信息技術(shù)行業(yè)：網(wǎng)絡(luò)安全先進技術(shù)與應(yīng)用發(fā)展系列報告零信任技術(shù)（Zero Trust）

1 2 4 7 22 26 40 46 2 4 21 22 26 41 一、零信任技術(shù)和產(chǎn)業(yè)發(fā)展現(xiàn)狀國家高層會議密集提及新基建，各省積極推動網(wǎng)絡(luò)的整體安全性，受到了廣泛關(guān)注，并被寄是尋求網(wǎng)絡(luò)無邊界化趨勢下的全新安全架構(gòu)及解決方案。2010年，1JerichoForum：耶利哥論壇3S.Roseetal.,ZeroTrustArchitecture,NationalInstituteofStanSpecialPublication800-207,Gaithersburg,Md.,February2020.Av/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf.（一）零信任核心原則安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計算而來（1）將身份作為訪問控制的基礎(chǔ)：零信任的信任關(guān)系來自于對（2）最小權(quán)限原則：零信任架構(gòu)強調(diào)資源的使用按需分配，僅（3）實時計算訪問控制策略：授權(quán)決策依據(jù)主體的身份信息、（4）資源受控安全訪問：零信任架構(gòu)對所有業(yè)務(wù)場景、所有資（5）基于多源數(shù)據(jù)進行信任等級持續(xù)評估：主體信任等級是零將零信任架構(gòu)的總體框架歸納如下：面分解為用于網(wǎng)絡(luò)通信控制的控制平面和用于應(yīng)用程序通信的數(shù)據(jù)1.核心組件（3）訪問代理2.身份安全基礎(chǔ)設(shè)施說，零信任架構(gòu)借助現(xiàn)代身份管理平臺實現(xiàn)對人/設(shè)備/系統(tǒng)的全面、64A：認證Authentication、授權(quán)Auth3.其他安全分析平臺1.現(xiàn)代身份與訪問管理技術(shù)滿足現(xiàn)代信息系統(tǒng)對身份與訪問管理的要求，即：確保正確的人或2.軟件定義邊界技術(shù)（2）預(yù)驗證：用戶和終端在連接服務(wù)器前必須提前進行驗證，（3）預(yù)授權(quán)：根據(jù)用戶不同的職能以及工作需求，依據(jù)最小權(quán)（4）應(yīng)用級的訪問準(zhǔn)入：用戶只有應(yīng)用層的訪問權(quán)限，理論上3.微隔離技術(shù)微隔離（Micro-segmentation又稱軟件定義隔離、微分段）最18Duo：美國網(wǎng)絡(luò)安全公司，成20Centrify：美國網(wǎng)絡(luò)安全公司，成立于21PingIdentity：美國網(wǎng)絡(luò)安全公司，成立于2002年26F5：應(yīng)用交付網(wǎng)絡(luò)和業(yè)務(wù)解決方案28Cryptzone：美國網(wǎng)絡(luò)安全公司，成立于2008年29Zscaler：美國網(wǎng)絡(luò)安全公司，成30Illumio：美國網(wǎng)絡(luò)安全公司，成立于2013年隨著技術(shù)的成熟和產(chǎn)業(yè)基礎(chǔ)的逐步完善，2019年以來，美國軍DIB32作為美國國防部下屬專注于技術(shù)與創(chuàng)新的機構(gòu)于201 作為聯(lián)邦政府顧問智囊的美國技術(shù)委員會-工業(yè)咨詢委員會，于國內(nèi)實際場景進行落地實踐。奇安信、騰訊零信任整體解決方案，并積極尋找機會，開九州云騰等身份管理廠商積極推動身份管理技術(shù)在零信任架構(gòu)上的零信任標(biāo)準(zhǔn)層面的首個國家標(biāo)準(zhǔn)，對接身份33CCSATC8WG3：ChinaCommunicationsStandardsAssociat34WG4：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會認證355G：The5thGenerationMobileCommuni二、零信任應(yīng)用場景（一）遠程辦公/article/3xVW4gmkvN71.應(yīng)用場景分析2.先進性和創(chuàng)新性 （5）縮減安全管理成本和潛在建設(shè)成本 3.典型案例1.應(yīng)用場景分析（1）針對高價值數(shù)據(jù)邊界的猛烈攻擊2.先進性和創(chuàng)新性零信任通過關(guān)閉網(wǎng)絡(luò)中的無用服務(wù)，消減網(wǎng)絡(luò)結(jié)構(gòu)(例如，不再（2）以身份為基石的邏輯邊界3.典型案例（1）內(nèi)部隔離（2）設(shè)置安全接入?yún)^(qū)數(shù)據(jù)中心外部設(shè)置安全接入?yún)^(qū)，所有用戶接入、終端務(wù)可計量為特征，同時，云計算作為基礎(chǔ)支撐平臺，參與角色復(fù)雜，1.應(yīng)用場景分析（1）云管理服務(wù)的安全性要求（2）共享技術(shù)漏洞帶來的威脅（3）云平臺開源代碼自身風(fēng)險2.先進性和創(chuàng)新性平臺。隨著越來越多的公有云上服務(wù)組件被使用，SaaS44OpenShift：紅帽公司面向開源開45DockerEE：Dockerente46OpenStack：一個開源的云計算管理平臺項目，是一系列軟件開源項目的授權(quán)后在全鏈路采用雙向mTLS48進行加密，務(wù)間通信，通過自適應(yīng)的訪問控制來執(zhí)行最小3.典型案例數(shù)據(jù)中心”應(yīng)用場景實現(xiàn)零信任安全架構(gòu)。在通過分析內(nèi)部人員1.應(yīng)用場景分析（2）多樣化終端接入管理困難物聯(lián)網(wǎng)終端采用多樣化接入技術(shù)，包括2G49/3G50/4G51/5G、492G：TheSecondGenerationMob503G：TheThirdGenerationMobileCommunicationTe技術(shù)（1G）與第二代數(shù)字手機通信技術(shù)（2G）相比，3G主要是將無線通信和國際互聯(lián)514G：The4thGenerationMobileCommunica55NB-IoT：NarrowBandInternetofThings，窄2.解決思路用設(shè)備標(biāo)簽，如移動設(shè)備識別碼（IMEI57）、應(yīng)用開發(fā)商標(biāo)識符解決設(shè)備入網(wǎng)身份管理問題。（3）建立物聯(lián)設(shè)備安全基線庫3.典型案例57IMEI：International61MAC地址：MediaAccessControlAddr1.5G應(yīng)用安全風(fēng)險分析62Gartenr，MarketReport：S（2）按照內(nèi)部和外部梳理5G架構(gòu)面對…….…….63IMSI：InternationalMobileSu 員設(shè)置并注冊未經(jīng)授權(quán)的網(wǎng)絡(luò)功能2.基于零信任的5G應(yīng)用風(fēng)險消減思路64MitM：Man-in-the的計算機虛擬放置具有網(wǎng)絡(luò)連接關(guān)系的兩臺計算機之間，這臺受控計算機被稱為“中間人”65MEC：MobileEdgeComp66NFC：NearFieldCommunication，近場通信 （2）實現(xiàn)細粒度用戶訪問控制12月簽署。最初的工作范圍是為第三代移動通信系統(tǒng)制定全69SUCI：SUbscriptio70AKA：AuthenticationandKeyAgreement，第三代移動通（3）訪問控制策略自動化配置自動化配置和動態(tài)訪問控制，最終實現(xiàn)智能主動防三、零信任實施建議（一）使用范圍1.是否需要零信任工作的人員類型激增，包括辦公場所固定辦公員工 嚴峻的安全態(tài)勢和數(shù)字化轉(zhuǎn)型浪潮下的新安全需求促使身份與采用零信任架構(gòu)，是否可以在一定時間范圍內(nèi)解決已存在的采用零信任架構(gòu)，是否可以在未來一定時間范圍為信息化系采用零信任架構(gòu)，是否可以順暢對接現(xiàn)有安全投資，在此基采用零信任架構(gòu)，是否可以滿足上級機構(gòu)和國家對于信息化零信任安全架構(gòu)將為現(xiàn)在和未來的信息化系統(tǒng)建設(shè)提供更好的2.正確的零信任思維零信任架構(gòu)以安全與易用平衡的持續(xù)認證改進固化的一次性強71TPM：TrustedPlatformModule，可信平臺模塊，一種植于計算機72HR：HumanResource，1.零信任實施關(guān)鍵“時刻”是，過渡到零信任安全的歷程不可避免地伴隨著大2.零信任實施關(guān)鍵“人物” CIO73/CSO74或CISO75在零信任推進過程中，建議成立專門的組織（或虛擬組織在3.零信任實施優(yōu)先級73CIO：ChiefInforma74CSO：ChiefSolutionOff75CISO：Chiefinformations能力優(yōu)先型：針對少量的業(yè)務(wù)構(gòu)建從低到高的能力，通過局部業(yè)務(wù)場景驗證零信任的完整能力，然后逐步遷移更多的業(yè)范圍優(yōu)先型：先在一個適中的能力維度上，遷移盡量多的業(yè) 信任實施技術(shù)路線（如下圖所示可制定差異化的、場景式的解決1.零信任實施準(zhǔn)備（2）梳理訪問全路徑，確定業(yè)務(wù)暴露面（3）制定零信任組件配置、實施方案2.零信任部署連通（2）連接身份安全基礎(chǔ)設(shè)施，支持用戶身份管理（3）對接信任評估安全數(shù)據(jù)，支持持續(xù)信任評估對所有訪問請求建立訪問控制策略?；诎踩呗院突A(chǔ)信任等級，續(xù)開展