前言 

面對日益增加的內(nèi)網(wǎng)攻擊威脅，一些模糊了邊界，竊取信任的攻擊層出不窮；又加上云原生的威脅，導(dǎo)致以防火墻，路由，網(wǎng)關(guān)等傳統(tǒng)的邊界劃分手段，已經(jīng)是力不從心；最后近些年的新技術(shù)，彌補(bǔ)了零信任的一大短板。使得國外的零信任發(fā)展越來越趨于完善，從而獲得很多產(chǎn)出，使得我們?nèi)ソ梃b。

為了將要更好的面對新技術(shù)的發(fā)展。小白我，一個(gè)不知名的安服工程師開始對零信任方面的技術(shù)和規(guī)劃進(jìn)行了，稍微系統(tǒng)的學(xué)習(xí)，總結(jié)出來了一點(diǎn)自己的看法（如下圖所示）。

 產(chǎn)生零信任的需求是什么？

在內(nèi)網(wǎng)環(huán)境復(fù)雜化的今天，我們國家整體的內(nèi)網(wǎng)安全建設(shè)水平（懂得都懂）處于一個(gè)正在發(fā)展的水平，而零信任不亞于一針“強(qiáng)心劑”有力的支撐了未來我國內(nèi)網(wǎng)安全體系的發(fā)展。并且隨著信息化建設(shè)的不斷深入，內(nèi)網(wǎng)安全問題層出不窮。面對日益繁多的網(wǎng)絡(luò)攻擊，傳統(tǒng)網(wǎng)絡(luò)防護(hù)手段越來越難以支撐。在企業(yè)大量上云平臺(tái)的情況下，用戶在云平臺(tái)應(yīng)用中進(jìn)行訪問服務(wù)時(shí)，防火墻需要將應(yīng)用訪問端口映射到互聯(lián)網(wǎng)，導(dǎo)致業(yè)務(wù)系統(tǒng)暴露直接在互聯(lián)網(wǎng)上，很容易受到來自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡(luò)攻擊；其次內(nèi)部網(wǎng)絡(luò)規(guī)劃也越發(fā)精細(xì)化，雖然分工管理維護(hù)上輕松不少，但是一旦出現(xiàn)安全問題各部門間協(xié)調(diào)難度較大；最重要的問題是傳統(tǒng)接入方式VPN需要安裝插件，過程復(fù)雜，經(jīng)常出現(xiàn)異常。

而零信任網(wǎng)絡(luò)主要是利用現(xiàn)有的軟件組件和定制化軟件，以全新的方式集成在一起構(gòu)建起來的；它可以通過軟件的統(tǒng)籌方式，使得傳統(tǒng)的防火墻，路由器，交換機(jī)等設(shè)備進(jìn)行一個(gè)加持。可以這樣理解：我們只要通過AI+靜態(tài)規(guī)則的零信任服務(wù)器，就可以調(diào)動(dòng)傳統(tǒng)的安全設(shè)備，對企業(yè)的訪問和數(shù)據(jù)交換進(jìn)行監(jiān)控，以降低內(nèi)網(wǎng)被攻擊的概率。

由于零信任模型沒有基于網(wǎng)絡(luò)位置建立信任，而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機(jī)制的前提下，有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問，也使得VPN，內(nèi)網(wǎng)穿透這種攻擊手段失效，從而大大降低被黑客攻擊的可能性。以保護(hù)消費(fèi)者的個(gè)人隱私和公司的機(jī)密消息不外泄。

 零信任在安全里的作用是什么？

零信任架構(gòu)的支撐系統(tǒng)稱為控制平面，其他部分稱為數(shù)據(jù)平面，數(shù)據(jù)平面由控制平面指揮和配置。訪問受保護(hù)資源的請求首先經(jīng)過控制平面處理，包括設(shè)備和用戶的身份認(rèn)證與授權(quán)。細(xì)粒度的控制策略也在這一層進(jìn)行，控制平面可以基于組織中的角色、時(shí)間或設(shè)備類型進(jìn)行授權(quán)。如果用戶需要訪問安全等級更高的資源，那么就需要執(zhí)行更高強(qiáng)度的認(rèn)證。

持續(xù)優(yōu)化策略

當(dāng)然，首先要尋找現(xiàn)有的解決方案。邊界安全模型是公認(rèn)的保護(hù)網(wǎng)絡(luò)安全的方法，但這并不意味著沒有更好的方案。在網(wǎng)絡(luò)安全方面出現(xiàn)的最糟糕的情況是什么？這個(gè)問題的答案雖然有些絕對，但還是可以回答：信任出了問題。這個(gè)問題的答案，歸根結(jié)底還是效率問題（和安全/效率成為了一個(gè)博弈），除非出現(xiàn)新的技術(shù)，使得信任的成本大大的降低，否則零信任就只能和現(xiàn)在的5G一樣成為空中閣樓，難以短時(shí)間變?yōu)楝F(xiàn)實(shí)，又因?yàn)檎叩男枨?，我們能否考慮搭上AI和數(shù)據(jù)安全的浪潮，規(guī)劃出新一代的標(biāo)準(zhǔn)呢？

零信任通過使用AI引擎成功的幫助我們解決了這個(gè)問題，我們知道因?yàn)楣镜臉I(yè)務(wù)可能隨時(shí)間的變化也是不斷改變的，所以如果單單使用人工+靜態(tài)肯定是無法適應(yīng)的。我們可以依靠這個(gè)超級大腦解決這個(gè)棘手的問題。

增加信任機(jī)制

零信任授權(quán)體系架構(gòu)包括4個(gè)核心組件（如下圖所示）：

策略執(zhí)行組件（輔助者）

策略引擎（超級大腦，決策者）

信任引擎（執(zhí)行者）

數(shù)據(jù)存儲(chǔ)系統(tǒng)（源數(shù)據(jù)提供者）

策略執(zhí)行組件在整個(gè)零信任網(wǎng)絡(luò)中大量存在，部署時(shí)需要盡可能地靠近工作負(fù)載。策略執(zhí)行組件直接影響授權(quán)決策的結(jié)果，在實(shí)際場景中，可以由負(fù)載均衡器、代理服務(wù)器甚至防火墻充當(dāng)策略執(zhí)行組件的角色。策略執(zhí)行組件和負(fù)責(zé)授權(quán)決策的策略引擎進(jìn)行交互，確保網(wǎng)絡(luò)訪問請求的主體通過認(rèn)證，并將每個(gè)訪問請求的上下文傳遞給授權(quán)引擎完成授權(quán)決策。策略引擎依據(jù)事先制定好的策略，對請求及其上下文進(jìn)行比較并做出決策，根據(jù)決策結(jié)果通知策略執(zhí)行點(diǎn)對訪問請求放行還是拒絕。

策略引擎調(diào)用信任引擎，利用各種數(shù)據(jù)源分析并評估風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評分類似信用等級，能有效防護(hù)未知威脅，通過風(fēng)險(xiǎn)評分可以提升策略的安全性和魯棒性，又不至于因?yàn)榭紤]各種邊界場景而引入復(fù)雜性。授權(quán)決策時(shí)，策略引擎將信任引擎作為一個(gè)重要的外部組件進(jìn)行調(diào)用，Google公司的BeyondCorp項(xiàng)目率先采用了信任引擎技術(shù)。授權(quán)決策依據(jù)的大量數(shù)據(jù)都存放在數(shù)據(jù)存儲(chǔ)系統(tǒng)中，各種數(shù)據(jù)庫構(gòu)成了授權(quán)決策的權(quán)威數(shù)據(jù)源，基于這些數(shù)據(jù)，可以將所有請求的上下文清晰地描繪出來。一般使用認(rèn)證階段已經(jīng)確認(rèn)的實(shí)體標(biāo)識信息作為數(shù)據(jù)庫的主鍵，用戶名和設(shè)備序列號都是常用的實(shí)體標(biāo)識。這些數(shù)據(jù)庫，包含了用戶數(shù)據(jù)、設(shè)備數(shù)據(jù)等，策略引擎和信任引擎高度依賴這些數(shù)據(jù)，數(shù)據(jù)存儲(chǔ)系統(tǒng)是授權(quán)決策過程的重要支撐系統(tǒng)。

策略引擎是零信任授權(quán)模型中進(jìn)行授權(quán)決策的組件，它接收來自策略執(zhí)行組件的授權(quán)請求，并和預(yù)先制定好的策略進(jìn)行比較，決定請求是否被允許，并將決策結(jié)果返回策略執(zhí)行組件進(jìn)行強(qiáng)制執(zhí)行。（受各種現(xiàn)實(shí)因素的影響，將策略引擎和策略執(zhí)行機(jī)制合并到一臺(tái)主機(jī)上部署的情況也時(shí)有發(fā)生，一種可能的場景是作為策略執(zhí)行組件的負(fù)載均衡器通過進(jìn)程間通信（IPC）機(jī)制而不是網(wǎng)絡(luò)遠(yuǎn)程調(diào)用發(fā)起授權(quán)請求，這種架構(gòu)可以降低授權(quán)決策的時(shí)間延遲，此優(yōu)勢在某些場景下很有吸引力。）

信任引擎是對特定的網(wǎng)絡(luò)請求或活動(dòng)進(jìn)行風(fēng)險(xiǎn)分析的系統(tǒng)組件，其職責(zé)是對網(wǎng)絡(luò)請求及活動(dòng)的風(fēng)險(xiǎn)進(jìn)行數(shù)值評估，策略引擎基于這個(gè)風(fēng)險(xiǎn)評估進(jìn)行進(jìn)一步的授權(quán)策略，以確保是否允許此次訪問請求。信任引擎一般會(huì)混合使用基于規(guī)則的靜態(tài)評分方法加機(jī)器學(xué)習(xí)的混合方法，來應(yīng)對復(fù)雜多變的情況。

數(shù)據(jù)存儲(chǔ)系統(tǒng)存儲(chǔ)的數(shù)據(jù)是系統(tǒng)當(dāng)前和歷史狀態(tài)的權(quán)威數(shù)據(jù)源。數(shù)據(jù)庫存放的信息被控制平面的各個(gè)系統(tǒng)使用，是授權(quán)的一個(gè)重要的決策依據(jù)；零信任網(wǎng)絡(luò)一般具備多類按照功能劃分的數(shù)據(jù)庫，其中主要分為兩大類：清單庫和歷史庫。清單庫是記錄資源當(dāng)前狀態(tài)的權(quán)威數(shù)據(jù)源，用戶清單庫存放所有的用戶信息，設(shè)備清單庫則記錄公司所有在冊的設(shè)備的最新信息。

小提示：控制平面本身的安全性較高，因此，整個(gè)網(wǎng)絡(luò)代理生命周期都應(yīng)該限制在控制平面內(nèi)以便充分地保護(hù)其數(shù)據(jù)安全，控制平面的系統(tǒng)應(yīng)該在邏輯上和物理上都與數(shù)據(jù)平面隔離，應(yīng)該定義明確的邊界，并且不要頻繁變更。

強(qiáng)化內(nèi)網(wǎng)安全

通用的安全規(guī)則總是存在例外，它們通常被稱為防火墻例外規(guī)則（Firewall Exception）。這些例外規(guī)則應(yīng)當(dāng)盡可能嚴(yán)格地限制范圍。比如，Web開發(fā)人員希望使用SSH訪問用于生產(chǎn)環(huán)境的Web服務(wù)器，或者HR員工為了進(jìn)行審計(jì)可能需要訪問HR軟件數(shù)據(jù)庫，等等。在這些情況下，可行的辦法是在防火墻上配置例外規(guī)則，允許某個(gè)IP地址訪問特定的服務(wù)器。

VPN的作用是對用戶進(jìn)行身份認(rèn)證并分配IP地址，然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò)，然后進(jìn)行數(shù)據(jù)包的解封裝和路由?；蛟S人們從來沒有想過，在某種程度上，VPN是一種不會(huì)遭人懷疑的后門。但是零信任對VPN是一個(gè)毀滅性的打擊，但是VPN的優(yōu)點(diǎn)，它并沒有包容進(jìn)來，反而通過增加一部分算力，極大的提升了網(wǎng)絡(luò)訪問的安全性！

零信任代理是應(yīng)用級代理服務(wù)器，用來保護(hù)零信任網(wǎng)絡(luò)，它是處理認(rèn)證、授權(quán)以及加密的基礎(chǔ)設(shè)施。這些代理的部署方式是保證零信任網(wǎng)絡(luò)安全的關(guān)鍵所在。零信任代理分為反向代理和前向代理兩種工作模式，運(yùn)行時(shí)可以同時(shí)采用這兩種工作模式，也可以只采用其中的一種。在反向代理工作模式下，代理接收來自零信任客戶端的連接請求，并接收初始連接，校驗(yàn)此連接是否應(yīng)該被授權(quán)，授權(quán)通過后，把客戶端請求傳遞給后端的應(yīng)用系統(tǒng)處理。在前向代理工作模式下，非零信任感知的組件需要向另一個(gè)零信任系統(tǒng)發(fā)出網(wǎng)絡(luò)請求。因?yàn)榉橇阈湃胃兄慕M件不能和零信任控制平面交互，所以不能正確地初始化該請求，只能通過認(rèn)證代理完成請求的初始化。

 零信任涉及了那些不成熟的技術(shù)？

RFC 格式零信任的實(shí)施表

所有網(wǎng)絡(luò)流量在處理前必須經(jīng)過認(rèn)證

所有網(wǎng)絡(luò)流量在傳輸前應(yīng)當(dāng)被加密

必須由網(wǎng)絡(luò)中的端點(diǎn)系統(tǒng)執(zhí)行認(rèn)證和加密

必須枚舉所有網(wǎng)絡(luò)流量，這樣系統(tǒng)才可以執(zhí)行強(qiáng)制訪問控制

應(yīng)當(dāng)使用網(wǎng)絡(luò)中安全強(qiáng)度最高的認(rèn)證和加密算法套件

認(rèn)證不應(yīng)當(dāng)依賴公共PKI供應(yīng)商，而應(yīng)當(dāng)使用私有PKI系統(tǒng)

應(yīng)當(dāng)定期執(zhí)行設(shè)備掃描、為設(shè)備安裝補(bǔ)丁以及輪換設(shè)備

我們挑選了幾個(gè)代表性的問題，來進(jìn)行分析，這有助于我們更加全面的了解零信任！

協(xié)議兼容問題

例如，802.1X和可信網(wǎng)絡(luò)連接（Trusted Network Connect, TNC）這類網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)關(guān)注的焦點(diǎn)是網(wǎng)絡(luò)的準(zhǔn)入而不是服務(wù)的準(zhǔn)入，因此不屬于零信任模型的范疇。所以當(dāng)我們開展零信任的時(shí)候，我們需要對協(xié)議的選擇，進(jìn)行一部分的取舍，尤其是在公司是部分改造的情況下，我們并不能采用一刀切的方法，對其進(jìn)行大規(guī)模私人認(rèn)證的改造。

AI識別準(zhǔn)確率/誤報(bào)率問題

安博通網(wǎng)絡(luò)流量安全分析系統(tǒng)在傳統(tǒng)流量采集、流量分析、流量回溯的基礎(chǔ)上，集成自研的威脅情報(bào)技術(shù)，并應(yīng)用深度學(xué)習(xí)技術(shù)，降低誤報(bào)率。我們知道深度學(xué)習(xí)技術(shù)是機(jī)器學(xué)習(xí)技術(shù)的一種，而機(jī)器學(xué)習(xí)是實(shí)現(xiàn)人工智能的必經(jīng)路徑。深度學(xué)習(xí)概念源于人工神經(jīng)網(wǎng)絡(luò)的研究，其通過組合低層特征形成更加抽象的高層表示屬性類別或特征，并以發(fā)現(xiàn)數(shù)據(jù)的分布式特征表示。

研究深度學(xué)習(xí)的動(dòng)機(jī)在于建立模擬人腦學(xué)習(xí)分析的神經(jīng)網(wǎng)絡(luò)，它模擬人腦機(jī)制解釋數(shù)據(jù)，如圖像、聲音、文本等?；谏疃葘W(xué)習(xí)的惡意文件、惡意URL、DGA域名等檢測技術(shù)無需沙箱環(huán)境，可以直接將樣本文件轉(zhuǎn)換為二維圖片，進(jìn)而應(yīng)用改造后的卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和檢測。但是由于環(huán)境復(fù)雜多樣，我們不一定可以取得很好的效果，再加上靜態(tài)規(guī)則可能會(huì)存在的干擾。

另外零信任網(wǎng)絡(luò)的哪些組件和實(shí)體需要被評分？這個(gè)問題很有趣。是對每個(gè)單獨(dú)的實(shí)體（如用戶、設(shè)備或應(yīng)用程序）進(jìn)行評分，還是將網(wǎng)絡(luò)代理作為一個(gè)整體進(jìn)行評分？或者同時(shí)對網(wǎng)絡(luò)代理和構(gòu)成網(wǎng)絡(luò)代理的元素進(jìn)行評分（這很考驗(yàn)AI的智能化）？

而且這種通過規(guī)則逐項(xiàng)評估信任評分的方式是一種較好的基礎(chǔ)方案，但是僅僅通過一組靜態(tài)規(guī)則是不夠的，它們不能滿足零信任網(wǎng)絡(luò)對未知攻擊進(jìn)行防御這一預(yù)設(shè)目標(biāo)。因此，成熟的信任引擎除了使用靜態(tài)規(guī)則，還大量采用機(jī)器學(xué)習(xí)技術(shù)來實(shí)現(xiàn)信任評分功能。這里我們是否可以利用AI智能的學(xué)習(xí)方法，做出相應(yīng)的惡意誘導(dǎo)，導(dǎo)致AI生成的策略出現(xiàn)Bug!

小提示：尤其是最近，還有AI識別投毒的“反后門攻擊”，這給零信任危機(jī)也帶來了，不小的挑戰(zhàn)參考鏈接：

https://mp.weixin.qq.com/s/0swCFuVf612p88MACXeTmw）。

新的認(rèn)證技術(shù)的融入問題

構(gòu)建零信任網(wǎng)絡(luò)并不需要太多新的技術(shù)，而是采用全新的方式使用現(xiàn)有技術(shù)。零信任網(wǎng)絡(luò)有3個(gè)關(guān)鍵組件：用戶/應(yīng)用程序認(rèn)證、設(shè)備認(rèn)證和信任。第一個(gè)組件包含了用戶認(rèn)證和應(yīng)用認(rèn)證兩層含義，因?yàn)椴⒉皇撬械牟僮鞫加捎脩魣?zhí)行，比如在數(shù)據(jù)中心內(nèi)部，很多操作由應(yīng)用程序自動(dòng)執(zhí)行，在這種情況下，通常把應(yīng)用程序等同于用戶看待。其實(shí)這種方法的雛形就是像安全狗一樣給網(wǎng)站管理發(fā)信息提醒管理員，網(wǎng)站上的敏感操作是不是，管理員自己做的。沒意義的關(guān)鍵在于效率，關(guān)系網(wǎng)小還可以，一旦關(guān)系變復(fù)雜，只能呵呵了。

我們熟知的認(rèn)證有：密碼認(rèn)證，生物認(rèn)證，父子延續(xù)認(rèn)證。但是我們知道，安全圈有這樣的一個(gè)悖論，只要注意效率，難免會(huì)造成安全的隱患。所以我們也要考慮一下，我們設(shè)計(jì)的認(rèn)證它帶來的成本和下降的效率，我們的客戶是不是可以接受。

設(shè)備生命周期問題

策略執(zhí)行組件有兩大職責(zé)。第一，和策略引擎交互完成授權(quán)決策，比如，負(fù)載均衡器收到一個(gè)請求時(shí)需要通過授權(quán)并獲悉此請求是否被允許。第二，授權(quán)決策結(jié)果的強(qiáng)制執(zhí)行。這兩大職責(zé)在零信任授權(quán)架構(gòu)中既可以通過一個(gè)組件實(shí)現(xiàn)，也可以由兩個(gè)系統(tǒng)組件來分別實(shí)現(xiàn)。但是我們執(zhí)行這些策略，或者說我們通過AI生成的策略，該什么時(shí)候進(jìn)行優(yōu)化，或者說升級與修正。

不光是AI的算法，我們也需要考慮硬件設(shè)備的壽命，這又是一筆不小的開支！

 零信任面臨的實(shí)際困難是什么？

零信任的防御方法有兩種：一種策略鎖死；另一種是公開透明化，監(jiān)督。

規(guī)則統(tǒng)一問題

目前，應(yīng)用較廣泛的身份認(rèn)證機(jī)制是安全工程師們都非常熟悉的X.509標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了數(shù)字證書的標(biāo)準(zhǔn)格式，并能夠通過信任鏈認(rèn)證身份。X.509證書是TLS協(xié)議（以前是SSL協(xié)議）用來驗(yàn)證連接的主要機(jī)制。既然涉及到了證書，那么會(huì)不會(huì)存在，密鑰的破解和證書的偽造呢？

也就是說，雖然身份憑據(jù)的合法性可以得到驗(yàn)證，但是其機(jī)密性無法得到保證。因此，實(shí)踐中最好使用存儲(chǔ)在不同位置的多個(gè)秘密，根據(jù)這些秘密的組合授予訪問權(quán)限。在這種情形下，攻擊者必須竊取多個(gè)秘密才能完成攻擊，這增加了攻擊的難度。為身份認(rèn)證憑據(jù)設(shè)定有效期限，不僅能夠最大限度地縮減憑據(jù)泄露或密鑰被盜的影響范圍，還可以給管理員更新密鑰和重建信任創(chuàng)造更多的機(jī)會(huì)，爭取更多的時(shí)間。管理員更改或更新密鑰/口令的行為被稱為憑據(jù)輪換（Credential Rotation）。雖然解決了上述問題，但是表面的可用性和實(shí)效性又有多少呢？

PKI服務(wù)供應(yīng)商有很多類型，其中證書授權(quán)中心（CA）和信任網(wǎng)絡(luò)（WoT）是較受歡迎的兩類供應(yīng)商。CA的信任依賴于數(shù)字簽名鏈，用戶能夠根據(jù)數(shù)字簽名鏈回溯到初始的可信根節(jié)點(diǎn)。WoT沒有使用信任鏈的形式，而是允許參與通信的系統(tǒng)斷言對等方身份的有效性，最終形成相互背書的網(wǎng)狀結(jié)構(gòu)。用戶可以遍歷信任網(wǎng)站，尋找自己需要的、能夠信任的數(shù)字證書。WoT在PGP系統(tǒng)中得到了廣泛使用，但本書更關(guān)注CA這類PKI系統(tǒng)，因?yàn)镃A的流行程度遠(yuǎn)遠(yuǎn)超過信任網(wǎng)絡(luò)。

所以我們?yōu)榱顺霈F(xiàn)上述問題，我們需要開發(fā)一套屬于自己的認(rèn)證協(xié)議（這個(gè)成本是巨大的）?。?！

策略配置問題

零信任網(wǎng)絡(luò)的策略和傳統(tǒng)的網(wǎng)絡(luò)安全策略雖然有幾分相似，但它們在很多方面卻截然不同

零信任策略尚未標(biāo)準(zhǔn)化

尚無策略描述標(biāo)準(zhǔn)

由誰定義策略

零信任網(wǎng)絡(luò)的授權(quán)策略往往粒度很細(xì)，如果仍然由系統(tǒng)管理員對所有策略進(jìn)行集中定義和管理，那么管理員將不堪重負(fù)。因此，需要將策略定義和管理的權(quán)責(zé)開放給資源或服務(wù)的所有者，以便分擔(dān)管理員的策略維護(hù)壓力。這個(gè)時(shí)候可以考慮偽造協(xié)議（必定存在兼容標(biāo)準(zhǔn)一類的）或者利用策略分配的漏洞（本質(zhì)還是人的錯(cuò)誤）進(jìn)行攻擊！

零信任模型認(rèn)為，主機(jī)無論處于網(wǎng)絡(luò)的什么位置，都應(yīng)當(dāng)被視為互聯(lián)網(wǎng)主機(jī)。它們所在的網(wǎng)絡(luò)，無論是互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)絡(luò)，都必須被視為充滿威脅的危險(xiǎn)網(wǎng)絡(luò)。只有認(rèn)識到這一點(diǎn)，才能建立安全通信。由于大多數(shù)管理員都有建設(shè)和維護(hù)互聯(lián)網(wǎng)主機(jī)安全機(jī)制的經(jīng)驗(yàn)，因此至少有辦法阻止針對某個(gè)特定IP地址（主機(jī)）的攔截或篡改攻擊。自動(dòng)化系統(tǒng)使我們能夠把這一級別的安全防護(hù)機(jī)制應(yīng)用到基礎(chǔ)設(shè)施中的所有系統(tǒng)?？刂破矫婧蛿?shù)據(jù)平面之間的交互需要自動(dòng)化系統(tǒng)來處理。如果策略執(zhí)行不能動(dòng)態(tài)更新，那么零信任網(wǎng)絡(luò)就無法實(shí)現(xiàn)，因此，策略執(zhí)行過程的自動(dòng)化和速度是問題的關(guān)鍵。使用AI才可以達(dá)到這樣的目的，如果設(shè)定的底層標(biāo)準(zhǔn)出現(xiàn)問題，恐怕這又是一個(gè)供應(yīng)鏈級別的漏洞！所以怎么考慮這方面的安全問題呢？有待我們?nèi)ヌ岣?，而且web3.0的到來，又會(huì)是一波浪潮，其本質(zhì)也是零信任。

權(quán)限設(shè)置問題

如果代理發(fā)出的訪問請求被批準(zhǔn)，那么零信任模型的控制平面會(huì)通知數(shù)據(jù)平面接受該請求，這一動(dòng)作還可以配置流量加密的細(xì)節(jié)參數(shù)。訪問流量的機(jī)密性也非常重要，至少要采用設(shè)備級加密或者應(yīng)用程序級加密中的一種，也可以兩種方式同時(shí)采用。通過這些認(rèn)證/授權(quán)組件，以及使用控制平面協(xié)助完成的加密通道，就可以確保網(wǎng)絡(luò)中每一個(gè)訪問流量都按照預(yù)期經(jīng)過了認(rèn)證、授權(quán)和加密；沒有經(jīng)過認(rèn)證、授權(quán)和加密完整處理的流量會(huì)被主機(jī)和網(wǎng)絡(luò)設(shè)備丟棄，以確保敏感數(shù)據(jù)不會(huì)泄露出去。另外，控制平面的每個(gè)事件和每項(xiàng)操作都會(huì)被記錄下來，用于完成基于訪問流或訪問請求的審計(jì)工作。

這樣的話有一個(gè)疑問？如果真的打進(jìn)去了，會(huì)不會(huì)導(dǎo)致加密研判工作變的困難呢？認(rèn)真思考NAT技術(shù)和私有地址空間，很明顯零信任模型使其安全參數(shù)失去了意義。的確，提出者也不是傻子，這個(gè)問題很有意思。但是，如果網(wǎng)絡(luò)訪問請求的路徑中部署了負(fù)載均衡設(shè)備或代理服務(wù)器，那么就能夠看到應(yīng)用數(shù)據(jù)，也就有機(jī)會(huì)進(jìn)行深度包檢測和授權(quán)操作。但是這種方法，真的可以在半零信任半傳統(tǒng)的防御中完全杜絕嗎？

安全/效率問題

如果在自動(dòng)化部署的場景中引入了人工環(huán)節(jié)，那么對簽發(fā)和部署請求進(jìn)行授權(quán)就很有意義了，雖然每次請求都由人工確認(rèn)是理想的做法，可以杜絕未授權(quán)的簽名請求被批準(zhǔn)，但是人無完人，人類很容易疲勞并且也有很多其他缺點(diǎn)，為避免人為犯錯(cuò)，建議每個(gè)人只負(fù)責(zé)對他們自己發(fā)起的請求進(jìn)行審批確認(rèn)。通過使用一次性動(dòng)態(tài)口令（TOTP）可以在單個(gè)步驟中完成部署和簽名授權(quán)。生成部署請求時(shí)可以提供一個(gè)TOTP并將其傳遞給簽名服務(wù)進(jìn)行驗(yàn)證，這種簡單而強(qiáng)大的機(jī)制確保了新證書簽發(fā)過程的可控，同時(shí)其需要的額外管理成本較小。因?yàn)橐粋€(gè)TOTP口令只能使用一次，所以TOTP驗(yàn)證失敗是一個(gè)重要的安全事件，可以杜絕安全隱患。

機(jī)構(gòu)剛開始部署多因子認(rèn)證設(shè)施時(shí)，經(jīng)常采用基于時(shí)間的硬件動(dòng)態(tài)口令令牌。隨著智能手機(jī)的流行，越來越多的用戶傾向于使用智能手機(jī)上安裝的軟件形態(tài)的多因子認(rèn)證安全令牌。使用安全令牌的協(xié)議（如U2F）能夠有效防御釣魚攻擊，同時(shí)對于用戶來說其易用性也更好。所以，應(yīng)盡可能選擇安全令牌系統(tǒng)代替?zhèn)鹘y(tǒng)的TOTP。但是上述都建立在公司不追求絕對的效益上面！

信任處理問題

零信任網(wǎng)絡(luò)的情形與之類似，用戶在大多數(shù)情況下以最小特權(quán)模式訪問網(wǎng)絡(luò)資源，只在需要執(zhí)行敏感操作時(shí)才提升權(quán)限。比如，經(jīng)過身份認(rèn)證的用戶可以自由地訪問公司的目錄或使用項(xiàng)目計(jì)劃軟件。但是，如果用戶要訪問關(guān)鍵的生產(chǎn)系統(tǒng)，那么就需要采用額外的手段確認(rèn)該用戶的身份，確保該用戶的系統(tǒng)沒有被攻陷。對于風(fēng)險(xiǎn)相對較低的操作，特權(quán)提升過程可以很簡單，只需重新提示用戶輸入口令、要求出示雙因素認(rèn)證令牌或者給用戶的手機(jī)推送認(rèn)證通知。對于高風(fēng)險(xiǎn)的操作，可以選擇通過帶外方式要求相關(guān)人員進(jìn)行主動(dòng)確認(rèn)。

客戶端以不可信的方式開始訪問會(huì)話請求，并在訪問過程中通過各種機(jī)制不斷積累信任，直到積累的信任足夠獲得系統(tǒng)的訪問權(quán)限。比如，用戶通過強(qiáng)認(rèn)證能夠證明所使用的終端設(shè)備屬于公司，這可能積累了一些信任，但不足以獲得賬單系統(tǒng)的訪問權(quán)限。接下來，用戶提供了正確的RSA令牌，就可以積累更多的信任。最后，設(shè)備認(rèn)證和用戶認(rèn)證相結(jié)合計(jì)算出的信任評分滿足要求，用戶就可以獲得賬單系統(tǒng)的訪問權(quán)限了。這個(gè)恰恰是我們的攻擊點(diǎn)，我們的信任是不是可以惡意的刷取呢？

基于信任評分的策略模型也不是沒有缺點(diǎn)。其中一個(gè)問題是，單一的評分值是否足以保護(hù)所有的敏感資源。用戶的信任評分能夠基于歷史行為而降低，同樣也可以基于歷史的可信行為而增加。那么，攻擊者是否有可能通過在系統(tǒng)中慢慢建立信任，從而獲得更高的訪問權(quán)限呢？很有趣的思考？確實(shí)使用不同的策略會(huì)產(chǎn)生不同的效果，但是不同的策略會(huì)不會(huì)起沖突呢？不好說！

控制平面和數(shù)據(jù)平面是網(wǎng)絡(luò)系統(tǒng)經(jīng)常使用的概念，其基本思想是，網(wǎng)絡(luò)設(shè)備有控制平面和數(shù)據(jù)平面兩個(gè)邏輯域，這兩個(gè)邏輯域之間存在清晰的接口。數(shù)據(jù)平面的作用是轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量，它需要高速處理數(shù)據(jù)包，因此其處理邏輯相對簡單，通常使用專用硬件?？刂破矫婵梢钥醋魇蔷W(wǎng)絡(luò)設(shè)備的大腦，系統(tǒng)管理員用它來配置管理網(wǎng)絡(luò)設(shè)備，因此控制平面會(huì)隨著策略的變化而變化?？刂破矫娴膹?qiáng)可塑性導(dǎo)致其無法處理高速網(wǎng)絡(luò)數(shù)據(jù)包流量。因此，控制平面和數(shù)據(jù)平面之間的接口定義需要遵循這樣的原則：任何在數(shù)據(jù)平面執(zhí)行的策略行為，都要盡可能減少向控制平面發(fā)送請求（相對于網(wǎng)絡(luò)流量速率來說）。

網(wǎng)絡(luò)代理指在網(wǎng)絡(luò)請求中用于描述請求發(fā)起者的信息集合，一般包括用戶、應(yīng)用程序和設(shè)備共3類實(shí)體信息。在傳統(tǒng)實(shí)現(xiàn)方案中，一般對這些實(shí)體進(jìn)行單獨(dú)授權(quán)，但是在零信任網(wǎng)絡(luò)中，策略基于這3類實(shí)體信息的組合整體進(jìn)行制定。用戶、應(yīng)用程序和設(shè)備信息是訪問請求密不可分的上下文，將其作為整體進(jìn)行授權(quán)，可以有效地應(yīng)對憑證竊取等安全威脅。類似于黃金票據(jù)那樣的萬能票據(jù)攻擊可能會(huì)非常的方便！

 未來零信任的安全會(huì)受到那些威脅？

如果使用基于攻擊者視角的看，則可以把攻擊者按照能力（造成的損害）從低到高如下：

碰運(yùn)氣攻擊者：這類攻擊者又被稱為“腳本小子”。他們往往利用那些眾所周知的漏洞和工具發(fā)起攻擊，廣撒網(wǎng)，碰運(yùn)氣。

定向的攻擊者：此類攻擊者針對特定的目標(biāo)發(fā)起針對性的攻擊。他們經(jīng)常通過魚叉郵件、社交工程等手段發(fā)起攻擊。

內(nèi)部人員：擁有合法憑據(jù)的系統(tǒng)用戶。外包人員、非特權(quán)的企業(yè)員工等，往往會(huì)被定向攻擊者“搞定”。

可信內(nèi)部人員：可信度很高的系統(tǒng)管理員（概率小，危害極大）。

未來零信任的攻擊方向

枚舉終端

社會(huì)工程學(xué)

身份竊取

分布式拒絕服務(wù)攻擊（DDoS）

枚舉終端

我們知道，不論怎么改變，設(shè)備的認(rèn)證都會(huì)帶有密碼。一旦存在弱口令，那么就算設(shè)備足夠完善，也可能出現(xiàn)嚴(yán)重的問題。因?yàn)榱阈湃尉W(wǎng)絡(luò)需要控制網(wǎng)絡(luò)中的端點(diǎn)設(shè)備，所以它對互聯(lián)網(wǎng)威脅模型進(jìn)行了擴(kuò)展，充分考慮了端點(diǎn)設(shè)備被攻陷的情形。面對端點(diǎn)設(shè)備可能遭受的攻擊，通常的應(yīng)對方式是首先對端點(diǎn)操作系統(tǒng)進(jìn)行安全加固，然后采用端點(diǎn)系統(tǒng)安全掃描、系統(tǒng)活動(dòng)行為分析等方式來進(jìn)行攻擊檢測。此外，定期升級端點(diǎn)設(shè)備中的軟件，定期更換端點(diǎn)設(shè)備的登錄憑證，甚至定期更換端點(diǎn)設(shè)備本身等，也能夠緩解針對端點(diǎn)設(shè)備的攻擊。那最簡單的口令問題怎么辦呢？

我們還會(huì)遇到一些很難防御的、相對小眾的威脅，如利用虛擬機(jī)管理程序的漏洞復(fù)制虛擬機(jī)內(nèi)存等。防御這類威脅需要付出相當(dāng)大的代價(jià)，可能需要專用的物理硬件，因此大多數(shù)零信任網(wǎng)絡(luò)的威脅模型排除了這類攻擊。我們應(yīng)該明白，在網(wǎng)絡(luò)安全方面雖然有許多最佳實(shí)踐，但是零信任模型僅需要保證用于認(rèn)證和授權(quán)操作的信息的機(jī)密性，如存儲(chǔ)在磁盤上的憑據(jù)的機(jī)密性。

社會(huì)工程學(xué)

雖然我們可以使用上述的多重認(rèn)證手段搭配解決。但是，我們不要忘記了，安全圈里的名言“出問題的永遠(yuǎn)是人！”，我們知道人才造成是安全風(fēng)險(xiǎn)的最不可控的因素。在整個(gè)攻擊過程中，網(wǎng)絡(luò)中的安全防護(hù)措施在發(fā)揮什么作用？防火墻的部署是經(jīng)過精心設(shè)計(jì)的，安全策略和例外規(guī)則嚴(yán)格限制了范圍。從網(wǎng)絡(luò)安全的角度看，一切都做得非常正確，那為什么攻擊還能成功呢？個(gè)人認(rèn)為在攻防演練越來越成熟的時(shí)候，除非是供應(yīng)鏈級別的0day，其他的在行業(yè)類造成的影響有限，同時(shí)培養(yǎng)的成本及其高昂（實(shí)驗(yàn)室一群人，開發(fā)一波人，產(chǎn)品……）所以不是太劃算；這個(gè)時(shí)候釣魚社工就是一個(gè)付出成本較小，收益占比較高的事情！?。?/p>

身份竊取

零信任非常適合在云環(huán)境中部署，原因很明顯：你完全不需要信任公有云環(huán)境中的網(wǎng)絡(luò)！在零信任模型中，計(jì)算資源不依賴IP地址或網(wǎng)絡(luò)的安全性即可進(jìn)行身份驗(yàn)證和安全通信，這種能力意味著可以最大程度地把計(jì)算資源商品化。確實(shí)在數(shù)據(jù)上云的同時(shí)，我們也可以考慮如何獲取這些東西？

由于零信任模型主張加密所有通信數(shù)據(jù)，哪怕通信雙方位于同一個(gè)數(shù)據(jù)中心內(nèi)部，因此管理員不需要操心哪些數(shù)據(jù)包流經(jīng)互聯(lián)網(wǎng)，哪些不流經(jīng)互聯(lián)網(wǎng)。安全性確實(shí)提高了，但是安全產(chǎn)品怎么分析他的特征值啊人們甚至可能連自己都無法完全信任，但是至少可以確信所采取的行動(dòng)的確是自己所為。因此，零信任網(wǎng)絡(luò)中的信任往往源自系統(tǒng)管理員。“零信任網(wǎng)絡(luò)中的信任”這句話聽上去似乎有些自相矛盾，但是理解這一點(diǎn)卻非常重要：如果不存在與生俱來的信任，那么就必須從某個(gè)地方產(chǎn)生信任并小心地管理它。

如何確定一個(gè)新生成的服務(wù)是自己的而不是其他人的？為了達(dá)到這個(gè)目的，管理員就必須將責(zé)任委托給供應(yīng)系統(tǒng)（Provisioning System），授予它創(chuàng)建新主機(jī)和為新主機(jī)授予信任的能力。通過這種方式，我們就可以相信新創(chuàng)建的服務(wù)確實(shí)是自己的，因?yàn)楣?yīng)系統(tǒng)已經(jīng)確認(rèn)過該服務(wù)是由它創(chuàng)建的，并且供應(yīng)系統(tǒng)還可以證明系統(tǒng)管理員已經(jīng)把這樣的權(quán)力授予了它。能夠返回給系統(tǒng)管理員的這一串信任通常被稱為信任鏈（Trust Chain），而系統(tǒng)管理員被稱為信任錨（Trust Anchor）。

信任委托非常重要。借助信任委托，人們可以構(gòu)建自動(dòng)化系統(tǒng)，在無須人為干預(yù)的情況下，以安全可信的方式管理大規(guī)模增長的零信任網(wǎng)絡(luò)。首先，系統(tǒng)管理員是可信的，然后他必須為系統(tǒng)賦予一定程度的信任，使該系統(tǒng)能夠以管理員的身份執(zhí)行后續(xù)動(dòng)作。

如果管理員寄了，那么零信任也跟著寄，而且它的加密通訊，有恰恰提供了很好的隱蔽性！

分布式拒絕服務(wù)攻擊

這個(gè)是我們無法拒絕的！！

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<