基于零信任的网络安全模型架构与应用研究

翟福龙

摘要：近年来，随着互联网和计算机相关技术的蓬勃发展，用以保护数据安全的传统安全架构的局限性正逐渐显露出来。于是，零信任安全的概念应运而生，它直接颠覆了原有的观念，认为内部用户与外部用户都不可信。该文阐述并分析了当今网络安全的趋势和现状，对基于零信任的网络安全架构进行了详细阐述，并提出了一套行之有效并易于落地的零信任解决方案。

关键词：网络安全;零信任;身份認证;权限管理;动态访问控制

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）03-0037-04

开放科学（资源服务）标识码（OSID）：

随着网络和信息技术的不断普及，人类产生的数据量正在呈指数级增长，而云计算的诞生更是直接把我们送进了大数据时代。随之而来的，是从大公司到小公司，从政府机关再到商业机构的有关数据泄露的例子层出不穷。这说明靠边界划分可信不可信的方法正在逐步失效。

传统的内部安全外围依靠防火墙、VPN来隔离[1]。但随着员工越来越多地使用自己的手机、自己的电脑、自己的平板，再加上云计算的广泛普及，整个网络的边界越来越模糊。如何能够更好地适应当今世界的网络环境，零信任安全[2]的概念应运而生，它认为内部用户与外部用户都不可信，并且需要构建动态的访问控制流程。在以往的案例中，黑客常常利用已掌握的密码和证书完成攻击，因此，对这些内部用户零信任可能是未来减少数据泄露的主要方法。

1 传统网络安全趋势与现状

根据Grand View Research的研究表明，2021年我国网络安全产业规模将达到102.2亿美元，而到了202年，这个数字将达到172.7亿美元，综合2021-2025年，符合年均增长率在20%以上，远高于全球增速，领跑全球。随着《中华人民共和国网络安全法》的颁布，网络安全在我国的重视程度更是达到了前所未有的高度，随后颁布的《网络安全等级保护条例》（等保2.0）和《密码法》更是对现有法律体系的有效补充。习近平总书记在全国网络安全和信息化工作会议上更是做出了“没有网络安全，就没有国家安全”的重要指示。

随着国家的不断重视，传统网络安全架构的问题也越来越多地暴露在网络安全行业参与者的面前。下面分别探讨终端安全、网络安全、边界安全以及应用安全方面存在的主要问题。

1.1 终端安全

目前，我们的网络接入终端多种多样，总体来看可以分为移动端和PC端[3]。但很多接入网内的终端设备安全性并未达到安全基线要求，接入网络后，有将病毒、木马引入网络环境的风险;同时，由于终端的防护效果不佳，易于遭到攻击行为，一旦终端感染木马病毒，攻击者以终端为跳板渗入内网业务数据中心窃取、篡改数据，对网络拥有者的数据安全造成严重威胁;另外，接入终端接口被滥用、盗用，导致数据泄露、篡改、污染的安全事件也层出不穷。

1.2 网络安全

随着国家等级保护制度（等保）和关键信息基础设施保护制度（关保）的不断完善，许多企事业单位都为自己的网络环境架设了防火墙、下一代防火墙、WAF、IPS、IDS、关闸、数据库审计系统、态势感知等多种安全设备，但都是单兵作战，没有形成有效的网络安全体系，进而无法将这些设备联动起来。

1.3 边界安全

传统的边界安全靠的是防火墙、VPN等安全设备来实现，并默认内部用户不会对网络安全进行破坏[4]。但随着大数据的发展以及移动互联网的普及，整个网络的边界越来越模糊，靠边界划分可信不可信的方法正在逐步失效。根据有关部门统计数据，近年来，平均每一天就有6起数据泄漏事件发生，而其中源自内部数据泄漏比重占了近三成，并呈现逐年上升的趋势，内部人员的数据泄漏问题变得越来越严峻。

1.4 应用安全

目前，常见的应用安全只提供了基础的用户身份认证与访问控制、应用安全防护和应用开发安全等方面的防护。对访问应用系统、应用功能、数据、服务接口的权限还没有进行细粒度控制和动态调整;同时，在应用安全防护方面，还没完全做到攻击行为和安全威胁进行防护和阻断和针对不同应用系统提供有效隔离;对终端的访问行为、用户的操作行为等尚未进行完整规范记录，无法及时发现用户的异常访问行为。

2 基于零信任的网络架构

2.1 零信任

零信任（零信任网络、模型、架构等）这个概念最早由时任弗雷斯特研究公司的约翰·金德维格（John Kindervag）所提出。他认为通常认为是“可信”的内部环境同外部环境一样充满了威胁，并指出“信任是安全的致命弱点”，因此提出了零信任（Zero Trust）概念。他的核心思想是“从不信任，始终在校验” [5]。

Google公司在2011年之前也是采用传统的安全防护方式，2009年的APT攻击“极光行动”推动Google重新搭建整体安全架构，2010年提出零信任概念，并于2013年开始向零信任架构转型。2017年，作为互联网的引领者，Google宣布BeyondCorp项目顺利完成，这便是基于零信任理念而实践出的新一代网络安全架构[6]。随后各大企业、安全厂商也都紧跟科技的浪潮，积极投身到零信任的方案研发和改进的工作中。

Google认为，现在传统的网络安全架构缺少对内部网络流量的检查。一旦流量经过了防火墙或VPN的安全检查策略，那么内部的所有网络数据均暴露在面前。这样的一种局面迫使我们需要将安全控制的实施点尽可能地前推到网络边缘。同时，将整个系统架构分为控制域和数据域，数据域接收并执行控制域下发的策略和指令。总体的思想是，通过一个权威的、可信的控制中心，基于人、终端、环境、行为等多个维度来执行认证、授权、实时的访问控制等操作。

零信任模型打破了传统网络边界防护思维，传统网络安全体系专注于网络边界防御，假定边界内的任何人员、设备是可信的，攻击者一旦突破网络边界防御，就可以在内部为所欲为。云计算环境中，网络边界变得越来越模糊，传统的基于网络边界的访问控制难以奏效 [7]。

零信任安全体系将身份作为新的安全边界，通过多因子身份认证、身份与访问管理（IAM）、编排、分析、加密、安全评级和动态权限调整等技术来确定用户是否有权限访问内部应用、数据、服务等，实现对数据“可用可见、可用不可见、不可用不可见”的统一授权管理。

2.2 基于零信任网络安全模型架构

2.2.1 方案组成

本文中，將零信任体系理解为实现对数据和功能两大核心资产访问的行为进行精细化控制，将人、设备、服务和应用的身份均统一抽象成主体身份，通过主体身份的属性进行动态鉴证和鉴权，实现对数据 “可用可见、可用不可见、不可用不可见”等状态的统一授权管理。

本文中提到的网络架构方案适用于各级用户汇聚节点与数据汇聚节点之间。在平台两侧分别建设安全防护区，通过统一威胁防护设备，如防火墙等实现安全互联。总体来看，基于零信任的网络架构有赖于身份管理中心、权限管理中心、认证管理中心、终端环境感知以及常规的防火墙、安全漏洞扫描、蜜罐、用户行为分析、数据隔离与交换系统等能力的建设，并与安全管理中心的业务安全策略控制相结合，形成动态、持续、闭环的业务访问安全，最终形成用户访问后端数据的通路。具体来看，本文受篇幅所限，仅对安全接入网关、安全接入网关管理中心、统一身份管理系统和统一权限管理系统这四个部分做详细阐释，其余部分暂不涉及[8]。

零信任安全体系是一个动态闭环安全体系。如图3所示，安全接入网关是整个体系中重要的策略执行点。可信接入网关通过与终端环境感知、统一身份管理系统和统一权限管理系统联动，实现用户身份的统一管理、动态的权限控制和策略执行。

用户通过零信任安全体系，访问后端应用的信息流转如图4所示。首先用户访问安全接入网关地址或域名，安全接入网关向安全接入代理管理中心发起认证请求。安全接入代理管理中心向后端的认证服务、身份管理服务、授权服务发起认证申请，并将返回的用户认证结果Token同步到安全接入网关，用以判断该用户是否有权限访问该网络环境。在用户整个访问的过程中，有终端环境感知持续对该用户、设备、行为进行实时的感知和监控，一旦发现异常并触发了预设的阻断策略，即向安全接入代理管理中心发起异常通知，并由安全接入代理管理中心下发阻断访问的通知，实现用户访问全流程的管控。

如果希望对数据访问进行更加精细颗粒度的访问控制，可以在应用之前加设安全API网安，实现单一应用接口级的访问控制。流程如图5。

安全接入代理管理中心同时向后端的认证服务、身份管理服务、授权服务申请用户Token和应用Token，认证及授权完成后，经过WAF系统进行Web安全检测和防护，访问安全API网关.安全API网关通过安全接入代理管理中心进行应用接口鉴权。鉴权通过后，安全API网关转发API接口调用至后端应用数据，用户成功访问应用。

2.2.2 安全接入网关

安全接入网关主要用于完成基于设备证书、用户证书的访问流量控制。通过与安全网关管理中心建立https双向认证的连接，接收来自管理中心发送的管理指令，例如服务更新、服务配置、路由信息、安全策略等，并上报业务日志数据、状态信息。安全接入网关根据所接收到的路由策略、负载均衡策略、安全策略等信息，结合身份管理中心、授权管理中心、WAF等平台，完成用户访问受控服务的路由代理，完成用户、终端、受控服务的鉴权[9]。

2.2.3 安全接入网关管理中心

安全接入网关依赖安全接入网关管理中心，以实现统一的配置管理以及状态监控等功能，完成对所有部署的安全接入网关设备进行管理、维护、日志审计工作。

安全接入网关管理中心分为九个模块，分别为：安全网关集中配置管理、会话管理、风险感知分析、权限变更订阅、身份认证对接、权限管理对接、权限判定、风险联动通报、日志审计。

2.2.4 统一身份管理系统

在“零信任”的架构下，人、设备、应用、服务、岗位、机构、身份类型等自然实体都必须在身份管理中心中注册并形成数字化身份，确保实体都对应一个唯一的数字身份，并关联一系列身份属性，为每个数字身份签发数字证书[10]。通过身份的全生命周期管理，确保身份的发现、登记、使用、销毁可控可管。

用户可根据自身的情况，选择并采用数字证书、生物特征、单点登录、FIDO等技术手段实现统一安全认证服务，实现数字证书、生物特征（人脸、指纹、声纹等）、行为特征等认证凭证与身份关联管理，为身份鉴别提供基础服务支撑。

2.2.5 统一权限管理中心

权限管理中心提供权限审批管理、鉴权、授权管理服务，提供设备到网络、用户到应用、接口到数据的权限映射功能。

统一权限管理系统包含：授权预审、工作流子系统、授权处理引擎、授权分析引擎、授权管理、授权信息引擎、权限服务接口几个部分。

授权审批：接收外部授权请求，通过工作流支持引导用户完成在线动态授权。

工作流子系统：提供工作流引擎和工作流视图化管理功能，包括工作流设计、表单设计等功能。工作流子系统按预定规则将权限申请信息传递至相关人员完成审批操作。

授权处理引擎：对外部授权请求进行实时授权处理，基于授权库的多维属性和授权信息引擎提供的实时信息反馈进行授权判断。

授权分析引擎：通过策略、风险、属性等因素动态计算，为访问动态授权引擎提供动态的授权因子。

授权管理：提供规则、策略、属性等基础信息管理功能，支持工作流引擎。

授权信息引擎：对统一身份管理系统、分析平台的外部属性信息进行对接同步和信息整合。

权限服务接口：提供外部授权接口和协议适配能力。

2.2.6 动态访问控制

在接入终端部署可信环境感知客户端，具备安全状态可信环境感知能力，能够采集终端上的各种安全状态信息，如漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息，具备设备识别、终端保护、自我保护、安全状态感知。

可信环境感知系统能够将安全等级信息实时传送给安全接入代理管理中心，当环境信息不符合要求时，安全接入代理管理中心可下发策略给安全接入代理，实现对终端访问的实时阻断。在用户访问的全流程中，持续监测评估终端、用户行为、网络等环境的安全状态，实现身份的持续认证及动态权限调整。

3 总结

零信任安全的本质是以身份为中心进行动态访问控制，全面身份化是实现零信任安全架构的前提和基石，本文提出的零信任网络安全模型架构正是基于全面身份化，为零信任网络的人、设备、应用、系统等物理实体建立统一的数字身份标识和治理流程，并进一步构筑动态访问控制体系，将安全边界延伸至身份实体，实现安全架构的关口前移，这也符合当今网络安全发展的趋势，值得我们进行更进一步的研究。

参考文献：

[1] 李俊，柴海新.数字身份安全治理研究[J].信息安全研究，2021，7（7）：598-605.

[2] 吕波.以零信任技术为指导的数据安全体系研究[J].现代信息科技，2020，4（12）：126-130，133.

[3] 何伟，王晓磊，郭江涛，等.电力终端可信身份认证技术研究与应用[J].通讯世界，2020，27（4）：131-132.

[4] 尹蕊，高阳，李凯，等.身份认证技术在电力行业移动应用中的应用[J].中国新通信，2020，22（10）：116.

[5] 魏小强.基于零信任的远程办公系统安全模型研究与实现[J].信息安全研究，2020，6（4）：289-295.

[6] 王斯梁，冯暄，蔡友保，等.零信任安全模型解析及应用研究[J].信息安全研究，2020，6（11）：966-971.

[7] 胡印科.零信任技术及其在信息网络安全方面的应用[J].中国新通信，2020，22（19）：118-119.

[8] 田由辉.基于零信任架构的网络安全防护思路[J].信息技术与信息化，2020（5）：154-157.

[9] 翟胜军.新媒体时代的网络安全发展趋势——身份零信任，业务流安全[J].中国传媒科技，2020（1）：7-9.

[10] 蔡冉，張晓兵.零信任身份安全解决方案[J].信息技术与标准化，2019（9）：46-49.

【通联编辑：代影】