什么是零信任网络架构

零信任是John Kindervag在Forrester Research担任分析师时创造的一个术语，用于描述一个战略框架，在该框架中，默认情况下网络上的任何内容都不受信任 - 不是设备，不是最终用户，不是进程。一切都必须经过身份验证、授权、验证和持续监控。

传统的安全方法基于“信任，但验证”的概念。这种方法的弱点是，一旦某人通过身份验证，他们就被认为是受信任的，并且可以横向移动以访问本应禁止的敏感数据和系统。

零信任原则将其更改为“从不信任，始终验证”。零信任体系结构的目的不是使系统受信任或安全，而是完全消除信任的概念。零信任安全模型假定攻击者始终存在于环境中。信任从来不是无条件或永久授予的，而是必须不断评估的。4G工业路由器

零信任方法的开发是对多年来如何访问企业资产、资源和数据的传统方法的回应。在计算的早期，公司能够通过使用防火墙和其他安全技术来保护他们的数据，这些技术在数据周围建立一个“安全边界”。就像中世纪的城墙一样，这些技术有助于保护内部的东西（大部分）。

但随着员工、承包商和业务合作伙伴开始远程工作，边界很快就发生了变化——通过基于云的网络或使用个人拥有的设备访问资源，而这些设备并不总是被验证为完全安全的。此外，物联网（IoT）设备的部署有所增加，这些设备通常可以自动访问网络资源。

为了允许员工访问网络资源，零信任体系结构需要多种技术的组合，包括身份管理、资产管理、应用程序身份验证、访问控制、网络分段和威胁情报。

零信任的平衡行为是在不牺牲用户体验的情况下增强安全性。经过身份验证和授权后，用户将被授予访问权限，但只能访问执行其工作所需的资源。如果设备或资源遭到入侵，零信任可确保可以控制损害。

对于许多公司来说，好消息是他们可能已经投资了几种零信任支持技术。在采用零信任方法时，公司更有可能需要采用和实施新策略，而不是安装新硬件。

ZTNA 的基本概念是什么？

在开始部署零信任体系结构之前，整个公司必须遵循几个基本规则，以使系统正常工作。

- 所有数据源、计算服务和设备都被视为资源。如果员工拥有的设备可以访问企业拥有的资源，则即使员工拥有的设备也必须被视为资源。

- 无论网络位置如何，都应保护所有通信。网络内的设备和用户与网络边界外的设备和用户一样不可信。

- 按会话授予对资源的访问权限，并具有完成任务所需的最低权限。对一个资源的身份验证不会自动授予对另一个资源的访问权限。

- 对资源的访问是通过动态策略确定的，该策略包括客户端标识、应用程序的状态，并可能包括其他行为和环境属性。

- 企业必须监控和衡量所有自有资产和相关资产的完整性和安全状况。需要持续诊断和缓解 （CDM） 或类似系统来监视设备和应用程序。补丁和修复需要快速应用。发现具有已知漏洞的资产可以与被视为处于最安全状态的设备或资产区别对待（包括拒绝连接）。

- 在允许访问之前，将严格执行身份验证和授权，并且可能会发生变化。一天的授权并不保证第二天的授权。

- 组织需要收集尽可能多的有关其资产、网络基础设施、通信、最终用户和设备的当前状态的信息，以改善其安全状况。只有有了这些见解，才能创建、实施和改进策略。

如何实现零信任

一旦理解并应用了这些原则，公司就可以开始实施零信任策略。这包括以下五个步骤：

确定需要保护的资源。术语各不相同——有人称之为“保护表面”，有人称其为“隐性信任区”。但它基本上是一个明确定义的区域，其中将发生零信任流程，这取决于业务及其需求。优先考虑保护区可以保持这些区域较小，至少在最初是这样。

映射这些资源的事务流。公司需要确定谁通常需要访问这些资源、他们如何连接以及他们使用哪些设备进行连接。

构建体系结构。这包括添加允许或拒绝访问这些受保护资源的组件。

创建一个零信任策略，指示用户角色、授权以及用户进行身份验证的方式（多重身份验证是必备条件）。

监控和维护系统，根据需要进行更改和改进。

什么是零信任体系结构？

将资源标识为受保护后，公司需要设置“检查点”，负责决定允许或拒绝访问。有三个主要组件，基于 NIST 在 2020 年 8 月的零信任架构文档中创造的术语)

策略引擎 （PE）。 策略引擎 （PE） 负责做出授予或拒绝对资源的访问权限的决定。它通常根据企业策略做出决策，但也从外部来源（包括CDM系统，威胁情报服务）和信任算法获得输入。做出决定后，将记录该决策，策略管理员将执行该操作。

策略管理员 （PA）： PA 负责建立或关闭请求者（人或机器）和资源（数据、服务、应用程序）之间的通信路径。PA 可以生成特定于会话的身份验证（或使用令牌、凭据、密码）作为其过程的一部分。如果授予请求，PA 将配置策略实施点 （PEP） 以允许会话启动。如果请求被拒绝，PA 会告诉 PEP 关闭连接。

策略实施点 （PEP）： PEP 启用、监视并最终终止请求者和资源之间的连接。它与 PA 通信以转发请求，以及从 PA 接收策略更新。

其他系统可以提供输入和/或策略规则，包括 CDM 系统、行业合规系统（确保这些系统与监管机构保持一致）、威胁情报服务（提供有关新识别的恶意软件、软件缺陷或其他报告的攻击的信息）、网络和系统活动日志以及身份管理系统（跟踪更新的角色、分配的资产、 和其他属性）。

其中许多系统将数据馈送到信任算法中，该算法有助于对访问网络资源的请求做出最终决策。信任算法将来自请求者的数据以及许多其他指标视为其决策的一部分。问题示例包括但不限于：

这个人是谁？是真人还是机器？（物联网传感器，例如）

他们以前要求过这个吗？

他们使用什么设备？

操作系统版本是否已更新和修补？

请求者位于何处？（国内、海外等）

此人是否有权查看此资产？

ZTNA 的部署方案

 每家公司都是不同的，因此他们处理零信任的方式会有所不同。以下是一些常见方案：

拥有卫星办公室的企业。员工在远程位置工作或远程工作人员的公司可能需要将 PE/PA 作为云服务托管。这提供了更好的可用性，并且不需要远程工作人员依赖企业基础架构来访问云资源。在此方案中，最终用户资产将具有已安装的代理，或者将通过资源门户获得网络访问权限。

多云或云到云企业： 使用多个云提供商的公司可能会看到应用程序托管在独立于数据源的云服务上的情况。在这种情况下，托管在一个云中的应用程序应该能够直接连接到第二个云中的数据源，而不是强制应用程序通过企业网络隧道返回。在这种情况下，PEP 将放置在每个应用程序/服务和数据源的访问点上。这些可以位于云服务中，甚至可以位于第三个云提供商中。客户可以直接访问 PEP，企业能够管理访问权限。这里的一个挑战是不同的云提供商有自己的方法来实现相同的功能。

具有承包商或非员工访问权限的企业： 对于需要有限访问权限的现场访客或签约服务提供商，零信任架构还可能将 PE 和 PA 部署为托管云服务，或在 LAN 上部署（如果很少或不使用云托管服务）。PA确保非企业资产无法访问本地资源，但可以访问Internet，以便访问者和承包商能够工作。

零信任挑战

除了与从隐式信任迁移到零信任相关的一些迁移问题外，安全领导者还应考虑其他几个问题。首先，必须正确配置和维护 PE 和 PA 组件。对 PE 规则具有配置访问权限的企业管理员可能能够执行未经批准的更改或犯可能中断操作的错误。受损的 PA 可能允许访问否则不会批准的资源。必须正确配置和监视这些组件，并且必须记录任何更改并进行审核。

其次，由于 PA 和 PEP 正在为资源的所有访问请求做出决策，因此这些组件容易受到拒绝服务或网络中断攻击。对决策过程的任何干扰都可能对公司的运营产生不利影响。策略实施可以驻留在适当安全的云环境中，也可以复制到不同的位置以帮助降低此威胁，但它并不能完全消除威胁。

第三，被盗的凭据和恶意的内部人员仍然会对公司的资源造成损害。但是，正确开发和实现的零信任体系结构将限制这种方法造成的损害，因为系统能够确定谁在发出请求以及请求是否正确。例如，监控系统将能够检测看门人的被盗凭据是否突然尝试访问信用卡号数据库。

第四，安全官员需要确保采用零信任策略不会造成大量的安全疲劳，在这种疲劳中，用户不断被要求提供凭据、密码和操作系统补丁检查，最终会对生产力产生负面影响。在这里，需要在员工和承包商完成工作的能力与确保他们不是攻击者之间取得平衡。