注明

作者|奔跑的老村長(cháng)

來(lái)源|微信公眾號“村長(cháng)的池塘”

本文內容已獲授權轉載

導語(yǔ)：

近兩年來(lái)，零信任（Zero Trust）和ATT&CK在安全圈著(zhù)實(shí)火熱，特別是前者，大廠(chǎng)搖旗吶喊，小廠(chǎng)也擂鼓助威，都說(shuō)自己是零信任理念的先行者， IAM相關(guān)廠(chǎng)商說(shuō)零信任架構里面，身份是新邊界；NAC和防火墻廠(chǎng)商說(shuō)策略檢查點(diǎn)是零信任的關(guān)鍵部件；VPN廠(chǎng)商說(shuō)他們除了加密也支持多因素認證，符合零信任的特征；數據安全公司說(shuō)他們保護的就是敏感數據，和零信任的目標完全一致?？傊?，不扯上點(diǎn)關(guān)系都不好意思。

著(zhù)名咨詢(xún)機構Gartner曾在《零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)市場(chǎng)指南》中預測2023年將有60%的組織采用ZTNA（SDP）取代VPN技術(shù)。VPN一直是遠程接入的首選方式，而本次新冠疫情催生的遠程辦公的熱潮中，VPN資源消耗和“卡頓”問(wèn)題被成倍放大，某國內著(zhù)名公司 SSL VPN 設備被曝存在漏洞，被APT組織Darkhotel（APT-C-06）利用而發(fā)起針對我國多駐外機構發(fā)起攻擊的事件也被爆出，VPN真如風(fēng)燭殘年的老人一般，盡顯老態(tài)嗎？有安全媒體甚至斷言：如果新冠疫情發(fā)展成持久戰，VPN與零信任架構的“決勝局”勢必將提前上演。

那么，當我們談零信任的時(shí)候，需要了解哪些主要東西呢？本文將試圖提煉出要點(diǎn)。

一、零信任的起源

現有TCP/IP協(xié)議和互聯(lián)網(wǎng)是為互聯(lián)互通而設計，沒(méi)有考慮太多的安全控制，任何主機之間可以相互通信，黑客可以探測互聯(lián)網(wǎng)絡(luò )中的任意目標，而在現實(shí)中，我們要約見(jiàn)相關(guān)的人或去某些單位不但要認證身份，甚至需要提前預約和審批。

即使有了防火墻將外網(wǎng)的攻擊進(jìn)行阻擋，整個(gè)內網(wǎng)的機器之間也是可以相互訪(fǎng)問(wèn)。

零信任的出現主要基于兩項原因：

●云大物移技術(shù)的發(fā)展和數字化轉型讓邊界更加模糊，傳統城堡式防御模型面臨巨大挑戰，甚至不再奏效。

●內部人員的威脅和APT攻擊讓內網(wǎng)和互聯(lián)網(wǎng)一樣充滿(mǎn)風(fēng)險，默認和靜態(tài)的信任模型需要革新。

零信任發(fā)展中有較大影響的機構和歷程如下：

二、主要流派

（一）Forrester

提到零信任，首先需要提及的就是Forrester這家咨詢(xún)機構。

但梳理零信任的發(fā)展歷史和主要流派可以看出，盡管最早提出Zero Trust一詞的是Forrester分析師約翰.金德維格，但零信任并不是憑空才出現的，很早就有了雛形，包括美國國防部的黑核項目，就是希望解決傳統默認、靜態(tài)的網(wǎng)絡(luò )信任隱藏著(zhù)巨大風(fēng)險的問(wèn)題。

金德維格認為傳統基于邊界的網(wǎng)絡(luò )安全架構存在風(fēng)險，可信的內部網(wǎng)絡(luò )充滿(mǎn)威脅，信任是致命的風(fēng)險。并提到了三個(gè)核心觀(guān)點(diǎn)：

●不再以一個(gè)清晰的邊界，來(lái)劃分信任或不信任的設備；

●不再有信任或不信任的網(wǎng)絡(luò )；

●不再有信任或不信任的用戶(hù)。

有意思的是，這哥們提完這個(gè)概念沒(méi)幾年，就去Palo Alto Networks實(shí)踐去了，直到另外一位分析師坎寧安繼續在Forrester扛起了零信任的大旗，他在Forrester的主頁(yè)上介紹自己是零信任的一個(gè)huge fans，并于2018年提出ZTX（零信任擴展），將零信任的范圍從網(wǎng)絡(luò )擴展到設備、用戶(hù)和工作負載，將能力從微隔離擴展到可視化與分析、自動(dòng)化與編排，并提出身份不僅僅針對用戶(hù)，還包括IP地址、MAC 地址、操作系統等，也就是說(shuō)具有身份的任何實(shí)體包括用戶(hù)、設備、云資產(chǎn)、網(wǎng)絡(luò )分段都必須在零信任架構下進(jìn)行識別、認證和管理。

微分段是零信任的一個(gè)關(guān)鍵能力，不僅僅包括網(wǎng)絡(luò )、用戶(hù)，還包括設備、容器、微服務(wù)、甚至進(jìn)程等，可見(jiàn)零信任的概念和范疇已經(jīng)得到極大的延伸和擴展。（有空再專(zhuān)門(mén)介紹ZTX）

（二）Google

真正引起業(yè)界對零信任極大興趣的，當屬Google在2014年陸續發(fā)布6篇關(guān)于其自身實(shí)踐零信任的論文。2011-2017年期間，Google Beyond Corp項目實(shí)施落地，實(shí)現不區分內外網(wǎng)，讓員工不借助VPN安全地在任何地方開(kāi)展工作，將訪(fǎng)問(wèn)權限從網(wǎng)絡(luò )邊界轉移到設備、用戶(hù)和應用。Beyond Corp的核心思想是組織不應該信任任何實(shí)體，無(wú)論該實(shí)體是在邊界內還是在邊界外，應該遵循“永不信任，始終驗證”的原則。有傳谷歌開(kāi)展這個(gè)項目與2009年遭受極光行動(dòng)導致Gmail郵箱和源代碼被APT組織入侵有關(guān)，但沒(méi)有官方的說(shuō)法。

關(guān)于Beyond Corp的介紹資料非常多，論文也可以找到，就不再詳述，這是谷歌員工從任何地方登陸訪(fǎng)問(wèn)內部業(yè)務(wù)的界面：

最近Google也發(fā)布了 BeyondProd白皮書(shū)，詳細介紹了容器化的云原生安全模型。該模型超越了傳統的基于邊界的安全模型，而是利用代碼來(lái)源和服務(wù)身份標識作為安全基石。同時(shí)，Google還提供了一份可用于實(shí)現其安全模型的開(kāi)源軟件列表，解決容器、微服務(wù)等云原生安全。

（三）Gartner

作為安全規劃和咨詢(xún)領(lǐng)域最權威機構的Gartner，在2017年安全與風(fēng)險管理峰會(huì )上發(fā)布CARTA模型并提出零信任是實(shí)現CARTA宏圖的初始步驟，后續又發(fā)布ZTNA市場(chǎng)指南（注：SDP被Gartner稱(chēng)為ZTNA，即零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)）。CARTA 是自適應安全架構的3.0版本，英文Continuous Adaptive Risk and Trust Assessment的縮寫(xiě), 強調通過(guò)持續監控和審計來(lái)判斷安全狀況，沒(méi)有絕對的安全和100%的信任，尋求一種0和1之間的風(fēng)險與信任的平衡,并提出完整的保護=阻止+檢測與響應、完整的訪(fǎng)問(wèn)保護=運行訪(fǎng)問(wèn)+驗證等觀(guān)點(diǎn)。

Gartner的CARTA模型將零信任和攻擊防護相結合，形成了持續的風(fēng)險和信任評估，由于該模型比較龐大和復雜，在此就不詳述。

（四）CSA

國際云安全聯(lián)盟于2013年成立SDP（Software Defined Perimeter，軟件定義邊界）工作組，由美國中央情報局(CIA) CTO Bob 擔任工作組組長(cháng)，并于2014年發(fā)布SPEC 1.0等多項研究成果。SDP作為新一代網(wǎng)絡(luò )安全解決理念，其整個(gè)中心思想是通過(guò)軟件的方式，在移動(dòng)和云化的時(shí)代，構建一個(gè)虛擬的企業(yè)邊界，利用基于身份的訪(fǎng)問(wèn)控制，來(lái)應對邊界模糊化帶來(lái)的粗粒度控制問(wèn)題，以此達到保護企業(yè)數據安全的目的。經(jīng)過(guò)多年發(fā)展，SDP技術(shù)越來(lái)越被廣泛應用，成為零信任最成熟的商業(yè)解決方案，Zscaler、Akamai等國外著(zhù)名云安全廠(chǎng)商和一些國內公司如聯(lián)軟科技、云深互聯(lián)等都有相關(guān)產(chǎn)品和解決方案。

（五）NIST

熟悉網(wǎng)絡(luò )安全的都知道，美國國家標準與技術(shù)研究院NIST出臺了很多網(wǎng)絡(luò )安全相關(guān)的標準和規范，在網(wǎng)絡(luò )安全的標準化方面發(fā)揮著(zhù)重要的作用，如著(zhù)名的SP800系列。2020年2月，NIST發(fā)布SP800-207:Zero Trust Architecture 草案第二版本。

草案對零信任架構ZTA的定義如下：利用零信任的企業(yè)網(wǎng)絡(luò )安全規劃，包括概念、思路和組件關(guān)系的**、旨在消除在信息系統和服務(wù)中實(shí)施精準訪(fǎng)問(wèn)策略的不確定性。

該標準強調安全防護應該圍繞著(zhù)資源（數據、負載、應用等），零信任適用于一個(gè)組織內部或與合作伙伴協(xié)助完成的工作環(huán)境，并非常詳細地描述了零信任架構的邏輯組件。

各主要部件的介紹如下：

• 策略引擎（Policy Engine）：該組件通過(guò)獲取多方數據（如CDM、威脅情報）來(lái)最終決定是否允許指定的主體可以對資源進(jìn)行訪(fǎng)問(wèn)。

• 策略管理器（Policy Administrator）：該組件負責建立或關(guān)閉主體與資源之間的連接。它將生成客戶(hù)端用來(lái)訪(fǎng)問(wèn)企業(yè)資源的任何身份驗證，令牌或憑據。它與策略引擎緊密相關(guān)，并依賴(lài)于策略引擎決定最終允許還是拒絕連接。

• 策略執行點(diǎn)（Policy Enforcement Point）：此系統負責啟用，監視并最終終止主體與企業(yè)資源之間的連接。這是ZTA中的單個(gè)邏輯組件，但可以分為兩個(gè)不同的組件：客戶(hù)端和資源端。

• 持續性診斷和緩解（Continuous and Diagnostics and Mitigation）：該系統收集有關(guān)企業(yè)資產(chǎn)當前狀態(tài)的信息，常見(jiàn)的CDM如終端安全管理系統，可將訪(fǎng)問(wèn)終端的漏洞和補丁情況提供給策略引擎做決策。

• 行業(yè)合規系統：此系統可確保企業(yè)遵守其可能受到的任何監管制度（例如FISMA，GDPR等）,包括企業(yè)為確保合規性而開(kāi)發(fā)的所有策略規則。

• 威脅情報源：此系統從內部或外部來(lái)源提供信息，以幫助策略引擎做出訪(fǎng)問(wèn)決策。這些服務(wù)從內部或多個(gè)外部源獲取有關(guān)新發(fā)現的攻擊或漏洞的信息。

• 數據訪(fǎng)問(wèn)策略：這是訪(fǎng)問(wèn)企業(yè)資源的規則和策略的**?？梢栽诓呗砸嬷袑?shí)現錄入或動(dòng)態(tài)生成，比如銷(xiāo)售人員只能訪(fǎng)問(wèn)CRM系統而不可以訪(fǎng)問(wèn)財務(wù)系統等。

• PKI系統：此系統負責生成和記錄企業(yè)頒發(fā)給資源、主體和應用程序的證書(shū)。

• ID管理系統：此系統負責創(chuàng )建，存儲和管理企業(yè)用戶(hù)帳戶(hù)和身份記錄（如LDAP、4A、IAM）。

• 安全事件和事件管理（SIEM）系統：該系統收集和分析各種系統產(chǎn)生的安全事件、日志、流量，這些數據將用于完善策略并警告可能對企業(yè)資產(chǎn)的攻擊。

從上述組件可以看出，零信任架構中的眾多組件并不是新的技術(shù)或產(chǎn)品，而是按照零信任理念形成的一個(gè)面向用戶(hù)、設備和應用的完整端對端安全解決方案。

三、真正價(jià)值

美國軍隊和政府一直通過(guò)一些列工程或行動(dòng)提升重要機構網(wǎng)絡(luò )安全能力，包括2006年開(kāi)始的大型攻防演習“CyberStorm”、愛(ài)因斯坦工程（已多期）、CDM（持續監測與診斷計劃）等，這些安全項目無(wú)窮無(wú)盡但并不能讓用戶(hù)知道方向在哪里，美國聯(lián)邦首席信息官Kent曾說(shuō)：“一直以來(lái)，我們希望有一個(gè)視角，使得各個(gè)政府機構在實(shí)施自己的安全計劃時(shí)，能夠考慮到一個(gè)長(cháng)期的愿景。而現在達成的共識是：零信任正是這個(gè)愿景。”

美國國防部2019年發(fā)布的《數字現代化戰略規劃》中明確提出將零信任實(shí)施列為最高優(yōu)先事項，足見(jiàn)美國政府和軍隊對零信任的重視。

四、未來(lái)展望

可以看到，近年來(lái)零信任的內涵和外延在不斷發(fā)展、快速演變中，作為一種理念和新架構，ZTA能很好地指導我們進(jìn)行安全規劃和訪(fǎng)問(wèn)控制，實(shí)現對重要數據和應用的高強度安全保護。

開(kāi)發(fā)能力強的一些甲方開(kāi)始在新的業(yè)務(wù)場(chǎng)景和面向云的環(huán)境中開(kāi)始實(shí)踐和落地零信任，其中SDP成為零信任領(lǐng)域相對更成熟的商業(yè)解決方案。本質(zhì)上，零信任是一種基于用戶(hù)、設備、用戶(hù)和數據的端對端的安全解決方案，在這種模式下，網(wǎng)絡(luò )逐漸成為一個(gè)加密的通道，端點(diǎn)和云端的重要性愈發(fā)凸顯。

零信任是萬(wàn)能的嗎？答案是：安全沒(méi)有銀彈，零信任并不能解決所有的安全問(wèn)題，比如面向公眾互聯(lián)網(wǎng)匿名訪(fǎng)問(wèn)的場(chǎng)景就難以應用零信任方案。另外，新的解決方案一定會(huì )帶來(lái)新的安全問(wèn)題，比如AI的污染問(wèn)題，零信任架構下，網(wǎng)關(guān)或策略控制器成為架構的核心，其自身可靠性、擴展性和安全性至關(guān)重要，同時(shí)所有的部件也是軟件實(shí)現的，自身的漏洞和缺陷難以避免。

既然零信任構建的是基于身份的新邊界，那么傳統邊界防御模型并不需要了嗎？答案也是否定的，傳統防御手段和邊界防御模型依然有效，身份只不過(guò)是在邊界模型基礎上構建的更細粒度和動(dòng)態(tài)的邊界，是原有防御基礎上的一道新防線(xiàn)。

另外，可以看到，零信任是一個(gè)大的架構，沒(méi)有一家公司可以提供完整的解決方案，生態(tài)體系的建設非常重要，對用戶(hù)來(lái)講，選擇零信任供應商需要考慮很多因素（另文討論）。每家希望實(shí)施零信任架構的公司都處于發(fā)展的不同階段，零信任領(lǐng)域的一大玩家微軟最近宣布將推出零信任評估工具，針對零信任的六個(gè)基本要素（即身份、設備、應用程序、數據、基礎架構和網(wǎng)絡(luò )）幫助用戶(hù)判斷他們自己的位置，評估工具還能為組織提供有關(guān)如何進(jìn)入到下一階段的建議。

Kent說(shuō)：在充滿(mǎn)挑戰的安全建設這條隧道的盡頭，出現了一道眾所周知的亮光，它把許多安全項目和工程整合在一起，給了人們希望，零信任正是隧道盡頭的光明。

當然，也許是漫長(cháng)之路。

村長(cháng)有話(huà)說(shuō)：

零信任這個(gè)詞匯翻譯成中文后比較抽象，容易誤解，并不像計算機世界里的0和1那么簡(jiǎn)單，如果是真正的零信任，那么主體和客體之間的初始連接關(guān)系如何建立？零信任只是摒棄默認的信任，先認證后連接，基于最小權限原則而已。

同時(shí)，從前面分析可以看到，零信任架構中的眾多組件并不是新的技術(shù)或產(chǎn)品，但零信任是新的理念和安全規劃的方法，隨著(zhù)SP800-207等標準的出臺，零信任架構將真正從概念走向工程化、標準化。