■ 云南 王軍峰

編者按：如今傳統(tǒng)的網(wǎng)絡(luò)安全邊界變得越來越模糊，目前的網(wǎng)絡(luò)防御技術(shù)存在諸多漏洞，為黑客攻擊提供了極大的便利。隨著網(wǎng)絡(luò)攻擊演變得更加復(fù)雜，新的網(wǎng)絡(luò)安全防御思維應(yīng)運(yùn)而生。

由公安部第三研究所網(wǎng)絡(luò)安全法律研究中心與百度聯(lián)合發(fā)布的2019年《網(wǎng)絡(luò)犯罪治理防范白皮書》中披露，每分鐘因網(wǎng)絡(luò)犯罪導(dǎo)致的經(jīng)濟(jì)損失高達(dá)290萬美元，每分鐘泄露的可標(biāo)識(shí)數(shù)據(jù)記錄為8100條，數(shù)據(jù)表明，33.9%數(shù)據(jù)泄露事件與內(nèi)部威脅有關(guān)。

認(rèn)識(shí)到了現(xiàn)有安全防御的不足以及應(yīng)對愈趨嚴(yán)峻的安全態(tài)勢，我們需要更好的東西，而零信任模型恰好就能得到最好的結(jié)果。

網(wǎng)絡(luò)先天存在的缺陷

1.網(wǎng)絡(luò)協(xié)議的缺陷

TCP/IP協(xié)議是建立在可信的環(huán)境之下，由于在其設(shè)計(jì)初期人們過分強(qiáng)調(diào)其開發(fā)性和便利性，沒有仔細(xì)考慮其安全性，因此很多的網(wǎng)絡(luò)協(xié)議都存在嚴(yán)重的安全漏洞，給Internet留下了許多安全隱患。

2.終端系統(tǒng)漏洞

互聯(lián)網(wǎng)的飛速發(fā)展打破了常規(guī)的時(shí)間、空間限制，使我們可以服務(wù)的人群變得無限多。然而，互聯(lián)網(wǎng)帶來無限多客戶的同時(shí)也帶來了無限多的黑客。在黑客面前，任何細(xì)微漏洞都可能被捕獲，導(dǎo)致安全風(fēng)險(xiǎn)被無限放大。特別是兩個(gè)基本假設(shè)的成立讓我們無所適從：

任何應(yīng)用程序都會(huì)存在漏洞；黑客總是比用戶更早地發(fā)現(xiàn)漏洞。

3.邊界防火墻的缺陷

由于傳統(tǒng)的防御體系側(cè)重于互聯(lián)網(wǎng)、第三方等邊界的網(wǎng)絡(luò)安全防護(hù)，認(rèn)為只要構(gòu)筑了企業(yè)的數(shù)字護(hù)城河，通過防火墻、WAF、IPS等邊界安全產(chǎn)品或方案，就能實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全，在某種程度上預(yù)設(shè)了對內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任，從而忽視內(nèi)網(wǎng)安全措施的加強(qiáng)。網(wǎng)絡(luò)邊界的安全防護(hù)一旦被突破，即使只有一臺(tái)計(jì)算機(jī)被攻陷，攻擊者也能夠在安全的網(wǎng)絡(luò)中心內(nèi)部自由移動(dòng)。

網(wǎng)絡(luò)安全面臨的重大挑戰(zhàn)

在網(wǎng)絡(luò)新時(shí)代，網(wǎng)絡(luò)攻擊給我們帶來了新威脅和大挑戰(zhàn)，主要面臨著6大新威脅。

第一，網(wǎng)絡(luò)攻擊正在威脅國家安全。敵對勢力通過網(wǎng)絡(luò)攻擊可以在敵對國家內(nèi)部的網(wǎng)絡(luò)空間搞破壞，最終達(dá)到影響民意等目的，甚至實(shí)現(xiàn)“顏色革命”。

第二，網(wǎng)絡(luò)戰(zhàn)威脅國防安全。網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為國際沖突的常見形式，網(wǎng)絡(luò)戰(zhàn)時(shí)時(shí)刻刻都在發(fā)生，網(wǎng)絡(luò)戰(zhàn)會(huì)成為未來戰(zhàn)爭的首選，給國家國防安全帶來了嚴(yán)重威脅。

第三，網(wǎng)絡(luò)攻擊也在威脅國家關(guān)鍵基礎(chǔ)設(shè)施安全。物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)正在把虛擬世界和物理世界打通，所有原先虛擬世界的攻擊都可以直接影響現(xiàn)實(shí)物理世界，通過網(wǎng)絡(luò)就可以破壞水、電、氣、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施。

第四，網(wǎng)絡(luò)攻擊威脅社會(huì)穩(wěn)定和公共安全?，F(xiàn)在整個(gè)社會(huì)的運(yùn)轉(zhuǎn)、公共服務(wù)、老百姓的吃喝玩樂都建立在網(wǎng)絡(luò)之上。一旦遭受網(wǎng)絡(luò)攻擊，社會(huì)秩序就會(huì)混亂。

第五，網(wǎng)絡(luò)攻擊威脅金融和經(jīng)濟(jì)安全?；ヂ?lián)網(wǎng)金融已經(jīng)深入大眾生活，而針對金融系統(tǒng)的網(wǎng)絡(luò)攻擊也層出不窮，威脅金融和經(jīng)濟(jì)安全。例如區(qū)塊鏈的火熱也讓虛擬貨幣已經(jīng)成為黑客攻擊的新目標(biāo)。

第六，網(wǎng)絡(luò)攻擊威脅用戶個(gè)人安全。數(shù)據(jù)顯示，網(wǎng)絡(luò)犯罪正在成為第一大犯罪類型，未來絕大多數(shù)犯罪都可能借助網(wǎng)絡(luò)實(shí)施。網(wǎng)絡(luò)犯罪除了造成用戶隱私泄露、財(cái)產(chǎn)損失外，甚至也在影響人身安全。

傳統(tǒng)的可信任網(wǎng)絡(luò)體系面臨巨大挑戰(zhàn)，無法滿足安全的需求。我們需要構(gòu)建零信任體系，以管理戰(zhàn)略情報(bào)的思維來管理數(shù)據(jù)。

零信任網(wǎng)絡(luò)構(gòu)建提升網(wǎng)絡(luò)安全

互聯(lián)網(wǎng)給我們帶來了很多的安全方面的經(jīng)驗(yàn)教訓(xùn)，人們意識(shí)到舊的網(wǎng)絡(luò)防護(hù)體系需要打破。

2010年John Kindervag提出信任網(wǎng)絡(luò)（亦稱零信任架構(gòu)）模型，零信任是一個(gè)安全概念，中心思想是不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對任何試圖接入內(nèi)部系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。

簡言之，零信任的策略就是不相信任何人。除非網(wǎng)絡(luò)明確知道接入者的身份，否則任誰都別想進(jìn)入。什么IP地址、主機(jī)之類的，不知道用戶身份或者不清楚授權(quán)途徑的，統(tǒng)統(tǒng)不放進(jìn)來。

零信任架構(gòu)假設(shè)網(wǎng)絡(luò)自始至終充滿外部和內(nèi)部威脅，不能僅憑網(wǎng)絡(luò)位置來評估信任，從傳統(tǒng)的以網(wǎng)絡(luò)為中心轉(zhuǎn)變?yōu)橐陨矸轂橹行倪M(jìn)行訪問控制，這種轉(zhuǎn)變的必然性是因?yàn)榫W(wǎng)絡(luò)邊界正在瓦解，已經(jīng)無法區(qū)分內(nèi)外網(wǎng)，因此，索性將內(nèi)網(wǎng)按照互聯(lián)網(wǎng)安全的思路進(jìn)行建設(shè)，而互聯(lián)網(wǎng)對業(yè)務(wù)的安全防護(hù)的典型解決方案就是基于身份與訪問控制。因此，零信任安全自然而然的將身份和訪問控制作為信任重建的基石。

1.加強(qiáng)用戶身份驗(yàn)證

每個(gè)人都有身份，它是現(xiàn)實(shí)社會(huì)中個(gè)體的象征，是個(gè)體進(jìn)行社會(huì)活動(dòng)的基礎(chǔ)，在網(wǎng)絡(luò)系統(tǒng)中，身份就是社會(huì)人/用戶所對應(yīng)的數(shù)字個(gè)體的標(biāo)識(shí)，是用戶在網(wǎng)絡(luò)系統(tǒng)中活動(dòng)的基礎(chǔ)。認(rèn)證對于零信任網(wǎng)絡(luò)至關(guān)重要，它是強(qiáng)制行為，在現(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)中主要包括密碼認(rèn)證、生物特征認(rèn)證和安全令牌認(rèn)證。

密碼是常用的認(rèn)證機(jī)制，安全性高的密碼需要具備以下的特征。

長度足夠長：最近的NIST密碼標(biāo)準(zhǔn)建議密碼長度最小為8位，但是具有高度安全意識(shí)的個(gè)人通常使用的密碼長度為20位以上。

難以猜測：最好利用隨機(jī)數(shù)生成器生成的數(shù)值作為密碼，每個(gè)應(yīng)用和服務(wù)都選用不同的、位數(shù)足夠長且難以猜測的密碼。

生物特征識(shí)別更加便捷安全，如指紋、虹膜掃描、掌紋、人臉識(shí)別等技術(shù)。雖然生物特征識(shí)別有助于提高系統(tǒng)安全性，但是這種機(jī)制的一些天然缺陷也不可忽略：生物特征認(rèn)證極大依賴于物理特征的精準(zhǔn)度量，攻擊者可能欺騙傳感器；另一個(gè)缺點(diǎn)是它們不可變更。

安全令牌是一種應(yīng)用于用戶認(rèn)證的硬件設(shè)備，隨做安全企業(yè)的發(fā)展，越來越多的企業(yè)傾向于使用硬件機(jī)制認(rèn)證用戶身份，將用戶身份與硬件設(shè)備綁定，大大減小了用戶憑證被復(fù)制和盜竊的風(fēng)險(xiǎn)。

2.建立設(shè)備信任

在零信任網(wǎng)路中建立設(shè)備信任至關(guān)重要，建立設(shè)備信任是基石，直接影響零信任網(wǎng)絡(luò)架構(gòu)的成敗。

大多數(shù)網(wǎng)絡(luò)安全事件都和攻擊者獲得信任設(shè)備的控制性相關(guān)，這種情況一旦發(fā)生，信任就將被徹底瓦解，無法通過設(shè)備來確保安全信任鏈的建立。必須確保使用標(biāo)準(zhǔn)化的健康合規(guī)要求，對網(wǎng)絡(luò)生態(tài)系統(tǒng)中對接入的設(shè)備進(jìn)行一致的掃描和監(jiān)測，如果沒有這些措施，將很難在整個(gè)網(wǎng)絡(luò)上運(yùn)行健康檢查，也將為惡意行為體提供訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的機(jī)會(huì)。網(wǎng)絡(luò)環(huán)境已經(jīng)延伸到了接觸生態(tài)系統(tǒng)的每一臺(tái)設(shè)備，這一切都要做好抵御攻擊的防護(hù)，包括受管和非受管的端點(diǎn)：移動(dòng)設(shè)備、平板電腦以及物聯(lián)網(wǎng)設(shè)備。

有效的零信任安全戰(zhàn)略意味著您必須審核每臺(tái)設(shè)備；確保其值得信賴；授予訪問權(quán)限；然后隨時(shí)隔離、保護(hù)和控制每臺(tái)接觸網(wǎng)絡(luò)的設(shè)備。因?yàn)樵O(shè)備驗(yàn)證屬于一個(gè)重要環(huán)節(jié)，因此要對設(shè)備進(jìn)行清點(diǎn)。

3.加密認(rèn)證

在零信任網(wǎng)絡(luò)中，系統(tǒng)接收到的所有數(shù)據(jù)包都是不可信的，因此在處理封裝與數(shù)據(jù)包中的數(shù)據(jù)之前必須嚴(yán)格檢查這些數(shù)據(jù)包，強(qiáng)認(rèn)證機(jī)制是完成該項(xiàng)該項(xiàng)檢查的受選方案。

加密是零信任安全的一個(gè)關(guān)鍵組件，因?yàn)樗俣ňW(wǎng)絡(luò)本身不可信任，網(wǎng)絡(luò)上的任何數(shù)據(jù)都必須相應(yīng)地受到保護(hù)。還應(yīng)考慮與過程/處理中數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)，并對該階段的數(shù)據(jù)管理進(jìn)行加密，此外還應(yīng)考慮傳輸或靜止的數(shù)據(jù)。

加密和認(rèn)證通常是緊密相關(guān)的，盡管其目的截然不同。加密提供機(jī)密性，用于確保只有接收者才能讀取發(fā)送的數(shù)據(jù)；認(rèn)證則用于接收者可以驗(yàn)證消息確實(shí)是由所聲明的對象發(fā)送的。

4.審查訪問行為

有效的零信任策略包括監(jiān)控訪問行為和分析模式和趨勢。為了增加從開關(guān)中使用抽象的流量分析管道，在整個(gè)網(wǎng)絡(luò)的安裝了流量監(jiān)控的用戶設(shè)備來模擬非特權(quán)網(wǎng)絡(luò)中的行為。

這個(gè)流量監(jiān)控檢測作為每一個(gè)設(shè)備的基礎(chǔ)服務(wù)，檢查所有輸入和輸出流量，長期記錄并分析網(wǎng)絡(luò)流量，能夠發(fā)現(xiàn)現(xiàn)有網(wǎng)絡(luò)中存在哪些類型的網(wǎng)絡(luò)連接。

收集并記錄所有網(wǎng)絡(luò)流量后，基于高級(jí)系統(tǒng)連接對網(wǎng)絡(luò)流量進(jìn)行分類，有了這些網(wǎng)絡(luò)定義，就可以更好的執(zhí)行已知連接的訪問控制，感知網(wǎng)絡(luò)中通信模式的變化。

網(wǎng)絡(luò)流量和網(wǎng)絡(luò)上用戶/設(shè)備行為的日志和監(jiān)控，這將提供對網(wǎng)絡(luò)映射的更好理解，并使識(shí)別可能指示對網(wǎng)絡(luò)資源的未經(jīng)許可訪問的異常行為變得更加容易。用諸如安全信息管理、高級(jí)安全分析平臺(tái)、安全用戶行為分析和其他分析系統(tǒng)這樣的工具，使安全專家能夠?qū)崟r(shí)地觀察正在發(fā)生的事情和更智能地定向防御。對網(wǎng)絡(luò)相關(guān)事件數(shù)據(jù)的分析，有助于在實(shí)際事件發(fā)生之前制定主動(dòng)安全措施。

結(jié)語

零信任是一個(gè)演進(jìn)式的框架，而不是革命性的方法。它建立在現(xiàn)有的安全概念之上，并沒有引入一種全新的網(wǎng)絡(luò)安全方法。與大多數(shù)安全概念一樣，零信任依賴于對組織的服務(wù)、數(shù)據(jù)、用戶、端點(diǎn)的基本理解。關(guān)于前期資源投資，沒有“免費(fèi)午餐”。策略定義、部署概念、信任確定（和衰退）、執(zhí)行機(jī)制、日志聚合等，都需要在部署解決方案之前考慮。