漫谈企业信息化安全 - 零信任架构

一、引言

《万物简史》的作者比尔·布来森说，当他小的时候学科学的时候，好像这些科学家们都是有一种本领，把科学总是以一种让人看不懂的方式说得神乎其神，好像有藏着什么不可告人的秘密。因此，想要写一本让大家都能看得懂的书，让大家了解世界是怎么运作的。

在信息技术领域也是一样，我们会看到很多新的名词、各种专有名词的因为缩写，听起来是那么地高大上。实际上，我们追本溯源，就能了解事情的真相。在这一篇文章中，我们就来介绍什么是零信任，为什么会有人提出零信任这样的需求，它能为我们解决什么问题，您的企业是否需要实施零信任等等基本问题。

二、零信任的精髓

创新都是需求驱动的，在信息安全上也同样如此。以前我们提到安全，很多时候只限于在电脑上安装杀毒软件，在公司网络上安装上防火墙，就基本上没有问题了，可是为什么现在信息安全问题就变得更复杂了呢？这是因为随着各种需求的涌现，让企业的IT基础架构变得越来越复杂，如何应对与之伴生的安全威胁也变得越来越严峻，因此需要有更新的技术在解决信息安全问题。

在下图中，描述了很多现代企业信息化的一些需求：

1. 移动办公/BYOD，随着移动互联网的快速发展、以及社会环境的影响，越来越来的企业面临居家办公、移动办公等混合办公模式、用户使用自带设备接入企业服务的情形，在这种情况下，如果确保移动办公、BYOD的信息安全是其中一个需求

2. 远程办公/分支机构，这个和移动办公类似

3. 供应商/第三方访问，为了提升企业工作效率，企业可能需要与供应商/第三方协作，在协作过程中，如何确保信息安全？

4. 云服务及构建在公有云上的私有化服务，SaaS/PaaS/IaaS等以云服务形式提供的信息基础架构虽然简化了企业服务的部署，但是这些服务都是部署在Internet网络上，如何确保这些云服务访问的安全？

5. **本地应用和构建在本地的私有化应用，**这些应用如何为各种用户提供访问，并确保安全？

6. 身份验证，企业中要各种各样的系统和服务，也会有各种各样的身份验证，如何对身份验证进行更行之有效的管控？

传统上，IT 行业依赖 外围安全策略 来保护其最有价值的资源，如用户数据和知识产权。 这些安全策略涉及使用防火墙和其他基于网络的工具来检查和验证进出网络的用户。 然而，数字化转型和混合云基础结构迁移之旅正在改变各个行业开展业务的方式。 依赖网络外围已不再足够。

零信任是一种用于保护组织的安全模型，它的理念是默认不信任任何人员或设备，即使人员或设备已经位于组织的网络内也是如此。零信任方法在整个网络中（而不仅仅是在可信边界上）强制执行严格的身份验证和授权，以消除隐式信任。在此模型中，每个访问资源的请求都被视为来自不受信任的网络，系统会对其进行检查、身份验证和核实。

说到信息安全，不管是传统的安全模型，还是零信任安全模型，它关注的是两个核心问题：

1. 数据传输过程中安全（Data at Transition)，即数据以各种方式流动过程中的安全

2. 数据存储的安全（Data at Rest)，即数据静态存储中的安全

只是传统的安全模型，在新的信息架构下，已不能满足信息安全要求，因此要用新的安全模型来进一步增强信息安全。

三、零信任的典型架构

零信任并不是一个产品的名字，而是一种安全模型和理念。零信任理念最早由福布斯（Forrester）研究公司的分析师约翰·肯纳（John Kindervag）于2010年提出。

而后，美国的国家标准与技术研究院（NIST）发布了关于零信任架构的标准SP 800-207，在SP 800-207标准中，零信任架构的如下：

上图中，各组件的含义如下：

1）策略引擎（Policy Engine）：此组件负责最终决定是否授予特定主体对资源的访问权限。

2）策略管理员（Policy Adaministrator）：此组件负责建立和/或关闭主体与资源之间的通信路径（通过向相关的策略执行点（PEP）发送指令）。

3）策略执行点（Policy Enforcement Point）：此系统负责启用、监控并最终终止主体与企业资源之间的连接。PEP与策略管理员（PA）进行通信，以转发请求和/或接收来自PA的策略更新。

4）持续诊断与缓解（CDM）系统：该系统收集有关企业资产当前状态的信息，并对配置和软件组件应用更新。

5）行业合规系统：此系统确保企业遵守其所适用的任何监管制度（例如，FISMA、医疗或金融行业的信息安全要求）。

6）威胁情报馈送：此系统提供来自内部或外部来源的信息，帮助策略引擎做出访问决策。

7）网络和系统活动日志：该企业系统汇总资产日志、网络流量、资源访问操作以及其他事件，提供有关企业信息系统安全状况的实时（或接近实时）反馈。

8）数据访问策略：这些是关于访问企业资源的属性、规则和政策。

9）企业公钥基础设施（PKI）：该系统负责生成并记录企业颁发给资源、主体、服务和应用程序的证书。

10）身份管理系统：负责创建、存储和管理企业用户账户和身份记录（例如，轻量级目录访问协议（LDAP）服务器）。

11）安全信息与事件管理（SIEM）系统：负责收集安全相关的信息以供后续分析。

四、零信任能帮助用户解决的问题

零信任是一种理念，在实施零信任安全架构时，可以从下面的一些关键原则入手：

1. 不信任： 不信任内部或外部网络，将所有用户、设备和应用程序视为潜在的威胁，需要进行适当的验证和授权才能访问资源。

2. 严格访问控制： 采用最小特权原则，对资源的访问权限进行精确控制，只授权用户访问其所需的资源和服务。

3. 持续身份验证： 不仅在用户登录时进行身份验证，还需要在用户会话期间持续监控和验证其身份、设备状态和行为。

4. 全面可见性： 实现对网络、用户和数据活动的全面可见性，以及对安全事件和威胁的及时检测、响应和调查。

5. 零信任架构： 通过构建多层次的安全防御和控制来实现零信任策略，包括网络分割、加密、多因素身份验证等技术手段。

这些原则共同构成了零信任安全模型的基础，旨在提高网络安全性并降低潜在的安全风险。

通过实施零信任安全架构，可以帮助用户解决如下的一些问题：

1. 提高数据安全性： 通过严格的访问控制和持续身份验证，防止未经授权的用户或设备访问敏感数据，从而提高数据安全性。

2. 减少内部和外部威胁： 不信任网络内的任何用户或设备，即使是已经通过认证的用户，也需要经过持续的身份验证和访问控制，从而降低内部和外部威胁的风险。

3. 提高网络可见性： 通过实时监控和记录用户和设备的活动，实现对网络活动的全面可见性，及时发现和应对潜在的安全威胁。

4. 简化安全管理： 零信任安全架构将安全策略集中在用户和资源的访问控制上，简化了安全管理和策略执行，降低了管理成本和复杂性。

5. 加强合规性： 通过严格的访问控制和持续身份验证，确保企业网络符合法规和行业标准的安全要求，提高了合规性。

6. 增强移动和远程工作安全性： 零信任安全架构不依赖于传统的边界防御，使得远程用户和移动设备也能够获得与本地用户相同的安全保护，增强了移动和远程工作的安全性。

五、你需要零信任相关的产品吗？

我们先来看看谁不需要零信任产品，或者说不值得实施零信任相关产品，而可以改用其他替代方案的场景：

1. 小型组织或个人用户： 对于规模较小的组织或个人用户来说，可能没有足够的资源或需要来实施复杂的零信任安全框架，因此可能会选择更简单、成本更低的安全解决方案。

2. 特定场景下的低风险环境： 对于一些低风险的特定场景，如非敏感性数据的公共信息网站、临时性项目等，可能不需要投入大量资源来实施零信任安全策略。

3. 传统网络边界仍然有效的环境： 如果某些组织的传统网络边界安全措施已经足够有效，能够有效防御内部和外部威胁，那么可能不需要立即转向零信任模型。

4. 临时性或短期项目： 对于一些临时性或短期性的项目，可能不值得为其实施复杂的零信任安全框架，而是可以采取一些简单、快速的安全措施来满足项目的安全需求。

5. 不涉及敏感数据的环境： 对于一些不涉及敏感数据的环境，如公共信息网站、演示系统等，可能不需要采取严格的零信任安全措施。

除开这些不需要转向零信任方案的场景，其他场景是建议考虑逐步转向零信任方案，分步骤实施零信任模型中的关键特性，最终让企业的信息安全能够上升到一个新的台阶。

六、相关的一些名词解释

在讨论零信任话题时，其实会经常出现一些名词，这些名词和零信任都或多或少有关联，在此，对这些名词及其含义做一些罗列：

1. ZTNA（Zero Trust Network Access）/零信任网络访问 ： 相比于零信任架构（ZTA）是一种安全架构而言，零信任网络访问（ZTNA）是一种具体的安全解决方案，即它是具体的一种产品，ZTNA基于严格的身份验证和持续的安全评估，不依赖传统的网络边界。ZTNA可以被看作是ZTA的一部分或一种实现形式。ZTNA专注于提供对特定应用和资源的安全访问，而ZTA则是一个更广泛的框架，涵盖了整个IT环境中的零信任原则。它提供了比传统VPN更细致的网络访问控制：

   1. 细粒度访问控制： 仅授予用户访问特定应用或资源的权限，而不是整个网络。

   2. 动态身份验证： 使用多因素身份验证（MFA）和持续监控来验证用户身份。

   3. 加密通信： 确保所有访问流量在传输过程中是加密的，防止数据泄露。

2. SDP（Software Defined Perimeter）/软件定义边界：SDP是一种网络安全框架，旨在提供安全、隐私和访问控制，通过创建一种透明的、动态的连接模型，将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络边界之内。SDP的目标是通过动态生成的边界实现更加精细的访问控制和安全性。

3. SSO、IdP、IdB:

   1. SSO (Single Sign On）/单点登录：使用统一身份登录多个服务的用户登录方式

   2. IdP (Identity Provider）/身份提供者：IdP是负责管理和验证用户身份的服务或系统。IdP通常支持多种身份验证和授权协议，如SAML（安全断言标记语言）、OAuth、OpenID Connect等，以与各种应用程序和服务集成。

   3. IdB（Identity Broker）/身份代理：用于管理和整合多个身份验证和授权系统，以提供统一的用户身份认证和访问控制。

4. PAM（Privileged Access Management）/特权访问管理：是一种网络安全领域的解决方案，专注于管理和监控对于系统、网络和数据等关键资源的特权访问。PAM系统旨在确保只有经过授权的用户可以访问特权账号和敏感数据，同时提供审计和监控功能，以减少滥用特权访问所带来的风险。通俗的说法就是对于那些具有特权的账号如何进行使用和管理，譬如Linux的Root账号、Windows的Administrator账号，因为特权账号对于企业里的关键数据有更高的访问权限。

5. SWG（Secure Web Gateway）/安全Web网关：是一种网络安全解决方案，用于保护组织网络免受恶意网络流量和网络攻击的影响。安全网关位于组织的网络边界，监视和过滤进出网络的流量，以确保网络安全和数据保护。

6. DLP（Data Loss Prevention）/数据丢失防护：DLP是指数据丢失防护（Data Loss Prevention），是一种信息安全策略和技术，旨在防止敏感数据在未经授权的情况下被访问、使用、传输或泄露。DLP解决方案通过监控和控制数据流动，保护企业和组织的机密信息和敏感数据，如客户信息、财务数据、知识产权等。

7. EDR（Endpoint Detection and Response）/终端检测与响应：是一种专注于监控、检测和响应端点设备（如计算机、服务器、移动设备等）上的安全威胁的网络安全解决方案。EDR系统旨在提供对端点设备的可见性，帮助安全团队迅速识别、调查和响应各种安全事件。

8. TPA（Third Party Access）/第三方访问：是指允许外部实体（如合作伙伴、供应商、承包商、服务提供商或外部用户）访问企业内部系统、应用程序或数据的权限和策略。管理和控制第三方访问是确保网络安全和数据保护的重要方面。

9. SASE（Secure Access Service Edge）/安全访问服务边界：是一种网络架构模型，结合了网络和安全服务，以提供统一的云原生服务。SASE由Gartner在2019年首次提出，旨在应对现代企业对灵活、安全和高效的网络访问需求。SASE通过将广域网（WAN）功能与网络安全功能整合到一个云服务框架中，为分布式企业提供一致的安全访问。

10. UEM（Unified Endpoint Management）/统一终端管理：UEM用于管理和保护企业中的所有端点设备，包括桌面计算机、笔记本电脑、智能手机、平板电脑、物联网（IoT）设备等。UEM整合了多个设备管理技术，如移动设备管理（MDM）、移动应用管理（MAM）和传统的客户端管理工具，以提供统一的管理平台和策略。