企業的安全邊界正在逐漸瓦解，傳統的基于邊界的網絡安全架構和解決方案難以適應現代企業網絡基礎設施，亟需新的網絡安全架構應對現代復雜的企業網絡基礎設施，應對日益嚴峻的網絡威脅形勢，零信任架構在這種背景下應運而生，學術界和產業界投入了大量精力進行研究。

圖 1 基于邊界的傳統網絡安全架構

一、零信任的誕生

零信任的最早雛形源于2004年成立的耶利哥論壇(Jericho Forum )，其成立的使命正是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案。

2010年，零信任這個術語正式出現，并指出所有的網絡流量都是不可信的，這個時期專注于通過微隔離對網絡進行細粒度的訪問控制以便限制攻擊者的橫向移動。

以身份為基石的架構體系逐漸得到業界主流的認可。

2014年，Google基于內部項目BeyondCorp的研究成果，構建零信任架構。

2017年，Gartner將其自適應安全架構優化為持續自適應風險與信任評估構架。

二、零信任的定義

零信任本質是以身份為基石的動態可信訪問控制。它需要滿足五個準則：

• 網絡無時無刻不處于危險的環境中;
• 網絡中自始至終存在外部或內部威脅;
• 網絡的位置不足以決定網絡的可信程度;
• 所有的設備、用戶和網絡流量都應當經過認證和授權;
• 安全策略必須是動態的，并基于盡可能多的數據源計算而來。

根據零信任的定義和準則，可以提取、凝練出四個要素：分別是(1)身份為基石，(2)業務安全訪問，(3)持續信任評估，(4)動態訪問控制。

三、零信任架構模型

(一)以身份為基石

基于身份而非網絡位置來構建訪問控制體系，首先需要為網絡中的人和設備賦予數字身份，將身份化的人和設備進行運行時組合構建訪問主體，并為訪問主體設定其所需的最小權限。

圖 2 以身份為基石

(二)業務安全訪問

零信任架構關注業務保護面的構建，通過業務保護面實現對資源的保護，在零信任架構中，應用、服務、接口、數據都可以視作業務資源。通過構建保護面實現對暴露面的收縮，要求所有業務默認隱藏，根據授權結果進行最小限度的開放，所有的業務訪問請求都應該進行全流量加密和強制授權，業務安全訪問相關機制需要盡可能工作在應用協議層。

圖 3業務安全訪問

(三)持續信任評估

持續信任評估是零信任架構從零開始構建信任的關鍵手段，通過信任評估模型和算法，實現基于身份的信任評估能力，同時需要對訪問的上下文環境進行風險判定，對訪問請求進行異常行為識別并對信任評估結果進行調整。

圖 4 持續信任評估

(四)動態訪問控制

動態訪問控制是零信任架構的安全閉環能力的重要體現。建議通過RBAC和ABAC的組合授權實現靈活的訪問控制基線，基于信任等級實現分級的業務訪問，同時，當訪問上下文和環境存在風險時，需要對訪問權限進行實時干預并評估是否對訪問主體的信任進行降級。

圖 5 動態訪問控制

四、零信任架構組件

基于零信任模型架構，以搭建面向實際應用的零信任系統為目標，需要依賴于四個核心組件—(1)可信代理，(2)動態訪問控制引擎，(3)信任評估引擎，(4)身份安全基礎設施。

(一)可信代理

可信代理是零信任架構的數據平面組件，是確保業務安全訪問的第一道關口，是動態訪問控制能力的策略執行點。

可信代理攔截訪問請求后，通過動態訪問控制引擎對訪問主體進行認證，對訪問主體的權限進行動態判定。只有認證通過、并且具有訪問權限的訪問請求才予以放行。

(二)動態訪問控制引擎

動態訪問控制引擎和可信代理聯動，對所有訪問請求進行認證和動態授權，是零信任架構控制平面的策略判定點。

動態訪問控制引擎對所有的訪問請求進行權限判定，權限判定不再基于簡單的靜態規則，而是基于上下文屬性、信任等級和安全策略進行動態判定。

(三)信任評估引擎

信任評估引擎是是零信任架構中實現持續信任評估能力的核心組件，和動態訪問控制引擎聯動，為其提供信任等級評估作為授權判定依據。

信任評估引擎持續接收可信代理、動態訪問控制引擎的日志信息，結合身份庫、權限庫數據，對身份進行持續畫像，對訪問行為進行持續分析，對信任進行持續評估，為動態訪問控制引擎提供決策依據。

另外，信任評估引擎也可以接收外部安全分析平臺的分析結果，這些外部風險源可以很好的補充身份分析所需的場景數據，豐富上下文，從而進行更精準的風險識別和信任評估。

(四)身份安全基礎設施

身份基礎設施是是實現零信任架構以身份為基石能力的關鍵支撐組件。

身份基礎設施至少包含身份管理和權限管理功能組件，通過身份管理實現各種實體的身份化及身份生命周期管理，通過權限管理，對授權策略進行細粒度的管理和跟蹤分析。

五 、思考與總結

通過從零信任的發展、定義、模型架構、模型組件等角度縱深剖析零信任架構，我們最終進行了如下總結與思考。

零信任架構目前只是應用于企業網絡系統的防御，實際應用到公共服務中目前還存在著一些的困難。具體原因包括：

• 零信任的原則是以身份為基石，為每個參與到網絡之中的角色分配一個具體的數字身份，而真正的公共服務中角色數量過于龐大，為每個角色分配數字身份進行權限控制會導致網絡負載過大的問題。
• 零信任架構存在著一個權限控制中心，這個控制中心必須位于絕對安全的位置，如企業內網的防護中心，而公共服務較難做到這一點。