【翻译】零信任架构准则(一)Introduction to Zero Trust

零信任简介

零信任架构是一种移除内网信任的一种系统设计方法，它假定访问网络的用户都是有敌意的，因此，每个访问请求都需要基于访问防护策略去验证。零信任架构对用户请求的可信度是通过持续构建用户行为上下文来实现，而上下文又依赖于强大的身份验证，授权，设备运行状况和所访问的数据资产的价值。如果你不确定零信任是否是你需要的网络架构，或者你是零信任的初学者，那么我们的网络架构指南会是一个很好的阅读切入点。

关键概念

在阅读和遵循我们的零信任原则时，需要牢记一些关键概念。

网络充满敌意

网络应该被视为受到威胁攻击，我们应始终对其保持敌意，这意味着需要从你提供的网络服务中删除任何默认可以相信的东西。在零信任架构中，固有信任已经从网络架构中移除。虽然你已连接到网络中，但这并不意味着你能够访问该网络服务的所有内容。其次，每个访问数据或服务的请求都应该根据访问策略进行身份验证和授权，如果某一时刻连接不满足访问策略，那么该连接就应该被终止掉。

存在某种攻击手段，就是当攻击者通过了授权来到了服务内网，然后在内网中横向移动去获得更高的权限或更高价值的数据，这完全是有可能的，因为传统的网络服务架构认为只要你认证通过进入了内网，那么你就拥有访问内网其他资源的权限，比如说可以做端口扫描。在零信任架构中，网络被视为充满敌意，因此访问每个数据或服务的请求都要根据动态+静态策略不断去验证，这与传统网络边界（内网资产+防火墙）相比，这将提高对网络攻击者横向移动尝试的监控和检查，但零信任并不能完全消除攻击者横向移动带来的威胁。

动态获取信任

访问网络服务的用户，设备和服务连接，我们不能刻板认为哪些是可信任的，我们需要持续评估这些连接的可信度。对于访问服务的用户，你必须首先建立对用户身份，行为以及设备健康状况的评估策略，然后才能让他们访问服务。简言之，我们对连接授权的苛刻程度完全取决于所访问数据的价值，或所请求操作被允许后所带来的影响。例如，访问敏感的个人数据可能需要访问策略，该策略包含是否是采用加密协议（https），是否内网应用安装了某个安全漏洞补丁或采用了安全启动等等。另一方面，低价值数据（千古难题，我们中午吃什么）可由组织中的任何人查看，无论他们的身份验证强度或设备健康状况如何。

术语

在讨论零信任架构时，拥有共同的词汇表是很有帮助的，以下是整个零信任原则中使用的一些术语。

术语	翻译	解释
Access Policy	访问策略	信任和授权访问请求时的策略
Configuration Policy	配置策略	描述设备和服务配置选项的策略
Signal	信号量	一条描述设备状况和用户行为的信息，例如设备运行状况或位置，它可以帮助我们评估访问的可信度，我们通常都是会使用多个Signal组合决定是否授予对资源的访问权限
Policy Engine	策略引擎	决定授予指定访问主体对资源的访问权限，核心作用时信任评估
Policy Enforcement Point	策略执行点	负责主体与访问客体之间的连接，包含建立连接，持续监控，并最终终止连接。由两个组件客户端（如PC上的agent端）和资源端组件（如资源前控制访问的网关）
Device Health	设备健康状况	是否符合配置策略并处于设备可信状态，例如，已安装最新安全补丁，启用安全启动功能等

Signal

PE and PEP

为什么需要零信任

不断变化的边界

传统范式下，网络边界固定，受信任的内网受负载均衡和防火墙之类的网络设备保护，但这个范式已被虚拟网络取代并且过去的网络协议也被认为不是原生安全的。实际上，许多当前的网络协议（例如 IPSec 和 SSL VPN）都存在已知的漏洞。此外，大量的移动和物联网设备对传统固定网络中边界网络的本质带来了挑战。一个常见的用例是现场承包商必须访问内部和云中的网络资源。混合架构也正在发展，在这种架构中，企业工作站通过云赋能异地客户和合作伙伴处的员工可以共用站点设施。此外，在这些情况下，通过站点到站点的连接（包括与第三方的互连）重新定义了域边界。

IP 地址挑战

今天一切都依赖于对 OSI 网络堆栈 1-4 层上 IP 地址的信任，但这带来了一个问题：IP 地址缺乏任何类型的用户信息来验证设备请求的完整性。IP 地址根本无法拥有用户上下文信息。IP 地址仅提供连接性信息，但不对终端或用户的可信度提供指示。最后，IP 地址会动态分配，或者当用户从一个位置移至另一个位置时会发生变化，因此不应用作网络位置的基准。

实施集成控制的挑战

网络连接的单点信任很难实现。在允许通过防火墙访问之前集成身份管理是一项非常消耗资源的任务。其次，为单个应用程序提供控制安全态势的能力目前是一个巨大的挑战。改造应用程序和容器平台的安全性需要集成访问控制、身份管理、令牌管理、防火墙管理、代码、脚本、管道和图像扫描，以及对集成的整体编排。这对大多数团队非常困难。

零信任解决哪些问题

先连接再验证

大多数网络装置都允许在验证身份之前进行访问。由于没有万无一失的守护者可以检验身份声明，因此访问控制机制可以被绕过。身份验证、授权和基于令牌的访问控制系统，不论是否经过加密，都可能存在多个缺陷。

本质上讲，组织为设备提供连接到 Internet 的 IP 地址时做了三件事：

• 拒绝尝试连接的恶意行为者，这个群体主要依靠威胁情报来标识。

• 通过漏洞、补丁和配置管理功能加固机器，使其无懈可击。但事实证明这种做法不可行。

• 部署没有用户上下文的网络层防火墙设备。这些防火墙容易受到内部攻击，或使用过时的静态配置。

（注意：下一代防火墙（Next Generation Firewalls, NGFs）确实考虑了用户上下文，应用上下文和会话上下文，但仍是基于 IP 的，会由于应用层漏洞而导致不确定的结果。）

监视端点需要消耗大量计算、网络和人力资源

使用 AI 进行端点监视尚无法正确检测出或防止未经授权的访问。虽然受保护资源有各种虚拟的隔离，但是随着时间的推移，（攻击者）可以通过捕获身份的详细信息了解授权机制以及伪造人员、角色和应用的身份验证凭证，从而进行破坏。

AI 目前在快速发展，需要熟练的安全专业人员提供分析以检测和预防新的、不断发展的威胁。大量数据与训练有素的模型结合，可以检测到众所周知的攻击向量。但是要检测前所未见过的带有欺骗意图的全新入侵途径，则需要结合性能监视、交易数据模式分析和安全专家提供的分析。仅依靠端点监视仍然会使企业容易受到不可检测的攻击。

缺乏用户上下文的数据包检查

网络数据包检查有其局限性，即数据包“分析”发生在应用层，因此入侵可能在检测前已经发生。

传统上，数据包检查是在防火墙上或防火墙附近使用入侵检测系统（IDS）和/或在重要的战略监视区域进行的。传统的防火墙通常基于源 IP 地址控制络资源的访问。检查数据包的根本挑战是从源 IP 识别用户。工具是基于 IP 地址检查的。尽管可以使用现有技术检测某些攻击（例如 DDoS 和恶意软件），但是绝大多数攻击（例如代码注入和凭证盗用）这些攻击在应用层执行，因此需要上下文才能检测。