前言

在上一篇文章中我們已經詳細介紹過“零信任架構”的發展過程和邏輯組成。“零信任網絡”模型自2010年被John Kindervag創建後，發展至今已有10年時間，隨着零信任的支撐技術逐漸成爲主流，隨着防護企業系統及數據安全的壓力越來越大，隨着網絡攻擊演變得更加複雜高端，零信任模型也在CIO和CISO中間愈加流行了。那麼有關“零信任網絡”中的技術您是否有所瞭解呢？美創安全實驗室將在本篇文章帶大家瞭解一下“零信任網絡”中的關鍵技術和技術難點。

零信任理論所需技術

在 各種各樣的現有技術和監管過程支撐之下，零信任方法才得以完成保護企業IT環境的使命。 它需要企業根據用戶、用戶所處位置、上下文信息和其他數據等條件，利用微隔離和細粒度邊界規則，來確定是否信任請求企業特定範圍訪問權的用戶/主機/應用。

首先，要弄清楚用戶身份，確保用戶真的是他/她所聲稱的那個人；

然後，要保證用戶所用終端是安全終端，或者該終端處在安全狀態；

最後，還要有個信任策略，指定哪些人能訪問哪些東西。

零信任依靠多因子身份認證、身份與訪問管理(IAM)、編排、分析、加密、安全評級和文件系統權限等技術來做上述工作。 最小權限原則也是零信任倚賴的監管策略之一，也就是隻賦予用戶完成特定工作所需的最小訪問權限。

基本上，零信任就是公司企業收回安全戰場控制權，在各部門應用網絡分隔和下一代防火牆，控制網絡接入的身份、對象、地點和時間，是從內而外地施行控制，而不是由外而內。現今的大部分IT場景中，零信任不僅僅是技術，還有關思維和過程。

零信任落地所需技術

零信任網絡的技術難點

按目前零信任網絡的發展來看，零信任網絡還有很多不足。 比如BGP、身份和訪問管理（IAM）服務等路由協議之間缺乏集成。 路由如果足夠智能，可以將具有子IP地址的源設備存儲在一個子IP網絡中，並通過IP地址和應用程序將數據包發送到目標子IP網絡。 此外，雖然現在IAM可以用於網絡，但它並不用於確定數據包是如何路由的。 下圖說明了零信任網絡正在將路由器的路由表與目錄的AAA策略結合起來，以允許或拒絕一個包從源到目的地的轉發。 與目前的二進制規則相比，更精細的規則可以應用到路由中，後者可以提高網絡性能和安全控制。

零信任網絡控制平面

爲了使IP路由與目錄一起工作並實施零信任網絡策略，網絡必須能夠保持狀態。儘管防火牆和其他安全設備保持狀態，但迄今爲止的IP網絡是無狀態的。原本路由器無狀態是爲了保持它們的簡單和快速，但現在通過在路由器中添加狀態，可以添加額外的服務，使路由更加動態、智能和安全。 多年來網絡流量的增長迅速，讓路由器不堪重負，所以創建能夠快速處理數據包的路由器尤爲重要。

現在的網絡需要基於邊緣、分佈和核心的體系結構，其中路由是在分發層進行的，交換在邊緣和核心中完成。隨着路由器從專用設備轉向在網絡邊緣運行的軟件，在路由中增加額外安全和智能的限制或可被解除。如果將網絡比作道路系統，路面的各種車輛是IP包，路邊的房屋是設備或系統。今天任何人都可以離開自己的房子，通過各種路線（網絡）開車（IP包）到你家門口。他（或她）可能沒有鑰匙進入你的家，但他（或她）可以藏起來，等待進入的機會，就如同網絡病毒一樣等待機會侵入你的電腦系統。 然而在一個零信任的世界裏，任何人想去你家（訪問設備或系統）必須事先和你預約（上報身份信息、設備、系統信息等），並得到同意後才能拜訪。 零信任網絡是數字虛擬世界中必要的安全保障。

如何突破零信任的挑戰

部分企業的IT部門已經實現了零信任的很多方面。 他們通常已經部署了多因子身份驗證、IAM和權限管理。 其環境中也越來越多地實現了微分隔。 但建立零信任環境不僅僅是實現這些單個技術，而是應用這些技術來施行“無法證明可被信任即無法獲得權限”的理念。 企業得從戰略上確定哪些技術有助實現這一理念，然後再去買入這些技術。

在技術的應用上最忌諱病急亂投醫，與其期待亂買來的藥能治好病，不如先好好診斷診斷，弄清楚自身情況再採用相應的技術。 轉向零信任模型不是一朝一夕之功，也不是件容易的事兒，尤其是在有不適應該新模型的遺留系統的時候。 很多公司都在向雲端遷移，這是個全新的環境，很適合應用零信任模型，可以從雲端開始零信任旅程。公司企業，尤其是有着複雜IT環境和大量遺留系統的大型企業， 應將零信任遷移看做是多階段跨年度的一項工程。

零信任遷移中的另一項挑戰，是讓員工具備該新理念的思維方式

比較不幸的是，大多數企業IT專家接受的教育或培訓讓他們默認企業環境是可信的，他們被教導得想當然地認爲防火牆能將壞人擋在外面。 人們需要調整自己的思維模式，要清楚當前態勢下壞人可能早就在自家環境中了。

公司企業還需認識到，零信任與其他成功的IT或安全原則一樣，需要長期堅守，不斷維護，而且零信任工作中的某些部分會更具挑戰性。 從傳統企業網絡遷移至BeyondCorp前，谷歌花費兩年時間來創建用戶和設備信任庫，這是一個比較漫長的過程。谷歌實行BeyondCorp計劃離不開高層的支持，儘管該類型網絡維護成本較低，但對預算要求頗高。比如說，微分區工作中，安全/IT團隊就必須確保配置修改是恰當的，並更新不停改變的IP數據以保證員工工作或企業交易所需訪問不被中斷。否則，企業可能會面臨工作阻塞問題。

很多公司都會想，遭遇惡意軟件導致業務中斷，和配置錯誤導致停工一天，本質上都不是什麼好事。 微分隔方法所需的持續維護可能會帶來很多臨時應急的措施，或許會讓網絡更加脆弱。 在遺留系統和現有環境中整體應用零信任模型所導致的複雜性，表明公司企業真的沒有做好完全實現該模型的準備。

因此，公司企業最好是從設計上就打造零信任，而不是在原有基礎上修修補補。 換句話說，應將零信任模型作爲公司整體數字轉型戰略的一部分，實現那些有助於在雲遷移過程中達成零信任的技術，淘汰掉那些老舊的遺留系統。而且，CISO、CIO和其他高管應參與進轉向零信任的過程中，這樣他們才能安排過程中各項事務的優先級，確定哪些動作應儘快完成，而哪些部分可以先等等。

零信任遷移基本等同基礎設施轉型。信息安全並沒有跟上數字轉型/現代化環境的腳步。但企業必須轉換安全管理的方式。想要整體安全， 想要有安全準備度，就需要換一種思維方式。 無論是BeyondCorp還是其他零信任網絡架構，都提供了一種新的安全模式，設備和用戶只能獲得經過驗證的資源，如此企業才構建了更爲安全的環境。

關於美創

杭州美創科技有限公司，敏感數據保護和數據安全領域的拓荒者和領導者，由國內多名數據庫資深專家攜手於2005年成立，產品及服務覆蓋數據安全、數據管理、容災備份、智能運維等四大領域，廣泛應用於醫療、教育、金融、政府、人社、電力能源、物流交通、企業等衆多行業。多年來，憑藉卓越的技術創新與良好的用戶口碑，美創多次入圍全國網絡安全50強，並參與多項國家及行業標準的編寫，引領數據安全領域的規範發展。 目前，美創科技已全面推動全國市場化發展戰略，相繼在北京、廣州、武漢、南京、成都、上海等地設立分公司，致力於爲更多的客戶提供專業的安全解決方案。

相關文章