零信任关键技术白皮书

2023 江苏易安联网络技术有限公司云计算开源产业联盟2023年8月9日 COPYRIGHTSTATEMENT 版权声明 本报告版权属于江苏易安联网络技术有限公司与云计算开源产业联盟。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明来源。违反上述声明者，将追究其相关责任。 编制单位 江苏易安联网络技术有限公司云计算开源产业联盟 编制人员 杨正权、秦益飞、于振伟、张英涛、张晓东 CONTENTS目 录 前言 第四章结束语 前言 “云时代”信息技术变革引发了企业网络基础架构的变化，网络安全架构也随之发展，围绕访问安全的“零信任”成为网络安全架构趋势之一。 从 2004 年耶利哥论坛上零信任理念萌芽，到当前零信任项目不断实施落地，经过政府机构、标准化组织、学术团体、企业和安全专家十余年的共同努力，零信任体系日臻成熟，“永不信任，持续验证”逐渐成为企业网络安全架构建设的核心理念。为了指导企业的零信任网络安全建设，本白皮书从理念发展、技术体系和实施指南等方面对零信任进行了研究、分析，以助力企业零信任理念的实施落地。 白皮书首先回顾了零信任理念的起源、发展和内涵，从体系化安全防护的视角，综合访问实体、会话管理和控制位置等不同维度，提出了全面建设零信任的技术全景，包括可信身份与认证、数据隔离保护、动态访问控制和自动响应与可视化。最后，针对复杂多样的企业网络环境，以零信任关键能力的实施为出发点，对典型零信任架构的关键技术能力进行分析，讨论了每种架构的技术特点和应用场景，为全面建设零信任的实施方案提供参考。 零信任作为一种新兴的网络安全架构理念，在未来的发展过程中必然遇到各种挑战，企业需要不断的创新思维，以积极的心态推进理论发展和技术实践。全面建设零信任通过体系化的安全规划，能够从宏观上明确企业网络安全实施方法，对业务资源形成全方位的保护能力，为企业组织的数字化转型保驾护航。 0 1P A R T 零信任发展概况 （一）零信任起源与发展 在传统边界安全模型中，企业 IT 部门采用以防火墙、VPN 为代表的网络安全产品和技术，通过对流经企业网络边界的流量进行检查、验证和加密，保护网络中的应用、服务和数据等资产。 在全球数字化转型浪潮下，企业网络安全面临诸多挑战。一是基础设施多样化、云化，业务访问需求复杂化，使得企业原有的网络边界逐渐模糊；二是远程办公、自有设备（BYOD）增加了数据泄露的风险；三是内部横向移动、APT 攻击、勒索软件等网络攻击手段不断提升，网络内部安全态势严峻。传统基于边界的网络安全防护手段已无力应对各种潜在的安全威胁，企业组织迫切需要优化网络安全架构，以为遍布世界各地的分支机构、合作伙伴、客户和员工提供多样化的网络接入和服务访问。 秉承“永不信任，持续验证”理念的零信任理念是解决上述问题的有效手段之一。零信任起源于耶利哥论坛（Jericho Forum，成立于 2004 年）对企业“去边界化”网络安全解决方案的探索。2010年，Forrester 的首席分析师John Kindervag 正式提出零信任概念（Zero Trust），认为默认情况下所有的网络流量都是不可信的，需要对访问任何资源的任何请求进行鉴别，通过微隔离架构实现对网络的细粒度访问控制，以限制攻击者的横向移动。 伴随着云计算、移动互联网的发展，零信任逐渐开始向以身份为基础的动态访问控制体系演变。2014 年，谷歌通过一系列论文介绍了 BeyondCorp 的设计思路和落地方案， 使用零信任架构替代了传统 VPN 的使用，将安全边界细化至用户和应用，确保来自不同位置的所有用户均能安全地访问企业业务。 2013 年，云安全联盟（CSA）提出 SDP（Software Defined Perimeter）软件定义边界，成为零信任的代表解决方案，并于 2014 年发布《SDP 标准规范》（1.0 版），介绍了 SDP 的架构组成、工作流程、交互协议和应用场景等内容。2020 年 8 月，美国国家标准技术研究所（NIST）发布《零信任架构》（SP 800-207），全面阐述零信任理念的核心原则、逻辑架构、典型场景的部署方式，以及与已有系统的交互支撑等内容。2021 年 2 月，DISA 和 NSA 联合发布了《DOD 零信任参考架构》，该报告采用美国军队体系结构描述方法（DoDAF），对零信任架构的预期目标、能力组成、组件关系、数据流转，以及应用场景等内容进行了说明。2021 年 10 月，ITU-T 发布标准《服务访问过程的持续保护指南》（X.1011），提出从主体发起访问请求到收到服务响应的访问过程中，基于零信任理念执行动态策略保护，通过不断分析相关实体的安全状况，验证访问活动的合理性，以保护访问过程的安全，推动零信任内涵从“持续验证”向“持续保护”升级。2022年 4月，CSA《SDP 标准规范》（2.0 版）正式发布，与 1.0 相比，该版本对 SDP 架构、部署模型和单包认证协议进行了细化说明，并解释了 SDP 与 NIST 零信任架构的映射关系。 综合来看，近几年零信任标准化研制工作已经进入高产阶段，零信任相关技术和产品逐步走向成熟。2019 年，中国信通院发布的《中国网络安全产业白皮书》指出：“零信任已经从概念走向落地”。2021 年以来，由奇安信牵头制定的国家标准《信息安全技术零信任参考体系架构》、中国信通院牵头制定的系列行业标准《面向云计算的零信任体系》等工作也取得了持续进展，为我国零信任产业的规模化发展打下良好基础。 （二）零信任的基本原则 零信任代表了新一代的企业网络安全架构，将由防火墙、IPS/IDS 等安全设备所构建的网络安全边界，转换成围绕受保护资产的软件定义边界，放弃了基于网络位置的信任假设，重新审视网络中信任关系的建立、维系方式，通过基于上下文的精细化访问控制，减少暴露面和攻击面，使网络安全管理能够更灵活地应对复杂的安全事件和网络变化。 零信任在萌芽阶段，主要关注企业网络的微隔离保护问题，John Kindervag 围绕零信任网络架构，给出了 3 个基本原则： （1）不再以网络位置区分网络、设备接口和用户的可信度； （2）访问控制应该遵从最小权限原则； （3）所有的访问都应当被记录和跟踪。 在零信任蓬勃发展阶段，应用场景不断变化，安全技术更新迭代，零信任理念的关注方向已经从企业网络基础架构发展为企业业务访问安全架构，提供了旨在消除访问决策不确定性的一系列概念和组件，进一步细化明确了零信任架构设计的前提假设和基本原则，以便指导零信任架构的落地实施，为企业数字资源建设打造体系化的安全控制能力。 零信任的安全假设是其基本原则的设计前提，在以 NIST 零信任架构为代表的安全框架中，零信任重点关注企业应用与资源的访问安全问题，对上下文的安全状况做出了一些基本的前提假设，主要包括： （1）从访问所处的空间维度来看，在网络的不同位置（内网、外网、云端等）、区域、节点，均存在无法避免的各种安全威胁； （2）从访问过程的组成维度来看，参与访问过程的所有对象默认都不可信任，包括用户、设备、网络、应用、数据等； （3）从访问发生的时间维度来看，在整个访问过程中，每个实体对象的安全性（机密性、完整性、可用性、真实性等）是动态变化的。 基于这些前提假设，零信任架构设计需要遵循的基本原则包括： （1）受保护资源应覆盖企业的所有数字资产，包括用户、设备、数据、服务等； （2）业务、资源访问所依赖的通信机制必须满足相应的安全要求（身份鉴别、机密性、完整性保护等），而且与资源的网络位置无关； （3）对资源的访问授权均应以会话为粒度，当且仅当请求方通过身份认证后，方可授予其最小访问权限（遵循最小权限原则）； （4）对资源的访问授权是通过动态策略决定的，影响策略判决结果的因素包括用户身份、应用 / 服务、目标资源的状态，以及与安全态势相关的行为或环境因素等； （5）企业持续监控和测量所有 IT 资产的安全状态，以便对处于不同安全态势下的资源采用不同的安全策略； （6）所有资源的认证、授权是动态完成的，并且必须在允许访问前完成； （7）企业尽可能收集 IT 资产的实时状态数据（如网络流量、访问请求的元数据），以便评估网络的安全态势。 上述原则体现了“永不信任、持续验证”的零信任理念，其核心要义是通过持续收集实时上下文，基于动态策略对所有资源的所有访问进行持续验证，通过实施最小权限原则，最大限度地收敛暴露面和失陷范围。 “实时上下文”是零信任的实现基础，由业务访问过程中，所有可能影响业务安全的内、外部因素组成，包括与访问相关的实体的状态、环境、事件、时序等，例如主体的历史行为、客体的安全状态、业务数据流转记录、当前网络（系统）的漏洞 / 补丁、恶意代码、升级更新、威胁情报、安全政策等。 零信任架构的基础设施需要实时收集，并使用组织业务中的安全上下文，快速、准确地确定访问的授权结果，确保用户体验不受影响。在零信任架构中，上下文的定义需要综 合考虑业务安全的要求和现有安全工具的能力，并在策略执行过程中进行验证，根据安全态势的变化加以调整，以确保动态策略的实施执行，收紧受保护资源的安全边界。 “持续验证”意味着无论什么时间，访问环境中不存在可信区域、凭据或设备，企业范围内的所有数字资产均面临威胁，需要对它们实施最大范围、基于风险的全过程访问控制，这种控制能力需要通过动态可扩展策略的部署来加以保证，以确保兼顾来自风险管理、安全合规、快速部署和用户体验等多部门多层面的综合要求。 通过实时上下文和持续验证的统一协同，零信任限制了用户身份凭据的使用范围和访问路径，实现了企业范围内的“收敛暴露面和失陷范围”，有助于将攻击威胁的可能性和影响（风险）降至可接受的范围内，使安全系统和人员能够获得足够的响应时间，以减少攻击带来的损失。 0 2P A R T 全面建设零信任关键技术全景 （一）全面建设零信任概述 企业全面建设零信任的目的是为了提升业务资源访问的速度与安全性，企业需要建设能贯通整个业务访问过程的安全架构和基础设施，形成对企业资源的全方位保护。零信任架构通过提供自适应的持续保护和主动威胁管理，为用户、设备和应用建立多层级的“永不信任、持续验证”安全访问环境，并支持为安全团队提供业务访问的完整视图，安全策略全局一致，能够快速并精准地对威胁进行检测与响应。 零信任架构聚焦资源和业务的访问环境安全性，结合不同维度的上下文，从参与访问的实体对象（用户、设备、网络、应用、数据等）、访问会话所处的时间阶段（身份认证，会话建立、业务通信、会话关闭）、访问发生的空间位置（终端、数据中心、云端）等层面，通过融合现有的网络安全工具和技术能力，实施全流程、全区域的零信任安全访问，形成动态、立体的体系化安全防御能力，全面建设零信任的概念组成如图 1 所示。 在现阶段主流的零信任架构中，访问安全的核心关联元素包括： （1）访问主体： a) 用户：访问发起者，即真实自然人、NPE 在网络中的身份映射； b) 设备：访问发起者所用设备，包括系统软硬件、执行环境等； c) 工作负载：访问发起的工作负载，包括容器、虚拟机等； （2）资源：访问或获取的目标客体，如应用、业务数据或服务； （3）网络：访问主体与资源间各中间节点构成的物理或逻辑通道。 在业务访问过程中，根据各关联要素的安全状态变化情况，可大致将单次会话的访问过程划分为 4 个阶段： （1）身份认证：访问关联实体进行身份认证； （2）会话建立：访问主体发起资源访问请求，鉴权中心经过动态策略判定，授予访问主体相应权限； （3）业务通信：用户通过安全链路访问业务资源； （4）会话终止：主客体之间关闭访问会话。 围绕业务资源可能所处的位置，受保护对象的分布位置可分为 3 种情况： （1）终端：受保护资源处于用户办公终端内，包括企业设备，BYOD 等； （2）数据中心：受保护资源处于数据中心内部，企业围绕数据中