零信任網路安全平台

Ⅰ 一、初探零信任模型

初探零信任模型

零信任模型是一種全新的網路安全架構思想，它針對傳統基於邊界的網路安全架構進行了深刻的反思和重新評估。

一、傳統邊界模型的局限性

傳統的網路安全架構主要依賴於防火牆、WAF、IPS等邊界安全產品/方案，通過重重防護來確保企業網路邊界的安全。這種架構的核心思想是分區、分層（縱深防禦），它專注於防禦邊界，假定邊界內部是安全的，因此內部基本暢通無阻。然而，這種假設在現實中卻屢屢被打破。黑客常常能夠利用內部系統漏洞和管理缺陷，長期潛伏在企業內網，逐步獲得高級許可權。同時，內部人員的誤操作和惡意破壞也是企業安全的巨大挑戰。此外，隨著移動辦公和雲服務的增長，企業網路的邊界變得越來越模糊，傳統邊界安全架構的有效性也大打折扣。

二、零信任模型的誕生與核心思想

正是在這樣的背景下，零信任安全模型應運而生。零信任安全最早由Forrester的首席分析師約翰·金德維格在2010年提出。其核心思想是：默認情況下不應該信任網路內部和外部的任何人/設備/系統，需要基於認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了範式上的顛覆，引導安全體系架構從「網路中心化」走向「身份中心化」，其本質訴求是以身份為中心進行訪問控制。

三、零信任模型的基本原則

零信任模型遵循以下四個基本原則：

1. 驗證用戶：基於位置、設備和行為來評估用戶安全情況，確定用戶是否是其所聲稱的身份。採取恰當的措施（如多因子身份驗證）來確保用戶真實性。

2. 驗證設備：無論是公司設備、BYOD還是公共主機、筆記本電腦或移動設備，都需要基於設備身份和安全情況實施訪問控制策略。只允許受信終端訪問公司的資源。

3. 限制訪問與許可權：如果用戶和設備通過了驗證，對資源實施基於角色的訪問控制模型，賦予其僅供完成當次工作的最小許可權。

4. 自適應：利用機器學習等技術來設置上下文相關訪問策略，自動調整並適應策略，以應對不斷變化的威脅環境。

四、零信任模型解決的問題層次

零信任模型致力於緩解包括可信內部人員在內的多種攻擊者帶來的威脅。根據攻擊者威脅模型，可以將攻擊者劃分為五類，從零信任模型的角度來看，它能夠有效緩解除國家級角色外的其他四類攻擊者（包括樂觀攻擊者、針對性攻擊者、內部威脅和可信的內部人員）帶來的威脅。而傳統的邊界模型則主要關注外部威脅，如樂觀攻擊者和針對性攻擊者。

五、實施零信任的關鍵技術與難點

實施零信任模型需要克服一系列技術和非技術難點。關鍵技術包括建立資產清單庫、身份認證、細粒度的訪問控制、配置管理、內網流量加密以及自學習、自適應的動態模型等。其中，建立資產清單庫是實施零信任的基礎，身份認證和細粒度的訪問控制是確保安全的關鍵。此外，人的觀念轉變和高層支持也是實施零信任的重要非技術難點。

六、案例：谷歌的BeyondCorp

谷歌的BeyondCorp項目是零信任網路的先行者。谷歌花了6年時間才從其VPN和特權網路訪問模式遷移到BeyondCorp零信任環境。在這個過程中，谷歌重新定義和調整了其職位角色及分類，建立了全新的主控庫存服務以跟蹤設備，並重新設計了用戶身份驗證及訪問控制策略。BeyondCorp項目的成功實施為谷歌提供了一個更加安全、靈活的網路環境，也為其他企業實施零信任模型提供了寶貴的經驗和借鑒。

如上圖所示，谷歌的BeyondCorp架構通過Access Proxy實現了對所有用戶訪問內部資源的代理請求和細粒度訪問控制。這種架構使得谷歌能夠平等對待位於外部公共網路和本地網路的設備，在默認情況下都不會授予任何特權。用戶必須通過身份認證、符合訪問控制策略要求等步驟才能訪問特定的、允許的公司內部資源。這種架構不僅提高了安全性，還增強了靈活性和可擴展性。

綜上所述，零信任模型是一種全新的網路安全架構思想，它針對傳統邊界安全架構的局限性進行了深刻的反思和重新評估。通過遵循驗證用戶、驗證設備、限制訪問與許可權以及自適應等基本原則，零信任模型能夠有效緩解多種攻擊者帶來的威脅。然而，實施零信任模型也需要克服一系列技術和非技術難點。谷歌的BeyondCorp項目為其他企業實施零信任模型提供了寶貴的經驗和借鑒。