中小型企业的网络零信任体系初探

2022-12-08焦士辰杨海昕刘泽通

数字通信世界 2022年11期

焦士辰，杨海昕，刘泽通，张泽

（1.星航互联（北京）科技有限公司，北京 100094；2.中国卫通集团股份有限公司，北京 100086）

1 研究背景

在我国互联网普及率高达73.0%的今天[1]，很难准确认定所有网络使用者的行为都是值得信任的。我们无法确认互联网流量被监听，更无法确认提供光纤租用服务商或云服务商是完全可信的。随着应用需求的不断革新，诸如移动办公、物联网、大数据、多云融合等新模式已逐渐打破传统的基于网络边界的安全防护模型。外部网络边界被打破的同时，“企业内部的系统和网络流量”一样是不可信任的。不论是被劫持的内部人员设备又或是系统中安装的社区开源组件，都有可能成为企业网络被攻击的跳板，攻击者可能轻易通过跳板在企业网络内部横向或纵向发起进一步网络渗透和攻击行动。

中小型企业因为处于业务高速发展阶段，对于网络安全和数据安全的投入往往考虑不周，且未划入最重要预算内。企业通常采用公有云或租用IDC机房构建混合云的方式搭建企业系统，通过购买或租用公网边界防护设备。但这种安全解决方案往往并未被有效配置和使用，也无法应对内部风险、恶意入侵、APT攻击等新型威胁。

为应对新网络安全需求，基于网络零信任理念的模型被创建，逐渐替代传统安全模型。零信任模型中未假定任何网络位置的安全属性，在不依赖网络传输层安全机制的情况下，有效地保护企业网络通信和应用访问安全。本文将从零信任起源出发、逐步分析企业安全需求，试探究适合中小企业部署零信任体系的可行方案。

2 零信任体系基础

2.1 零信任的起源、发展和定义

零信任最早起源于2004年成立的Jericho Forum，其目的就是为了定义和解决无安全边界趋势下的网络安全问题，提出要约束基于网络位置的隐性信任，且不依赖于静态防御机制。

2010年，Forrester研究机构的分析师正式提出零信任（Zero Trust）这个术语。2013年，国际云安全联盟提出软件定义边界（Software Define Permeter，SDP），其核心思想是通过软件的方法，构建一层虚拟的企业边界，利用身份的访问控制去应对网络边界模糊带来的控制粒度问题，成为第一个完整的零信任解决方案。

伴随技术的革新，于2020年NIST发布《SP800-207:Zero Trust Architecture》标准，其对零信任架构带来明确定义“零信任的企业网络安全规划，包括企业网络安全架构、工作流规划和组件关系等，目的在于祛除企业信息系统与系统服务中访问控制策略的不确定性”。

2.2 零信任体系基础原则

与传统网络安全原则的注重网络边界防御、信任内部网络安全不同[2]，零信任网络基础原则建立在五个基础原则之下。

（1）网络的内部环境和外部环境无时无刻处在网络安全威胁之下。网络所处在任何环境下，都有可能作为网络攻击源或网络攻击目标。不能默认只有企业内部与公网网络边界处于安全威胁下，现实网络安全环境下任何资源都有可能存在网络风险。

（2）网络所处位置不能作为决定网络可信认度的依据。零信任网络环境下不根据所处网络位置给予默认权限和信任度，所有网络通信均应在安全的方式下进行传输，对所有网络位置均认定为不信任。

（3）所有网络中的设备、用户、服务和网络流量等都应视为企业资源。一个网络可能由多种资源组成，资源不仅包含网络中的交换机、路由器、服务器、存储阵列、网络安全设备等硬件，网络中提供广播的服务、能够访问资源的用户、网络中带宽以及传输的流量等都应划归为企业资源进行管理。

（4）每个企业资源的每次会话和访问均应独立认证和授权。在资源进行每次会话或访问之前，将独立评估每次资源会话或访问动作并进行身份认证和给予对应授权。每次认证和授权操作均视为独立事件，不关联曾经认证和授权的情况，对一个资源的身份认证和授权也不能自动给访问另一个资源对象进行授权。

（5）访问控制策略必须是动态的，且应尽量多地从资源中获取特征进行计算和评估来生成。资源的访问控制策略是基于分配给资源指定属性的访问规则，这些规则是给定系统流程需求并在可管控风险的前提下设定的。资源访问和会话权限规则策略必须可以根据需求而动态变更，而访问控制策略规则的授权要尽可能多地收集资源的属性特征，如网络位置、请求时间、既往行为和请求动作等去进行计算和评估。

2.3 企业零信任安全架构的优势

零信任安全架构更加注重实时可变，将网络安全定义在动态下。当前越来越多的企业将云计算引入到企业应用服务中，网络边界无时无刻在变化。传统网络安全模式下需频繁对网络边界进行修改和配置，将极大地损耗企业的资源和财力，且极有可能因遗漏或错误配置导致不可预见的风险[3]。企业采用零信任体系进行部署的优势可以总结为以下三方面。

（1）缩小企业公网暴露面，实时调整访问控制规则。缩小对公网暴露的窗口，有效减少来自互联网的刺探攻击、漏洞扫描和注入攻击等安全风险；通过动态调整访问控制策略约束用户行为，及时防护已出现或可能出现的安全事件。

（2）弥补传统安全合规弊端，访问行为审计可控。传统安全体系不注重行为审计，常造成事后追查困难，严重影响系统复原和问题追溯。零信任体系具备无特权特点，将所有用户的访问请求进行代理操作，有效审计用户行为，符合国家安全合规要求，辅助事后安全事件溯源和恢复。

（3）周期性维护企业资源，优化企业资源管理。零信任体系下对企业资源属性要求周期性更新，有效检测服务设备和访问终端的安全问题，及时更新用户身份变化，辅助更正系统访问控制规则。精细化管理企业资源，优化资源分配和使用。

2.4 关于零信任国家政策指引

由于传统网络安全模型的效果的减弱，基于零信任的安全网络架构模型逐步得到认可和普及，甚至上升为国家级网络安全战略。2021年9月，美国正式发布《联邦零信任战略》，并于2022年1月发布政令要求在整个政府范围内启动零信任框架迁移。

2019年9月，我国工业和信息化部发布的《关于促进网络安全产业发展的指导意见》（征求意见搞）中将“着力突破网络安全关键技术”作为重要任务，并同时提及“零信任安全”。2021年5月，中国信息通信研究院发布了《数字化时代零信任安全蓝皮报告（2021年）》，报告中分析了零信任安全对企业网络安全的作用和优势，指出了我国零信任的发展趋势。零信任已成为我国网络安全的重点技术之一。

3 零信任体系部署解决方案

3.1 企业零信任部署案例分析

本处借Google的BeyondCorp零信任解决方案，试解析企业零信任体系的特点。BeyondCorp零信任解决方案是基于开创新的安全访问方式，提供给用户与网络位置无关、不依赖接入VPN、不默认划分用户权限，仅通过设备凭证和用户身份凭证进行认证、授权和加密的零信任安全架构[4]。用户状态（如操作行为审计、用户信息变更等）推断用户和设备的信任等级。在上述过程中管道的作用是实时动态地从后端数据库和发证机构提取访问控制引擎所需求的信息。

（5）通过所有验证确认用户请求符合要求，访问代理通过访问控制引擎开通对应访问控制策略，准许用户请求转发到应用后端获取服务。访问控制引擎基于每个访问请求，根据获得的用户和设备身份以及用户和设备信任等级开通对应策略。

3.2 中小企业零信任体系可行方案

一般中小企业不具备大型企业的研发和维护能力，下面针对中小企业特点和安全防护需求进行简要梳理并尝试给出基于零信任体系的解决方案。

依据图1结构，模拟员工在企业办公地点使用受控设备，请求企业内部网络应用服务来分析各组件在BeyondCorp零信任架构中的作用，梳理各组件的逻辑关系，对现代典型企业零信任架构进行初步的了解和认识。

图1 BeyondCorp组件关联关系图

（1）员工在使用受控设备与RADIUS服务器进行IEEE 802.1x握手的过程中提供设备证书，验证证书有效后，设备被分配到无特权网络。无特权网络与互联网络没有任何区别，授权登录到无特权网络也仅能登录有限基础服务，并非进入企业内网。可以理解为完成互联网Wi-Fi登录，并未真正完成信任认证步骤。

（2）用户发送应用请求指向访问代理，由于未完成信任认证，代理将请求重定向到单点登录系统。访问代理对所有企业应用服务均进行保护，并提供负载均衡、访问控制检查、应用健康检查、防护拒绝服务等功能。

（3）用户通过双因素认证凭据，完成单点登录认证获得颁发的令牌，重新返回访问代理。此时用户访问代理持有设备证书和单点登录令牌。单点登录系统是企业集中认证门户，对访问用户进行双因子认证，在完成用户和群组数据库验证后，生成有短暂时效的令牌，用于下步访问验证。

（4）对服务的每个请求均需通过访问控制引擎进行验证。通过用户群组数据库和设备清单数据库对用户和设备身份进行核验，通过信任推断引擎根据受控设备状态（如系统补丁信息、软件安全风险告警等）、

3.2.1 中小企业网络安全防护需求

中小企业安全防护需求主要分为两方面，第一是企业自身网络安全防护需求，第二是符合国家安全合规需求。

从企业自身特点角度出发，首先，随着云技术的广泛应用，中小型企业更多采取云与本地结合的方式进行部署，这种方式虽具备较强扩展性和运维成本低的优势，但访问边界不固定；其次，中小企业处于业务发展快速迭代期，企业应用服务变动频繁，企业资源配置随市场变化倾向频繁调整；最后，为了扩展业务，不少企业都在全国乃至全世界开拓分支，同时因出差或特殊需求（如抗击新冠疫情）等，远程办公成为用户刚需。由此可以得出企业安全防护边界较为模糊、企业资源变动较为频繁、安全防护策略要求较为复杂的需求特点。

从安全合规角度考虑，我国从2017年6月正式实施《中华人民共和国网络安全法》，标志着我国网络空间安全已有法可依。《网络安全法》第二十一条“国家实行网络安全等级保护制度”，明确将“等保”写入国家法规，企业均需遵照执行。2019年12月发布的网络安全等级保护基本要求中体现了“一个中心，三重防护”的思想，也正契合当前网络安全形式下的企业网络安全防护的需求。

3.2.2 中小企业零信任体系部署方案

企业安全防护需求已明确，根据中小企业特点，本文采用“用户端—网关模式”进行部署，下面我们就从模式介绍、核心价值、实施阶段三方面进行简要分析。

3.2.2.1 用户端—网关模式介绍

图2为用户端—网关模式模型示例，模型中包含用户端、服务端、网关和控制端四部分。用户端为用户访问源端，接入方式包含个人办公计算机、手机、PAD和虚拟云桌面等；服务端为企业提供的服务、应用等，是用户访问目的端；网关为用户访问统一入口，也作为企业对外唯一暴露点，用户访问均通过网关进行代理操作；控制端为数据处理中心，包含系统内所有服务信息、用户信息、访问控制策略和服务代理策略等。

图2 用户端-网关模式

我们以“一个企业服务从注册到用户访问”作为原型，简要介绍模型运作过程。

（1）企业进行服务注册，控制端将服务基础信息包含访问地址、服务权限划分、服务端代理规则和预访问控制规则等进行记录，根据预访问控制规则对用户访问表进行更新，并将该企业服务网络进行逻辑隔离。

（2）用户发起访问请求，网关收集用户信息及用户硬件环境（包含用户端状态、用户访问网络状态等）信息。

（3）网关请求控制端，将用户信息及用户硬件环境信息进行上传。

（4）控制端核对用户身份、验证用户硬件环境是否安全，根据预访问控制规则通过策略引擎生成用户访问控制规则。控制端下发用户访问控制规则和服务端代理规则。

（5）用户在通过身份验证，获得服务访问权限，通过网关代理访问企业服务，开始正常使用企业服务。

注：用户每次发起新的服务请求或切换系统用户权限时，均会重新连接网关进行身份验证，用户访问控制规则仅单次访问有效。

3.2.2.2 用户端—网关模式实施部署介绍

零信任体系实施很难做到一蹴而就，需要进行多方面协调和配置，我们将部署分为资源信息整理改造、网关代理部署、控制引擎维护三个主要阶段。

第一阶段为资源信息整理改造阶段，重在将企业资源进行分类汇总，不仅要将企业系统进行整理，也要将企业用户、企业硬件资源、企业虚拟化资源等进行整理，并对企业应用访问方式进行改造，使服务可通过代理的方式进行访问；同时还需要为企业所有操作系统配置统一的安全管理客户端，对用户设备进行安全加固，为实施安全初始化打好基础。

第二阶段为网关代理部署，传统网络安全体系中企业内部服务设备可能未进行网络隔离，各服务间存在设备复用情况，企业需要在此阶段分离各服务资源，将各服务拆分为独立个体并对各服务进行网络逻辑隔离；配置统一访问代理至安全网关，企业需采购或二次开发安全代理网关，将所有企业服务资源均代理至网关，在不影响现有业务访问的情况下进行全服务代理访问测试，完成服务代理初始化配置。

第三阶段为控制引擎维护，此阶段需部署控制访问引擎服务，将收集到的企业资源信息维护至控制引擎，并初始化各服务访问控制策略，调试信任算法。完善服务注册、客户访问逻辑，优化用户访问流程，逐步封闭原直连访问模式，将零信任体系融合至企业日常使用中。

3.2.2.3 用户端—网关模式优势分析

用户端—网关模式的核心是将企业所有资源都隐藏在网关后面，隐藏实际服务提供入口，极大地缩减外界攻击面。用户端不区分网络环境，均通过网关请求访问，不设置默认信任规则，所有服务请求均通过验证后访问，充分体现零信任体系价值。

虽然用户端—网关模式未限制网关后各独立服务内服务端设备互访，具体到各独立服务还存在传统网络安全概念的管理网络。但网关后各服务网络均采用微隔离方式进行单独逻辑隔离，且零信任模式改造部署过程中不影响原应用部署架构，既可以达成用户访问零信任，又可以在最小影响下融合企业原安全部署架构，夯实全面转化成零信任体系架构的基础，十分适合中小型企业过渡使用。

4 中小企业零信任体系待解决问题

4.1 企业零信任体系部署难点

在零信任安全体系中，信任算法和由企业各资源属性汇总生成的访问控制策略是整个体系中的核心。

策略生成引擎中的信任算法是零信任体系能否成立的关键，但一般中小型企业不具备训练成熟信任算法的资源和时间。企业可以借助部署成熟策略引擎产品替代自研过程。经过初始调整阶段，对引擎内标准和权限重进行调整，在时间成本和费用成本中寻求平衡。

企业用户发起的所有通信均需通过访问控制策略的认证和配置，也就表示及时维护企业资源属性信息，正确配置和维护访问控制策略将成为决定企业零信任架构乃至整个企业网络是否能够正常运转的关键。这些工作将给企业运维人员带来较大压力，企业需要支持零信任系统运行和维护。

4.2 企业零信任体系面临的威胁

虽然基于零信任体系的企业网络比传统网络要安全，但任何方式都无法将安全风险削减至零[5]。以下列举两种常见的安全威胁，展示零信任体系下的独特风险和通常的应对方法。

4.2.1 拒绝服务威胁

在零信任体系中，各企业服务访问点基本不存在被DDoS或者CC攻击的可能性。但所有企业用户均需访问统一网关进行验证，这也给攻击者一个明确的攻击目标。如果攻击者对统一网关进行中断或拒绝访问攻击，则很有可能造成企业所有应用访问中断，继而对生产经营造成不利影响。针对这种威胁企业通常采用网关集群部署和智能流量清洗的方式降低安全风险。

4.2.2 策略引擎错误威胁

策略引擎安全风险也是零信任体系中一个独有的致命风险。如果策略生成引擎被错误配置，极有可能造成访问控制策略失效，攻击者会轻松进入系统进行破坏。如果一个管理员有意破坏安全策略引擎，甚至可能造成企业所有数据面临泄露风险。因此所有系统级别操作，均需被记录和严格审计；企业也要经常开展网络安全教育，提升员工安全意识。