基于零信任的安全架构( 二 ) _安全架构

02
传统网络架构
传统网络一般在网络边界上设置隔离认证区进行认证与控制。而零信任网络没有围墙和大门的概念，将门从单位围墙处移到了办公室，甚至每一个办公桌小间。
一个存在内、外网互联需求的传统网络，建立基于网络位置的可信控制模型，将网络划分为内部网络和外部网络。一般认为内部网络是可信的，外部网络是不可信的。内部网络可以根据业务系统的需要划分为若干个在物理或逻辑上相隔离的子网络。子网络内用户间的通信是自由的。为维护内部网络安全，内外网之间通过边界隔离设备进行连接可控通信。边界防护如单位大门一样，访客在单位大门口的接待区办理完手续后即可进入，在单位内部可随心所欲溜达。传统网络存在信任过度问题，面对从内部网络发起的内部攻击毫无招架之力。即使攻击来自于外部，只要穿过边界防护这道大门，在内部网络可以肆意穿梭。
传统网络架构，如图1所示。

文章插图

图1　传统网络架构
03
零信任网络安全架构
3.1　架构模型
零信任网络在任何一个用户，任何一台设备，发起的任何一次连接，申请的任何一次服务，在通过认证策略判决前均认为是不可信的。它的认证不再是一站式服务，而是细化到了一事一论。零信任网络逻辑如图2所示。

文章插图

图2　零信任网络逻辑
零信任网络逻辑体系由策略判决、策略执行、监测系统、风险分析系统、数据访问策略、身份管理系统、设备管理系统、安全管理系统以及证书系统等组成。
【基于零信任的安全架构】在零信任网络中，主体对客体的访问服务请求是否通过，由策略判决模块完成，并将判决结果告知策略执行模块，由策略执行模块决定访问通道是否打开或关闭。策略判决模块可分为策略引擎和策略管理两部分。策略引擎负责通过信任算法进行信任评分。
监测系统。监测系统主要监测、收集网络自身的状态信息，包括操作系统和应用程序版本、补丁安装情况以及系统是否存在已知漏洞等。监测系统将收集的上述信息提供给策略引擎，作为信任评分函数的输入参数。
风险分析系统。风险分析系统主要是搜集和分析来自于网络外部的风险信息，并将分析结果提供给策略引擎作为信任评分函数的输入。它包括新发现的攻击或漏洞、DNS黑名单以及发现的恶意软件等。
数据访问策略。它是根据资源属性而创建的一组关于数据访问的属性和规则组合。该策略根据组织任务需求而建立，为网络中的用户、设备以及应用程序提供基本的访问特权。这是资源访问权限的基点，而不是全部。
证书系统。证书系统负责为用户、设备、应用程序等产生并颁发证书，形成记录。
身份管理系统。身份管理系统负责创建、存储和管理用户账户和身份信息。该系统包含姓名、身份证书、Email地址、岗位、角色以及访问属性等用户信息。
安全管理系统。安全管理系统汇总系统日志、网络流量、资源授权等进行系统安全态势分析，可依据分析进行策略优化，或警告可能对网络进行的主动攻击。零信任将安全的自动化置于“安全运维”的中心地位。
3.2　信任评估算法
信任评估算法是零信任网络的大脑，维护整个零信任网络的正常运转。信任算法的输入包括用户信息、设备状态、访问信息、行为属性、访问策略以及外部威胁情报等。用户信息包括用户ID、用户凭证、用户属性和角色等。设备信息包括设备ID号、设备所处位置等。设备状态包括已安装的操作系统及应用软件版本、补丁修补情况和网络位置等。访问信息包括待访问资源的属性、类别和级别等。行为属性包括用户访问业务的行为、操作习惯、访问时间、设备分析、来源IP地址、来源地理位置、访问频度以及使用模式偏差等。外部威胁情报包括监测到的恶意攻击、已知漏洞等。信任评估算法模型，如图3所示。