《零信任网络》系列连载 (一)：一文读懂零信任网络

《零信任网络：在不可信网络中构建安全系统》：作者Evan Gilman和Doug Barth，译者奇安信身份安全实验室。本书介绍了零信任模型，该模型认为整个网络无论内外都是不安全的，“可信”内网中的主机面临的安全威胁与互联网上的主机别无二致。本书主要展示了零信任如何让读者专注于构建强大的身份认证和加密，同时提供分区访问和更好的操作敏捷性。通过阅读本书，读者将了解零信任网络的架构，包括如何使用当前可用的技术构建一个架构。

安全内参将在近期对本书部分内容进行连载，本文是第一篇。

在网络监控无处不在的时代，很难确定谁是值得信任的。我们能相信互联网流量没有被监听吗？当然不能！我们既无法信任提供光纤租用的互联网服务商，也无法信任昨天在数据中心布线的合同工。

“数据中心内部的系统和网络流量是可信的”这一假设是不正确的。现代的网络设计和应用模式，已经使得传统的、基于网络边界的安全防护模式逐渐失去原有的价值。因此，网络边界的安全防护一旦被突破，即使只有一台计算机被攻陷，攻击者也能够在“安全的”数据中心内部自由移动。

零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型没有基于网络位置建立信任，而是在不依赖网络传输层物理安全机制的前提下，有效地保护网络通信和业务访问。零信任模型并不是不切实际的设想，利用已经成熟的加密技术和自动化系统，这一愿景完全可以实现。

1、什么是零信任网络？

零信任网络的概念建立在以下5个基本假定之上。

• 网络无时无刻不处于危险的环境中。

• 网络中自始至终存在外部或内部威胁。

• 网络的位置不足以决定网络的可信程度。

• 所有的设备、用户和网络流量都应当经过认证和授权。

• 安全策略必须是动态的，并基于尽可能多的数据源计算而来。

传统的网络安全结构把不同的网络（或者单个网络的一部分）划分为不同的区域，不同区域之间使用防火墙进行隔离。每个区域都被授予某种程度的信任，它决定了哪些网络资源允许被访问。这种安全模型提供了非常强大的纵深防御能力。比如，互联网可访问的Web服务器等高风险的网络资源，被部署在特定的区域（一般称为“隔离区”，DMZ），该区域的网络流量被严密监控和严格控制。这是一种常见的网络安全架构，如图1所示。

图1 传统的网络安全架构

零信任模型彻底改变了这种安全架构。传统的网络分区与隔离安全模型在过去发挥了积极作用，但是现在却疲于应对高级的网络攻击。传统的安全模型主要有以下缺点。

• 缺乏网络内部的流量检查。

• 主机部署缺乏物理及逻辑上的灵活性。

• 存在单点故障。

需要关注的是，如果基于网络位置划分区域的需求消失了，那么对VPN的需求也就消失了。VPN的作用是对用户进行身份认证并分配IP地址，然后建立加密的传输隧道。用户的访问流量通过隧道传输到远程网络，然后进行数据包的解封装和路由。或许人们从来没有想过，在某种程度上，VPN是一种不会遭人怀疑的后门。

如果网络的位置对于网络安全失去价值，那么诸如VPN等网络安全设备也会失去其原有的价值。当然，这也迫使我们把安全控制的实施点尽可能地前推到网络边缘，这同时也减轻了网络核心设备的安全责任。此外，大多数主流的操作系统都支持状态防火墙，交换和路由技术的进展也为在网络边缘部署高级功能创造了机会。将所有这些改变带来的收益汇集在一起，得出一个结论：是时候进行网络安全架构的范式转换了。

利用分布式策略实施和应用零信任原则，可以构建如图2所示的网络安全架构。

图2 零信任架构

2、零信任的控制平面

零信任架构的支撑系统称为控制平面，其他部分称为数据平面，数据平面由控制平面指挥和配置。访问受保护资源的请求首先经过控制平面处理，包括设备和用户的身份认证与授权。细粒度的控制策略也在这一层进行，控制平面可以基于组织中的角色、时间或设备类型进行授权。如果用户需要访问安全等级更高的资源，那么就需要执行更高强度的认证。

一旦控制平面完成检查，确定该请求具备合法的授权，它就会动态配置数据平面，接收来自该客户端（且仅限该客户端）的访问流量。此外，控制平面还能够为访问请求者和被访问的资源协调配置加密隧道的具体参数，包括一次性的临时凭证、密钥和临时端口号等。

虽然上述措施的安全强度有强弱之分，但基本的处理原则是不变的，即由一个权威的、可信的第三方基于多种输入来执行认证、授权、实时的访问控制等操作。

3、边界安全模型的演进

本文提到的传统安全架构通常是指“边界安全模型”。该模型的基本思想与物理世界中通过修建城墙来保护城堡一样，是通过构建层层防线来保护网络中的敏感资源。 入侵者必须穿透这些防线，才能够访问敏感资源。遗憾的是，这种做法在计算机网络场景下存在根本性的缺陷，实质上无法保证敏感资源的安全性。为了充分理解这种缺陷，有必要回顾一下边界安全模型出现的原因及其发展历程。 

管理全球IP地址空间

导致边界安全模型出现的原因要从互联网的IP地址分配开始说起。在互联网发展的早期，越来越多的网络连接在一起。在那个年代，互联网还没有大规模普及，一个网络可能是连接到互联网，也可能是与其他业务部门、公司或是某个研究机构的网络相连。

当然，在任何IP网络中，IP地址都必须是唯一的。如果不同网络的运营者使用了重叠的IP地址空间，那么他们必须花费很大的力气进行修改。如果正在连接的网络恰好是互联网，那么IP地址必须是全球唯一的。很显然，网络的IP地址分配必须通过统一的协调。

互联网号码分配机构（Internet Assigned Numbers Authority，IANA）于1998年正式成立，直到今天IANA仍然是IP地址分配的协调机构。在IANA成立之前，IP地址分配和协调的职责是由Jon Postel来承担的，他绘制了如图3所示的互联网地图。

Jon是IP地址所有权记录的权威来源，如果你想确保自己的IP地址是全球唯一的，那么就需要到他这里注册。在那个时代，即使网络暂时不需要连接到互联网，也鼓励人们为其注册IP地址，因为说不定哪天这个网络就会连接到另一个网络。 

图3 Jon Postel于1982年2月绘制的互联网早期地图 

私架构私有IP地址空间的诞生

20世纪80年代末和20世纪90年代初，随着IP网络技术的应用范围越来越广，随意使用IP地址空间成为一个严重的问题。许多网络虽然事实上与互联网隔离，但是却有很大的IP地址空间需求，连接ATM的网络、连接大型机场航班信息显示屏的网络等，都是典型的例子。

出于各种原因，这些网络的确需要与互联网隔离，有的设备因为需要满足安全或隐私的要求而与互联网隔离（如ATM）；有的设备功能非常有限，通过网络大规模地连接起来意义不大（如机场的航班信息显示屏）。于是，私有互联网地址分配标准——RFC 1597诞生了，其目的是解决大量公共IP地址空间的浪费问题。

1994年3月，RFC 1597宣布IANA为私有网络保留3个IP地址范围：10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。这样可以确保大型私有网络的地址空间不会超出分配的范围，从而减缓公共IP地址空间的消耗，也使得网络运营者能够在适当的时候使用非全球唯一的IP地址。

此外，私有IP地址空间的使用还产生了另外一个效果，而且直到今天仍然在发挥作用——使用私有地址空间的网络更加安全，因为这些网络无法连接到其他网络，特别是连接到互联网。

在那个年代，连接到互联网的组织相对来说比较少，因此，内部网络经常使用保留的私有网络地址空间。另外，网络的安全防护措施也非常弱，甚至完全没有，因为这些网络在物理上通常位于一个组织的内部，攻击者很难接触到。 

私有网络连接到公共网络

互联网应用的发展非常迅速，很快大多数组织都希望以某种方式出现在互联网上。电子邮件就是较早的互联网应用之一。人们希望能够发送和接收电子邮件，这就意味着他们需要一个可公开访问的邮件服务器，也意味着他们需要以某种方式连接到互联网。

私有网络中的邮件服务器一般情况下是唯一连接到互联网的服务器，它通常有两个网络接口，一个连接互联网，一个连接内部网络。通过连接到互联网的邮件服务器，私有网络内部的系统和人员就能够发送和接收互联网电子邮件。

人们很快意识到，这些服务器实际上开辟了一条物理通道，把互联网和安全的私有网络连接了起来。如果攻击者攻陷其中一台服务器，那么他就能够进入私有网络，因为私有网络中的主机与连接互联网的服务器之间是连通的。因此，出于安全的考虑，需要严格检查这些服务器及其网络连接。

于是，网络运营者在这些服务器的两侧部署了防火墙，用于控制网络通信，阻止潜在的攻击者从互联网访问内部网络的主机，如图4所示。发展到这一步，边界安全模型就诞生了。内部网络变成了“安全”的网络，受到严格控制的服务器所部署的位置成为DMZ，即隔离区。

图 4 互联网和私有资源都可以访问隔离区中的主机，但是私有资源的网络访问不能超出隔离区，因此不能直接访问互联网

NAT的诞生

由于需要从内部网络访问的互联网资源数量快速增长，因此，给内部网络资源赋予访问互联网的权限，要比为每个应用维护代理主机更加容易。NAT（网络地址转换）能够很好地解决这个问题。

RFC 1631为网络设备定义了一个标准，使其能够在组织的网络边界执行IP地址转换。通过维护一张公共IP/端口与私有IP/端口的映射关系表，NAT设备能够使私有网络中的设备访问任意的互联网资源。这种轻量级的映射关系与应用程序无关，也就是说，网络运营者不再为每个应用程序单独配置互联网连接，而只需要支持私有网络的通用互联网连接即可。

NAT设备有一个很有趣的特性：因为IP地址映射关系是多对一的，所以源自互联网的连接无法访问内部的私有IP地址，除非事先在NAT设备上进行专门的配置来处理这种特殊情况。

因此，NAT设备具有与状态检测防火墙相似的特性。事实上，防火墙设备也很快开始集成NAT功能，这两个功能合二为一，基本上无法区分。这类设备既能支持网络的连通功能，又能支持严格的安全控制，因此很快得到广泛应用，几乎每个组织的网络边界上都部署了防火墙设备，如图5所示。

图5 简化后的典型的边界防火墙架构设计

现代边界安全模型

通过在内部网络和互联网之间部署防火墙/ NAT设备，能够清晰地划分安全区域，包括组织内部的“安全”区、隔离区和不可信区域（互联网）。如果一个组织的网络需要与另一个组织的网络互连，则只需要在两个组织网络的边界处部署防火墙/NAT设备，这样另一个组织的网络就成为一个新的安全区域。

然后，就像隔离区或安全区一样，可以在边界防火墙设备上配置特定的规则，规定不同区域之间允许或禁止哪种类型的网络流量通过。

回顾过去，可以看到很明显的进步。我们从离线/私有网络中只有个别主机能够连接互联网，发展到通过在网络边界部署安全设备来建立高度互联的网络。

这种进步并不难理解，网络运营者出于各种商业目的，必须让内部网络中的服务器对互联网敞开大门，但是他们又不想失去私有网络的安全性，而防火墙/NAT设备能够在网络边界进行严密的安全控制，极大地降低了安全风险。 

译者简介

奇安信身份安全实验室，是奇安信集团下属专注“零信任身份安全架构”研究的专业实验室。奇安信集团作为中国人员规模最大的网络安全公司，拥有超过6400名员工，产品已覆盖90%以上的中央政府部门、中央企业和大型银行，2016-2018年三年的营业收入的年复合增长率超过90%，增长速度创国内记录。实验室以“零信任安全，新身份边界”为技术思想，推出“以身份为中心、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。