基于零信任的系统架构应用

张梦杰

摘要：当前，网络攻击、文件破坏、数据泄露等网络安全事件频频发生，内网访问和VPN访问的安全模式已经难以适应当前网络安全要求。为解决影响企业发展的网络安全问题，零信任的系统框架以用户为中心、以动态认证和最小授权为机制，通过终端、链路、节点全方位的安全监测为企业提供全过程的安全保障。在零信任机制上搭建的统一身份认证平台不仅解决了系统整合问题，也实现了统一管理、统一授权。

中图分类号：TP311        文献标识码：A

文章编号：1009-3044（2022）06-0036-04

开放科学（资源服务）标识码（OSID）：

1 概述

当前社会信息技术飞速发展，信息化越来越成为企业综合竞争的核心要素，网络安全是信息化的保障，与信息化发展相辅相成。飞快的网络速度、庞大的用户群体、灵活的访问模式使得传统网络防护逐渐失效，零信任安全架构以其动态的访问控制、持续的身份验证、最小的访问权限最大限度地减少被攻击的概率，保障数据的安全。文章通过介绍零信任的理念、架构和其核心机制，并列举零信任架构的实际应用，希望在这个万物互联的时代，给予网络安全工作一个解决思路。

云安全联盟定义了SDP模型[1]成为全球广泛应用的零信任技术解决方案，该方案对用户身份和设备进行识别校验，从而实施行为管控;谷歌公司提出了beyondcorp网络安全零信任架构[2]，明确的用户、设备、应用的零信任体系，通过不信任的持续性的认证机制来建立一条信任链;学者张泽洲介绍了新形势下的零信任安全模型[3];学者李先龄介绍了网络如何支持零信任[4];学者胡志军讲述了央行对于零信任的应用[5]。

2 零信任简介

零信任既不是产品也不是新技术，而是网络安全的一种理念。是假定当前网络环境已经沦陷的情况下，在进行系统请求和访问的过程中，降低其决策准确度的不确定性。零信任的框架是在零信任理念的基础上，企业单位根据其组件之间的关系、工作流程规划和访问策略等建立而成。零信任架构是以用户身份为中心、进行动态访问与控制的新型网络架构，使网络安全架构从之前的网络中心化向用户身份中心化转变，其核心是基于认证和授权访问的基础，实现以用户身份为中心的访问机制。

3 当前网络安全架构的缺陷

目前，网络安全架构基本是采用传统的网络隔离的方式，通过防火墙、VPN、IPS、行为审计防护设备建立网络安全防御架构，划分企业的内网和外网，形成以网络边界为中心的安全体系。对于外界访问用户（通过互联网访问）防火墙等防御设备具有较深度的防御能力，增加了被攻击的难度，但是对于内部访问用户基本无监管，一旦内部用户发生数据盗窃问题则无法避免，所以内网环境中可能会存在内部攻击，此攻击完美避开了边界防护。

在互联网高速发展的今天，网络环境复杂多变，随着大数据、云计算、移动互联等新兴技术不断发展，网络安全逐步成为焦点问题，数据泄露、账号密码安全、设备风险等诸多外部因素威胁网络安全，以网络边界为中心的安全架构亟待重组。

4 零信任网络安全架构

零信任网络安全架构的思想是假定所有网络均不可信，任何访问行为需要进行信任评估以后才能被允许访问，安全评估系统会不断地分析和评估访问行为的信任度，“可信”的访问会被允许，“不可信”的访问会被禁止。对于“可信”的访问权限均按资源最小化去设定，以减少受攻击的概率。

综上所述，零信任网络安全架构的核心关系就是访问主体、运行环境、业务应用之间的“信任”纽带的建立，该纽带是通过建立持续健全的可信机制来确保访问者对业务系统的安全性访问。

在零信任机制中，企业或者单位的内外网络并不是可信的，它的任何訪问行为都需要通过策略管理实行信任评估，评估通过的行为由网关给予通行，评估不通过的则会被禁止访问。详细零信任架构如图1所示。

对于用户的访问行为，决策的依据主要有用户的身份、终端运行的环境、应用系统对网络威胁信息的收集，从而形成网络安全态势，为决策提供依据。

（1） 威胁情报源：收集内部和外部网络中的威胁。

（2） 网络日志：网络访问、资源访问等操作记录。

（3） CDM：收集状态数据，主要有操作系统、应用程序等。

（4） SIEM：收集各类网络安全事件，以供做出正确决策。

（5） 策略引擎：对于请求的主体给予相应的资源访问权限，是实现持续信任评估的核心组件为策略管理器提供信任的评估结果，供其判断。

（6） 策略管理器：策略管理器决定访问主体和客体之间是建立或关闭连接，它与策略引擎紧密关联，相互作用，根据策略引擎做出对应的决策，具体决策行为由策略执行点执行。

（7） ID管理：存储和管理访问主体的身份信息。

（8） PKI：生成和记录数字证书，并发送给访问主体和客体。

（9） 策略执行点：是确保安全访问的第一道关口，对访问行为进行动态访问控制。

首先访问主体提出访问请求，策略执行点把情况向安全决策机制反馈需求，策略引擎会收集访问主体、访问客体、第三方安全报告动态分析信任度，并把决策返回给策略执行点，决策执行点根据决策，允许或禁止访问行为。

零信任网络机制的主要环节可以分为以下几种。

（1） 搭接信任链路

零信任的理论和机制决定其是根据数字身份信息来对访问主体身份实现可信任的识别，根据设备终端安全技术实现对访问设备的可信任识别，根据应用系统的黑白名单信息实现应用的可信任识别。提供3个方位的可信任识别，从而实现可信任的用户使用可信任的设备通过可信任的应用对访问客体进行信任链路的搭接和访问。

（2） 零信任评估原则

在整个访问环节，策略机制对访问主体进行动态监控，进行持续性的信任评估，根据访问需要不断调整访问权限，从而形成完整、安全的访问评估，具体信任评估原则有以下几点：

①不可信原则

任何用户、任何网络、任何设备在整个访问过程中都是不可信的，即使之前授权过或者认证过。

②动态评估

访问主体对客体中资源的访问都需要进行动态评估，主要是对安全事件、安全数据和安全环境进行评估，满足信任标准才会被允许访问。

③最小权限原则

对于通过信任评估的访问行为，按照最小授权原则授予该行为最小满足权限，实现该访问行为对资源的最小权限访问。

5 零信任的适用场景

（1） 开放场景

API开放场景在服务类企业中比较常见，零信任安全对各类API服务提供管理和发布，对第三方申请访问的服务进行动态调控，还可以控制流量，保障API安全防护能力。

（2） 远程服务场景

随着大数据、云计算等新兴技术的兴起，远程会议、远程协助、远程办公等远程服务得到迅猛发展，远程服务的安全性成为限制发展的主要因素，利用零信任机制，以身份为核心、评估为基础进行动态控制。

（3） 跨平台协作场景

跨平台协作是现在企业都需要面临的问题，随着信息化的提高，各类网站、系统层出不穷，面对各自独立的系统，怎样相互融合、相互协作成了问题。零信任机制在安全层面给予了支撑，例如单点登录的应用，使得多系统可以用统一的账号密码登录，并且在内部交互时无须重新登录系统。

6 零信任架构的应用

随着公司业务不断发展，累积的各类业务管理系统已过半百。系统建立之初的目标是帮助企业提升业务水平、管理水平，因信息化水平逐步提升，各类大大小小的业务都已经推行信息化。随之带来的问题也越发凸显，例如账号密码难以记住，经常需要管理员修改、登录网址繁多，浏览器收藏夹几乎都是各类系统地址等。现对信息化系统架构进行全面升级改造，主要包括网络链路、统一身份认证登录、数据加密，立足于解决当前系统烦琐的问题，并确保系统之间的安全。

6.1 网络链路

从网络安全性考虑，对企业内网和互联网的连接做出改变。把企业网络分为两个独立的网络，第一是有线网络，主要是用于电脑、打印机、机房各类设备的网络连接;第二是无线网络，主要用于员工手机上网和访客临时上网。无线网通过防火墙直接和互联网连接，有线网则是经过交换机、上网管理器、入侵检测设备、防火墙等设备，通过专线连接访问外网，其中有线网和无线网通过网闸设备做了物理隔断，确保有线网络的安全，部分网络拓扑图如图2所示。

6.2 统一身份认证平台搭建

在内部各系统之间，建立统一身份认证平台，用于各系统的用户身份统一管理，有利于验证访问者的身份，同时可以把各系统连接起来，通过验证用户身份后，根据用户的权限级别，个性化展示与权限匹配的办公系统。

（1） 访问机制

统一认证平台的访问机制对于内部网络环境基于密码、短信、手机客户端实现动态登录。对于密码方式登录，只适用于单位内网且登录设备是常用设备，在系统后台会设置员工常用设备库，用于记录常用设备，以便进行设备管理;短信和手机客户端登录方式适用于非常用设备，选择短信方式登录系统会根据登录申请通过运营商短信功能发送随机验证码至绑定手机号，选择手机客户端扫码登录，手机客户端会弹出登录确认提醒，手机端确认后电脑端才会登录。为便于员工在互联网环境访问系统，需为每位员工定制UK设备，内置个人数字验证ID，在登录过程中首先验证UK，确定员工身份，再通过网络环境动态验证登录信息，以保证系统数据安全。此类网络安全的保障离不开大数据分析、认证技术与算法及攻击监测，这些新技术的应用，满足了统一身份平台多环境认证，提升了整体安全水平。

（2） 权限配置

企业内部都有自己的分工协作体系，不同的工作岗位负责不同的工作内容，对于岗位职责之外的事情，员工通常不具备知情权及参与权。若是人员权限无限制或无匹配，员工可以看到系统内所有的信息，参与所有的事情，会对企业的分工协作体系造成巨大的灾难，导致企业内部管理的混乱，也为非法谋取利益提供了渠道，只有岗位、权限分配得当，才能保障企业运行流程，维护企业信息安全。统一身份认证平台对于权限的配置分为三个层级结构。第一层是用户访问管理层，主要用来验证用户身份，保障用户登录统一平台;第二层是用户信息权限匹配层，根据系统中用户信息和组织架构信息判断用户权限范围;第三层是应用系统层，根据人员权限的匹配结果显示对应的应用系统。如图3所示。

通过单点登录方式，用户可以直达权限范围内的各系统，不用再记录各系统网址，方便员工操作，提升工作效率。

6.3 数据加密

数据是信息系统价值的源泉，数据的安全性影响整个系统的运行，为保障信息系统数据安全，在设备端、数据链路端和数据交换节点都设置了加密算法。

（1） 设备端加密

所谓设备端加密是指在应用端和服务器端数据传输过程中不存在中间节点解密行为，而是在设备端进行解密操作。端到端的加密方式为通信提供了最高标准，黑客无法访问服务器上的数据，因为他们没有私钥去解密数据，也很难操控用户终端设备，增加了数据破解的难度。这种加密方式被称为不对称加密，采用公钥和私钥两种形式，公钥被用于加密消息，并相互通信，私钥用于解密被公钥加密的数据，而私钥只有所有者才有，其他人无法解密数据，即使解密也不会得到正确的數据。

（2） 链路加密

链路加密是在物理层进行加密，加密的信息包括数据信息、路由信息、各类协议信息等，发送者和接收者之间所经过的路由设备都需要对链路解密后才能进行下一步操作。由于数据都是经过加密的，即使黑客截取了数据内容，也无法解析出数据的结构，也就无法知道数据的交换双方信息、信息长度、通信时间等。链路加密也不太复杂，只需要链路的两端有共同的密钥，它们可以独立地更换密钥，而不用考虑网络中的其他部分，当信息发送时候，链路进行加密，黑客无法知道通信的开始时间和结束时间，得到的仅仅是无穷尽的随机位流。由于路由信息链路上一切数据都是密文形式存在，需要进行大量的解密、加密操作，对于资源和时间的消耗比较多，另外由于异步信息传递情况存在，信息的重复传递、漏传甚至丢失的情况出现，这就需要对链路设备做好管理工作。

（3） 节点加密

节点加密和链路加密类似，都是在中间过程对信息进行先解密再加密的操作，不同点在于它不允许消息在网络节点以明文的形式存在，它先把消息进行解密操作，再在安全模块中用不同的密钥进行加密。节点加密允许报头和路由信息以明文方式传输，方便其他节点知道如何处理信息，此方式在防止黑客攻击的情况具有一定的安全隐患。

7 总结

基于零信任思维的系统架构是对人员、设备、应用系统、数据等要素进行的精细化访问控制，并且可以根据需求进行动态调整。通过对网络架构、系统集成权限、验证机制、数据加密的升级改造，强化对网络安全的保障，通过统一身份认证登录动态验证人员身份、网络环境并匹配对应的权限。对于“信任”的访问行为，可以在同一平台连接进入权限范围内的系统，实现跨系统操作，提升信息化系统架构。突然爆发的新冠肺炎疫情也加速了零信任架构的部署，原本企业都用VPN来获取信任链路，疫情导致远程办公、远程会议等需求暴增，VPN需求量早已达到瓶颈，而且VPN 的安全漏洞也正威胁着网络安全，许多企业正考虑采用零信任架构替代VPN模式。零信任思维和架构越来越成为面对新型办公环境下网络安全的机制。

参考文献：

[1] 云安全联盟.CSA GCR发布零信任架构草案[EB/OL].[2020-06-09]. https：//www.sohu.com/a/400731440_785543

[2] Google.谷歌的零信任安全架构实践[EB/OL].[2018-02-24].https：//www.sohu.com/a/223839510_256833

[3] 张泽洲.新IT环境下的零信任安全架构[J].网络安全和信息化，2021（2）：50-51.

[4] 李先龄.网络如何支持零信任架构[J].网络安全和信息化，2020（10）：111-112.

[5] 胡志军.零信任架构在央行安全体系中的应用思考[J].金融科技时代，2021，29（11）：68-72.

【通联编辑：代影】