零信任网络安全平台

Ⅰ 一、初探零信任模型

初探零信任模型

零信任模型是一种全新的网络安全架构思想，它针对传统基于边界的网络安全架构进行了深刻的反思和重新评估。

一、传统边界模型的局限性

传统的网络安全架构主要依赖于防火墙、WAF、IPS等边界安全产品/方案，通过重重防护来确保企业网络边界的安全。这种架构的核心思想是分区、分层（纵深防御），它专注于防御边界，假定边界内部是安全的，因此内部基本畅通无阻。然而，这种假设在现实中却屡屡被打破。黑客常常能够利用内部系统漏洞和管理缺陷，长期潜伏在企业内网，逐步获得高级权限。同时，内部人员的误操作和恶意破坏也是企业安全的巨大挑战。此外，随着移动办公和云服务的增长，企业网络的边界变得越来越模糊，传统边界安全架构的有效性也大打折扣。

二、零信任模型的诞生与核心思想

正是在这样的背景下，零信任安全模型应运而生。零信任安全最早由Forrester的首席分析师约翰·金德维格在2010年提出。其核心思想是：默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。

三、零信任模型的基本原则

零信任模型遵循以下四个基本原则：

1. 验证用户：基于位置、设备和行为来评估用户安全情况，确定用户是否是其所声称的身份。采取恰当的措施（如多因子身份验证）来确保用户真实性。

2. 验证设备：无论是公司设备、BYOD还是公共主机、笔记本电脑或移动设备，都需要基于设备身份和安全情况实施访问控制策略。只允许受信终端访问公司的资源。

3. 限制访问与权限：如果用户和设备通过了验证，对资源实施基于角色的访问控制模型，赋予其仅供完成当次工作的最小权限。

4. 自适应：利用机器学习等技术来设置上下文相关访问策略，自动调整并适应策略，以应对不断变化的威胁环境。

四、零信任模型解决的问题层次

零信任模型致力于缓解包括可信内部人员在内的多种攻击者带来的威胁。根据攻击者威胁模型，可以将攻击者划分为五类，从零信任模型的角度来看，它能够有效缓解除国家级角色外的其他四类攻击者（包括乐观攻击者、针对性攻击者、内部威胁和可信的内部人员）带来的威胁。而传统的边界模型则主要关注外部威胁，如乐观攻击者和针对性攻击者。

五、实施零信任的关键技术与难点

实施零信任模型需要克服一系列技术和非技术难点。关键技术包括建立资产清单库、身份认证、细粒度的访问控制、配置管理、内网流量加密以及自学习、自适应的动态模型等。其中，建立资产清单库是实施零信任的基础，身份认证和细粒度的访问控制是确保安全的关键。此外，人的观念转变和高层支持也是实施零信任的重要非技术难点。

六、案例：谷歌的BeyondCorp

谷歌的BeyondCorp项目是零信任网络的先行者。谷歌花了6年时间才从其VPN和特权网络访问模式迁移到BeyondCorp零信任环境。在这个过程中，谷歌重新定义和调整了其职位角色及分类，建立了全新的主控库存服务以跟踪设备，并重新设计了用户身份验证及访问控制策略。BeyondCorp项目的成功实施为谷歌提供了一个更加安全、灵活的网络环境，也为其他企业实施零信任模型提供了宝贵的经验和借鉴。

如上图所示，谷歌的BeyondCorp架构通过Access Proxy实现了对所有用户访问内部资源的代理请求和细粒度访问控制。这种架构使得谷歌能够平等对待位于外部公共网络和本地网络的设备，在默认情况下都不会授予任何特权。用户必须通过身份认证、符合访问控制策略要求等步骤才能访问特定的、允许的公司内部资源。这种架构不仅提高了安全性，还增强了灵活性和可扩展性。

综上所述，零信任模型是一种全新的网络安全架构思想，它针对传统边界安全架构的局限性进行了深刻的反思和重新评估。通过遵循验证用户、验证设备、限制访问与权限以及自适应等基本原则，零信任模型能够有效缓解多种攻击者带来的威胁。然而，实施零信任模型也需要克服一系列技术和非技术难点。谷歌的BeyondCorp项目为其他企业实施零信任模型提供了宝贵的经验和借鉴。