零信任是什么 – 详解网络安全零信任模型

　　零信任安全模型（英语：Zero trust security model），也称零信任架构、零信任网络架构、ZTA 、ZTNA等，还有时称为无边界安全（perimeterless security），此概念描述了一种IT系统设计与实施的方法。零信任安全模型的主要概念是“从不信任，总是验证” ，即不应默认信任设备，即使设备已经连接到经许可的网络（例如公司局域网）并且之前已通过验证。大多数现代企业网络结构复杂，包含众多相互连接的区域、云服务以及基础设施，以及与远程和移动环境的连接、非常规IT连接（例如物联网设备）。零信任原则是因传统的方法（如在名义上的“企业边界”内信任设备，或者设备通过VPN进行连接）不切合企业网络的环境复杂性。零信任提倡相互认证（英语：mutual authentication），包括在不考虑位置的前提下检查设备身份和完整性，以及基于设备身份和设备状况的置信度来结合用户身份验证，提供对应用程序和服务的访问许可。

产生背景

　　1994年4月，Stephen Paul Marsh在其斯特灵大学计算机安全专业的博士论文中提出了“零信任（zero trust）”一词。Marsh的研究将“信任”视作可以用数学描述的有限事物，断言“信任”的概念超越了道德、伦理、合法性、正义和判断等人为因素。

　　2003年的Jericho Forum（英语：Jericho Forum）强调了为组织IT系统定义边界的挑战性，讨论了当时称为“去边界化”的趋势。2009年，Google实施了一种名为BeyondCorp（英语：BeyondCorp）的零信任架构。Forrester Research（英语：Forrester Research）的分析师John Kindervag在2010年使用术语“零信任模型”表示更严格的公司内部网络安全计划和访问控制。

　　2019年，英国国家网络安全中心（英语：National Cyber Security Centre (United Kingdom)）（NCSC）建议网络架构师考虑对新增IT部署采用零信任措施，尤其是计划大量使用云服务时。

===========================

　　零信任是一种设计安全防护架构的方法，它的核心思路是：默认情况下，所有交互都是不可信的。这与传统的架构相反，后者可能会根据通信是否始于防火墙内部来判断是否可信。具体而言，零信任力求弥合依赖隐式信任模型和一次性身份验证的安全防护架构之间的缺口。

　　零信任之所以得到广泛普及，是因为随着全球威胁格局的改变，传统的网络边界安全防护理念面临巨大挑战。组织严密的网络犯罪分子可能会利用内部涉密人员，同时继续寻找新的方法来突破传统安全防护架构的外壳。制作精良的黑客工具和商业化勒索软件即服务平台越来越容易获得，使得新一类经济犯罪分子和网络恐怖分子能更加轻易地得逞。所有这些威胁都有可能泄露珍贵数据，扰乱业务和商业，并对人们生活造成影响。

　　鉴于这一新的威胁局势，美国联邦政府开始以行政命令来推进零信任架构，许多企业也开始权衡采用这种方法的成本和收益。

为什么需要零信任？

　　在著名的 Forrester Research 2010 年零信任报告中，分析师 John Kindervag 呼吁将网络安全防护中常见的”信任但验证”方法调整为”验证而不信任”策略。Kindervag 针对当年盛行业界的座右铭：”我们希望我们的网络就像 M&M 巧克力豆一样，外面爽脆，中间软糯”提出了质疑。几十年来，企业的网络安全都是这样设计的：一个内部或受信任的网络（中间软糯）由防火墙及其他安全防护措施（外面爽脆）与外部世界隔绝开。这个边界内的（或通过远程方法连接的）人或端点，要比边界外的人或端点获得更高级别的信任。

　　这种”硬壳软心”的安全防护设计可以说从来都不是理想的方法，但今天却仍在广泛使用。这些架构使得进入内部网络的人可以轻松地遍历内部网络，相应的用户、设备、数据和其他资源几乎完全不设防。网络攻击正是利用了这种设计，即首先获得对一个或多个内部端点或其他资产的访问权限，然后再沿网络横向移动、利用存在的弱点、泄露受控的信息并发起进一步的攻击。

　　除了易受精心策划的网络攻击外，随着网络扩展涵盖了大量端点，用户需要从更多的位置进行远程访问，并且需要通过更细粒度的服务访问更多资产，这种功能不足的架构就变得愈发压力重重。自新冠肺炎（COVID-19）疫情以来，由于工作人员纷纷开始远程办公，而云环境中的工作负载也日益增加，信任问题引起了更多关注。

　　为了管理这种环境的漏洞，企业正在从允许安全访问整个网络的虚拟专用网络（VPN）过渡到更精细的零信任网络访问（ZTNA），后者将会进行访问分段并限制用户对特定应用和服务的权限。这种微分段方法可以帮助限制攻击者的横向移动、减少攻击面并控制数据泄露的影响，但采用零信任模型需要企业在其安全架构的各个方面应用”验证而永不信任”的理念。

零信任模型的基础是什么？

　　零信任安全防护的基础是去边界化和最小权限访问，它可以保护敏感数据、资产和服务免受网络边界和隐式信任架构中自有漏洞的影响。

　　去边界化：不再按地理边界定义企业。用户会从各种位置和端点执行运维，并从一个或多个操作环境访问资源，包括云和软件即服务（SaaS）解决方案（通常不由企业 IT 部门拥有或控制）。去边界化就是要解决这种信任与位置分离的问题。

　　最小权限：如果交互不能基于名称或位置可信，那每个交互都是可疑的。于是，决定是否允许交互，便成为一项必须要权衡利弊的业务决策。最小权限是指仅允许访问绝对必要的资源的做法，即一项活动所需的”最低”权限。每个资源访问请求都需要使用身份管理和基于风险的上下文感知访问控制进行动态验证。

实施零信任面临哪些挑战？

　　目前，仍有许多领域由于基础受限而无法实施。常见的问题包括：继续沿用传统技术、不成熟的业务流程，或是将安全作为基本业务功能的低优先事项。

　　零信任通常需要领导层和安全专业人员改变思维方式。领导者需要对维持现有已过时安全架构的风险做出评估。IT 和运营技术（OT）专业人员需要认识到他们可以在哪些方面利用现有投资来降低实施零信任的成本，以及在哪些方面需要优先考虑新的投资。然而，现实情况是：有些协议和设备永远不会是零信任的，在这种情况下，必须要做出是更换还是维持的决定。此外，如果某些系统不能完全采用零信任方法，OT 专业人员必须要思考有哪些缓解性的控制措施，以及是否可以采用替代性的安全控制措施来进一步减少风险。

　　转向”默认拒绝”或”始终验证”（零信任的基本前提）需要所有团队决心坚定：他们要随着时间的推移不断进行实施和维护，同时确保企业或机构内的任何部分都不会试图通过创建”影子 IT”来绕过零信任安全架构。

==========================

　　零信任是一种安全模型，基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。零信任与传统的安全模型存在很大不同，传统的安全模型通过“一次验证+静态授权”的方式评估实体风险，而零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。

为什么零信任很重要？

　　随着数字化转型不断加速，新兴技术与创新业务不断打破企业原有安全边界，企业信息安全面临着前所未有的挑战。

　　1.访问者身份及接入终端的多样化、复杂化打破了网络的边界，传统的访问管控方式过于单一。在用户一次认证后，整个访问过程不再进行用户身份合规性检查，无法实时管控访问过程中的违规和异常行为。

　　2.业务上云后各种数据的集中部署打破了数据的边界，同时放大了静态授权的管控风险，数据滥用风险变大。高低密级数据融合导致权限污染，被动抬高整体安全等级，打破安全和业务体验的平衡。

　　3.资源从分散到云化集中管理，按需部署。由于当前安全管控策略分散、协同水平不高，云端主机一旦受到攻击，攻击将难以快速闭环，很难形成全局防御。

　　零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理，构筑身份边界，实时感知风险，实现动态和细粒度授权。

零信任核心原则

　　企业基于持续验证，动态授权和全局防御三个核心原则构建自己的零信任网络。

持续验证，永不信任，构建身份安全基石

　　零信任对人、终端和应用进行统一身份化管理，建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端状态等作为认证的动态考量因素，持续监测访问过程中的违规和异常行为，确保接入网络的用户和终端持续可信。

动态授权，精细访问控制，权限随需而动

　　零信任不依赖通过网络层面控制访问权限，而是将访问目标的权限细化到应用级、功能级、数据级，只对访问主体开放所需的应用、功能或数据，满足最小权限原则，极大收缩潜在攻击面。同时安全控制策略基于访问主体、目标客体、环境属性（终端状态、网络风险、用户行为等）进行权限动态判定，实现应用、功能、数据等维度的精细和动态控制。

全局防御，网安协同联动，威胁快速处置

　　零信任通过对终端风险、用户行为异常、流量威胁、应用鉴权行为进行多方面评估，创建一条完整的信任链。并对信任分低的用户或设备生成相应的处置策略，联动网络或安全设备进行威胁快速处置，为企业搭建一张“零信任+网安联动”的安全网络。

==========================

　　零信任安全机制是基于“隐性信任始终是一个漏洞”这一看法而创建的概念，因此必须根据“从不信任，始终验证”的策略来设计安全性。零信任的最简单形式是，它使用严格执行的身份和设备验证流程来限制对 IT 资源的访问。

　　零信任身份认证 (ZTI) 和零信任访问 (ZTA) 均可确保：在默认情况下，不会信任位于任何位置的任何类型的任何设备或用户，而零信任网络访问 (ZTNA) 则将经过验证的用户和设备限制为只能访问特定网段，而不是授予他们对整个网络的访问权限。

什么是零信任以及它的工作原理是怎样的？

　　在用户和设备获得对受保护资源的访问权限之前，零信任对它们实施严格的安全控制。零信任身份验证和授权使用最低权限原则 (PoLP)，即在传输单个数据包之前授予使用给定功能所需的绝对最低权限。

　　由于访问网络资源的方式发生了变化，这种做法变得很有必要。存在网络边界或仅能通过 VPN 进行访问的日子已经一去不复返了；如今，越来越多的员工移动办公并且在家办公的趋势不断发展，这就要求考虑为用户采用新的安全方法，而容器和微服务计算的分布性日益提高意味着，设备间的连接也在不断增加。

　　因此，零信任要求相互进行身份验证来确认任何位置的设备的身份和完整性，以便根据设备身份、设备运行状况和用户身份验证的总置信度授予访问权限。

零信任的优势

　　零信任网络体系架构解决了随着网络拓扑和使用情况的变化而演变的两个弱点。传统上，网络安全是由边界（即，企业网络“内部”和“外部”之间具有明确的分界点）定义的。这种方法通常会向网络边界“内”用户和设备授予广泛的访问权限，这样，一个网段上的设备可能会看到企业网络边界内的所有其他网段。

　　如今，计算设备和访问分布广泛，这要利用云、移动设备、边缘和物联网组件，这些组件的分界点变得模糊，使得保护边界变得越来越困难。由于 ZTNA 假设网络边界内外的一切都是不可信的，因此每次访问时都要针对每个事务和连接进行身份验证。通过身份验证后，ZTNA 会创建一个微分段网络，对该网络的访问极其有限。零信任身份认证不是基于 IP 地址，而是基于逻辑属性，如虚拟机名称。

零信任应用场景

　　零信任应用场景有很多，其中包括：限制供应商和承包商等外部第三方的访问、隔离物联网设备，以及为日益增多的移动办公员工提供安全的远程连接。

面向供应商和承包商的零信任

　　有许多值得注意的安全泄露事件是由“受信任的”第三方造成的，例如臭名昭著的 Target 泄露事件。为外部企业提供广泛的访问权限可能是灾难性的。零信任通过两种方式解决此问题，第一种是使用多因素身份验证或其他身份和访问管理 (IAM) 平台进行严格的身份验证，该平台可为每个外部方分配一种权限类别，该权限类别定义了他们在网络中的访问权限。此外，分段可能会限制对与第三方一起执行任务或交易所需的网络部分的访问。

零信任和物联网

　　物联网设备的增长速度持续加快，预计到 2023 年，物联网设备将达到近 150 亿台。它们无处不在（安全功能通常有限），因此，就通过物联网访问网络资源而言，需要采用零信任方法。例如，可以将物联网设备隔离到专为此目的而设计的单个网段，从而限制遭入侵的物联网设备访问其他更敏感的网络资产，并限制威胁横向扩展到这些资产。

面向远程员工的零信任

　　随着越来越多的员工因公司政策或疫情而在传统网络边界外工作，ZTNA 通过确保所有员工（无论是通过 VPN 还是在星巴克的公共 Wi-Fi 工作）安全地连接到完成工作所需的数据、服务和资源，来提供安全的员工访问权限并限制受攻击面。

零信任模式的核心原则

　　零信任的主要原则是“从不信任，始终验证”。任何设备或用户都不可信，无论他们的位置、IP 地址或网络访问方法是什么。无论源位于何处，网络上的每次交互都始终需要进行验证。此外，为了实现预期目标，网络访问应限制在尽可能小的网段，因为大多数网络都由互联区域组成，其中包括本地部署基础架构、云、远程和移动用户。

对于 VMware 而言，零信任安全机制意味着构建一个更加强大和动态的现代安全体系架构，并更深入、更全面地建立信任。为了实现这种更全面的零信任方法，VMware 为零信任体系架构提供了 5 个支柱。

1.设备信任

　　通过实施设备管理、设备盘点、设备合规性和设备身份验证等解决方案，企业可以大大地限制未经授权的用户获得设备访问权限并出于恶意目的而利用该访问权限的风险。

2.用户信任

　　用户信任包括密码身份验证、多因素身份验证、条件访问和动态评份，所有这一切均用于“证明”此用户实际上是经过授权和验证的用户。

3.传输/会话信任

　　传输/会话参数通过限制用户的访问权限并应用所需最低权限来执行给定工作，增强了针对资源的最低权限访问原则。

4.应用信任

　　使用单点登录 (SSO)、隔离和任何设备访问等工具可以增强应用信任参数。

5.数据信任

　　数据信任是 VMware 零信任模式的最后一个支柱。数据信任策略包括通过加密或不变性、数据完整性（经常检查数据完整性）、DLP（数据丢失防护）和数据分类来保护静态数据。