零信任安全體系研究*

唐敏璐，孟 茹

（1.上海計算機軟件技術開發中心 信息系統管理與咨詢部，上海 201112； 2.格爾軟件股份有限公司，上海 201112）

0 引言

隨著云計算、大數據、物聯網等新興技術應用場景的不斷擴展，企業網絡架構正在從“有邊界”向“無邊界”轉變[1]，傳統的安全邊界正在逐漸瓦解。以5G、工業互聯網為代表的新基建不斷推進建設，將進一步加速“動態邊界”的進化過程。傳統的基于邊界的網絡安全架構在某種程度上假設或默認了企業內網是安全的，通過防火墻、Web應用防火墻、入侵防御系統等安全產品，高度保護網絡出口，而忽略了企業內網的安全。

為了應對傳統邊界安全理念的落伍，以及新技術帶來的安全挑戰，一種新的網絡安全技術架構“零信任技術”逐漸走入公眾視野。零信任架構是一種端到端的網絡安全體系，零信任是一種側重于數據保護的體系結構方法，?；跇I務場景的人、流程、訪問、環境等多維因素進行相應的信任評估，通過信任級別動態地調整權限，構建動態自適應的安全閉環系統，其創新的安全思想符合新技術的特點，不斷提高信息系統和網絡的整體安全性。

2019年9月，工信部發布《關于促進網絡安全產業發展的指導意見（征求意見稿）》[2]，支持云計算、大數據、人工智能、量子計算等技術在網絡安全領域的應用，努力提升威脅情報分析、智能監測預警、加密通信等網絡安全防御能力。積極探索擬態防御、可信計算、零信任安全等網絡安全概念和框架，推動網絡安全理論和技術創新。零信任作為關鍵技術，將成為未來新型網絡架構應用的基礎。

1 研究背景

自無紙化辦公開始，我國的信息化水平經歷了跨越式的飛速發展。其安全防護級別從最初簡單的防火墻、殺毒軟件，發展到態勢感知、威脅情報、高級持續性威脅（Advanced Persistent Threat，APT）攻擊防護，有了顯著的提升。伴隨著云計算、大數據、移動互聯等新技術的應用，信息化建設加速促進著我國企業在業務橫向和縱向的擴展，大大提高了企業單位的業務效率，也促進了電子信息技術的推廣和應用。傳統被動式的安全防御體系不斷疊加建設，但其安全防護能力無法滿足現有的安全防護需求。隨著企業面臨的安全風險逐年增加，數據及應用的安全防護已成為企業安全防護建設的重中之重。

隨著《中華人民共和國網絡安全法》[3]的頒布與執行，等級保護2.0版本更新，國家已然意識到，在當前我國信息化發展、業務開展和新技術普遍應用的情況下，傳統的安全防護手段與方式已經無法有效地應對當前的安全風險。在國家大力發展新型基礎設施建設的戰略布局下，需要對國家的關鍵信息基礎設施進行重點保護，建立主動的防御機制來應對當前信息化發展所面臨的安全問題。

采用零信任理念實現安全系統的合規性探索，針對等級保護2.0合規要求[4]，從邊界防護、身份認證、訪問控制和個人信息安全4個方面進行分析。零信任技術默認任何時間、任何位置、任何設備和用戶都是不可信的，通過軟件定義邊界的方式，將網絡邊界收斂在需要保護資源的前端，且所有的訪問請求都需要經過細粒度的認證。但對于這些理念的實現程度和指標并未給出較為詳細的定義，而我國的等級保護2.0標準要求中的控制項，是對零信任系統設計和實現的指導和落實。

2 發展現狀

零信任的概念最早源自2004年舉辦的耶利哥論壇，目的是在無邊界趨勢下尋求網絡安全問題需求方案，并提出不依賴于網絡位置的隱式信任需求。2010年，著名研究機構Forrester的首席分析師John Kindervag正式提出“零信任（Zero Trust）”概念，并由Google在BeyondCorp項目中率先得到驗證。隨著業界對零信任理論和實踐的不斷完善，零信任從原型概念向主流的網絡安全技術架構逐步演進，從最初網絡層微分段的范疇，逐步演變成為覆蓋云環境、大數據中心、微服務等眾多場景的新一代安全架構。

2019年以來，美國軍方、聯邦政府和標準化組織紛紛發表各自的白皮書、評估報告和標準草案，闡述各自對零信任的認識和規劃。2019年7月，美國國防部在發布的《數字現代化戰略（2019—2023財年）》[5]中提到了零信任技術，并將該技術作為未來美國數字化戰略的重要發展及應用方向。同年，美國國防信息系統局發布《2019—2022財年戰略規劃》[6]，該規劃采用零信任技術構建新型網絡架構模式。

研究機構Forrester在發布的《2019年度預測：轉型走向務實》[7]中明確指出，零信任將在美國特定的領域成為標準的、階段性的網絡安全架構。美國軍隊、政府將其作為優先選用的網絡架構戰略和指導原則，并對其他行業產生深刻的影響。

作為聯邦政府顧問的美國技術委員會——工業咨詢委員會，于2019年4月發布了《零信任網絡安全當前趨勢》白皮書[8]，通過開展市場研究，評估了零信任技術成熟度和準備度、適合性、可擴展性和基于實際實現的可承受性，最終對美國政府機構采用零信任提出評估建議。美國國防工業基地（Defense Industrial Base，DIB）作為美國國防部下屬專注于技術與創新的機構于2019年7月發布了DIB零信任架構白皮書《零信任安全之路》，指導國防部網絡設施零信任架構。2019年10月發布報告《零信任架構建議》[9]，建議國防部將零信任列為最高優先事項實施。這兩個重量級文件的發布，反映出美國國防部對零信任的重要定位：零信任架構是美國國防部網絡安全架構的必然演進方向。

2020年8月，美國國家標準與技術研究院正式發布《零信任架構》[10]標準對零信任架構進行抽象定義，并給出了零信任可改善企業整體信息技術安全態勢的普通部署模型及應用案例。美國零信任技術發展趨勢如圖1所示。

圖1 美國零信任技術發展趨勢

2019年7月25日，在中國通信標準化協會CCSA TC8 WG3第60次工作會議上，由騰訊牽頭提案的“零信任安全技術-參考框架”[11]行業標準正式通過權威專家組評審并成功立項。這是自2010年國際上提出零信任模型“ZeroTrust Model”后業界迎來的首個零信任安全技術行業標準。2019年9月，工信部發布《關于促進網絡安全產業發展的指導意見（征求意見稿）》[2]，支持云計算、大數據、人工智能、量子計算等技術在網絡安全領域的應用，著力提升威脅情報分析、智能監測預警、加密通信等網絡安全防御能力。積極探索擬態防御、可信計算、零信任安全等網絡安全新理念、新架構，推動網絡安全理論和技術創新。零信任作為關鍵技術，已成為未來新型網絡架構應用的基礎。

2019年9月，中國信息通信研究院發布《中國網絡安全產業白皮書（2019年）》[12]，強調了軟件定義邊界（Software Defined Perimeter，SDP）為零信任的關鍵技術，零信任安全首次被列入網絡安全需要突破的關鍵技術。

2019年以來，我國相關部委、部分央企、大型集團企業開始將零信任架構作為新建IT基礎設施安全架構，銀行、能源、通信等眾多領域和行業針對新型業務場景，開展采用零信任架構的關鍵技術和試點示范。國內安全廠商也積極關注零信任的發展和落地實踐，各安全和互聯網廠商都利用各自在安全領域的技術優勢，推出零信任整體解決方案，同時身份管理、SDP、微隔離等技術也被積極應用于零信任技術方案的應用實踐中。

3 零信任理念

遵循“以密碼為基石、以身份為中心、以權限為邊界、持續信任評估、動態訪問控制”的理念，對業務平臺訪問主體進行身份化、規范化管理，采用基于密碼技術的數字證書作為可信標識，聯動統一的授權管理服務和安全審計服務，對業務系統的網絡接入控制、應用訪問控制、應用服務調用、數據獲取服務等不同場景提供動態、持續的強身份認證與權限控制，行為分析及責任認定，實現全網全域對象可信、可控、可管、可追溯，為移動辦公和業務系統的安全保障構建基于零信任的安全管理平臺，零信任總體架構如圖2所示。

圖2 零信任總體架構

3.1 以密碼為基石

以密碼為基石，密碼具有天然的安全基因，以密碼為基石來構建可信的身份體系，基于密碼來實現身份認證和安全通信，兼顧合規性和安全性?；趪a密碼構建公鑰基礎設施（Public Key Infrastructure，PKI）體系，為各參與實體頒發數字證書，訪問之前先進行強認證，所有通信流量走加密通道，防止流量被劫持和偵聽。

3.2 以身份為中心

以身份為中心，身份可信是業務可信的前提，必須兼顧身份的真實性和環境的可靠性。身份的真實性由多因子認證來保障，其中，數字證書是不可或缺的認證因子，其他認證因子起輔助作用。為完成動態持續的身份認證，系統需要支持多因子的身份認證，認證方式需具備人臉識別、聲紋識別等最新的認證技術，結合環境感知系統，系統需要具備持續認證的能力，在發現風險時，能夠具有實時阻斷會話的能力。

3.3 以權限為邊界

以權限為邊界，將應用安全網關部署在云平臺的入口，保護云平臺內部的所有資源，對于未經身份認證、沒有權限的用戶，一切資源都是不可見的，只有授權后用戶才能看到資源。由于權限和環境屬性緊密相關，同一個人在不同環境下的權限不同，邊界也就不同，比如正常辦公時間權限邊界比較大，節假日時間權限邊界就很小。授權體系應滿足云計算、大數據等多種復雜場景的授權，同時支持訪問控制列表（Access Control List，ACL）、基于角色的訪問控制（Role-Based Access Control，RBAC）、基于屬性的訪問控制（Attribute-Based Access Control，ABAC）等權限模型，支持訪問級、功能級、服務級和數據級訪問控制，支持具備事件授權的能力，支持權限紅名單和白名單。在數據訪問控制方面能夠實現基于數據分級分類的訪問控制，防止數據越權訪問。

3.4 持續信任評估

信任評估技術對網絡代理提供的多維度實時屬性信息進行了實時信任評估和分析，通過對網絡活動風險水平的持續定量評估，為訪問授權提供判定依據。在辦公終端上安裝終端可信環境感知，通過檢測基礎安全感知、系統安全感知、應用合規感知、健康狀況感知，對終端環境進行全訪問、多維度的安全監測。檢測感知訪問主體接入環境的安全性，一旦檢測到安全風險，立即上報，并基于訪問控制決策點對當前訪問予以預警或者阻斷，保持辦公終端環境的安全可控。

3.5 動態訪問控制

靜態訪問控制基于網絡實體規定和預設置的二值判斷策略，只能通過靜態的授權規則，或簡單的黑白列表等方式對訪問業務進行一次性的評估。但零信任架構采用安全和動態變化的度量因素，執行動態訪問控制，并且基于可變信任評估，將訪問主體的授權訪問隨著過去和當前行為、身份信息及網絡環境等不同因素影響進行不斷變化，對每次訪問業務采用最小權限原則，解決了傳統靜態訪問控制機制下，安全策略動態適應不足的問題，提升了應變防御威脅的能力。

通過一系列組件的構建和聯動，在數據層面形成訪問控制策略執行點，在控制層面形成訪問控制策略決策點，提供環境感知能力的組件、提供信任評估的分析組件共同工作實現。主要流程如下：通過構建可信應用代理作為數據層面業務訪問的統一入口，以及動態訪問控制策略的執行點；構建可信身份管控平臺作為控制層面的訪問控制策略決策點；通過可信環境感知對用戶的終端進行全方位多維度感知，確保用戶的終端環境安全及安全風險感知上報；對構建智能身份分析系統的用戶行為進行多維度分析，進行信任評估并上報至可信訪問控制臺進行決策，實現動態訪問控制的整體邏輯，具備動態訪問控制能力[13]。

4 零信任應用解決方案

秉承零信任理念，堅持以密碼為基礎，以可信身份為中心，軟件定義邊界的思想，對身份認證和訪問控制進行了范式上的顛覆，引導安全體系架構從“網絡中心化”向“身份中心化”的轉變，零信任架構設計如圖3所示。以身份為中心進行訪問控制，對訪問辦公業務的設備、用戶、應用、服務的訪問控制進行認證和授權，訪問控制策略結合信任持續評估結果進行動態調整。所有未認證的資源都是不可訪問的，堅持最小權限原則，極大限度地減小攻擊面[14]。

圖3 零信任架構設計

4.1 密碼服務基礎設施

密碼服務基礎設施為網絡應用和終端用戶提供密碼服務，整合基礎密碼設備的管理，通過虛擬化技術虛擬密碼服務設備對外提供密碼服務，提供數據加解密、簽名驗證、摘要運算等通用密碼服務，還對外提供認證、時間戳、電子簽章等基于密碼的安全服務。

4.2 電子認證基礎設施

電子認證基礎設施利用一對密碼實施加密和解密，其中密鑰分為私鑰和公鑰，私鑰用于簽名和解密，由用戶自定義且安全存儲；公鑰用于簽名驗證和加密，被多個用戶共享。

4.3 可信身份管控平臺

可信身份管控平臺是構建統一的身份認證和授權訪問的基礎設施平臺，實現網絡實體身份和特權賬號的統一資源管理，為云環境、移動網絡、物聯網等異構網絡和異構應用提供持續的身份認證和動態的授權訪問機制，采用資源化、服務化的彈性服務模式持續提升全網身份治理能力，搭建基于可信身份的零信任安全體系。主要包括身份管理、身份認證、權限管理和安全審計4個部分。其中，身份管理是指實現對各類實體身份的生命周期管理，建立標準化的可信身份庫，為應用系統提供身份供應服務，保障各應用系統中的身份一致性、準確性和有效性，避免身份分散管理帶來的一系列問題。身份認證是指按照統一的安全策略基線，為應用系統提供多場景、多方式、多因子身份認證和單點登錄服務，以及統一的身份認證服務和認證門戶，改善用戶體驗。權限管理是指基于ACL、RBAC、ABAC授權模型為應用開放訪問級、功能級、數據級和應用程序編程接口（Application Programming Interface，API）授權能力，基于人員、應用和數據進行訪問控制，嚴格控制信息的知悉范圍。安全審計是指為應用系統提供審計服務，收集各應用系統的相關日志，對日志進行關聯分析和安全存儲，對異常行為進行風險管控，實現業務的全流程監管，為應用系統建立全面的風險管理和內控體系提供必要的支撐。

4.4 零信任網關管理平臺

零信任網關作為可信身份管控平臺與不同網關間的樞紐，以管控分離為原則，聯動可信身份管理平臺下發不同應用策略。網關作為執行點，執行相關策略實現網絡接入控制、應用訪問控制、服務調用控制及數據獲取服務等，提升整體安全防護能力。為實現不同接入通道下細粒度的訪問控制，支持應用代理網關、API網關和運維代理網關多臺分布式部署網關的集中管理和統一調度。根據合法的授權信息實現內部網絡和數據的安全隱藏，支持前端流量加密、后端流量加密，構建不同維度的安全防護邊界。

4.5 環境感知中心

環境感知中心首先對可信的終端身份進行標識，不斷進行終端環境的感知和度量，并將相關數據發送給策略控制中心，協助策略控制中心完成終端可信環境的驗證，以達到動態訪問控制的目的。通過環境感知中心建立匹配的信任評估模型和相應算法，實現基于身份的信任評估能力，針對訪問請求數據的上下文進行風險判斷，對異常行為的訪問請求進行識別，對信任評估結果進行不斷的調整。

4.6 策略控制中心

策略控制中心負責風險匯聚、信任評估和指令傳遞下發，根據環境感知中心的風險來源進行綜合信任評估和指令下發；指令接收及執行的中心可以是認證中心、安全防護平臺和安全訪問平臺。策略控制中心支持多租戶模式，提供基于角色、基于屬性和基于策略的安全訪問控制模型及細粒度授權模式，支持多種網關策略分發和統一管理[15]。

5 結語

面向不同的應用環境和業務場景，零信任架構具備多種靈活的實現方式和部署模式。其中，在遠程辦公、云計算平臺、大數據中心、物聯網、5G應用等典型應用場景中，實施一個“從不信任，永遠驗證”的方法，根據訪問主體和資源之間的授權關系，數據平臺通過訪問代理搭建安全的訪問通道，對訪問請求進行分流?？刂破脚_的訪問引擎負責指揮，按照“先認證后連接”原則，建立、維持有效連接，實施對資源的安全訪問控制。在此過程中，對應用場景中出現的安全威脅進行監控，并及時響應，削減風險。為現代IT信息系統快速向移動端和云環境進行遷移創建更安全的網絡，使數據更安全，減少違規帶來的負面影響，提高合規性和可視性，實現更低的網絡安全成本，并提高組織的整體風險應對防護能力。