零信任是否就是不信任？

John Kindervag 在 Forrester 創(chuàng)立了“零信任”一詞。零信任后來成為一個術(shù)語，用來描述各種網(wǎng)絡(luò)安全解決方案。

我們要搞清楚零信任是不是就表示不信任，就要了解是誰不信任誰？在計(jì)算機(jī)網(wǎng)絡(luò)里的任何操作可以分為資源訪問者和資源提供者，按這里語義套進(jìn)去就是資源訪問者不信任資源提供者。那么問題來了，如果不信任那么資源提供者怎么把數(shù)據(jù)給資源訪問者呢，整個網(wǎng)絡(luò)就不存在了，是個悖論！

在傳統(tǒng)網(wǎng)絡(luò)里面就充滿了信任，比如：信任操作系統(tǒng)、數(shù)據(jù)庫、web服務(wù)器部署在操作系統(tǒng)之上，默認(rèn)認(rèn)為一般人進(jìn)不了操作系統(tǒng)，進(jìn)入操作系統(tǒng)的是可信的人。就像是信任內(nèi)網(wǎng)，一般情況下，企業(yè)外部出口部署了很多防護(hù)系統(tǒng)，但在內(nèi)網(wǎng)環(huán)境下是完全不設(shè)防的；或者是信任靜態(tài)密碼，無論是多重要的系統(tǒng)，多重要的賬號，依舊是一個密碼即可進(jìn)入系統(tǒng)之中。

大多數(shù)系統(tǒng)都會采用入口大門先出示憑證，或增加二次強(qiáng)認(rèn)證來保證訪問系統(tǒng)的主體的合法性，一旦認(rèn)證通過將通行無阻，出現(xiàn)的惡意訪問、越權(quán)、非法操作將無法防護(hù)。

零信任中的持續(xù)認(rèn)證是細(xì)粒度到主體的每一次事務(wù)性的資源獲取或操作過程必須重新評估主體的信任，因?yàn)樵趶?fù)雜的互聯(lián)網(wǎng)中主體中狀態(tài)是持續(xù)動態(tài)的在變化，那么就要進(jìn)行持續(xù)的認(rèn)證和風(fēng)險評估，才能做到最細(xì)粒度的風(fēng)險控制。

從網(wǎng)絡(luò)安全角度出發(fā)，到底什么樣的架構(gòu)才能落地零信任理念？

派拉零信任架構(gòu)設(shè)想

圖示：零信任架構(gòu)設(shè)想

SDP：主要是用于定義訪問的邊界，保護(hù)南北向流量安全；

企業(yè)安全瀏覽器：支持chrome和IE雙內(nèi)核的瀏覽器，作為Web應(yīng)用的沙箱，可以以有效方式避免終端環(huán)境本身不安全問題；安全瀏覽器自動與網(wǎng)關(guān)建立加密的安全隧道，保障通訊數(shù)據(jù)的安全性，發(fā)布的后端應(yīng)用只能在安全瀏覽器中訪問，并能支持國密化方案；

Agent：在無安全瀏覽器或CS應(yīng)用的TCP通訊場景下，需要一個獨(dú)立的客戶端服務(wù)來建立可信的mTLS安全隧道，同時還要負(fù)責(zé)終端的安全評估、設(shè)備的上下文獲取、終端的安全基線建立，保證在發(fā)起認(rèn)證前的終端環(huán)境的安全；

控制器：SDP控制器提供一個單向端口，接受終端的認(rèn)證請求，對終端的設(shè)備狀態(tài)、身份憑據(jù)、行為上下文進(jìn)行判斷；只有認(rèn)證通過的認(rèn)證的訪問請求，控制器才會通知安全網(wǎng)關(guān)臨時開放訪問端口，接受終端的訪問請求，并在訪問過程中持續(xù)監(jiān)控終端狀態(tài)，發(fā)生訪問或設(shè)備風(fēng)險時進(jìn)行實(shí)施阻斷網(wǎng)關(guān)端口的關(guān)閉操作；

安全網(wǎng)關(guān)：提供可信的mTLS安全隧道服務(wù)，隧道聯(lián)通后分發(fā)到應(yīng)用網(wǎng)關(guān)、API網(wǎng)關(guān)、應(yīng)用網(wǎng)關(guān)，滿足不同場景下不同應(yīng)用的代理訪問能力，對于終端只能與安全網(wǎng)關(guān)進(jìn)行連接，不與實(shí)際資源直接交互，所有流量都通過3個業(yè)務(wù)網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)，在轉(zhuǎn)發(fā)過程中進(jìn)行實(shí)施的細(xì)粒度權(quán)限控制；

SSO：單點(diǎn)登錄組件，提供身份驗(yàn)證、授權(quán)；用于零信任架構(gòu)中所有組件的認(rèn)證功能；作為一個IDP支持Oauth2、OIDC、SAML等認(rèn)證中心；

MFA：多因素認(rèn)證中心，結(jié)合SSO和UEBA在用戶認(rèn)證階段提供強(qiáng)認(rèn)證能力，標(biāo)準(zhǔn)的OTP、短信認(rèn)證、二維碼掃描、生物認(rèn)證、第三方互聯(lián)網(wǎng)認(rèn)證能力；

UEBA：持續(xù)用戶行為風(fēng)險分析能力，在零信任架構(gòu)中解決持續(xù)認(rèn)證的有效架構(gòu)，實(shí)施的根據(jù)終端狀態(tài) 、訪問行為、數(shù)據(jù)流量、資源狀態(tài)綜合分析，可以通過學(xué)習(xí)算法和模型進(jìn)行風(fēng)險判斷，并通過MFA能力進(jìn)行風(fēng)險緩解的操作；

IDM：身份控制和管理，統(tǒng)一身份源的建立、角色身份的供給、權(quán)限的細(xì)粒度控制、資源應(yīng)用的身份同步能力；有效的整合企業(yè)內(nèi)部所有應(yīng)用的統(tǒng)一身份治理能力；

PKI：公鑰基礎(chǔ)設(shè)施，具有數(shù)字證書、認(rèn)證中心（CA）、證書資料庫、證書吊銷系統(tǒng)、密鑰備份及恢復(fù)系統(tǒng)等構(gòu)成部分；為數(shù)據(jù)通道m(xù)TLS的底層安全提供能力，為設(shè)備認(rèn)證和數(shù)據(jù)發(fā)送提供不可抵賴性保障；

控制中心：零信任架構(gòu)能控制大腦和配置中心，所有組件安裝部署配置、策略制定下發(fā)、終端網(wǎng)關(guān)資源的控制；

微隔離提供東西向數(shù)據(jù)安全保護(hù)，即應(yīng)用程序之間不是人為發(fā)起的數(shù)據(jù)通信的安全保護(hù)；

Istio對部署在容器的應(yīng)用集群進(jìn)行分類保護(hù)，以業(yè)務(wù)系統(tǒng)為單位統(tǒng)一數(shù)據(jù)出口和入口；邏輯上將數(shù)據(jù)中心劃分為不同的安全段，一直到各個工作負(fù)載級別，然后為每個獨(dú)特的段定義安全控制和所提供的服務(wù)。多采用軟件方式，而不是安裝多個物理防火墻，微隔離可以在數(shù)據(jù)中心深處部署靈活的安全策略；

所有應(yīng)用程序間交互基于PKI系統(tǒng)提供的證書服務(wù)，提供mTLS的雙向認(rèn)證，資源調(diào)用者和提供者必須基于證書體現(xiàn)才能進(jìn)行訪問 。

下期我們還會對零信任作進(jìn)一步的介紹，及時關(guān)注喲~