【易安联&云计算开源产业联盟】零信任关键技术白皮书.pdf

“云时代”信息技术变革引发了企业网络基础架构的变化，网络安全架构也随之发展，围绕访问安全的“零信任”成为网络安全架构趋势之一。

零信任作为一种新兴的网络安全架构理念，在未来的发展过程中必然遇到各种挑战，企业需要不断的创新思维，以积极的心态推进理论发展和技术实践。全面建设零信任通过体系化的安全规划，能够从宏观上明确企业网络安全实施方法，对业务资源形成全方位的保护能力，为企业组织的数字化转型保驾护航。

零信任起源与发展

在传统边界安全模型中，企业IT部门采用以防火墙、VPN为代表的网络安全产品和技术，通过对流经企业网络边界的流量进行检查、验证和加密，保护网络中的应用、服务和数据等资产。

在全球数字化转型浪潮下，企业网络安全面临诸多挑战。一是基础设施多样化、云化，业务访问需求复杂化，使得企业原有的网络边界逐渐模糊；二是远程办公、自有设备（BYOD）增加了数据泄露的风险；三是内部横向移动、APT攻击、勒索软件等网络攻击手段不断提升，网络内部安全态势严峻。传统基于边界的网络安全防护手段已无力应对各种潜在的安全威胁，企业组织迫切需要优化网络安全架构，以为遍布世界各地的分支机构、合作伙伴、客户和员工提供多样化的网络接入和服务访问。

秉承“永不信任，持续验证”理念的零信任理念是解决上述问题的有效手段之一。零信任起源于耶利哥论坛（JerichoForum，成立于2004年）对企业“去边界化”网络安全解决方案的探索。2010年，Forrester的首席分析师JohnKindervag正式提出零信任概念（ZeroTrust），认为默认情况下所有的网络流量都是不可信的，需要对访问任何资源的任何请求进行鉴别，通过微隔离架构实现对网络的细粒度访问控制，以限制攻击者的横向移动。

零信任的基本原则

零信任代表了新一代的企业网络安全架构，将由防火墙、IPS/IDS等安全设备所构建的网络安全边界，转换成围绕受保护资产的软件定义边界，放弃了基于网络位置的信任假设，重新审视网络中信任关系的建立、维系方式，通过基于上下文的精细化访问控制，减少暴露面和攻击面，使网络安全管理能够更灵活地应对复杂的安全事件和网络变化。

零信任在萌芽阶段，主要关注企业网络的微隔离保护问题，JohnKindervag围绕零信任网络架构，给出了3个基本原则：

（1）不再以网络位置区分网络、设备接口和用户的可信度；

（2）访问控制应该遵从最小权限原则；

（3）所有的访问都应当被记录和跟踪。

全面建设零信任典型实践

谷歌BeyondCorp项目的目标是“让所有Google员工从非可信网络中，不接入VPN就能顺利工作”，处于外部公共网络和本地网络的设备在默认情况下都不会授予任何特权。在全新的无特权内网访问模式下，访问仅依赖于设备和用户身份凭证，而与用户所处的网络位置无关，无论用户是在公司内网、家庭网络或公共网络，所有对企业资源的访问都要基于设备状态和用户身份凭证进行认证、授权和加密。

BeyondCorp的基本组件包括：用户/组数据库、信任评估引擎，设备资产库存数据库、访问控制引擎、访问代理和资源。其中：

用户/群组数据库系统与谷歌的HR流程紧密集成，管理着所有用户的岗位分类、用户名和群组成员关系，BeyondCorp跟踪和管理用户/群组数据库中的所有用户。当员工入职、转岗、或离职时，数据库就会相应更新。HR系统将需要访问企业的用户的所有相关信息都提供给BeyondCorp。

设备资产库围绕“受控设备”进行建设，只有受控设备才能访问企业应用。在设备的生命周期管理中，谷歌追踪每个设备上发生的变化，这些信息会被监控、分析，并提供给BeyondCorp的其他组件使用。通过元清单数据库，掌握了所有需要访问企业应用的设备信息。