在上一篇《你永遠也混不熟的零信任》文章中，我們介紹了重點介紹了零信任的原則和理念，這篇文章我們具體來看看零信任的架構、關鍵技術，以及企業(yè)如何部署零信任。

[[385342]]

一、零信任總體架構

首先，我們來看看零信任架構的總體框架：

上圖是一個簡略的零信任架構總體框架圖，在圖的左邊是發(fā)起訪問的主體，右邊是訪問的目標資源，訪問主體通過控制平面發(fā)起訪問請求，由信任評估引擎、訪問控制引擎實施身份認證和授權，訪問請求獲得允許后，訪問代理作為執(zhí)行點，接受訪問主體的流量數(shù)據(jù)，建立一次性的安全訪問連接。

在整個過程中，信任評估引擎將持續(xù)地進行信任評估，訪問控制引擎通過持續(xù)的評估數(shù)據(jù)，動態(tài)地判斷訪問控制策略是否需要改變，一旦發(fā)現(xiàn)問題，就可以及時通過訪問代理中斷連接，防止其做橫向移動和惡意提權，快速實施對資源的保護。

圖中的身份安全基礎設施可以為訪問控制提供基礎的數(shù)據(jù)來源，以便對人/設備/系統(tǒng)進行身份管理和權限管理，典型的身份安全基礎設施包括:PKI系統(tǒng)、身份管理系統(tǒng)、數(shù)據(jù)訪問策略等。

其它安全分析平臺為持續(xù)的動態(tài)評估提供大量的日志信息，包括資產狀態(tài)、規(guī)范性要求、運行環(huán)境安全風險、威脅情報等數(shù)據(jù)。典型的其他安全分析平臺包括有：終端防護與響應系統(tǒng)、安全態(tài)勢感知分析系統(tǒng)、行業(yè)合規(guī)系統(tǒng)、威脅情報源、安全信息和事件管理系統(tǒng)等。

二、零信任關鍵技術“SIM”

1. SDP(軟件定義邊界)

SDP技術是通過軟件的方式，在“移動+云”的背景下構建起虛擬邊界，利用基于身份的訪問控制及完備的權限認證機制，提供有效的隱身保護。

SDP的基本原則之一就是信息隱身，它會隱藏服務器地址、端口，使攻擊者無法獲取攻擊目標。另外，SDP在連接服務器之前，會進行預認證和預授權，先認證用戶和設備的合法性，接著，用戶只能看到被授權訪問的應用。并且，用戶只有應用層的訪問權限，無網絡級的準入。SDP還具有擴展性，基于標準協(xié)議，可以方便與其他安全系統(tǒng)集成。

2. IAM(增強的身份管理)

全面身份化是零信任架構的基石，零信任所需的IAM技術通過圍繞身份、權限、環(huán)境等信息進行有效管控與治理，從而保證正確的身份在正確的訪問環(huán)境下，基于正當理由訪問正確的資源。隨著數(shù)字化轉型的不斷深入，業(yè)務的云化、終端的激增均使得企業(yè)IT環(huán)境變得更加復雜，傳統(tǒng)靜態(tài)且封閉的身份與訪問管理機制已不能適應這種變化，因此零信任中的IAM將更加敏捷、靈活且智能，需要適應各種新興的業(yè)務場景，能夠采用動態(tài)的策略實現(xiàn)自主完善，可以不斷調整以滿足實際的安全需求。

3. MSG(微隔離)

傳統(tǒng)防護模式通常采用防火墻作為內外部流量的安全防護手段，一旦攻擊者突破防護邊界，缺少有效的安全控制手段用來阻止橫向流量之間的隨意訪問。這也就是黑客入侵后能在內部進行橫向移動的重要原因。

隨著東西向流量占比越來越大，微隔離技術應運而生，其作為一種網絡安全技術，重點用于阻止攻擊者在進入企業(yè)數(shù)據(jù)中心網絡內部后的橫向移動訪問。微隔離通過細粒度的策略控制，可以靈活地實現(xiàn)業(yè)務系統(tǒng)內外部主機與主機的隔離，讓東西向流量可視可控，從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。當前微隔離方案主要有三種技術路線，分別是云原生微隔離、API對接微隔離以及主機代理微隔離，其中主機代理微隔離更加適應新興技術不斷更迭及應用帶來的多變的用戶業(yè)務環(huán)境。

三、企業(yè)如何開始零信任?

現(xiàn)在的企業(yè)網絡架構有云計算，虛擬化，移動互聯(lián)，工業(yè)互聯(lián)網......網絡情況非常復雜，那構建零信任架構應該如何開始呢?

1. 明確現(xiàn)狀和目標

在決定采用零信任架構之前，企業(yè)最好思考以下問題：

• 公司為什么要采用零信任安全模型?
• 采用零信任架構會不會干擾目前組織的工作?
• 企業(yè)曾經遭受過網絡攻擊嗎?如果有，那企業(yè)犯了什么錯誤?存在什么問題?
• 員工知道這個安全概念嗎?員工準備好了嗎?
• 你打算如何做這個計劃?

對以上問題的思考有助于明確企業(yè)的現(xiàn)實需求，進而明確企業(yè)的戰(zhàn)略目標。因為零信任架構是一種理念和戰(zhàn)略，是一個長期的目標，企業(yè)無法一蹴而就，但是可以部分實現(xiàn)零信任，采用混合架構，所以，如何根據(jù)現(xiàn)實情況逐步對企業(yè)進行優(yōu)化調整才是最重要的。

2. 映射用戶需求和資源對象

來源：微軟

企業(yè)應該對數(shù)據(jù)的流動非常清楚，比如人員在訪問什么數(shù)據(jù)?人員的身份是什么?他在什么地方?等等。上圖是微軟的按條件、動態(tài)風險評估的零信任部署模型，通過該模型梳理企業(yè)的人員、設備、資源等情況會更加清晰、系統(tǒng)。

在用戶層面：

• 首先，要明確用戶是誰?他們需要訪問什么應用、服務或數(shù)據(jù)?他們如何訪問?在哪里訪問?
• 其次，用戶需要滿足什么條件/屬性/狀態(tài)?才能被允許訪問或部分訪問?
• 然后，對于上述條件，我們如何通過特定的安全控制措施滿足這些條件?
• 最后，如何確保我們的安全控制措施是有效的?也就是說如何做好安全監(jiān)控?

在目標層面：

從目標資源的角度看，同樣也是思考幾個問題：

• 誰訪問數(shù)據(jù)?他們的身份是什么?他們如何訪問?
• 用戶賬戶的安全風險如何?(例如使用弱密碼/泄露的密碼、低密碼強度、使用行為等)
• 設備類型是什么?設備健康狀態(tài)/安全狀態(tài)如何?它在訪問什么數(shù)據(jù)?
• 數(shù)據(jù)重要性/機密性/敏感性如何?
• 用戶所在位置如何?當前登錄位置?歷史登錄行為?
• 訪問的目標應用是什么?SaaS、云端應用、企業(yè)本地部署應用、還是移動App?

在決策層面：

通過對用戶層面和目標層面一步一步地梳理和映射之后，基于動態(tài)評估結果，對應的安全強制措施可以是：允許或拒絕訪問、要求多因素身份驗證、強制重置用戶密碼、限制訪問特定應用/特定功能(例如禁止下載文件等)等。

3. 使用微分段

在企業(yè)網絡中，不應該只有一個大管道進出其中。在零信任方法中，組織應在網絡系統(tǒng)中的各個位置放置微邊界，將網絡分成小島，其中包含特定的工作負載。每個“小島”都有自己的入口和出口控件。這樣可以增加入侵者在整個網絡中滲透的難度，從而減少橫向移動的威脅。

至于應該怎樣分割網絡，這里沒有標準的模型，需要企業(yè)根據(jù)自身情況設計。

4. 自動化和編排

對組織的人員、設備、資源的關系進行梳理和映射之后，我們將網絡進行微隔離，現(xiàn)在，我們需要做的就是在微邊界或者每個端點上都進行自動化和編排，將重復和繁瑣的安全任務轉換為自動執(zhí)行、計劃執(zhí)行或事件驅動的自定義工作流。這樣可以釋放大量的工作人員時間，并減少人為出錯的機會。

5. 實施適應性風險政策

一切都安排妥當后，還有一個因素需要考慮，就是人員的權限也是會變化的，比如說在某個項目組內的成員可以獲得特定的權限，但是項目結束或人員離職后，需要及時的取消其權限。風險政策需要適應動態(tài)變化的實際情況，并根據(jù)需要相應地更改權限。

四、總結

總結一下，企業(yè)構建零信任首先需要開展系統(tǒng)全面地資產梳理、業(yè)務安全分析，深入研究零信任在企業(yè)部署實施的必要性和適應性、部署場景和方案可行性、與現(xiàn)有安全保障框架的兼容性，在保障網絡和業(yè)務安全穩(wěn)定運行前提下，分階段、循序漸進推動系統(tǒng)遷移，完善網絡安全保障體系，建立自適應的安全防御能力。

當然，每個企業(yè)的IT能力、技術路線、實際需求，以及對安全的認知都不一樣，所以說，沒有完全一致的零信任部署計劃，以上步驟也僅供參考。當然，無論企業(yè)最終是否采用零信任，我們仍然可以從中提取到有用的建議，例如身份驗證憑據(jù)的保護、安全數(shù)據(jù)和狀態(tài)的可視化等等。