网络安全架构：零信任唔系“银弹”

转载：本文来自微信公众号“InfoQ”（ID:infoqchina），作者：万佳，转载经授权发布。

2020 年，新冠疫情嘅爆发和大流行，迫使企业纷纷实行远程办公，Facebook、Twitter 等互联网公司甚至宣布永耐远程办公。

自新冠疫情发生以来，远程办公已经成为一种常态，企业数字化转型也喺加速。同时，企业对网络安全嘅诉求也发生‌改变，零信任网络兴起，并成为业界一股热潮。上年 9 月，Gartner 将基于零信任嘅远程员工安全列为 2020 年度十大安全项目之一。

同以往唔同，远程办公嘅员工唔仅位于企业内网之外，而且使用自己嘅设备办公。点样保障员工安全地，且尽可能体验友好地访问企业网络和应用成为企业亟待解决嘅重要问题。如果还是使用传统嘅方法，噉显然唔可行。

据认识，传统嘅网络安全架构理念是基于边界嘅安全架构。企业喺构建网络安全体系时，首先寻找边界，将网络划分为外网、内网、DMZ 区等唔同嘅区域，然后喺边界上部署防火墙、入侵检测、WAF 等产品。

呢种理念通过“边界”来区分“可信”同“唔可信”。喺边界内，人、设备、系统和网络环境等都系默认可信嘅；边界之外，所有嘢都唔可信。呢种网络安全架构假设或默认‌内网比外网更安全，喺某种程度上预设‌对内网中嘅人、设备和系统嘅信任，忽视加强内网安全措施。唔法分子一旦突破企业嘅边界安全防护进入内网，就会像进入无人之境，后果唔堪设想。

而“边界”喺现实里正逐渐模糊，甚至喺消失。yyang 喺《零信任（下）》一文中写道：移动和云嘅使用挑战‌逻辑上嘅网络边界，内部人威胁则否定‌基于“边界”区分可信同“唔可信”嘅有效性。

据 Fortinet 北亚区首席技术顾问谭杰介绍，喺疫情发生后，好多企业嘅业务由线下转移到线上，企业对远程办公、云安全和终端安全嘅需求明显提升。另一方面，泛边界安全唔断增多，包括用户边缘、5G 边缘、端点边缘、IoT 边缘等。喺咁样嘅背景下，零信任有‌更大嘅舞台，可以发挥更大嘅作用。

零信任并非一种技术

据悉，零信任嘅最早雏形源自 2004 年成立嘅耶利哥论坛，其成立嘅使命正系为‌定义无边界趋势下嘅网络安全问题并寻求解决方案，提出要限制基于网络位置嘅隐式信任，并且唔可以依赖静态防御。2010 年，Forrester 嘅首席分析师 John 正式提出‌零信任，明确‌零信任架构嘅理念，该模型改进‌耶利哥论坛上讨论嘅去边界化嘅概念，并提出三个核心观点：

• 唔再以一个清晰嘅边界来划分信任或唔信任嘅设备；
• 唔再有信任或唔信任嘅网络；
• 唔再有信任或唔信任嘅用户。

喺 Fortinet 北亚区首席技术顾问谭杰睇来，零信任分为狭义概念和广义概念，其中狭义概念叫零信任网络访问（ZTNA），解决嘅系人、用户、物、设备和终端嘅信任问题。“由一个控制点控制佢系样对 IT 资源进行访问，授予佢乜嘢权限”。而广义概念指 NIST 提出嘅零信任架构（ZTA），佢是基于数据嘅安全，从各方面采集多种数据，包括网络数据、安全数据、终端数据、身份数据等，利用呢啲数据做信任嘅计算和决策，真正动态嘅判断全网安全态势，最终做好决策后再交畀部署喺成个数字架构中各种各样嘅决策执行点（可能系一个网关、一个软件或 API），来决定系咪允许呢次访问以及能访问到何种程度。

简言之，零信任系一种思想理念或战略框架，佢主要聚焦喺用户身份同 IT 资源之间嘅互动关系、访问权限上。佢通过一种持续嘅动态评估手段唔断分析成个网络访问嘅安全态势，然后动态嘅授予访问者权限。

传统嘅访问控制是粗粒度授权，并且是静态嘅，但是黑客嘅攻击或恶意行为却喺唔断变化，因此，呢会导致一系列安全问题，“零信任希望改变传统嘅静态安全策略带来嘅一啲安全隐患”。

“如果我哋嘅安全体系唔可以动态地适应威胁，企业还是采用静态规则，噉样肯定跟唔上形势，最终会产生各种各样嘅问题。”谭杰说。

目前，好多企业嘅员工远程访问主要依赖 VPN，即虚拟专用网络。以笔者为例，喺家办公时会通过 VPN 访问公司 CMS 平台，但是唔仅访问速度慢，而且经常无办法连接上，成个体验好唔好。

谭杰表示，相比 VPN，零信任嘅安全性更高，“传统 VPN 策略嘅粒度是比较粗嘅，一旦开放后，几乎处于唔设防嘅状态”，零信任则针对每一种应用、每一次会话做一次安全控制，所以其安全性更好。我哋知道，安全问题好多时候来自人为失误，因为操作太复杂，而零信任则将管理员和用户从复杂操作中解放出来，降低‌犯错几率，从另一个角度提升‌安全性。并且喺用户体验上，零信任嘅易用性也会更友好一啲。

零信任唔系“银弹”

根据 MarketsandMarkets 嘅数据，全球零信任安全市场规模预计将从 2020 年嘅 196 亿美元增长到 2026 年嘅 516 亿美元，从 2020 年到 2026 年嘅复合年增长率（CAGR）为 17.4％。Gartner 估计，到 2022 年，面向生态系统合作伙伴开放嘅 80% 新数字业务应用程序将通过零信任网络（ZTNA）进行访问。

据悉，国内对零信任技术嘅炒作从 2015 年开始逐步喺各个行业市场展开。但是，佢喺当时并唔成熟，且缺少可参考嘅案例。NIST（美国国家标准同技术研究院）喺 2020 年发布嘅《SP800-207:Zero Trust Architecture》标准意味住零信任理念成熟。

谭杰话，市场上嘅零信任方案更多聚焦于身份和访问控制，验证用户身份确保其可信后，畀用户分配有限权限。“但是恶意用户分好多种，既有外部黑客，也有内部被攻陷嘅主机，仲有真正意义上嘅内鬼，呢是零信任无办法解决嘅”。

举个例子，微盟喺上年发生“删库跑路”事件。该公司研发中心运维部核心运维人员通过 VPN 登入服务器，并对线上生产环境进行‌恶意破坏，结果 300 万家商铺瘫痪，公司市值蒸发超 10 个亿。

针对内鬼问题，谭杰嘅建议是“对访问者行为和威胁进行持续性嘅监控和防御，同零信任这套基于身份和态势嘅访问控制相结合”。

此外，值得注意嘅系，零信任中依然要有内外网嘅划分。“零信任思想其实讲畀我哋一件事：唔可以剩只根据用户 ID 和 IP 地址就充分授权，但是这并唔意味住 ID 和 IP 唔重要”。

做安全永远系喺追求平衡，因为安全、效率和成本三者唔可兼得。“做安全，一件重要嘅事系对资产进行分类、分级和分域。假如我哋完全唔区分内网、外网，唔区分任何场景，喺任何地方都将安全等级按最严格部署，呢肯定既唔经济，也唔科学。所以，我做紧安全建设前还是要先划分内网、外网“。

当然，喺零信任度，信任边界会划分地更详细。企业资产嘅分类、分级、分域唔可以一概而论，仲要要结合企业嘅业务模型。“同时，结合《网络安全法》、‘等保 2.0’和信息安全管理体系（ISO 27001）等要求，再睇企业业务对安全、性能和成本嘅要求，我哋从中揾到一个平衡点“。

谭杰讲：“喺成个零信任架构度，我哋将佢分成决策点、控制点两个最核心嘅组件。一个思路是控制点应尽可能覆盖数字化基础架构嘅各个节点，唔管是终端，仲要是网络通道或是云端，我哋都要有相应嘅策略实施点可以预先埋进去。当我哋想喺呢个地方做一个信任域嘅划分和策略实施时，我哋可以好快切入到零信任嘅架构中。“

零信任落地，企业会面临边啲挑战？

目前，好多企业正走喺零信任建设体系嘅路上。据谭杰介绍，零信任喺业务生产环境落地上面临一啲挑战：

• 第一，老旧应用改造难度大。目前，好多零信任解决方案需要用户对应用环节进行改造，但系一啲老旧应用改造空间小，或者软件服务提供商唔喺嘎啦，因此应用升级就好困难；
• 第二，用户嘅使用习惯要改变。对用户嚟讲，企业实行零信任后，原有嘅一啲工作流程会发生改变。
• 第三，成本问题。喺建设零信任时，用户有时容易陷入急功近利嘅状态，将一切推倒重来，完全按照零信任嘅体系做一遍，呢样成本会好高，用户体验也会有问题。

对企业嚟讲，零信任是安全理念战略嘅终极目标，唔可以一蹴而就。“零信任系一个持续过程，安全建设同样也系一个持续过程，所以用户应该选择一种混合式结构来循序渐进地部署零信任”。

针对改造难嘅老旧应用，谭杰提出“可以通过一啲微创或非侵入式解决方案”，比如喺网络上对用户行为进行中断。简单说，通过实时观察和分析访问者嘅身份和安全态势，一旦其风险达到预设值后，再将授予佢嘅权限撤销，呢样都可以达到零信任嘅效果。

值得注意嘅系，大型企业喺零信任落地上还将面临性能挑战。

谭杰对此表示，“这几年，我哋谈软件定义一切，其好处唔说嘎啦，但也容易遇到性能问题。因为 X86 平台没有做过特别优化，所有性能压力都压喺软件上，效率系唔系最高？系咪容易遇到瓶颈？我哋嘅一个理念是软件定义一切唔代表要排斥硬件“。

喺他睇来，专用硬件是解决性能问题嘅一个方案。据悉，Fortinet 一直喺研发专用硬件，该公司最新发布嘅 NP7 芯片能喺 20W 功率下达到纯 X86 架构几十上百倍嘅吞吐能力。

另一种解决方案是利用云原生 Scale out（向外扩展）能力，比如做虚机云、容器云，用软件方式向外实现弹性扩展，从而满足企业对大规模访问嘅需求。

“我哋有唔少公有云用户，没办法使用专用硬件，只有 X86 虚拟机，我哋做‌ VSPU，即虚拟嘅安全处理器，都可以喺标准嘅 X86 硬件平台上获得好大嘅性能提升。同时，再配合云原生平台资源池嘅 Scale out 弹性扩展，来应对呢种大规模访问嘅挑战。”他说。

零信任畀企业带来嘅收益

谭杰认为，实施零信任对企业有三大好处：

• 第一，安全性更强。零信任嘅出现将网络防御范围从广泛嘅网络边界转移到单个或小组资源，基于身份认证和授权，重新构建访问控制嘅信任基础，确保身份可信、设备可信、应用可信和链路可信，自然可以提高企业安全。
• 第二，带来企业安全思路嘅转变。以前，企业谈安全会将关注点放喺攻防对抗上，经常出现分队时，攻方一大堆人报名而守方却没人去嘅事。“Fortinet 一直秉承嘅理念是唔可以将安全押宝喺某个单点上。攻防并非唔重要，但是如果整体嘅零信任体系都没搭建好，剩只盯住某几台服务器，睇有没有漏洞，可能有啲舍本逐末”。零信任嘅实施过程可以让企业认识到一个良好嘅强壮嘅体系可能比某啲单点嘅技术对佢嚟讲更重要。
• 第三，提高员工安全意识。零信任嘅实施过程相当于帮企业将成个工作流程和安全制度做‌一遍梳理，成个人员嘅安全意识也会有所提高。

从雏形到概念再到理念成熟和实践，零信任经历‌十几年嘅发展，其落地越来越多，可参考案例也唔断增加。

据谭杰介绍，互联网行业、先进制造业和金融行业都有 Fortinet 零信任架构嘅实践。以先进制造业为例，佢喺接入 OT 网时非常谨慎，因为入面系一啲生产型设备，所以佢对零信任嘅要求会更高。这要求零信任架构能严格控制所有端点到端点，从 IT 网控制系统到 OT 网嘅生产系统，唔管是内网接入，仲要是服务商过来排错或升级操作，都要应用这套零信任框架，从而保证 OT 环境嘅安全。

采访嘉宾：

谭杰，现任 Fortinet 公司北亚区首席技术顾问，拥有 20 年信息安全从业经验，曾参同众多知名企业及机构安全建设，对网络信息安全主流技术、IT 前沿发展趋势、安全防御体系研究建设有深刻理解。