NEWS INFORMATION

“零信任”与传统的边界模型有什么区别？

前言

“零信任网络”（又称零信任架构）自2010年由某研究机构首席分析师提出以来，一直处于安全圈的“风口浪尖”，成为不断争论和讨论的对象。有人说这是未来安全发展的必然产物，也有人说它太先进了，无法实现，但无论“零信任”有多大争议，不可否认的是，随着安全技术支撑技术的逐步发展“零信任”，这个以前只存在于理论上的“安全最优解”正在逐渐成为现实。

2019年9月，工信部就《关于促进网络安全产业发展的指导意见（征求意见稿）》公开征求意见。网络安全企业，形成一批具有国际竞争力的网络安全骨干企业，网络安全产业规模要超过2000亿。《意见》除了对市场规模和网络安全企业提出要求外，还将“零信任安全”列为网络安全需要重点突破的关键技术。

那么究竟什么是“零信任安全架构”，它与传统的边界模型有什么区别。从本周开始，美创安全实验室将分三个阶段带大家详细了解“零信任”的发展。

01

什么是零信任网络？

“零信任”是一个安全术语和安全概念，它将网络防御的边界缩小到单个或较小的一组资源，其中心思想是企业不应自动信任内部或外部的任何人/事物/事物，没有应根据物理或网络位置向系统授予完全受信任的权限，任何试图访问企业系统的人/事物/事物都应在授权之前进行身份验证，并且仅在需要资源时才应授予对数据资源的访问权限。简单来说，“零信任”策略就是不信任任何人。除非网络清楚地知道接入人的身份，否则任何人都无法接入网络。现有的传统访问验证模型只需要知道IP地址或主机信息等，但在“ 最终用户并非都位于办公室和防火墙后面，而是使用他们的 iPad 或其他移动设备远程工作。网络需要更多地了解他们的角色，并确定允许哪些用户连接到网络工作。零信任架构是对企业级网络趋势的回应，企业级网络开始包括远程用户和企业网络外围的基于云的资产。零信任架构专注于保护资源，而不是网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。零信任架构是对企业级网络趋势的回应，企业级网络开始包括远程用户和企业网络外围的基于云的资产。零信任架构专注于保护资源，而不是网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。零信任架构是对企业级网络趋势的回应，企业级网络开始包括远程用户和企业网络外围的基于云的资产。零信任架构专注于保护资源，而不是网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。

02

为什么选择零信任网络？

2.1 网络安全形式越来越严峻，迫切需要有效的解决方案。美国网络安全公司发布的《2017 年度网络犯罪报告》预测，到 2021 年，全球因网络犯罪造成的经济损失总额将达到每年 6 万亿美元，是 2015 年的 3 万亿美元的两倍多。同时， 的 2017由 IBM 资助的数据泄露研究发现，数据泄露的平均成本为 362 万美元。虽然这个数字比上一年有所下降，但数据泄露的平均规模上升了 1.8%，达到平均每次事件 24,000 条记录。业务主管意识到，如果仅靠现有的安全方法不足以应对不断增长的安全形势，他们需要更好的东西，零信任模型恰好可以提供最佳结果。“零信任模式”基本打破了老式的外线防守思维，重在防守外线，假设已经在外线内的任何东西都不会构成威胁，所以外线的内部事务基本畅通无阻，都有访问权限。但越来越多的安全专家和技术专家对边境防御的有效性持不同意见。尤其是在近期发生的严重数据泄露事件中，黑客突破外部防御后，潜伏在企业内网，利用内部系统漏洞和管理漏洞逐渐获得更高的权限。一路上几乎没有遇到什么障碍。这也证明了“内网是安全的”

IT 系统的一个固有问题是太多东西可以通过默认连接“巡航”。人们的信任度太高，这就是互联网起飞的原因，因为每个人都可以随时随地分享任何东西。但“信任”也是一把双刃剑，这就是互联网安全的关键：如果你信任一切，你就没有机会保证任何东西的安全。2.2 云技术的兴起打破了传统的网络架构。为什么企业的IT部门急需一种新的安全思维？直接原因是大部分网络边界不复存在网络设计理念，纯内部系统组成的企业数据中心不复存在。企业应用部分在办公楼，部分在云端——分布式员工，合作伙伴和客户通过各种设备访问云应用程序。根本原因在于，近年来云技术的蓬勃发展已经初见成效。云防火墙技术的逐渐成熟和云计算能力的不断提升，使得云服务器成为几乎每个企业的必备设备。随着云技术的不断深入，各种人员可能以不同的方式访问企业网络，这将对原有的企业内网架构产生影响。那时内网可能和外网一样透明，没有隐私。这与架构最初的设计理念有很大不同，所以我们必须寻求一种能够适应云服务的新架构，并且”

03

零信任网络和传统安全模型

传统的安全模型是在边界模型的基础上逐步完善的。传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品/解决方案保护企业网络边界。它的核心思想是分区和分层（加强纵深防御）。外围模型侧重于防守外围，尽可能将攻击者拒之门外，假设外围已经没有任何东西构成威胁，因此外围内部基本上是畅通无阻的。另一方面网络设计理念，“零信任架构”，“零信任网络”强调从不信任和始终验证，不信任任何人、事物或事物。在提出“零信任”的概念时，提出了三个原则：1。不应该区分网络位置， 2. 所有访问控制都应该是最小权限和严格限制的， 3. 所有访问都应该被记录和跟踪。如果说传统的网络安全模式是用“城墙”共同保护人民，那么“零信任网络”就是“城门大开”，但每个公民都配备了一名士兵来保护。与用巨大的“城墙”进行防护相比，这种“点对点”的防护策略更加灵活和安全。那么我们是否可以完全放弃城墙，完全改用这种灵活的安全策略呢？答案显然是否定的。传统防火墙仍然可以抵抗 80% 以上的攻击。如果彻底抛弃防火墙等传统安全产品，全部使用“

04

零信任网络的设计原则

“零信任架构”提供了一组概念、想法和组件关系（架构），旨在消除在信息系统和服务中实施准确访问决策时的不确定性。为了减少不确定性，“零信任”在减少网络认证机制时延的同时，更加注重认证、授权和可信域。访问规则仅限于最低权限。在 Evan 的《零信任网络》一书中，根据“零信任网络”的概念，在合理的推测下将其描述为基于以下五个基本断言： ① 应始终假设网络充满威胁。②外部和内部威胁无时无刻不在充斥着网络。③ 不能仅仅依靠网络位置建立信任关系。④ 所有设备、用户和网络流量都应该经过认证和授权。⑤ 访问控制策略应基于尽可能多的数据源进行动态计算和评估。这五个断言简单易懂，但一针见血。可以看出，“零信任”的概念已经从“信任但验证”的边界模型转变为“从不信任，始终验证”的模型。因此，我们在此基础上进一步推理，总结出“零信任架构”设计应遵循的六大基本原则：①所有数据源和计算服务均视为资源。② 所有通信都是安全的，安全性与网络位置无关。③ 访问单个企业资源的授权是对每个连接的授权。④ 对资源的访问由策略决定，包括用户身份和所需系统的状态，以及可能的其他行为属性。⑤ 企业应确保所有所属及相关系统尽可能处于最安全状态，并对系统进行监控以确保系统仍处于最安全状态。⑥ 用户身份验证是动态的，并且在允许访问之前会严格执行。⑤ 企业应确保所有所属及相关系统尽可能处于最安全状态，并对系统进行监控以确保系统仍处于最安全状态。⑥ 用户身份验证是动态的，并且在允许访问之前会严格执行。⑤ 企业应确保所有所属及相关系统尽可能处于最安全状态，并对系统进行监控以确保系统仍处于最安全状态。⑥ 用户身份验证是动态的，并且在允许访问之前会严格执行。

05

零信任架构的逻辑组成

在组织和企业中，通常有许多逻辑组件构成零信任架构部署。《NIST SP800-207：零信任架构草案》描述了典型的解决方案逻辑和核心产品组件：

( )：该组件负责最终决定是否授予指定的访问主体对资源（访问对象）的访问权限。策略引擎使用企业安全策略以及来自外部源（例如 IP 黑名单、威胁情报服务）的输入作为“信任算法”的输入，以决定是否允许或拒绝对该资源的访问。策略引擎的核心作用是信任评估。 ( )：该组件负责在客户端和资源之间建立连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎密切相关，取决于其最终允许或拒绝连接的决定。策略管理者的核心角色是策略决策点，这是零信任动态权限的决策组件。策略执行点（Point）：这实际上是一个组件系统，负责启动、持续监控、最终结束访问主体和访问对象之间的连接。策略执行点实际上可以分为两个不同的组件：客户端组件（例如用户笔记本电脑上的代理）和资源端组件（例如在资源之前控制访问的网关）。策略执行点的核心功能是保证业务访问的安全。除了上述核心组件之外，还有许多数据源在做出访问决策时为策略引擎提供输入和策略规则。包括本地和外部数据源，包括：持续诊断和缓解计划系统 (CDM)：该系统收集有关企业系统当前状态的信息，并将更新应用于配置和软件组件。企业 CDM 系统还向策略引擎提供有关系统访问请求的信息。行业合规系统（ ）：该系统确保遵守当前的政府管理。包括企业制定的所有政策规则，以确保合规。威胁情报流 ( )：此系统提供有助于策略引擎做出访问决策的信息。数据访问策略（Data）：数据访问策略是企业为企业资源创建的数据访问属性、规则和策略的集合。策略规则集可以在策略引擎中编码或由 PE 动态生成。企业公钥基础设施（PKI）：该系统负责生成和记录企业对资源、应用等颁发的证书，包括全球CA生态系统和联合PKI。ID 管理系统 (ID)：负责创建、维护和管理企业用户帐户和身份记录的系统。该系统包含必要的用户信息和其他企业特征，例如角色、访问属性或分配的系统。安全事件和事件管理系统 (SIEM) 维护和管理公司用户帐户和身份记录。该系统包含必要的用户信息和其他企业特征，例如角色、访问属性或分配的系统。安全事件和事件管理系统 (SIEM) 维护和管理公司用户帐户和身份记录。该系统包含必要的用户信息和其他企业特征，例如角色、访问属性或分配的系统。安全事件和事件管理系统 (SIEM)

06

零信任架构的部署形式

基于设备代理/网关的部署 在基于设备代理/网关的部署模型中，PEP（策略实施点）分为 2 个组件，或者在资源上，或者作为组件直接在资源之前。例如，企业发布的每个系统都安装了设备代理，每个资源都预装了一个只与网关直接通信的组件，作为资源的反向代理。网关共享连接到策略管理员并允许策略管理员批准的连接。

基于微边界的部署 基于微边界的部署模型是基于设备代理/网关的部署模型的变体。在此模型中，不相关的组件可能驻留在系统中或单个资源之前。通常，这些资源充当单一业务功能，不直接与网关通信。在此模型中，企业私有云位于网关之后。

基于资源门户的部署 在基于资源门户的部署模型中，PEP 作为一个单独的组件充当用户请求的网关。网关门户可以充当单个资源，也可以充当单个业务功能集合的微边界。

系统应用沙箱系统应用沙箱部署模型也是基于代理/网关部署模型的变体。沙盒模型使受信任的应用程序能够在系统中独立运行。这些隔离的部分可以是虚拟机、容器和其他实现，但目标是一样的：保护系统中运行的主机和应用程序不受其他应用程序的影响。

07

总结

回顾本期内容，我们首先详细介绍了“零信任”的诞生过程，它是如何在 2010 年提出的，提出以来一直存在争议。为什么“信任网络”是未来三年互联网的主要发展方向，接下来我们对比传统网络边界模型，总结“零信任网络”相对于传统边界模型的优势，推导出为什么“零信任网络” ”，然后根据互联网环境和“零信任”的设计理念，合理推出“零信任网络”的六点设计原则。基于既定的设计原则，我们仔细介绍了“零信任网络”的详细逻辑组件和工作原理，并提出了理想化的模型后，我们简要说明了该架构的部署方式，并提出了四种不同环境对应的部署方式。至此，本期“零信任网络架构”的文章就到这里了。相信以大家的聪明才智，通过这篇文章想必已经明白了几个关键问题：what（这是什么），why（他为什么是？），how（如何工作）。那么，下期美创安全实验室，我们将继续为大家带来《零信任网络》第二篇，敬请持续关注。

转自杭州美创科技有限公司公众号，如需转载请联系

了解更多学习网络推广知识，就来广西网络推广。

上一篇：微信营销是网络经济时代企业营销模式的一种创新(组图)
下一篇：网站建设一般需要准备什么？费用多少？(图)