零信任架构及相关解决方案综述

李圣 谢佳 周舟 宋庆红 夏令

关键词：零信任；软件定义边界；微隔离；身份与访问管理；多因子认证

0 引言

零信任是一组不断演进的网络安全范式，它摒弃了传统防御系统基于安全边界的思想。网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上[1]。零信任架构使用零信任原则来规划企业基础设施和工作流。零信任取消了传统基于用户的物理或网络位置（即，相对公网的内部局域网）而授予用户账户或者设备权限的隐式信任。认证和授权是与企业资源建立会话之前执行的独立步骤。

图1是传统访问和零信任访问对比图，传统网络架构下，同处一个网络区域内，访问主体对资源的访问是属于隐式可信的，即默认访问主体可信。而在零信任访问下，即使同处在一个传统可信网络区域内，每一次由主体对资源的访问都需要策略决策和执行点授权访问。一般来说，零信任策略应该是基于单个连接的和动态的。零信任算法应该是基于条件或评分的以及基于上下文的。只有那些满足了信任算法要求的访问主体才能够实现对企业资源进行访问。

总体来说，随着各类新型技术的诞生和发展，传统以边界防御为主的安全方案已经无法满足市场需求，零信任拥有着广泛的应用前景，能够满足包含远程办公、跨企业协作等多种复杂业务场景的安全需求，这顺应了时代发展的趋势，将拥有广泛的应用前景[2-4]。

1 零信任架构及其逻辑组件

目前，相比西方，国内零信任的发展仍然处于起步阶段，没有强制性的国家标准。而目前世界范围内最权威的零信任标准来自NIST（National Institute of Standards and Technology，美国国家标准与技术研究院）发布的《零信任架构》NIST-800-207。《零信任架构》将零散和无序的零信任概念、技术、架构等进行了标准化统一，为世界众多安全厂商、企业进行零信任推广提供了参考。图2是NIST发布的零信任逻辑组件图[5]，它的架构参考了ISO国际标准的访问管理架构[6]，它详细地描述了一个零信任架构所需的核心逻辑组件及功能组件。核心组件主要包含策略引擎、策略管理器、策略执行点。其中策略引擎是组件中的“大脑”，它将企业自身的安全策略以及外部信息源组成的“信任算法”作为输入，信任算法决定了访问主体是否可以访问特定的资源。策略管理器是零信任架构中的“神经系统”，它能够建立或者切断访问主体和资源间的通信路径，同时负责将策略引擎下发的命令传递至策略执行点，使其执行相关指令。策略执行点是零信任架构中的“四肢”，它负责执行策略引擎下发的指令，启用或终止主体与资源之间的连接。除了上述核心组件外，策略引擎的决策还需要引入一些功能组件来支撑，这些功能组件分别是数据安全模块、端点安全模块、身份管理模块和安全分析模块。这些功能性支撑组件为策略引擎的决策提供了关键信息源，例如安全分析模块引入了外网威胁情报系统，能够帮助策略引擎做出安全、高效的决策。

2 零信任关键解决方案综述

零信任仅仅只是提供了一系列概念和思想，而真正要使零信任架构成功落地成为企业安全建设的可能，则需要依赖各类的技术或解决方案。目前，NIST 将SDP（Software Defined Perimeter，软件定义边界）、AMcScGe（sMs iMcraon-aSgeegmmeennt，ta身tio份n，与微访隔问离管）理、I）A视M为（Id零ent信ity任an架d构的核心解决方案。

2.1 SDP 软件定义边界

SDP是国际云安全联盟CSA于2013年提出的基于零信任理念的新一代网络安全模型。SDP抛弃了传统的边界防御模型，构建了一个虚拟边界，聚焦于保护企业资源[7]。它执行的是基于风险、动态的、以身份为中心的、上下文感知的访问策略，为企业应用和服务穿上“隐身衣”，使攻击者无法发现和识别资源从而发动不了有效攻击[8]。

如图3所示，SDP的架构主要由三个逻辑组件构成，分别是连接发起主机、控制器、接受主机。SDP的工作流如下：①客户端连接控制器进行身份认证；② 身份验证通过后，控制器确定客户端访问应用网关列表；③控制器告知接受主机已授权的连接发起主机清单；④控制器向连接发起主机返回可访问的接受主机列表；⑤连接发起主机向接受主机发起验证，然后建立双向加密隧道。

SDP采用的是SPA（Single Packet Authorization，单包认证）协议，SPA协议是一种轻量级安全协议，能够实现客户端在访问控制器或者网关时检查设备或用户身份，实现了“先认证，后连接”的访问模式。因此，SDP架构相比于传统的边界防御模型存在以下优势：①访问前必须进行验证，验证成功后才能建立连接，即零信任概念中所谓的“先验证，后链接”的概念；② 对于未经验证的设备，SDP可以将资源或者服务进行隐藏，显著降低了供给面；③SDP默认丢弃一切TCP 或者UDP数据包，接收端将会无声处理数据包，实现权限最小化部署。

总的来说，SDP解决了零信任原则中的许多问题，这两個概念是高度融合的。考虑到成本以及扩展性等因素，SDP已是业界实现零信任落地的主流方案[9]。

2.2 MSG 微隔离

MSG 最早由VMWARE 公司提出，近年来又被GARTER连续数年列为关键技术。如果说SDP主要针对的是南北端流量的安全，那么微隔离主要针对的就是东西向的流量安全。近年来，各大勒索病毒和挖矿病毒在内部网络横行，造成了大规模感染中毒，这对传统的由VLAN、VXLAN、VPC技术构成的虚拟网络技术造成了冲击，也为一种更为精细、权限最小化、易于管理的虚拟网络技术的诞生创造了有利条件[10]。

微隔离可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段，然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部灵活地部署安全策略，而不必安装多个物理防火墙。此外，除了可以用于保护每一台虚拟机，在具有网络安全控制的企业网络中，微隔离技术也可以增强企业的抵御内网横向攻击能力[11]。

如图4所示，MSG的逻辑架构图主要包含两部分，第一部分是策略控制中心，它是MSG的“大脑”，主要负责内部节点划分、策略下发、策略自适应等功能。第二部分是策略执行单元，它是MSG的“四肢”，负责隔离内部节点、监测数据流量、执行下发策略等。

MSG的工作流如下：①确定业务主体，按尽可能精细化的实际业务需求划分节点，并将信任算法和访问控制策略加载至策略控制中心；②访问主体例如节点A发起向节点B的访问；③节点A的请求由策略执行单元上传至策略控制中心，控制中心根据信任算法和访控制策略计算结果，下发至策略执行单元；④策略执行单位允许或拒绝A到B的访问请求。

MSG相较于SDP更加强调的是资源之间的即东西向流量的隔离，在MSG中，不存在任意一片网络区域是可信任的。一片网络区域被划分成了无数节点，每一个节点都将受到控制和管理。相较于传统的边界防御模型，MSG的主要优势在于：①将原本粗颗粒度的网络区域划分成了更精细的颗粒度网络区域，减少了横向攻击的范围；②实现基于业务角色的快速分组能力，自动识别内务业务的访问关系，并拥有将访问关系可视化展示的能力。

MSG也是属于零信任中的关键技术之一，MSG可以和SDP在流量访问层面形成良好的互补，是零信任架构中的一个不可替代的解决方案。

2.3 IAM 身份与访问管理

IAM是一个可以有效控制人或物等不同类型用户访问行为和权限的管理系统，能够有效控制什么人或物体在什么时间有权限访问哪些资源。IAM也同样被NIST列为零信任三大解决方案之一。IAM是零信任的核心支撑技术，零信任架构是借助IAM框架实现对人、设备、系统的全面、动态、智能的访问控制。

图5是IAM的逻辑架构图。IAM架构共有3个核心模块，分别为身份管理模块、认证模块、授权模块。其中身份管理模块旨在构建企业或组织中的各类用户在其信息化体系中统一规范的身份识别和管理体系，是构建IAM框架的根基。认证模块旨在验证尝试访问受保护资源的实体提供的凭据是否可信，是IAM 可靠性的根基。目前认证模块主要采用的与零信任原则匹配的技术为MFA（Multi-Factor Authentication， 多因子认证技术）和SSO（Single Sign On，单点登录技术）。授权模块旨在为访问主体创建合适的访问控制策略，保障特定的资源能够在合适的时间和地点由正确的访问主体正确地访问和利用。目前，PBAC （Policy-Based Access Control，基于策略的访问控制）在最小化授权和动态授权层面存在先天优势，已成为最契合零信任框下的访问控制模型[12]。

IAM系统工作流如下：①假设某访问主体（例如公司员工）在访问资源之前，已由正规程序录入了身份管理模块，该访问主体先向认证模块发送认证请求；②认证模块将认证信息发送到身份模块进行校验；③校验通过后，身份模块向访问主体返回身份信息；④访问主体携带身份信息访问授权模块；⑤授权模块根据访问控制策略和权限管理策略向访问主体和网关设备分配特定的角色和访问权限；⑥访问主体实施对特定資源的授权访问。

相较于传统的系统孤岛、单一口令认证形式的认证模式，IAM有以下方面的提升：①建立了一套以身份而非网络位置为核心的访问控制体系，为所有的对象（用户、设备、程序）赋予了数字身份，其信任关系基于每一次连接，而非网络位置（例如传统的内网）；② IAM帮助组织实施了高度有效的身份管理，构建了一套统一的身份管理系统，并利用SSO单点登录技术打通了资源访问路径，使得传统孤立系统、数据库、账户造成的攻击面扩大的风险消失；③IAM提供了一套动态可持续的验证管理，对资源的访问权限由动态策略决定，所有资源的身份认证和授权均是动态的。同时，IAM使用MFA提升了用户凭据的安全防护等级，抵御通过盗用口令的破坏者的企图，降低了口令被盗、钓鱼攻击为组织带来的风险。

零信任强调以身份为中心进行动态访问控制，而IAM正是身份数字化的前提。因此，IAM是实现零信任架构的基石[13]。

3 结束语

零信任是一种全新的网络安全理念，相比传统的网络安全理念，它重点强调对人和资源的保护。随着各类云技术的快速发展以及快速增长的远程办公需求，现有的网络边界日益模糊化，传统安全防护理念已无法应对愈发先进和大规模的网络攻击。零信任作为新一代的网络安全理念，充满了光明的前景。该文对零信任的相关概念和架构进行了介绍，深入综述了目前主流的三种零信任技术路线，并分析了其核心技术和优势。与零信任相关的综述工作旨在为国内的相关企业以及安全厂商提供一定的指导作用，加速零信任产品和框架在国内的落地进程。