安全即基础设施，零信任基础架构及应用

根据零信任架构的创始初衷来看，在此架构下的网络，不存在特权用户、流量、系统、区域，并且不存在所谓的“内网更安全”和“外网不安全”的说法，网络整体的安全性均从零做起。

零信任打破了信任和网络位置默认的绑定关系，不像传统信任关系是静态不变的，而是动态持续监测各参与对象的安全状态、并对其重建信任评估，然后进行动态调整权限、降权、阻断等强管控手段。

由上述分析可知，如果将现有的传统网络架构演变为零信任安全架构，难度是相当大的，这不仅是因为在技术上存在一些难以攻克的难点，更重要的在于基于已有的网络架构的管理模型，很难做到将内网和外网以及特权情况完全摒弃。

零 信 任 安 全 架 构 模 型

零信任架构的核心思想是，默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。

零信任模型采用身份管理基础设施、数据平面、控制平面三层架构，实现访问主体到目标客体的端到端安全控制。

零信任安全架构

目前有零信任实践的公司，大多都是采用SDP架构（software define perimeter）。

SDP架构主要包括三大组件：

• SDP控制器（SDP Controler）

• SDP发起客户端

• SDP服务提供者

控制层与数据层保持分离，以便实现完全可扩展。

有两种实现方案：

• 用户对资源访问的方案，如办公网访问公司应用，大多数采用此种对零信任架构进行实践摸索

• 生产服务之间相互调用的方案，由于涉及生产、及各种复杂访问关系，很少有公司对此种进行实践。

用户对资源访问模式方案

此种方案涉及到的对象有：用户、终端、资源、链路。

认证不再只是人的认证，授权、信任不再是静态不变，而是：

人（双因素、OTP）+终端（是否符合安全基线，安全状态是否符合）+软件（是否有漏洞）=认证（持续动态认证）---->认证通过----->授权（基于对各对象动态安全监测和信任评估，动态授权、降权、阻断等）---->资源

生产服务之间相互调用的零信任方案

此种方案有几个核心元素：

• 工作负载：workload，承载业务的主机，可以是物理服务器、虚拟机或容器；扩展：接私活儿

• 访问者：发起访问一方的工作负载；

• 提供者：提供服务一方的工作负载；（在数据中心中，任意一个工作负载都可能本身即是提供者，也是其他工作负载的访问者）

• 服务：即根据业务需要所开放的供其他工作负载或用户访问的服务。

零 信 任 网 络 安 全 应 用

基于零信任的企业移动远程办公安全架构

利用多维身份认证、持续信任管理和动态访问控制等关键能力，并结合企业当前的信息化网络建设现状，构建基于零信任的企业移动远程办公安全架构。

基于零信任的移动远程办公安全架构

智能手机、办公平板和PC客户端等各类远程访问终端，通过公共互联网接入企业内网时，数据平面捕获网络访问，首先对用户和设备进行身份认证，认证成功后向控制平面发起访问授权请求。控制平面组件检查请求相关数据，采用细粒度业务管控策略，分析评估访问主体的信任度，确定访问授权级别，同时将授权判定结果，以控制策略方式下发，重新配置数据平面，对请求授予最小访问权限。在获取访问许可后，远程访问终端可通过数据平面访问企业内部应用服务和数据信息。

Google-BeyondCorp

谷歌的零信任安全架构涉及复杂的库存管理，记录具体谁拥有网络里的哪台设备。设备库存服务来从多个系统管理渠道搜集每个设备的各种实时信息，比如活动目录（Active Directory） 或 Puppet。对于用户的认证则基于一套代表敏感程度的信任层，无论员工使用什么设备或身处何处，都能得到相应的访问权限，低层次的访问不需要对设备做太严格的审核。

与传统的边界安全模型不同，BeyondCorp不是以用户的物理登录地点或来源网络作为访问服务或工具的判定标准，其访问策略是建立在设备信息、状态和关联用户的基础上，更偏向用户行为和设备状态的分析。

据了解，谷歌BeyondCorp的主要包括三大指导原则：

1.无边界设计

从特定网络连接，与你能获得的服务没有关系。

2.上下文感知

根据对用户与设备的了解，来授予所获得的服务。

3.动态访问控制

所有对服务的访问必须经过认证、授权和加密。

我们今后的网络安全规划思路，也要从传统网络安全架构逐步向零信任迁移，从实战角度、业务视角出发，融入零信任思想，突破了传统网络安全的界限，构建全网信任模型，在动态威胁环境中实时保障数据安全，以应对数字化经济形势下复杂多变的网络环境与威胁。