在上一篇《你永遠(yuǎn)也混不熟的零信任》文章中，我們介紹了重點(diǎn)介紹了零信任的原則和理念，這篇文章我們具體來看看零信任的架構(gòu)、關(guān)鍵技術(shù)，以及企業(yè)如何部署零信任。

[[385342]]

一、零信任總體架構(gòu)

首先，我們來看看零信任架構(gòu)的總體框架：

上圖是一個(gè)簡略的零信任架構(gòu)總體框架圖，在圖的左邊是發(fā)起訪問的主體，右邊是訪問的目標(biāo)資源，訪問主體通過控制平面發(fā)起訪問請求，由信任評估引擎、訪問控制引擎實(shí)施身份認(rèn)證和授權(quán)，訪問請求獲得允許后，訪問代理作為執(zhí)行點(diǎn)，接受訪問主體的流量數(shù)據(jù)，建立一次性的安全訪問連接。

在整個(gè)過程中，信任評估引擎將持續(xù)地進(jìn)行信任評估，訪問控制引擎通過持續(xù)的評估數(shù)據(jù)，動(dòng)態(tài)地判斷訪問控制策略是否需要改變，一旦發(fā)現(xiàn)問題，就可以及時(shí)通過訪問代理中斷連接，防止其做橫向移動(dòng)和惡意提權(quán)，快速實(shí)施對資源的保護(hù)。

圖中的身份安全基礎(chǔ)設(shè)施可以為訪問控制提供基礎(chǔ)的數(shù)據(jù)來源，以便對人/設(shè)備/系統(tǒng)進(jìn)行身份管理和權(quán)限管理，典型的身份安全基礎(chǔ)設(shè)施包括:PKI系統(tǒng)、身份管理系統(tǒng)、數(shù)據(jù)訪問策略等。

其它安全分析平臺為持續(xù)的動(dòng)態(tài)評估提供大量的日志信息，包括資產(chǎn)狀態(tài)、規(guī)范性要求、運(yùn)行環(huán)境安全風(fēng)險(xiǎn)、威脅情報(bào)等數(shù)據(jù)。典型的其他安全分析平臺包括有：終端防護(hù)與響應(yīng)系統(tǒng)、安全態(tài)勢感知分析系統(tǒng)、行業(yè)合規(guī)系統(tǒng)、威脅情報(bào)源、安全信息和事件管理系統(tǒng)等。

二、零信任關(guān)鍵技術(shù)“SIM”

1. SDP(軟件定義邊界)

SDP技術(shù)是通過軟件的方式，在“移動(dòng)+云”的背景下構(gòu)建起虛擬邊界，利用基于身份的訪問控制及完備的權(quán)限認(rèn)證機(jī)制，提供有效的隱身保護(hù)。

SDP的基本原則之一就是信息隱身，它會(huì)隱藏服務(wù)器地址、端口，使攻擊者無法獲取攻擊目標(biāo)。另外，SDP在連接服務(wù)器之前，會(huì)進(jìn)行預(yù)認(rèn)證和預(yù)授權(quán)，先認(rèn)證用戶和設(shè)備的合法性，接著，用戶只能看到被授權(quán)訪問的應(yīng)用。并且，用戶只有應(yīng)用層的訪問權(quán)限，無網(wǎng)絡(luò)級的準(zhǔn)入。SDP還具有擴(kuò)展性，基于標(biāo)準(zhǔn)協(xié)議，可以方便與其他安全系統(tǒng)集成。

2. IAM(增強(qiáng)的身份管理)

全面身份化是零信任架構(gòu)的基石，零信任所需的IAM技術(shù)通過圍繞身份、權(quán)限、環(huán)境等信息進(jìn)行有效管控與治理，從而保證正確的身份在正確的訪問環(huán)境下，基于正當(dāng)理由訪問正確的資源。隨著數(shù)字化轉(zhuǎn)型的不斷深入，業(yè)務(wù)的云化、終端的激增均使得企業(yè)IT環(huán)境變得更加復(fù)雜，傳統(tǒng)靜態(tài)且封閉的身份與訪問管理機(jī)制已不能適應(yīng)這種變化，因此零信任中的IAM將更加敏捷、靈活且智能，需要適應(yīng)各種新興的業(yè)務(wù)場景，能夠采用動(dòng)態(tài)的策略實(shí)現(xiàn)自主完善，可以不斷調(diào)整以滿足實(shí)際的安全需求。

3. MSG(微隔離)

傳統(tǒng)防護(hù)模式通常采用防火墻作為內(nèi)外部流量的安全防護(hù)手段，一旦攻擊者突破防護(hù)邊界，缺少有效的安全控制手段用來阻止橫向流量之間的隨意訪問。這也就是黑客入侵后能在內(nèi)部進(jìn)行橫向移動(dòng)的重要原因。

隨著東西向流量占比越來越大，微隔離技術(shù)應(yīng)運(yùn)而生，其作為一種網(wǎng)絡(luò)安全技術(shù)，重點(diǎn)用于阻止攻擊者在進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向移動(dòng)訪問。微隔離通過細(xì)粒度的策略控制，可以靈活地實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機(jī)與主機(jī)的隔離，讓東西向流量可視可控，從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞。當(dāng)前微隔離方案主要有三種技術(shù)路線，分別是云原生微隔離、API對接微隔離以及主機(jī)代理微隔離，其中主機(jī)代理微隔離更加適應(yīng)新興技術(shù)不斷更迭及應(yīng)用帶來的多變的用戶業(yè)務(wù)環(huán)境。

三、企業(yè)如何開始零信任?

現(xiàn)在的企業(yè)網(wǎng)絡(luò)架構(gòu)有云計(jì)算，虛擬化，移動(dòng)互聯(lián)，工業(yè)互聯(lián)網(wǎng)......網(wǎng)絡(luò)情況非常復(fù)雜，那構(gòu)建零信任架構(gòu)應(yīng)該如何開始呢?

1. 明確現(xiàn)狀和目標(biāo)

在決定采用零信任架構(gòu)之前，企業(yè)最好思考以下問題：

• 公司為什么要采用零信任安全模型?
• 采用零信任架構(gòu)會(huì)不會(huì)干擾目前組織的工作?
• 企業(yè)曾經(jīng)遭受過網(wǎng)絡(luò)攻擊嗎?如果有，那企業(yè)犯了什么錯(cuò)誤?存在什么問題?
• 員工知道這個(gè)安全概念嗎?員工準(zhǔn)備好了嗎?
• 你打算如何做這個(gè)計(jì)劃?

對以上問題的思考有助于明確企業(yè)的現(xiàn)實(shí)需求，進(jìn)而明確企業(yè)的戰(zhàn)略目標(biāo)。因?yàn)榱阈湃渭軜?gòu)是一種理念和戰(zhàn)略，是一個(gè)長期的目標(biāo)，企業(yè)無法一蹴而就，但是可以部分實(shí)現(xiàn)零信任，采用混合架構(gòu)，所以，如何根據(jù)現(xiàn)實(shí)情況逐步對企業(yè)進(jìn)行優(yōu)化調(diào)整才是最重要的。

2. 映射用戶需求和資源對象

來源：微軟

企業(yè)應(yīng)該對數(shù)據(jù)的流動(dòng)非常清楚，比如人員在訪問什么數(shù)據(jù)?人員的身份是什么?他在什么地方?等等。上圖是微軟的按條件、動(dòng)態(tài)風(fēng)險(xiǎn)評估的零信任部署模型，通過該模型梳理企業(yè)的人員、設(shè)備、資源等情況會(huì)更加清晰、系統(tǒng)。

在用戶層面：

• 首先，要明確用戶是誰?他們需要訪問什么應(yīng)用、服務(wù)或數(shù)據(jù)?他們?nèi)绾卧L問?在哪里訪問?
• 其次，用戶需要滿足什么條件/屬性/狀態(tài)?才能被允許訪問或部分訪問?
• 然后，對于上述條件，我們?nèi)绾瓮ㄟ^特定的安全控制措施滿足這些條件?
• 最后，如何確保我們的安全控制措施是有效的?也就是說如何做好安全監(jiān)控?

在目標(biāo)層面：

從目標(biāo)資源的角度看，同樣也是思考幾個(gè)問題：

• 誰訪問數(shù)據(jù)?他們的身份是什么?他們?nèi)绾卧L問?
• 用戶賬戶的安全風(fēng)險(xiǎn)如何?(例如使用弱密碼/泄露的密碼、低密碼強(qiáng)度、使用行為等)
• 設(shè)備類型是什么?設(shè)備健康狀態(tài)/安全狀態(tài)如何?它在訪問什么數(shù)據(jù)?
• 數(shù)據(jù)重要性/機(jī)密性/敏感性如何?
• 用戶所在位置如何?當(dāng)前登錄位置?歷史登錄行為?
• 訪問的目標(biāo)應(yīng)用是什么?SaaS、云端應(yīng)用、企業(yè)本地部署應(yīng)用、還是移動(dòng)App?

在決策層面：

通過對用戶層面和目標(biāo)層面一步一步地梳理和映射之后，基于動(dòng)態(tài)評估結(jié)果，對應(yīng)的安全強(qiáng)制措施可以是：允許或拒絕訪問、要求多因素身份驗(yàn)證、強(qiáng)制重置用戶密碼、限制訪問特定應(yīng)用/特定功能(例如禁止下載文件等)等。

3. 使用微分段

在企業(yè)網(wǎng)絡(luò)中，不應(yīng)該只有一個(gè)大管道進(jìn)出其中。在零信任方法中，組織應(yīng)在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)位置放置微邊界，將網(wǎng)絡(luò)分成小島，其中包含特定的工作負(fù)載。每個(gè)“小島”都有自己的入口和出口控件。這樣可以增加入侵者在整個(gè)網(wǎng)絡(luò)中滲透的難度，從而減少橫向移動(dòng)的威脅。

至于應(yīng)該怎樣分割網(wǎng)絡(luò)，這里沒有標(biāo)準(zhǔn)的模型，需要企業(yè)根據(jù)自身情況設(shè)計(jì)。

4. 自動(dòng)化和編排

對組織的人員、設(shè)備、資源的關(guān)系進(jìn)行梳理和映射之后，我們將網(wǎng)絡(luò)進(jìn)行微隔離，現(xiàn)在，我們需要做的就是在微邊界或者每個(gè)端點(diǎn)上都進(jìn)行自動(dòng)化和編排，將重復(fù)和繁瑣的安全任務(wù)轉(zhuǎn)換為自動(dòng)執(zhí)行、計(jì)劃執(zhí)行或事件驅(qū)動(dòng)的自定義工作流。這樣可以釋放大量的工作人員時(shí)間，并減少人為出錯(cuò)的機(jī)會(huì)。

5. 實(shí)施適應(yīng)性風(fēng)險(xiǎn)政策

一切都安排妥當(dāng)后，還有一個(gè)因素需要考慮，就是人員的權(quán)限也是會(huì)變化的，比如說在某個(gè)項(xiàng)目組內(nèi)的成員可以獲得特定的權(quán)限，但是項(xiàng)目結(jié)束或人員離職后，需要及時(shí)的取消其權(quán)限。風(fēng)險(xiǎn)政策需要適應(yīng)動(dòng)態(tài)變化的實(shí)際情況，并根據(jù)需要相應(yīng)地更改權(quán)限。

四、總結(jié)

總結(jié)一下，企業(yè)構(gòu)建零信任首先需要開展系統(tǒng)全面地資產(chǎn)梳理、業(yè)務(wù)安全分析，深入研究零信任在企業(yè)部署實(shí)施的必要性和適應(yīng)性、部署場景和方案可行性、與現(xiàn)有安全保障框架的兼容性，在保障網(wǎng)絡(luò)和業(yè)務(wù)安全穩(wěn)定運(yùn)行前提下，分階段、循序漸進(jìn)推動(dòng)系統(tǒng)遷移，完善網(wǎng)絡(luò)安全保障體系，建立自適應(yīng)的安全防御能力。

當(dāng)然，每個(gè)企業(yè)的IT能力、技術(shù)路線、實(shí)際需求，以及對安全的認(rèn)知都不一樣，所以說，沒有完全一致的零信任部署計(jì)劃，以上步驟也僅供參考。當(dāng)然，無論企業(yè)最終是否采用零信任，我們?nèi)匀豢梢詮闹刑崛〉接杏玫慕ㄗh，例如身份驗(yàn)證憑據(jù)的保護(hù)、安全數(shù)據(jù)和狀態(tài)的可視化等等。