的网络位置无关; (3)对资源的访问授权均应以会话为粒度,当且仅当请求方通过身份认证后,方可授 予其最小访问权限(遵循最小权限原则); (4)对资源的访问授权是通过动态策略决定的,影响策略判决结果的因素包括用户身 份、应用 / 服务、目标资源的状态,以及与安全态势相关的行为或环境因素等; (5)企业持续监控和测量所有 IT 资产的安全状态,以便对处于不同安全态势下的资 源采用不同的安全策略; (6)所有资源的认证、授权是动态完成的,并且必须在允许访问前完成; (7)企业尽可能收集 IT 资产的实时状态数据(如网络流量、访问请求的元数据),以便 评估网络的安全态势。
上述原则体现了“永不信任、持续验证”的零信任理念,其核心要义是通过持续收集实 时上下文,基于动态策略对所有资源的所有访问进行持续验证,通过实施最小权限原则, 最大限度地收敛暴露面和失陷范围。 “实时上下文”是零信任的实现基础,由业务访问过程中,所有可能影响业务安全的 内、外部因素组成,包括与访问相关的实体的状态、环境、事件、时序等,例如主体的历史行 为、客体的安全状态、业务数据流转记录、当前网络(系统)的漏洞 / 补丁、恶意代码、升级 更新、威胁情报、安全政策等。 零信任架构的基础设施需要实时收集,并使用组织业务中的安全上下文,快速、准确 地确定访问的授权结果,确保用户体验不受影响。在零信任架构中,上下文的定义需要综合考虑业务安全的要求和现有安全工具的能力,并在策略执行过程中进行验证,根据 安全态势的变化加以调整,以确保动态策略的实施执行,收紧受保护资源的安全边界。
“持续验证”意味着无论什么时间,访问环境中不存在可信区域、凭据或设备,企业范 围内的所有数字资产均面临威胁,需要对它们实施最大范围、基于风险的全过程访问控 制,这种控制能力需要通过动态可扩展策略的部署来加以保证,以确保兼顾来自风险管 理、安全合规、快速部署和用户体验等多部门多层面的综合要求。 通过实时上下文和持续验证的统一协同,零信任限制了用户身份凭据的使用范围和 访问路径,实现了企业范围内的“收敛暴露面和失陷范围”,有助于将攻击威胁的可能性和 影响(风险)降至可接受的范围内,使安全系统和人员能够获得足够的响应时间,以减少攻 击带来的损失。
