零信任（Zero Trust）安全架构，或称零信任网络架构，是近年来全球网络领域最热的概念之一，不仅频频登上Gartner、Forrester等知名研究机构的年度安全技术趋势榜单，更是获得了全球安全厂商、云计算厂商的持续青睐。近两年来随着谷歌在其全球企业网络的零信任网络改造项目BeyondCorp的完成，业界厂商也纷纷推出了自己的零信任安全产品或解决方案。那么什么是零信任安全架构呢？ 这还要从当前的基于边界防护的网络安全模型说起。

当前的网络安全模型

在过去的二三十年中，互联网得到了长足的发展。但人们享受高效快速便捷的互联网的同时，网络安全问题也越来越突出，当前主要的网络安全防护体系是基于边界来构造的，类似古代基于城墙的防护体系，城墙以内是内网（信任域），城墙以外是外网（非信任域），而介于Trust和Untrust域之间还有DMZ（非军事区，一般对外提供Web服务的服务器放此区域）等，不同网络区域内部和区域之间采用不同的访问控制策略。

图1 信任域和非信任域

基于边界的网络安全架构在很多场景下是非常有效和必要的。但是，内网（Trust域）真正安全吗？事实上，近年来来自企业/组织网络内部的威胁越来越多。据美国知名软件公司CA technologies的调查报告 ”2018 insider threat report”的数据，2018年有53%的组织确认在过去一年内遭遇过内部攻击。另外，随着云计算浪潮进一步发展，企业和组织网络边界日益模糊，员工和用户经常会在企业外部发起访问，而且很多企业应用都可能已不在企业内部网络。传统的基于物理网络边界防护的模式正在受到越来越多的挑战。

零信任安全架构概念的提出

为了解决上述问题，2010年John Kindervag （时任Forrester分析师）提出了零信任网络架构（Zero Trust Network Architecture）的概念。他必须缺省不信任任何人/事/物，也就是只有验证通过后的用户、设备、应用获取相应的信息访问权限。（Never Trust，Always Verify）。

零信任安全概念的发展和实践落地

零信任安全概念因为切中了当前互联网缺乏内生安全机制和安全威胁日益增多和泛在化的痛点，很快得到了众多云计算及网络安全业界厂商的响应，大家纷纷结合各自的理解和网络安全产品技术和实践，对零信任安全理念进行了进一步诠释，补充和完善这其中谷歌和思科是零信任安全转型实践的先行者。谷歌于2011年开始在其企业内部推行了长达6年的零信任网络改造（BeyondCorp项目）； 思科也是零信任网络架构的最初贡献者之一，同时也是Forrester的零信任研究的支持者和合作厂商。下面分别简要介绍谷歌和思科的零信任解决方案和实践。

谷歌零信任网络架构转型实践-BeyondCorp

谷歌公司给BeyondCorp项目设定的目标是：“让所有谷歌员工从不受信任的网络中不接入VPN就能顺利工作”。基于所有网络流量都缺省不可信的零信任原则，所以需要：验证并保护所有网络流量；限制并严格执行访问控制策略；检查，记录及审计所有网络流量的日志。

BeyondCorp零信任改造方案是代表性的多云零信任网络安全治理方案，方案主要由用户多因素认证系统、访问接入代理（Access Proxy）和访问控制引擎（Access Control Engine）动态策略控制及单点登录系统（SSO）等模块组成。

谷歌零信任架构具有如下特点：

1. 应用级接入代理和访问控制，需要为HTTP、FTP、POP等应用分别设置代理。

2. 实施要点：全局动员，逐个应用逐步切换，避免冲击业务，尽量不影响用户。

3. 重新定义了用户身份，接入强认证：基于人、设备、事件。

4. 传统边界安全主要基于角色，而BeyondCorp零信任安全则更加动态，基于时间、属性、状态的组合来实时评估。

5. 全局控制：所有的流量都通过接入网关来处理认证和授权，此网关实际上就对应于云环境中的CASB。它可以拦截和检查所有从用户到应用资源之间的流量。网关为分布式，逻辑上集中控制。

6. 实时权限分析和控制：检查日志做审计，对威胁和攻击行为通过行为分析和权限控制实时自适应管控，管控方式包括阻断、重定向和告警等。

思科的零信任安全架构及解决方案

思科零信任网络架构及解决方案基于Forrester的零信任思路以及Gartner的持续风险评估和自适应（CARTA）原则的一系列多维度协同的零信任安全网络解决方案。分用户-设备可信认证、可信网络接入、可信负载接入三个维度；基于身份服务引擎ISE和Duo提供的多因子认证的零信任身份认证；

全网多级VXLAN实现网络微分段，减少受攻击面；用户、设备到应用、数据访问的基于UBA的动态白名单控制，实现动态最小权限；

基于机器学习的负载零信任系统Tetraion；

多个维度方案既可以分别部署，也可以有机协同。

思科零信任方案之一：零信任用户-设备认证方案

这里的用户-设备指发起信息访问的用户和设备，也包括物联网设备，以及应用程序。

思科零信任用户-设备认证方案主要特点：多因子强认证+设备终端安全防护和EDR，确保用户身份安全及其使用的设备安全可信接入。

思科零信任方案之二：一体化网络零信任方案（SDA）

思科零信任架构中也称此为IoT可信接入方案，是基于SDN和虚拟化网络，融合了IoT、固网、无线可信接入微分段的一体化零信任接入解决方案。其主要特点有：通过多级VXLAN分段隔离，实现用户/用户组到对应应用的安全网络切片；物联网、有线、无线一体化接入；动态自适应安全策略下发和调整；东西/南北向流量皆可实现动态和细粒度微分段；

思科零信任方案之三：零信任负载安全方案

思科的零信任负载安全方案基于其智能运维平台 Tetration来承载，提供了全面的服务器负载保护和智能动态白名单策略控制等功能。其主要特点：使用机器学习、行为分析算法提供全面负载保护策略和网络性能洞察；智能动态白名单策略对用户-设备-负载实现微隔离；跟踪流程行为偏差，识别多云基础设施中的软件漏洞，减少攻击面

思科零信任架构具有如下特点：

思科零信任安全系列方案很宏大，可覆盖多云及企业内网多场景，从用户、设备及物联网设备接入，到网络传输，到应用和服务器访问都有较完备的软硬件产品和方案。另外，思科将网络微分段工作主要交给分布在SDN网络中的各级交换机和路由器来完成，这也是零信任思路的体现，化传统的边界安全控制为软件定义的分布式微边界，结合SDN网络和安全策略的细粒度自动化编排，实现动态的最小权限访问。

典型零信任安全访问过程

典型的零信任访问过程是这样的：

1. 缺省状态下，信息访问主体没有任何权限（缺省零信任）；

2. 通过对信息访问主体的多因素强认证、对通信网络微分段/微隔离、对信息访问客体的负载保护、动态白名单和最小权限控制、单点登录、安全威胁全局感知及可视化等多种技术的组合应用，从而在全信息访问周期内动态维护信息系统访问的最小授权；

3. 信息访问周期结束的同时，回收访问权限，清除遗留数据，恢复到初始的零信任状态；

以上过程即可保证信息访问各环节系统始终处于最小授权状态（理想情况下各个环节都是刚好够业务访问用即可），尽量趋于零攻击面，不给恶意分子以可乘之机；并且即使万一出现攻击面，例如用户终端被冒用或密码丢失等，系统也可以通过UEBA和持续认证过程迅速发现并阻断，及通知真实用户及管理员进一步处理等措施以动态维护系统的信息安全，并及时感知已知和未知威胁。另外，通过持续自适应认证和安全策略，可实现即使黑客暂时突破局部安全防线，也能迅速察觉和补救，在其横向渗透和提权等攻击链早期就发现和阻断其恶意行为。

零信任安全架构的主要特点

总结零信任安全架构的主要特点如下：

第一， 持续身份安全。通过对用户、设备、应用程序身份的足够强度的多因子身份认证和和持续认证，以及基于环境、时间、网络、用户和实体行为分析，在信息访问全生命周期内确保用户主体身份的安全可信；

第二， 软件定义边界。通过SDN网络的部署和VLAN，VRF，VPC和Vxlan等多种技术，实现用户/用户组到需要访问的资源之间的细粒度网络访问隔离；

第三， 动态最小权限。基于前面两点，结合安全威胁态势感知系统及多方威胁情报，动态感知和分析各种安全威胁，并自适应地动态更新安全策略，持续保持信息访问全周期的权限最小化。

结束语

综上所述，不难发现，零信任安全架构的核心目标，是构建和维护一个从信息访问主体（用户、设备、应用程序等）经过通信网络、到信息访问客体（各种被访问资源）之间的全生命周期的端到端动态最小授权的信息网络安全微环境。从多因子多维度持续身份安全，到网络微分段，应用和负载保护，态势感知，安全威胁可视化，敏感数据分级保护，遗留数据脱敏等各种零信任安全技术是手段，关键是为实现零信任转型和治理服务。

最后，信息网络安全的本质是攻防对抗，随着网络安全攻击和防范态势的发展演变，相信零信任安全架构和各种产品方案实践也会与时俱进地继续演进，就像它从诞生之初到现在一直经历的那样。