前言

随着产业数字化不断升级，企业资源逐渐向云端与移动端迁移，旧有边界防御的安全体系难以为继，在端、网、云协同办公环境的的安全需求下，“零信任”安全的概念日渐火热。

本文旨在梳理零信任架构中的安全理念、应用场景等。

什么是零信任

零信任（Zero Trust）既不是一门新技术也不是新产品，而是一种安全理念。

传统网络安全架构默认网络安全即是边界安全。通过在网络边界验证用户身份，如果用户验证通过即为“可信”，即可进入网络内部。此时已经接入的设备具备大量资源的网络访问能力，往往成为入侵的第一道跳板，如邮件IM钓鱼、社工间谍、利用IOT入侵、高级APT木马、员工失误等。

2010 年，著名研究机构 Forrester 的首席分析师 John 正式提出了零信任这个术语，明确了零信任架构的理念，该模型改进了耶利哥论坛上讨论的去边界化的概念，并提出三个核心的观点：

1. 不再以一个清晰的边界来划分信任或不信任的设备
2. 不再有信任或不信任的网络
3. 不再有信任或不信任的用户

零信任摒弃边界概念，默认所有人、设备和访问请求均不可信任，将访问控制细粒到具体的人和设备，对其进行身份验证和细粒度的权限管控。可以说零信任实际上是一项网络安全战略计划，通过摒弃组织网络架构中的信任概念来阻止企业内部的数据泄露。

2013 年，国际云安全联盟（CSA）成立软件定义边界（SDP）工作组。SDP 作为新一代网络安全解决理念，其整个中心思想是通过软件的方式，在移动和云化的时代，构建一个虚拟的企业边界，利用基于身份的访问控制，来应对边界模糊化带来的粗粒度控制问题。

2014 年，谷歌基于内部项目 BeyondCorp 的研究成果陆续发布 6 篇相关论文，介绍零信任落地实践。BeyondCorp 的设计采用了零信任的思想，假设所有网络都不可信；以合法用户、受控设备访问为主；所有服务访问都要进行身份验证、授权加密处理。

2017 年，Gartner 在安全与风险管理峰会上发布持续自适应风险与信任评估（Continuous Adaptive Risk and Trust Assessment, CARTA）模型，并提出零信任是实现 CARTA 的初始步骤，后续两年又发布了零信任网络访问（Zero-Trust Network Access, ZTNA）市场指南（注：SDP 被 Gartner 称为 ZTNA）。

2018 年，Forrester 提出零信任拓展生态系统（Zero Trust eXtended, ZTX）研究报告，将视角从网络扩展到用户、设备和工作负载，将能力从微隔离扩展到可视化、分析、自动化编排，并提出身份不仅仅针对用户，还包括 IP 地址、MAC 地址、操作系统等。简言之，具有身份的任何实体包括用户、设备、云资产、网络分段都必须在零信任架构下进行识别、认证和管理。

2020 年，美国国家标准技术研究所（NIST）发布的《SP800-207: Zero Trust Architecture》标准对零信任架构 ZTA 的定义如下：利用零信任的企业网络安全规划，包括概念、思路和组件关系的集合，旨在消除在信息系统和服务中实施精准访问策略的不确定性。该标准强调零信任架构中的众多组件并不是新的技术或产品，而是按照零信任理念形成的一个面向用户、设备和应用的完整安全解决方案。

2021 年，美国总统拜登发布行政命令，向云技术的迁移应尽可能采用零信任架构，并要求所有政府部门在60天内制定实现零信任架构的计划。这是美国首次以行政命令的方式，明确要求用零信任迭代过时的联邦网络安全模型。

2022 年，美国国防部正式公布《零信任战略》。该战略指出，当前和未来的网络威胁和攻击推动了对超越传统边界防御方法的零信任方法的需求，国防部打算在2027财年之前实施战略和相关路线图中概述的独特的零信任能力和活动。

从旧有边界体系到现在的端、网、云混合办公体系，零信任架构愈发重要。

为什么要做零信任

为什么要做零信任？最本质的，是因为我们有一些重要的数据或者权限需要保护，而现有安全体系在云原生时代已无法提供足够的保护。用户个人隐私数据，员工薪资数据，修改密码的权限，关闭关键系统的权限等等都是被保护的对象。这些数据和权限最初是由基于边界安全（Perimeter Security）的网络接入控制来保护的，比如公司内网和VPN，当一台设备连入公司内网后，就继承了获取这些数据和权限的权利。在传统的 IT 安全模型中，一个组织的安全防护像是一座城堡，由一条代表网络的护城河守护着。在这样的设置中，很难从网络外部访问组织的资源。同时，默认情况下，网络内的每个人都被认为是可信的。然而，这种方法的问题在于，一旦攻击者获得对网络的访问权，并因此默认受到信任，那么组织的所有资源都面临着被攻击的风险。

后来，人们又开始引入基于IP的或者基于用户名密码的访问控制，以及更加细粒度的基于身份和角色（Identity and Role）的访问控制。但是这些已经无法满足在云原生环境下，具有复杂IT系统的企业的数据和权限保护要求。

相比之下，零信任基于这样一种信念：企业不应该自动地信任其边界内或外部的任何东西，而是在授予访问权限之前，对试图连接到IT系统的任何人和东西进行验证。

从本质上讲，零信任安全不仅承认网络内部和外部都存在威胁，而且还假定攻击是不可避免的（或可能已经发生）。因此，它会持续监控恶意活动，并限制用户只能访问完成工作所需的内容。这有效地防止了用户（包括潜在的攻击者）在网络中横向移动并访问任何不受限制的数据。

零信任架构的组件

接下来我们来盘一盘当一个组织从头开始构建的零信任架构所要进行的工作。

端点和设备

端点和设备包括组织内或有权访问组织数据的任何设备、API 或软件服务。组织必须首先了解他们的全套设备、API 和服务。然后可以根据设备、API 和服务的现状实施符合组织现状的零信任策略。

接入设备管理

大多数零信任架构要求软件至少安装在一部分用户机器上。移动设备管理 (MDM) 是大多数组织跨其用户设备清单管理软件和配置的方式。

端点保护

端点保护软件安装在用户的机器上并扫描影响设备的已知威胁。端点保护软件还可用于强制遵守操作系统补丁和更新，避免机器受到常见系统漏洞的威胁。

资产盘点

端点保护软件和资产管理软件可用于跟踪所有已分发给用户的设备。应维护一份准确的设备列表，以跟踪哪些设备是有效的并且应该可以访问特定的应用程序。

还应在清单中检测和维护 API 和服务。可以利用网络扫描来识别可以通过内部或外部网络进行通信的新出现的 API 和软件服务。

网络

网络包括组织内的所有公共、专用和虚拟网络。组织必须首先了解他们现有的网络集并对其进行细分以防止横向移动。然后，可以创建零信任策略来精细控制用户、端点和设备可以访问的网络部分。

细分用户网络访问

用户通常可以使用 VPN 或在办公室网络中访问整个专用网络。零信任框架要求用户只能访问完成给定任务所需的特定网络部分。零信任网络解决方案允许用户远程访问本地网络，但具有基于用户、设备和其他因素的精细策略。

使用宽带互联网实现分支机构之间的连接

专用网络位置（例如数据中心和分支机构）之间的连接通常是使用多协议标签交换 (MPLS) 线路或电信提供商提供的其他形式的专用链路建立的。这些 MPLS 链路通常很昂贵，并且随着商品互联网的质量越来越高，组织可以通过安全隧道在互联网上路由流量，从而以一小部分成本提供相同级别的安全访问。

关闭所有向 Internet 开放的用于应用程序交付的入站端口

攻击者常常通过扫描网站/主机开放的端口扩大攻击面，零信任反向代理允许您在不打开任何入站端口的情况下安全地公开 Web 应用程序。应用程序的 DNS 记录是应用程序唯一公开可见的记录。DNS 记录受零信任策略保护。作为附加的安全层，可以使用零信任网络访问解决方案来利用内部/私有 DNS。

网络流量

互联网流量包括所有发往组织控制范围之外的网站的用户流量。这可以从业务相关任务到个人网站使用。所有出站流量都容易受到恶意软件和恶意网站的攻击。组织必须建立对发往 Internet 的用户流量的可见性和控制。

DNS 过滤

可以通过路由器配置或直接在用户机器上应用 DNS 过滤。它是保护用户免受已知恶意网站侵害的最快方法之一。

TLS 解密

有些威胁隐藏在 SSL 之后，仅通过 HTTPS 检查无法阻止。为了进一步保护用户，应该利用 TLS 解密来进一步保护用户免受 SSL 背后的威胁。

应用

应用程序包括存在组织数据或执行业务流程的任何资源。组织必须首先了解存在的应用程序，然后为每个应用程序建立零信任策略，或者在某些情况下阻止未经批准的应用程序。

应用资产盘点

大部分企业中都会存在一些影子资产，这些往往会成为攻击者的入口点或跳板。对于安全团队来说，了解他们在整个企业中使用的应用程序的完整清单至关重要。

应用程序的零信任策略实施

应用程序必须受到零信任策略的保护，该策略在验证和授权访问之前考虑用户身份、设备和网络环境。应用程序应具有执行最小特权的细化策略，尤其是对于包含敏感数据的应用程序。

保护应用程序免受第 7 层攻击

任何自托管应用程序都容易受到第 7 层攻击，包括 DDoS、代码注入、机器人等。安全团队的自托管web应用程序前部署 Web 应用程序防火墙和 DDoS 保护。

强制执行 HTTPS 和 DNSsec

任何自托管 Web 应用程序都应利用 HTTPS 和 DNSSec。这可以防止任何潜在的数据包嗅探或域劫持。

数据丢失防护和日志记录

到目前为止，一旦您建立了体系结构的所有零信任元素，您的体系结构将生成有关网络内部发生的事情的大量数据。此时，是时候实施数据丢失防护和日志记录了。这些是一组流程和工具，专注于将敏感数据保存在企业内部并标记任何潜在的数据泄漏机会。组织必须首先了解他们的敏感数据存在于何处。然后他们可以建立零信任控制来阻止敏感数据被访问和泄露。

建立记录和审查敏感应用程序流量的流程

安全 Web 网关解决方案具有将用户流量日志传递到 SIEM 工具的功能。安全团队应该定期检查发往敏感应用程序的流量日志。可以在 SIEM 中设置和调整针对异常或恶意流量的特定警报。

定义哪些数据是敏感数据及其存在的位置

这假设企业已经建立了安全 Web 网关或其他收集用户流量日志的方式。它应该提供对传输中、使用中和静态数据的可见性。

敏感数据因行业而异。例如技术公司关注保护源代码。确定公司的敏感数据及其存放位置非常重要。

敏感数据的准确定义和清单将为数据丢失防护工具的实施提供信息。

防止敏感数据离开您的应用程序

例如使用 DLP 解决方案检查用户流量和文件上传/下载是否有敏感数据。

敏感数据在众所周知的预定义列表（例如 姓名、身份证、手机号等）中可用，或者管理员可以手动配置特定模式。应该为敏感应用程序启用 DLP 控制，并且可以针对所有用户流量进行扩展。

识别 SaaS 工具中的错误配置和公开共享的数据

定期扫描saas应用程序，查找已知的安全配置错误和已公开共享的数据。持续监控开源代码托管平台，技术写作平台，检测是否存在saas凭证泄漏，敏感资产数据泄漏。

关键及时的威胁情报数据

汇总多家厂商的威胁情报数据，对接到内部的威胁情报库，自动加载到web安全网关中，及时拦截恶意攻击者，保护用户免受攻击。

总结

本次分享的内容基于 zerotrustroadmap.org 公开的资料, 本文旨在梳理零信任架构在组织中构建的步骤和组成部分，业内许多厂家对于什么是零信任，有着不同的答案，这也导致各家不同的零信任观点，将大多数甲方整的云里雾里，直呼“不觉明厉”。其实，我们对于零信任，不必太过拘泥于定义和理论，而是要把它跟实践相结合，从具体的要解决的问题和应用场景出发。

下一篇，我们将从业内最佳实例出发，深入学习零信任架构部署的关键点，实践经验和教训。

关于雪诺科技

北京雪诺科技有限公司是国内专业的数字安全产品及服务提供商。以“始于接入 精于攻防 终于运营”的经营理念，为企业提供专业的网络安全产品及安全服务，助力企业构建数字安全的「北境长城」。