01  引言

为应对网络边界日益模糊、远程访问增多、内部威胁增多等网络安全问题，全球权威分析机构Forrester Research的分析师John Kindervag在2010年正式提出零信任一词。随着云计算、移动互联等技术发展，零信任越来越为产业界所接受。

零信任安全模型原则是“从不信任，始终验证”。因此，它具有如下基本假设：（1）安全与网络位置无关：不论流量是来自于内网还是外网，网络都不会使用网络位置来作为判断安全与否的标准；（2）最小特权访问：进行严格的访问控制，只让用户访问他们确实需要访问的资源，防止横向移动；（3）动态访问控制：对用户的访问控制是动态的，即会实时地根据用户的行为、设备情况、所安装的证书等多种情况综合考虑，动态地决定用户此时的权限；（4）检查和记录所有访问的网络流量。

零信任架构不是单一的技术，而是构建安全环境的一系列原则，保证资源访问控制安全的一系列技术措施。现有的所有身份与授权管理技术，如单点登录、多因素认证以及网络流量监测、数据分级分类等，都可以被应用于实际的零信任架构体系中，而这些都为数据安全拓展了新的思路。

02  2OMB发布M-22-09号备忘录《美国政府向零信任网络安全原则迈进》

2.1 愿景

基于当前的网络威胁环境，美国政府管理预算局（OBM）于2022年1月发布M-22-09号备忘录《美国政府向零信任网络安全原则迈进》。该备忘录表明美国正在进行大胆的改革和投资，不再依靠传统的基于边界的防御来保护关键系统和数据。拟建立基于零信任架构的政府部门信息系统，用以维护基础设施、网络和数据的安全。最终达成的政府部门信息系统能达到以下愿景：

▼联邦工作人员拥有企业管理的帐户，允许他们访问他们工作所需的一切，同时还能可靠地保护他们免受一般的和有针对性的、复杂的网络钓鱼攻击。

▼联邦工作人员用于工作的设备被持续跟踪和监控，在授予内部资源访问权时，这些设备的安全状态被考虑在内。

▼各政府机构信息系统之间彼此隔离，并且各系统之间和系统内部的网络流量都是可靠加密的。

▼企业应用程序可以在内部和外部进行测试，并且可以通过互联网安全地提供给员工使用。

▼国家安全团队和数据团队共同开发数据类别和安全规则，以自动检测并最终阻止对敏感信息的未经授权的访问。

该备忘录要求各机构在2024财年结束前实现特定的零信任安全目标。建立新的访问控制基线：整合身份系统，防范钓鱼攻击实现持续保护及监控；利用数据的智能决策加强访问控制方法。这些目标使用网络安全和基础设施安全局（CISA）开发的零信任成熟度模型进行组织。CISA的零信任模型描述了五个互补的工作领域/支柱：身份、设备、网络、应用程序和工作负载、数据，以及三个跨越这些领域的主题：可见性和分析、自动化和编目、治理。这与零信任成熟度模型相呼应。

2.2 零信任推进策略与规范图谱

美国已围绕零信任架构技术推出多类项目、标准规范、技术指南等。图1中总结分类了在各个零信任推进领域可参考或应符合的标准规范、技术指南等，在实施零信任过程中可进行参考。

2.3 零信任架构推进路线及具体要求

围绕这五个领域，该备忘录中提出了具体的推进路线及具体要求。提出的战略目标与CISA的五大支柱相一致：

身份：机构员工使用企业管理的身份访问他们在工作中使用的应用程序。防网络钓鱼MFA保护这些人员免受复杂的在线攻击。

设备：:联邦政府对其操作和授权政府使用的每一个设备都有一个完整的清单，并且可以预防、检测和应对这些设备上的事件。

网络：代理机构加密其环境中的所有DNS请求和HTTP通信，并开始执行一项计划，将它们的边界分解为独立的环境。

应用程序和工作负载：代理机构将所有应用程序视为联网的，定期对其应用程序进行严格的实证测试，并欢迎外部漏洞报告。

数据：各机构在部署保护措施时采用了清晰、共享的方式，这些措施利用了彻底的数据分类。各机构正在利用云安全服务来监控对其敏感数据的访问，并实现了企业范围内的日志记录和信息共享。

2.3.1 身份

身份是指唯一描述一个机构、用户或实体的属性或属性集。零信任主体应确保和执行：正确的用户和实体在正确的时间有权访问正确的资源。身份要素主要关注用户识别、身份验证和访问控制策略，这些策略使用动态和上下文数据（环境信息）分析、验证用户试图连接到网络的尝试。推进路线和具体要求如下：

（1）建议使用集成进应用和公共平台的集中式身份管理；支持异常行为分析和及时响应，允许留存用户元数据，实施限制访问等统一安全策略，考虑常用应用、机构间、外部云等的兼容性，提供脚本或命令行等非图形界面，保障一致性和可审计。

（2）多因素鉴别（MFA），鼓励与商用互联网采用同样的技术策略：

▼身份鉴别必须位于应用层，代替网络层的鉴别；

▼内部工作人员必须强制使用防钓鱼的MFA，如PIV卡，FIDO2，CAC，基于安全密钥的网络鉴别标准等；

▼面向公众用户时，将防钓鱼的MFA作为可选项提供；

▼口令策略：不允许要求特殊字符，定期轮换等（尽快删除），鼓励非口令多因素，不鼓励单因素的特权访问管理作为日常使用。

（3）在授权方面，同时验证身份和设备信息才能授权：

▼持续对所有访问请求进行评估，若发现风险，及时响应，如采取重鉴别、限制访问、拒绝访问等措施；

▼推荐采用细粒度、动态的基于属性的访问控制（ABAC）；

▼用于判断权限的要素包括：用户身份、资源属性以及访问时的环境等。

2.3.2 设备

设备是指能够连接到网络的任何硬件资产，包括物联网设备、手机、笔记本电脑、服务器等。设备可以是零信任主体拥有的或自带设备(BYOD)。零信任主体应对设备进行盘点，确保所有设备的安全，并防止未经授权的设备访问资源。对用户控制和自带设备录入系统，并进行验证，以确定可接受的网络安全状态和可信度。具体要求如下：

（1）资产盘点：支持资产的动态发现和编目；云环境需进一步研发，会参考利用商业云。

（2）终端主动检测，使用CISA列表中的EDR工具，终端信息需上报给CISA。

2.3.3 网络

网络是指用于传输信息的开放通信媒介，包括机构内部网络、无线网络和Internet。机构应该隔离和控制网络，管理内部和外部的数据流。通过动态定义网络访问、部署微隔离技术、控制网络流量等方法，在对端到端流量进行加密的同时，隔离敏感资源以防被未授权的人或设备访问。推进路线及具体要求如下所示：

（1）网络可视化及攻击面监测

▼监测分析所有网络流量日志，关注监测设备可能存在的漏洞；

▼不依赖静态密钥，采用最新的开放标准TLS1.3；

▼可视化及最小化授权原则（未解密流量也可进行可视分析等）。

（2）DNS加密

▼应支持操作系统级DNS加密/解析，以及应用级（浏览器）DNS加密/解析；

▼支持标准DNS加密协议，如DNS-over-HTTPS或DNS-over-TLS。

（3）加密所有HTTP流量

▼在浏览器的预装配置中，将所有政府机构已知的“.gov”设置为“https-only”

（4）正在评估所有的可行的email加密方案

（5）企业级体系结构与隔离策略：防止横向移动

▼加强身份治理、逻辑微隔离、基于网络的隔离；

▼加紧制定隔离方案，方案应适合云的技术架构，集合云的优势。

2.3.4 应用和工作负载

应用程序和工作负载包括系统、计算机程序和在内部以及在云环境中执行的服务。机构应保护和管理应用层和容器，并提供安全的应用程序交付。持续集成和持续部署模型将安全测试和验证集成到流程的每个步骤中，有助于为已部署应用程序提供安全保证。

（1）应用安全测试：生成安全评估报告，进行充分的测试：脆弱扫描、代码分析、其他特定应用的方法等（可参考相关NIST指南）；

（2）第三方测试；

（3）支持公众测试；

（4）安全连接互联网：

▼不依赖VPN；

▼支持基础设施监控，抗DoS攻击，采用强制访问控制策略，并集成身份管理系统。

（5）发现网络可访问的应用

▼确认攻击面：内部记录与外部扫描共同协作（可使用CISA提供网站扫描工具）；

▼零信任主体治下的“.gov”大部分已被CISA监管，“非.gov”需要上报，融入监管；

（6）恒定的工作负载：

▼可参考云架构提供的接口，实现自动化部署与回滚；

▼支持应用部署自动化，便于集中管理；

▼采用现代软件开发生命周期，促进基于恒定工作负载的可靠、可预测和可伸缩的应用程序的创建；

▼建议参考云安全技术参考体系结构。

2.3.5 数据

数据应该在设备、应用程序和网络上得到保护。零信任主体应该对数据进行存储、分类和打标，保护静止和传输中的数据，并部署数据外泄检测机制。随着各机构转向零信任架构，他们的心态必须转向“以数据为中心”的网络安全方法。机构应该先开始识别、分类和盘点数据资产。CISA建议各机构优先为其最关键的数据资产部署数据保护。

（1）制定零信任数据安全指南：不限于传统意义的数据，指导数据分类，且需要面向特殊数据类别；

（2）数据编制、自动化与响应：

▼采用基于机器学习的启发式方法对数据进行分类，在启用自动化模式前，要对机器学习算法进行配置并通过人工审核；

▼实现早期预警及异常行为检测，例如出现过多访问或访问之前没访问过的数据时判定为异常；

▼初级阶段：手工初步分类或按模式分类。

（3）审计云中的敏感数据访问：

▼支持云上数据的加解密；

▼支持云上密钥管理，对云上访问日志进行审计；

▼成熟阶段：应结合各种数据综合分析。

（4）及时响应和恢复：

▼应对云托管环境或机构运行环境中的日志进行保留和管理，支持安全运行中心（SOC）的集中访问、可见以及数据共享，以加快响应和调查；

▼前期先建立完整性措施，包括限制访问策略及日志的加密验证（包括DNS日志）等。

03  零信任技术架构与数据安全

图2 零信任体系结构

图2（出自NIST《Implementing a Zero Trust Architecture》）展示了零信任体系架构，该架构所示的技术组件包括但不限于核心组件、功能组件、设备和网络基础设施组件等。

核心组件主要包括策略引擎、策略管理和策略执行点。策略引擎计算信任评分/置信度级别，并做出最终访问决策，授予、拒绝或撤销对特定主体的资源访问。策略管理负责建立或废止主体和资源之间的策略，它与策略引擎紧密关联，并依赖于策略引擎决定最终允许或拒绝访问请求。策略实施点负责启用、监视和终止主体与企业资源之间的连接。

功能组件为策略引擎提供安全能力支撑，可以包括但不限于身份和访问管理组件、终端安全组件、数据安全组件、安全分析组件等。身份和访问管理（IAM）组件包括创建、存储和管理用户帐户和身份记录，及其对企业资源的访问策略、技术和治理手段。终端安全组件保护终端（如服务器、桌面、移动电话、物联网设备）免受威胁和攻击，并保护企业免受托管和非托管设备的威胁。数据安全组件包括企业为保护其信息而开发的所有数据访问策略和规则，以及保护静止和传输中的数据的方法。安全分析组件包含IT企业的所有威胁情报摘要和流量/活动监视，收集有关企业资产当前状态的安全和行为分析，并持续监控这些资产，以积极响应威胁或恶意活动，这些信息可以提供给策略引擎，以帮助制定动态访问决策。这四项功能组件对应着零信任推进路线中的身份领域、设备领域、数据领域、网络领域及应用和工作负载领域的具体实施技术模块，同时也与零信任成熟度模型保持一致。这些组件共同协作，集成应用至零信任架构中，以实现零信任的原则与愿景。

设备和网络基础设施组件主要实现零信任推进路线中网络领域的技术与能力要求，其中资产包括连接企业的设备/端点，如笔记本电脑、平板电脑、其他移动设备、物联网设备和自带设备。企业资源包括数据和计算资源，以及在本地、云、边缘或这些组合中托管和管理的应用/服务。网络基础设施组件包含中型或大型机构通常可能在其环境中部署的网络资源。零信任架构的核心组件和功能组件应通过设备和网络基础设施连接或集成到开放的网络环境中。

从零信任技术架构出发，从中可以看出，其所关注的动态访问决策与如今数据在使用、流动中的安全需求契合度较高，数据安全往往是一种动态的安全，其安全策略如果一成不变，那很难让数据能够真正发挥其价值。

04  总结

零信任安全针对传统边界安全架构思想进行了重新评估和审视，以“持续信任评估，动态访问控制”为核心原则。当前，多种安全技术正逐步向零信任架构靠拢，例如基于“软件定义边界（SDP）”、“身份与访问管理（IAM）”和“微隔离”等。SDP技术是用于实现用户访问服务器过程的访问安全，保证“南北向”安全；微隔离技术解决服务器之间的权限漂移问题，保证“东西向”安全；IAM技术则将主客体身份进行统一集成管理，以身份深入标识全流量，并基于身份进行访问行为的链条化整合，是实施零信任架构可视化分析、自动化编排和治理的基础与手段。随着布局零信任架构的企业、机构增多，将会有更多的技术方案在实践中不断协同推进，零信任解决方案将不断完善，这就为网络安全和数据安全的创新发展增添了更多的可能性。
(本文作者：中国科学院信息工程研究所 彭佳 李敏）

信息来源：CCIA数据安全工作委员会