零信任實戰架構總結

此報告主要參考了《零信任實戰白皮書》，結合自己對零信任的理解，做了一個精簡的總結，做參考。

零信任認識

零信任解決的是由於傳統邊界模型過度信任造成的安全問題，重點是 Trust Area 內過度信任的問題，零信任打破了信任和網絡位置默認的綁定關係，不像傳統信任關係是靜態不變的，而是動態持續監測各參與對象的安全狀態、並對其重建信任評估，然後進行動態調整權限、降權、阻斷等強管控手段。我自己認爲，動態持續監控、根據對象安全狀態進行調整權限。

這個是零信任非常重要的功能，也是傳統邊界模型做不到的。

零信任實現架構

目前有零信任實踐的公司，大多都是採用 SDP 架構（software define perimeter），SDP 架構主要包括三大組件：SDP 控制器（SDP Controler）、SDP 發起客戶端、 SDP 服務提供者。

控制層與數據層保持分離，以便實現完全可擴展。

零信任實現方案

有兩種實現方案，一是用戶對資源訪問的方案，如辦公網訪問公司應用，大多數採用此種對零信任架構進行實踐摸索；二是生產服務之間相互調用的方案，由於涉及生產、及各種複雜訪問關係，很少有公司對此種進行實踐。

用戶對資源訪問模式方案

此種方案涉及到的對象有：用戶、終端、資源、鏈路。

此方案，對架構進行抽象後的架構示意圖如下：

認證不再只是人的認證，授權、信任不再是靜態不變，而是：人（雙因素、OTP）+ 終端（是否符合安全基線，安全狀態是否符合）+ 軟件（是否有漏洞）= 認證（持續動態認證）----> 認證通過 -----> 授權（基於對各對象動態安全監測和信任評估，動態授權、降權、阻斷等）----> 資源

零信任在技術實現分類上，根據零信任網關的類型總結爲兩種：

反向代理 / 應用層 Web 協議網關

應用層代理模式指的是在零信任網關實現上，通過七層應用代理方式，將對後端應用的訪問通過本地應用 ，層代理配置，將應用層請求發至應用層代理網關中，由應用層代理網關進行攔截、轉發，架構如下圖：

實現原理如下圖：

該模式下的簡化訪問過程如下（有 Agent）：

• 用戶通過零信任終端 Agent 進行設備註冊和授權；

• 終端 Agent 進行安全基線加固，以及上傳終端設備安全狀態；

• 用戶通過零信任終端 Agent（或可信集成的瀏覽器），來設置本地應用層代理配置，指定特定資源的訪問由應用層代理發至應用層代理網關中；

• 應用層代理網關通過安全控制中心，進行認證和鑑權；

• 應用層代理網關鑑權通過後，將請求轉發給應用系統，獲取請求資源；

• 應用層代理網關將資源轉發給零信任終端，完成資源請求。

優點：由於是應用層代理，因此可以基於應用進行細顆粒的授權控制，可以深入到對特定應用，特定資源的控制。

缺點：對於非 HTTP 的業務，部分開放設置能力的 CS 應用客戶端可以支持配置，大部分 CS 架構的客戶端都是 不支持的，滿足不了全場景的辦公需求。

流量代理網關方式，即四層代理方式

流量代理方式在實現上，終端有 Agengt 情況下，可通過 hook、虛擬網卡、網絡過濾驅動等方式，將本地流 量轉發給零信任網關，零信任網關負責流量的攔截和轉發，如下圖：

如果終端沒有 Agent，只要零信任流量代理網關部署在網絡鏈路中，能夠劫持流量即可充當代理網關。

優點：

• 由於是四層流量代理，因此可以實現全局代理，無論是 B/S 應用，還是 C/S 應用都可以通過流量代理網 關進行控制和授權。支持全辦公場景；

• 此外該模式下，C/S 應用不需要改造，可以直接接入進零信任體系中，對業務干擾較小。

缺點：

• 由於是四層流量代理，因此對於加密的請求，解密成本較高；

• 不易實現精細化的權限控制，例如 針對垂直的 WEB 流量，不能基於 HTTP 協議層做對應更加細化的訪問控制，需要額外用垂直的 WEB 流量網關；

• 另外全流量代理模式下，容易出現和其他安全類流量劫持軟件衝突，需要對應修復支持工具。

混合網關方式

單一的實現方式都有其弊端和優勢，例如用了全流量代理可能導致無法識 別內容，無法對特定應用進行解析和精細的權限控制，因此也可以將技術實現方式進行融合，融合點主要是在網關對上述多個能力進行整合，用全流量代理網關作爲統一入口，對特定應用的控制由應用代理模塊進行控 制，在實現上同時擁有全流量代理、Web 應用反向代理、應用層代理（其他 RDP、SSH、IOT 等）能力。

如下圖：

該模式下的簡化訪問過程如下：

• 用戶在訪問資源時，根據所訪問的資源類型，將請求轉發到流量代理網關上；

• 流量代理網關通過安全控制中心對用戶進行認證和鑑權；

• 流量網關根據請求的資源類型，鑑權通過後將請求轉發，向後轉發中分爲以下情景：

• 直接轉發：如果沒有特定應用代理模塊，請求將直接轉發到應用中，例如 C/S 應用（轉發到應用代理模塊）

• 有特定應用控制的模塊時，將請求轉發到應用代理模塊中，由應用代理模塊進一步進行更細粒度的鑑權，例如對 SSH 服務進行零信任控制和授權，對 Web 應用進行零信任控制和授權，或是更特定業務協議的場景，IOT 的零信任控制授權；

• 流量代理網關將資源轉發給終端，完成資源請求響應。混合實踐舉例：有 Agent 和無 Agent 的場景，滿足不同的權限控制需要：

• 提供一套流量網關服務器和 Agent，提供給企業內部職員終端安全訪問，實現強終端安全防護和管控目 標；

• 同時部署一套對外提供反向代理網關，通過 DNS 解析將部分業務代理出去，提供給合作商，針對一些 敏感數據泄漏風險較低的系統，用戶可以不用安裝客戶端直接由 Web Portal 方式，經身份認證鑑權後訪問。

優點：

• 由於混合代理方式，如果業務要求全部場景，可以使用全流量代理模式，處理 C/S 和 B/S 系統的終端應用；

• 如業務方需要對特定業務實現更精細對權限控制，可以使用應用代理的應用解析能力，因此可以基於應用進行細顆粒的授權控制。

缺點：混合模式架構較爲複雜，實現起來較爲麻煩。

部署方式

在用戶對資源訪問的零信任實現上，具體到落地部署中，可以根據企業特點有多種部署方式，下面列舉常見的幾類部署模式：

1、企業內部部署（辦公場景）

在企業內部部署模式中，零信任網關主要用於企業內部服務保護，因此部署位置將零信任網關放置到服務器網絡前。

如下圖：

像這種通過零信任系統提供統一的業務安全訪問通道，關閉職場內部終端直連內部業務系統的網絡策略，儘可能避免企業內部服務全部暴露在辦公網絡（內網中過多的默認信任）。所有的終端訪問都要進過終端身份校驗（人的安全可信），終端 / 系統 / 應用的可信確認（終端設備的安全可信），還有細粒度的權限訪問校驗，然後纔可以通過加密安全網關訪問具體的業務（鏈路的安全可信），這 樣能極大的降低和減少內部業務資產被惡意掃描和攻擊的行爲。

2、集團多分支部署

集團公司，其全國 / 全球的多個分支子公司、辦事處、併購公司、外部合作（協作）公司等員工需要安全 訪問集團內部系統，該需求模式下可以採用以下部署模式，實現多分支的訪問：

該部署模式中可以針對集團、子公司的組織架構（用戶羣組）或者具體人員（用戶）設置訪問策略，員工訪問可達的集體內部系統僅限於指定的業務（細粒度授權），不可越界。應保障訪問過來的人員身份、設備、鏈路的安全，同時子公司的終端或者賬戶如果有異常可以及時阻斷訪問。

生產服務之間相互調用的零信任方案

此種方案有幾個核心元素：

• 工作負載：workload，承載業務的主機，可以是物理服務器、虛擬機或容器；

• 訪問者：發起訪問一方的工作負載；

• 提供者：提供服務一方的工作負載；（在數據中心中，任意一個工作負載都可能本身即是提供者，也是其他工作負載的訪問者）

• 服務：即根據業務需要所開放的供其他工作負載或用戶訪問的服務。

基於工作負載的零信任架構：

由於很少有公司在生產服務之間嘗試零信任架構，此種方式不過多介紹。

零信任應用場景

辦公安全（目前實踐較多的）

包含遠程辦公需求、集團性多分支機構辦公安全、傳統網絡架構，無非就是通過 VPN，專線直接訪問公司或者集團資源。總結來說零信任架構從安全層面不在區分內外網、是否爲遠程、是否爲分支，統一通過零信任網關接入、零信任網關代理、隱藏後端服務。

只不過辦公區可以通過內網訪問零信任網關、遠程用戶、分支機構，可通過公網、專線等訪問零信任網關，無論哪種方式，都要經過，認證、鑑權（授權）、這一套流程。

辦公安全零信任架構：

遠程辦公需求零信任實現：

遠程辦公場景下正確的實施零信任方案後可以帶來如下好處：

• 可快速擴容：零信任網關可以通過負載均衡實現快速的橫向擴展，來滿足突發的遠程辦公需求；

• 安全控制能力強：零信任把安全架構延伸到用戶終端上，有更強的控制和感知能力；

• 安全攻擊面小：零信任遠程辦公方案中，唯一可被訪問的只有零信任網關，所有內部資源全部被隱藏 在網關後，即便資源存在 0day 也難以被攻擊到；

• 易使用：用戶一旦完成認證後，整個使用過程對用戶不會有打擾，用戶和在公司內部的權限維持一 致，有較好用戶體驗。

數據中心內部訪問

基本都是採用微隔離架構進行網絡層、主機層、應用層的細粒度隔離，此種方式不過多介紹。

零信任落地經驗

零信任安全理念在企業的落地不會是一蹴而就，也絕非僅靠採購一些零信任安全產品或者部署一些零信任安全組件就能夠簡單實現。需要企業根據自身業務系統建設階段、人員和設備管理情況、現有網絡環境、企業網絡安全威脅、現有安全機制、預算情況、安全團隊人員能力等因素綜合考慮，制定零信任安全目標和實施計劃，分階段的逐步落地，持續提升企業零信任安全能力，是一個不斷完善、持續優化的過程。落地建設可分爲：全新建設零信任架構網絡、在已有網絡架構上改造升級這兩種情況。

無論是全新搭建還是已有網絡架構升級，實施過程應考慮以下因素：

• 有專門的安全團隊和人員牽頭和推進實施；

• 領導的重視（往往決定了落地的難易程度）；

• 有明確的安全目標（以及階段性目標）；

• 有適配達到安全目標的足夠預算；

• 業務團隊的充分理解和配合；

• 第三方廠商的配合。

無論是全新搭建還是已有網絡架構升級，實施過程可以參考以下方法和步驟：

• 明確範圍，全面梳理和確認過程中涉及的人員、設備、業務系統、數據資產等保護對象，並考慮到實施過程中可能涉及的網絡位置（集團總部、分支機構、雲環境等）等因素。從應用場景進行梳理可能是比較好的一種方式；

• 確定安全目標，根據零信任網絡保護對象的重要程度，以及企業可能面臨的安全風險、企業安全現狀、團隊能力、可投入的資源等因素，確定零信任網絡需要建設的安全能力，以及能力實現的強弱程度（並非一定要把所有最高級別的安全能力手段都加於企業身上，而是應根據企業實際需求適配，但需要保障零信任基本能力的建設）；

• 制定實施計劃，根據已確定的安全目標、企業現狀，制定實施計劃，明確各實施階段的實施目標和里程碑標誌（能夠驗證目標已達成的事項）；

• 分階段實施，根據制定的實施計劃，推動相關人員實施。並按照項目管理的模式，按時推進，跟蹤進展，適時調整，逐個階段的實現；

• 持續完善和優化，在完成零信任網絡的基本建設後，應該不斷和提升豐富企業的零信任安全能力（包括持續加強零信任組件的自身安全防護、持續提升企業的零信任網絡安全運營能力等），最終從安全技術、安全意識、安全運營、組織建設等方面持續完善和優化。

零信任和現有安全產品的關係

自認爲零信任只是一種新的安全理念，也不過只是一種新的安全架構，並不能取代現有安全產品，不過在零信任架構中，可以把現有安全產品更緊密結合在一起，形成更立體聯動的效應，比如現有的一些檢測告警類、防護類安全產品可以輔助實現零信任架構中 “動態持續檢測各對象安全狀態，動態調整權限、降級、甚至阻斷” 這一特點解決傳統一些架構中，弱管控、動態處置效率不高等缺點，真正實現全過程持續“零信任”。

原文鏈接：https://www.freebuf.com/articles/es/276772.html

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/n35X9BB0EYrYnyCaD1ctOw