零信任體系技術(shù)研究

00引言當(dāng)前，各企事業(yè)單位的網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)變得越來越復(fù)雜。企業(yè)不僅存在多個(gè)內(nèi)部網(wǎng)絡(luò)，還存在通過遠(yuǎn)程連接本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠(yuǎn)程辦公室、移動(dòng)用戶以及云服務(wù)。這種復(fù)雜性已經(jīng)超越了傳統(tǒng)基于網(wǎng)絡(luò)邊界防護(hù)的安全方法，因?yàn)槠髽I(yè)已經(jīng)沒有簡單、容易識(shí)別的網(wǎng)絡(luò)邊界。傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全防護(hù)逐漸被證明是不夠的，局限性正日益凸顯，一旦攻擊者突破企業(yè)網(wǎng)絡(luò)邊界防護(hù)，便可以在內(nèi)部網(wǎng)絡(luò)中進(jìn)一步橫向移動(dòng)進(jìn)行攻擊破壞，不受阻礙和控制。上述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復(fù)雜性促進(jìn)了網(wǎng)絡(luò)安全原則和安全模型的創(chuàng)新與發(fā)展，“零信任”。零信任(ZeroTrust，ZT)技術(shù)應(yīng)運(yùn)而生。零信任技術(shù)從重點(diǎn)關(guān)注企業(yè)數(shù)據(jù)資源的保護(hù)，逐漸擴(kuò)展到對(duì)企業(yè)的設(shè)備、基礎(chǔ)設(shè)施和用戶等所有網(wǎng)絡(luò)資源的保護(hù)。零信任安全模型假設(shè)攻擊者可能出現(xiàn)在企業(yè)內(nèi)部網(wǎng)絡(luò)，企業(yè)內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施與其它外部網(wǎng)絡(luò)一樣，面臨同樣的安全威脅，也容易受到攻擊破壞，并不具有更高的可信度。在這種情況下，企業(yè)必須不斷地分析和評(píng)估其內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù)功能面臨的安全風(fēng)險(xiǎn)，提升網(wǎng)絡(luò)安全防護(hù)能力來降低風(fēng)險(xiǎn)。在零信任中，通常涉及將數(shù)據(jù)、計(jì)算和應(yīng)用程序等網(wǎng)絡(luò)資源的訪問權(quán)限最小化，只對(duì)那些必須用戶和資產(chǎn)開啟訪問權(quán)限進(jìn)行授權(quán)訪問，并持續(xù)對(duì)每個(gè)訪問請求者的身份和安全狀態(tài)進(jìn)行身份驗(yàn)證和授權(quán)。零信任體系(ZeroTrustSystem,ZTS)是一種基于零信任原則建立的企業(yè)網(wǎng)絡(luò)安全策略，旨在防止企業(yè)內(nèi)部數(shù)據(jù)泄露，限制內(nèi)部攻擊者橫向移動(dòng)和攻擊破壞。本文將給出零信任和零信任體系的定義，遵循的原則，討論零信任體系的組成，分析處理方法的變化和面臨的安全威脅。01零信任基礎(chǔ)“零信任”是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全模式，其前提是信任從不被隱式授予，而是必須持續(xù)評(píng)估。“零信任體系”是一種企業(yè)資源和數(shù)據(jù)安全端到端的保護(hù)方法，包含人和非人實(shí)體的身份標(biāo)識(shí)、認(rèn)證信息、訪問管理、操作運(yùn)維、端點(diǎn)管控、運(yùn)行環(huán)境和互連基礎(chǔ)設(shè)施等內(nèi)容。最初的重點(diǎn)是將企業(yè)資源訪問權(quán)限控制在那些執(zhí)行任務(wù)必須的最小用戶范圍內(nèi)。傳統(tǒng)企業(yè)主要關(guān)注網(wǎng)絡(luò)邊界防護(hù)，用戶只要通過邊界身份驗(yàn)證，就有權(quán)訪問企業(yè)整個(gè)網(wǎng)內(nèi)資源。因此，網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的橫向移動(dòng)和攻擊破壞一直是廣大企事業(yè)單位面臨的最大挑戰(zhàn)之一。盡管企業(yè)網(wǎng)絡(luò)邊界防設(shè)備提供了強(qiáng)大的網(wǎng)絡(luò)邊界保護(hù)功能，有效阻止了來自網(wǎng)絡(luò)外部的攻擊者，但是在檢測和阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊方面顯得力不從心，更無法有效保護(hù)遠(yuǎn)程工作者、基于云的外圍用戶。1.1零信任和零信任體系定義零信任提供了一組概念和設(shè)計(jì)思想，旨在減少在信息系統(tǒng)和服務(wù)中實(shí)施快速、準(zhǔn)確訪問決策的不確定性。零信任體系是利用零信任概念建立的網(wǎng)絡(luò)安全計(jì)劃，包含組件關(guān)系、工作流程規(guī)劃和訪問策略等內(nèi)容。因此，零信任企業(yè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和操作策略，是企業(yè)零信任體系計(jì)劃的執(zhí)行結(jié)果。企業(yè)決定采用零信任作為網(wǎng)絡(luò)安全基礎(chǔ)，并按照零信任原則制定計(jì)劃，形成零信任體系。然后執(zhí)行此計(jì)劃以部署企業(yè)中使用的零信任環(huán)境。這個(gè)定義的關(guān)鍵是防止對(duì)數(shù)據(jù)和服務(wù)未經(jīng)授權(quán)的訪問，同時(shí)使訪問控制執(zhí)行盡可能細(xì)粒度。也就是說，允許授權(quán)和批準(zhǔn)的用戶訪問企業(yè)數(shù)據(jù)，而對(duì)所有攻擊者、非授權(quán)用戶拒絕提供服務(wù)。更進(jìn)一步說，可以用“資源”這個(gè)詞代替“數(shù)據(jù)”，因此零信任和零信任體系是關(guān)于資源訪問的，而不僅僅是數(shù)據(jù)訪問。為了減少不確定性，重點(diǎn)關(guān)注于身份認(rèn)證、授權(quán)和收縮隱式信任區(qū)域，縮短身份驗(yàn)證機(jī)制中的時(shí)間延遲。訪問規(guī)則被限制為最少的特權(quán)，并且盡可能細(xì)化。在圖1所示的抽象訪問模型中，用戶或機(jī)器需要訪問企業(yè)資源。通過策略決策點(diǎn)(PolicyDecisionPoint,PDP)和相應(yīng)的策略執(zhí)行點(diǎn)(PolicyenforcementPoint,PEP)授予訪問權(quán)限。圖1零信任訪問模型零信任系統(tǒng)中必須確保用戶身份是真實(shí)的，請求是有效的。PDP/PEP通過適當(dāng)?shù)呐袛?，才允許企業(yè)主體訪問資源。這意味著零信任適用于兩個(gè)基本領(lǐng)域:身份認(rèn)證和授權(quán)。用戶對(duì)這個(gè)惟一請求的身份信任程度是多少？在對(duì)用戶身份的信任程度給定的情況下，是否允許該用戶訪問企業(yè)資源？用于請求的設(shè)備是否具有適當(dāng)?shù)陌踩珷顟B(tài)？是否有其他因素需要考慮，并改變信任水平?例如用戶訪問時(shí)間、所處位置、安全狀態(tài)等等?？偟膩碚f，企業(yè)需要為資源的訪問開發(fā)和維護(hù)基于風(fēng)險(xiǎn)的動(dòng)態(tài)安全策略，并建立一個(gè)系統(tǒng)來確保這些安全策略被正確和嚴(yán)格地執(zhí)行。因此，企業(yè)不應(yīng)該依賴于隱式的可信，無論什么用戶只要符合訪問資源的身份驗(yàn)證標(biāo)準(zhǔn)，所有訪問資源的請求都應(yīng)視為同等有效?！半[式信任區(qū)域”表示所有實(shí)體至少被信任到最后一個(gè)PDP/PEP網(wǎng)關(guān)級(jí)別的區(qū)域。例如，火車站的乘客篩選模型。所有乘客通過火車站進(jìn)站安全檢查(PDP/PEP)，進(jìn)入候車室。旅客在候車室里轉(zhuǎn)悠，所有被放行的旅客都被認(rèn)為是可信的。在這個(gè)模型中，隱式信任區(qū)域就是候車室。PDP/PEP應(yīng)用一組控件，以便PEP之外的所有通信都具有公共的信任級(jí)別。PDP/PEP應(yīng)該有超出其通信控制范圍的其他策略。為了讓PDP/PEP盡可能的具體，隱式信任區(qū)域必須盡可能的小。零信任是圍繞PDP/PEP對(duì)資源保護(hù)提供的一套原則和概念，盡可能將PDP/PEP設(shè)置到距離企業(yè)資源更近的位置。目的是更明確地對(duì)構(gòu)成企業(yè)的所有用戶、設(shè)備、應(yīng)用程序和工作流程進(jìn)行身份驗(yàn)證和授權(quán)控制。1.2零信任原則（1）所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源。一個(gè)網(wǎng)絡(luò)可以由多種不同的設(shè)備組成。它們將數(shù)據(jù)發(fā)送到企業(yè)的交換機(jī)、路由器、存儲(chǔ)器和服務(wù)器，控制執(zhí)行器的系統(tǒng)以及其他功能部件。此外，如果個(gè)人擁有能夠訪問企業(yè)資源的設(shè)備，也應(yīng)當(dāng)將這些設(shè)備劃歸企業(yè)資源進(jìn)行管理。（2）無論網(wǎng)絡(luò)位置如何，所有通信都應(yīng)該是安全的。網(wǎng)絡(luò)位置并不意味著信任。位于企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的所有資產(chǎn)，包括傳統(tǒng)網(wǎng)絡(luò)邊界范圍內(nèi)的資產(chǎn)，其訪問請求都必須與來自外部網(wǎng)絡(luò)的訪問請求和通信滿足相同的安全策略。換句話說，不應(yīng)因設(shè)備位于企業(yè)網(wǎng)絡(luò)邊界范圍內(nèi)而自動(dòng)授予信任。所有通信都應(yīng)該以最安全的方式進(jìn)行，保護(hù)其機(jī)密性和完整性，并提供源身份驗(yàn)證。（3）對(duì)單個(gè)企業(yè)資源的訪問是在每個(gè)會(huì)話的基礎(chǔ)上授予的。在授予訪問權(quán)限之前，將評(píng)估對(duì)請求者的信任。對(duì)于一個(gè)特定的操作，只意味著“以前某個(gè)時(shí)候”可信，而不會(huì)在啟動(dòng)會(huì)話或使用資源執(zhí)行操作之前直接授權(quán)訪問。同樣，對(duì)一個(gè)資源的身份驗(yàn)證和授權(quán)也不會(huì)自動(dòng)授予對(duì)另一個(gè)資源的訪問權(quán)。（4）對(duì)資源的訪問由動(dòng)態(tài)策略決定，包括客戶端標(biāo)識(shí)、應(yīng)用程序和請求資產(chǎn)的可見狀態(tài)，以及其他行為屬性。通過定義它擁有什么資源、它的成員是誰，以及這些成員需要什么資源訪問權(quán)來保護(hù)資源。對(duì)于零信任，客戶端標(biāo)識(shí)包括用戶帳戶和該帳戶關(guān)聯(lián)的屬性，以自動(dòng)進(jìn)行身份驗(yàn)證任務(wù)。請求資產(chǎn)狀態(tài)包括設(shè)備特征，如已安裝的軟件版本、網(wǎng)絡(luò)位置、請求的時(shí)間/日期、以前觀察到的行為和已安裝的憑據(jù)。行為屬性包括自動(dòng)用戶分析、設(shè)備分析和從觀察到的使用模式的測量偏差。策略是一組基于組織分配給用戶、數(shù)據(jù)資產(chǎn)或應(yīng)用程序的屬性的訪問規(guī)則。這些規(guī)則和屬性是基于業(yè)務(wù)流程的需求和可接受的風(fēng)險(xiǎn)級(jí)別。資源訪問和操作權(quán)限策略可以根據(jù)資源/數(shù)據(jù)的敏感性而變化。（5）企業(yè)確保所擁有的資產(chǎn)和相關(guān)的設(shè)備均處于最安全的狀態(tài)，并持續(xù)監(jiān)控以確保資產(chǎn)處于最安全的狀態(tài)。沒有設(shè)備天生就值得信任。這里，“最安全狀態(tài)”是指設(shè)備處于符合實(shí)際的最安全狀態(tài)，設(shè)備仍然可以執(zhí)行任務(wù)所需的操作。實(shí)現(xiàn)零信任體系的企業(yè)應(yīng)該建立一個(gè)持續(xù)診斷和緩解系統(tǒng)來監(jiān)控設(shè)備和應(yīng)用程序的安全狀態(tài)，并根據(jù)需要應(yīng)用補(bǔ)丁/修復(fù)程序。（6）所有資源的身份驗(yàn)證和授權(quán)都是動(dòng)態(tài)的，并且在允許訪問之前必須嚴(yán)格執(zhí)行。這是一個(gè)不斷循環(huán)的過程，包括獲取訪問、掃描和評(píng)估威脅、調(diào)整和不斷重新評(píng)估正在進(jìn)行的通信中的信任。實(shí)現(xiàn)零信任體系的企業(yè)應(yīng)該具備身份、憑證和訪問管理以及資產(chǎn)管理等系統(tǒng)。這包括使用多因子身份驗(yàn)證訪問部分或全部企業(yè)資源。根據(jù)策略的定義和執(zhí)行，在整個(gè)用戶交互過程中不斷重新進(jìn)行身份驗(yàn)證和授權(quán)的監(jiān)控，以努力實(shí)現(xiàn)安全性、可用性、易用性和成本效率之間的平衡。（7）企業(yè)盡可能多地收集網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信系統(tǒng)當(dāng)前的狀態(tài)信息，以提升其網(wǎng)絡(luò)安全狀況。企業(yè)應(yīng)該收集關(guān)于網(wǎng)絡(luò)流量和訪問請求的數(shù)據(jù)，用于改進(jìn)策略的創(chuàng)建和執(zhí)行。這些數(shù)據(jù)還可用于為來自實(shí)體的訪問請求提供上下文信息。02零信任體系的組成2.1核心邏輯組件在企業(yè)中，構(gòu)成零信任體系的邏輯組件很多，最核心的還是策略決策點(diǎn)和策略執(zhí)行點(diǎn)這個(gè)兩個(gè)組件。這些組件可以通過本地服務(wù)或遠(yuǎn)程服務(wù)的方式來操作，組件之間的相互關(guān)系如圖2。從圖中可以看出，策略決策點(diǎn)被分解為兩個(gè)邏輯組件:策略引擎（PolicyEngine，PE）和策略管理員（PolicyAdministrator，PA）。零信任體系邏輯組件之間通過一個(gè)單獨(dú)的控制平面進(jìn)行通信，而應(yīng)用程序數(shù)據(jù)則在一個(gè)數(shù)據(jù)平面上進(jìn)行通信。圖2零信任核心邏輯組件（1）策略引擎：該組件負(fù)責(zé)最終決策授予給定實(shí)體對(duì)資源的訪問權(quán)限。PE使用企業(yè)策略和外部來源的輸入作為信任算法的輸入來授予、拒絕或撤銷對(duì)資源的訪問權(quán)。決策引擎與策略管理員組件配對(duì)。策略引擎制定并記錄決策，策略管理員執(zhí)行決策。（2）策略管理員：該組件負(fù)責(zé)建立或關(guān)閉實(shí)體與資源之間的通信路徑。它將生成客戶端用來訪問企業(yè)資源的任何身份驗(yàn)證和身份驗(yàn)證令牌或憑據(jù)。它與PE緊密相關(guān)，并取決于其最終允許或拒絕會(huì)話的決定。（3）策略執(zhí)行點(diǎn)：該系統(tǒng)負(fù)責(zé)啟動(dòng)，監(jiān)控和終止實(shí)體與企業(yè)資源之間的連接。這是零信任體系中的單個(gè)邏輯組件，但是可以分為兩個(gè)不同的組件：客戶端的代理組件和資源側(cè)的資源訪問控制組件，或者充當(dāng)網(wǎng)絡(luò)接入控制的單個(gè)門戶組件。PEP之外是承載企業(yè)資源的隱式信任區(qū)。2.2輔助系統(tǒng)除了實(shí)現(xiàn)零信任體系的核心邏輯組件之外，還有幾個(gè)數(shù)據(jù)源產(chǎn)生的輔助系統(tǒng)，他們將數(shù)據(jù)源提供給策略引擎作為訪問決策的輸入和策略規(guī)則。包括以下本地?cái)?shù)據(jù)源以及外部數(shù)據(jù)源：（1）持續(xù)診斷和緩解系統(tǒng)：該系統(tǒng)將收集企業(yè)資產(chǎn)當(dāng)前的狀態(tài)信息，并將其更新應(yīng)用于配置和軟件組件。企業(yè)持續(xù)診斷和緩解系統(tǒng)向策略引擎提供有關(guān)發(fā)出訪問請求的資產(chǎn)信息，例如它是否正在運(yùn)行適當(dāng)?shù)男扪a(bǔ)過的操作系統(tǒng)和應(yīng)用程序，或者資產(chǎn)是否有任何已知漏洞。（2）威脅情報(bào)系統(tǒng)：它提供來自內(nèi)部或外部的信息，幫助策略引擎做出訪問決策。這些服務(wù)可以是多個(gè)服務(wù)，他們從內(nèi)部和/或多個(gè)外部源獲取數(shù)據(jù)，并提供關(guān)于新發(fā)現(xiàn)的攻擊或漏洞的信息。這還包括黑名單、新識(shí)別的惡意軟件，以及對(duì)策略引擎想要拒絕企業(yè)資產(chǎn)訪問的其他資產(chǎn)的攻擊報(bào)告。（3）數(shù)據(jù)訪問策略：這是有關(guān)訪問企業(yè)資源的屬性，規(guī)則和策略。這組規(guī)則可以在策略引擎中編碼或由策略引擎動(dòng)態(tài)生成。這些策略是授權(quán)訪問資源的起點(diǎn)，它為企業(yè)資產(chǎn)和應(yīng)用程序提供了基本的訪問權(quán)限。這些策略應(yīng)該基于任務(wù)角色和組織需求來確定。（4）公鑰基礎(chǔ)設(shè)施：該系統(tǒng)負(fù)責(zé)為企業(yè)資源、實(shí)體和應(yīng)用程序頒發(fā)證書并對(duì)其進(jìn)行日志記錄。（5）身份標(biāo)識(shí)管理系統(tǒng)：負(fù)責(zé)創(chuàng)建、存儲(chǔ)和管理企業(yè)用戶帳戶和標(biāo)識(shí)記錄，并利用輕量級(jí)目錄訪問協(xié)議服務(wù)器來發(fā)布。該系統(tǒng)包含用戶姓名、電子郵件地址、證書等必要的用戶信息，以及用戶角色、訪問屬性和分配的資產(chǎn)等其他企業(yè)特征。身份標(biāo)識(shí)管理系統(tǒng)經(jīng)常通過公鑰基礎(chǔ)設(shè)施來處理與用戶帳戶相關(guān)的工作。（6）網(wǎng)絡(luò)活動(dòng)日志系統(tǒng)：這是一個(gè)企業(yè)系統(tǒng)，它聚合了資產(chǎn)日志、網(wǎng)絡(luò)流量、資源訪問操作和其他事件，這些事件對(duì)企業(yè)信息系統(tǒng)的安全狀態(tài)提供實(shí)時(shí)(或近似實(shí)時(shí))反饋。（7）安全信息和事件監(jiān)控系統(tǒng)：它收集以安全為中心的信息，供以后分析。將這些數(shù)據(jù)用于優(yōu)化策略，并警告對(duì)企業(yè)資產(chǎn)的可能攻擊。2.3零信任算法對(duì)于部署了零信任系統(tǒng)的企業(yè)，可以將策略引擎視為大腦，將策略引擎的信任算法視為主要的思想過程。信任算法是策略引擎用來最終授予或拒絕訪問某個(gè)資源的過程。策略引擎從多個(gè)來源獲取輸入:策略數(shù)據(jù)庫，其中包含關(guān)于用戶、用戶屬性和角色、歷史用戶行為模式、威脅情報(bào)來源和其他元數(shù)據(jù)來源的信息，如圖3所示。圖3零信任算法輸入在圖2中，可以根據(jù)為零信任算法提供的內(nèi)容不同，將輸入分為不同的類別。（1）訪問請求：這是來自實(shí)體的實(shí)際請求。被請求的資源是被使用的主要信息，但是也使用關(guān)于請求者的信息。這可能包括操作系統(tǒng)版本、使用的應(yīng)用程序和補(bǔ)丁級(jí)別。根據(jù)這些因素和資產(chǎn)安全狀況，對(duì)資產(chǎn)的訪問可能受到限制或拒絕。（2）用戶數(shù)據(jù)庫：包括用戶標(biāo)識(shí)、屬性和特權(quán)等，表明這是“誰”在請求訪問資源。這是企業(yè)或協(xié)作者的用戶集和分配的用戶屬性/特權(quán)集。這些用戶和屬性是構(gòu)成資源訪問策略的基礎(chǔ)。用戶身份可以包括邏輯身份和策略執(zhí)行點(diǎn)執(zhí)行身份驗(yàn)證檢查的結(jié)果。身份的屬性包括時(shí)間和地理位置等，這些屬性可用于獲得信任水平。授予多個(gè)用戶的一組特權(quán)可以被認(rèn)為是一個(gè)角色，應(yīng)該在單個(gè)的基礎(chǔ)上將特權(quán)分配給一個(gè)用戶，而不僅僅是因?yàn)樗鼈兛赡苓m合某個(gè)特定的角色。此集合應(yīng)該編碼并存儲(chǔ)在ID管理系統(tǒng)和策略數(shù)據(jù)庫中。這還可能包括一些信任算法變量中關(guān)于過去觀察到的用戶行為的數(shù)據(jù)。（3）系統(tǒng)數(shù)據(jù)庫：包含資產(chǎn)數(shù)據(jù)和每個(gè)企業(yè)擁有的物理和虛擬資產(chǎn)的已知狀態(tài)。這與發(fā)出請求的資產(chǎn)的可觀察狀態(tài)相比較，可以包括操作系統(tǒng)版本、使用的應(yīng)用程序、網(wǎng)絡(luò)地理位置和補(bǔ)丁級(jí)別。根據(jù)與此數(shù)據(jù)庫相比較的資產(chǎn)狀態(tài)，對(duì)資產(chǎn)的訪問可能受到限制或拒絕。（4）資源訪問需求：這組策略補(bǔ)充了用戶身份標(biāo)識(shí)和屬性數(shù)據(jù)庫，并定義了對(duì)資源訪問的最低需求。需求可能包括認(rèn)證者保證級(jí)別，如多因子認(rèn)證網(wǎng)絡(luò)位置、數(shù)據(jù)敏感性和資產(chǎn)配置請求。這些要求應(yīng)由數(shù)據(jù)保管人和負(fù)責(zé)利用數(shù)據(jù)的業(yè)務(wù)流程的人員共同制定。（5）安全威脅情報(bào)：這是一個(gè)或多個(gè)關(guān)于一般威脅和在互聯(lián)網(wǎng)上活動(dòng)的惡意軟件的信息源。這些信息可以是外部服務(wù)或內(nèi)部掃描發(fā)現(xiàn)，還可以包括攻擊簽名和緩解措施。這是最有可能由服務(wù)而不是企業(yè)控制的惟一組件。每個(gè)數(shù)據(jù)源的重要性權(quán)重可以是專有算法，也可以由企業(yè)配置。這些權(quán)重值可以用來反映數(shù)據(jù)源對(duì)企業(yè)的重要性。最后的決定被傳遞給策略管理員執(zhí)行。策略管理員的工作是配置必要的策略執(zhí)行點(diǎn)以啟用授權(quán)通信。根據(jù)零信任體系的部署方式，這可能涉及將身份驗(yàn)證結(jié)果和連接配置信息發(fā)送到網(wǎng)關(guān)和代理或資源門戶。策略管理員還可以在通信會(huì)話上放置一個(gè)保持或暫停，以便根據(jù)策略需求重新驗(yàn)證和重新授權(quán)連接。策略管理員還負(fù)責(zé)根據(jù)策略發(fā)出終止連接的命令。03零信任體系處理方法的變化3.1加強(qiáng)身份管理加強(qiáng)身份管理的ZTS方法將參與者的身份作為策略創(chuàng)建的關(guān)鍵組件。如果沒有請求訪問企業(yè)資源的實(shí)體，就不需要?jiǎng)?chuàng)建訪問策略。對(duì)于這種方法，企業(yè)資源訪問策略基于標(biāo)識(shí)和分配的屬性。對(duì)資源訪問的主要需求是基于授予給定實(shí)體的訪問特權(quán)。其他因素，諸如使用的設(shè)備、資產(chǎn)狀態(tài)和環(huán)境因素，都可能會(huì)改變最終的信任水平計(jì)算或最終訪問授權(quán)，甚至以某種方式調(diào)整結(jié)果。私有資源或保護(hù)資源的PEP組件必須具有將實(shí)體請求轉(zhuǎn)發(fā)到策略引擎服務(wù)的方法，或者在授予訪問權(quán)之前對(duì)實(shí)體進(jìn)行身份驗(yàn)證并批準(zhǔn)請求。3.2使用微分段保護(hù)企業(yè)可以將單個(gè)或群組資源放置在由網(wǎng)關(guān)安全組件保護(hù)的自身網(wǎng)段上來實(shí)現(xiàn)零信任體系。這種方法，企業(yè)將網(wǎng)關(guān)設(shè)備作為PEP來保護(hù)每個(gè)資源或資源組。這些網(wǎng)關(guān)設(shè)備動(dòng)態(tài)授權(quán)來自客戶端資產(chǎn)的訪問請求。根據(jù)模型不同，網(wǎng)關(guān)可以是唯一的PEP組件，也可以是由網(wǎng)關(guān)和客戶端代理組成的多部分PEP的一部分。此方法適用于各種用例和部署模型，因?yàn)楸Ｗo(hù)設(shè)備充當(dāng)PEP，而管理設(shè)備充當(dāng)PE/PA組件。這種方法需要身份管理程序來完全發(fā)揮作用，并依賴于網(wǎng)關(guān)組件充當(dāng)PEP，保護(hù)資源免受未經(jīng)授權(quán)的訪問或發(fā)現(xiàn)。這種方法的關(guān)鍵在于，PEP組件是受管理的，并且應(yīng)能根據(jù)需要及時(shí)做出反應(yīng)和重新配置，以快速響應(yīng)工作流中的威脅或更改。通過使用一般的網(wǎng)關(guān)設(shè)備甚至無狀態(tài)防火墻就可以實(shí)現(xiàn)微分段企業(yè)的某些功能，但是管理成本與快速響應(yīng)之間存在矛盾，往往難以平衡。3.3使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施和軟件定義邊界第三種方法使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施來實(shí)現(xiàn)零信任體系。零信任的實(shí)現(xiàn)可以通過使用覆蓋網(wǎng)絡(luò)來實(shí)現(xiàn)。這些方法有時(shí)被稱為軟件定義邊界方法，經(jīng)常包括來自軟件定義網(wǎng)絡(luò)和基于意圖的網(wǎng)絡(luò)概念。在這種方法中，PA充當(dāng)網(wǎng)絡(luò)控制器，根據(jù)PE做出的決策設(shè)置和重新配置網(wǎng)絡(luò)?？蛻舳死^續(xù)通過由PA組件管理的PEP請求訪問。當(dāng)該方法在應(yīng)用網(wǎng)絡(luò)層實(shí)現(xiàn)時(shí)，最常見的部署模型是代理/網(wǎng)關(guān)。在此場景中，代理和資源網(wǎng)關(guān)建立用于客戶端和資源之間通信的安全通道。04零信任體系面臨的安全威脅盡管基于零信任體系的網(wǎng)絡(luò)比傳統(tǒng)網(wǎng)絡(luò)安全得多，但是任何企業(yè)都無法消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。當(dāng)零信任體系與現(xiàn)有的網(wǎng)絡(luò)安全政策和指導(dǎo)、身份認(rèn)證和訪問管理、持續(xù)監(jiān)控等相輔相成時(shí)，零信任體系就可以降低企業(yè)網(wǎng)絡(luò)的整體安全風(fēng)險(xiǎn)并防范常規(guī)威脅和攻擊。然而，在實(shí)現(xiàn)零信任體系過程中，一些安全威脅還是客觀存在，并具有獨(dú)特性。4.1零信任體系決策過程的顛覆威脅在零信任體系中，策略決策點(diǎn)是整個(gè)企業(yè)的關(guān)鍵組件。企業(yè)資源之間不發(fā)生通信，除非得到策略決策點(diǎn)的批準(zhǔn)和配置許可。這意味著必須正確配置和維護(hù)這些組件。任何具有策略引擎規(guī)則的配置訪問權(quán)限的企業(yè)管理員都可能執(zhí)行未經(jīng)批準(zhǔn)的更改或犯可能破壞企業(yè)操作的錯(cuò)誤。同樣，一個(gè)被破壞的策略管理員可以允許訪問那些不被批準(zhǔn)的資源。降低相關(guān)風(fēng)險(xiǎn)意味著必須正確配置和監(jiān)管策略決策點(diǎn)組件，并且必須記錄任何配置更改并進(jìn)行審計(jì)。4.2拒絕服務(wù)或網(wǎng)絡(luò)中斷威脅在ZTS中，策略管理員是資源訪問的關(guān)鍵組件。如果沒有策略管理員的許可和配置操作，企業(yè)資源之間不能相互連接。如果攻擊者中斷或拒絕訪問策略執(zhí)行點(diǎn)或策略管理員，它可以對(duì)企業(yè)的產(chǎn)生經(jīng)營產(chǎn)生不利影響。企業(yè)可以通過將策略強(qiáng)制駐留在云中或根據(jù)網(wǎng)絡(luò)彈性指南復(fù)制到多個(gè)位置來減輕這種威脅。這雖然降低了風(fēng)險(xiǎn)，但并沒有消除風(fēng)險(xiǎn)。僵尸網(wǎng)絡(luò)會(huì)對(duì)關(guān)鍵的服務(wù)提供商發(fā)起大規(guī)模拒絕服務(wù)（DenialOfService，DoS）攻擊，并擾亂網(wǎng)上用戶的服務(wù)。攻擊者也有可能攔截并阻止來自企業(yè)內(nèi)部分用戶帳戶到策略執(zhí)行點(diǎn)或策略管理員的流量。在這種情況下，只有一部分企業(yè)用戶受到影響。這在傳統(tǒng)的基于虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）的訪問中也是可能的，而且也不是ZTS所獨(dú)有的。主機(jī)提供商也可能會(huì)不小心將基于云的策略引擎或策略管理員脫機(jī)。云服務(wù)在過去經(jīng)歷過中斷，無論是作為服務(wù)的基礎(chǔ)設(shè)施還是服務(wù)器。如果策略決策點(diǎn)組件從網(wǎng)絡(luò)上變得不可訪問，則操作錯(cuò)誤可能會(huì)阻止整個(gè)企業(yè)運(yùn)行。4.3證書被盜/內(nèi)部威脅正確實(shí)現(xiàn)的ZT、信息安全和彈性策略以及最佳實(shí)踐降低了攻擊者通過竊取憑證或內(nèi)部攻擊獲得廣泛訪問權(quán)限的風(fēng)險(xiǎn)?；诰W(wǎng)絡(luò)位置的無隱式信任的ZT原則，意味著攻擊者需要破壞現(xiàn)有的帳戶或設(shè)備才能在企業(yè)中立足。正確實(shí)現(xiàn)的ZTS應(yīng)該能夠防止被破壞的帳戶或資產(chǎn)訪問正常權(quán)限或訪問模式之外的資源。因此，攻擊者感興趣的帳戶將成為主要的攻擊目標(biāo)。攻擊者可能使用網(wǎng)絡(luò)釣魚、社會(huì)工程或聯(lián)合攻擊來獲取有價(jià)值的帳戶憑證。根據(jù)攻擊者的動(dòng)機(jī)，“有價(jià)值”可能意味著不同的東西。企業(yè)管理員帳戶可能很有價(jià)值，但是對(duì)財(cái)務(wù)收益感興趣的攻擊者可能會(huì)考慮具有同等價(jià)值的財(cái)務(wù)或支付資源訪問權(quán)的帳戶。為網(wǎng)絡(luò)訪問而實(shí)現(xiàn)多因子認(rèn)證可能會(huì)降低被破壞帳戶的訪問風(fēng)險(xiǎn)。然而，與傳統(tǒng)企業(yè)一樣，具有有效憑證的攻擊者仍然能夠訪問已授權(quán)戶訪問的資源。攻擊者或受攻擊的員工擁有有效人力資源員工的憑據(jù)和企業(yè)擁有的資產(chǎn)，仍然可以訪問員工數(shù)據(jù)庫。ZTS增強(qiáng)了對(duì)這種攻擊的抵抗力，并防止任何被破壞帳戶或資產(chǎn)在網(wǎng)絡(luò)中橫向移動(dòng)進(jìn)行攻擊破壞。如果被破壞的憑據(jù)沒有被授權(quán)訪問特定的資源，它們將繼續(xù)被拒絕訪問該資源。此外，上下文信任算法比傳統(tǒng)的基于邊界的網(wǎng)絡(luò)更有可能檢測并快速響應(yīng)這種攻擊。上下文信任算法可以檢測不正常行為的訪問模式，并拒絕對(duì)敏感資源的已泄露帳戶或內(nèi)部威脅訪問。4.4網(wǎng)絡(luò)可見性威脅所有流量都被檢查并記錄到網(wǎng)絡(luò)上，并進(jìn)行分析，以識(shí)別和應(yīng)對(duì)針對(duì)企業(yè)的潛在攻擊。但是，正如前面提到的，企業(yè)網(wǎng)絡(luò)上的一些流量對(duì)于傳統(tǒng)的第3層網(wǎng)絡(luò)分析工具來說可能是不透明的。這些流量可能來自于非企業(yè)擁有的資產(chǎn)或抵抗被動(dòng)監(jiān)控的應(yīng)用程序。企業(yè)不能對(duì)數(shù)據(jù)包進(jìn)行深度檢查或分析加密流量，必須使用其他方法來評(píng)估網(wǎng)絡(luò)上可能的攻擊者。這并不意味著企業(yè)無法分析它在網(wǎng)絡(luò)上看到的加密流量。企業(yè)可以收集關(guān)于加密通信的元數(shù)據(jù)，并使用這些元數(shù)據(jù)檢測活躍的攻擊者或網(wǎng)絡(luò)上可能的惡意軟件。機(jī)器學(xué)習(xí)技術(shù)可以用來分析無法解密和檢查的通信數(shù)據(jù)。使用這種類型的機(jī)器學(xué)習(xí)將允許企業(yè)將流量分類為有效的或可能惡意的，并可進(jìn)行補(bǔ)救。在ZTS部署中，只需要以這種方式檢查來自非企業(yè)資產(chǎn)的流量，因?yàn)樗衅髽I(yè)流量都要通過PEP由策略管理員進(jìn)行分析。4.5網(wǎng)絡(luò)信息的存儲(chǔ)威脅對(duì)企業(yè)網(wǎng)絡(luò)流量分析的一個(gè)相關(guān)威脅是分析組件本身。如果存儲(chǔ)網(wǎng)絡(luò)流量和元數(shù)據(jù)是為了構(gòu)建上下文策略、取證或后續(xù)分析，那么這些數(shù)據(jù)就會(huì)成為攻擊者的目標(biāo)。就像網(wǎng)絡(luò)圖、配置文件和其他分類的網(wǎng)絡(luò)體系結(jié)構(gòu)文檔一樣，這些資源也應(yīng)該受到保護(hù)。如果攻擊者能夠成功地訪問存儲(chǔ)的流量信息，他們就能夠深入了解網(wǎng)絡(luò)體系結(jié)構(gòu)并識(shí)別資產(chǎn)，以便進(jìn)行進(jìn)一步的偵察和攻擊。零信任企業(yè)中，攻擊者偵察信息的另一個(gè)來源是用于編碼訪問策略的管理工具。與存儲(chǔ)的通信流一樣，此組件包含對(duì)資源的訪問策略，可以向攻擊者提供關(guān)于哪些帳戶最有價(jià)值進(jìn)行攻擊的信息。對(duì)于所有有價(jià)值的企業(yè)數(shù)據(jù)，應(yīng)該有足夠的保護(hù)措施來防止未經(jīng)授權(quán)的訪問和訪問嘗試。由于這些資源對(duì)安全性至關(guān)重要，因