基于零信任打造封闭访问空间

引用本文：王刚,张英涛,杨正权.基于零信任打造封闭访问空间[J].信息安全与通信保密,2020(8):78-86.

摘 要

开放是互联网的宗旨，封闭是网络安全的需要，基于场景去权衡封闭与开放的关系是应用和安全要考虑的首要问题之一。零信任网络将封闭区间延伸至用户侧和数据侧，从紧靠用户的统一入口，到贴近应用的访问网关，加上控制中心，零信任网络打造了一个全封闭的应用访问系统，最大化封闭区间，最小化数据暴露面，充分保障应用访问安全。所有的实名访问场景，或者说所有对应用访问安全有要求的场景，都将逐步升级到零信任网络的安全框架下，但是零信任之路刚刚开始，在很长的时期内传统安全加零信任的混合状态会一直存在，零信任的落地需要权衡封闭与开放，安全与便利的关系，需要在保障应用访问安全的同时，给予用户最便利的访问方式。

关键词：零信任；软件定义边界；智能引流；远程办公；移动支付

内容目录

0 引 言

1 零信任发展概述

2 零信任在开放网络中构建封闭访问机制

2.1 零信任SDP封闭网络安全架构

2.2 零信任私有域智能引流

2.2.1 互联网开放DNS解析

2.2.2 零信任引流原理

2.2.5 零信任保障引流的安全

2.4 统一的应用访问可信入口

2.5 SPA机制隐藏应用

2.6 封闭是为了更安全，安全是为了更方便

3 零信任落地

3.1 零信任可落地所有实名认证的业务场景

3.2 面向企业用户的落地场景

3.3 面向大众用户的落地场景

4 结 语

00. 引 言

伴随着互联网的逐步普及，业务上云和远程办公需求逐步常态化，零信任网络在世界各地迅速发展，目前零信任网络的落地场景主要集中在解决远程访问应用上，既替换传统的远程访问虚拟专用网络（VPN）。伴随着未来5G、物联网的发展，零信任网络的落地场景必然更加广泛，和传统网络安全手段相比较，零信任网络更加关注于从用户端到应用端打造一条加密的基于私有协议的全封闭的数据访问通道，因此，基于零信任网络的封闭特性，所有的实名应用访问都应该要“零信任”。

01. 零信任发展概述

零信任的最早雏形源于2004年成立的耶利哥论坛（Jericho Forum），其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年，Forrester的分析师约翰·金德维格（John Kindervag）正式使用了零信任这个术语，金德维格在他的研究报告中指出，所有的网络流量都是不可信的，需要对访问任何资源的任何请求进行安全控制。

软件定义边界（Software Defined Perimeter，SDP）是零信任安全理念的落地技术架构，最早由云安全联盟（CSA）于2013年提出，其整个中心思想是通过软件的方式，在移动+云时代，构建起一个虚拟的边界，利用基于身份的访问控制，来应对边界模糊化带来的权限控制粒度粗、有效性差的问题，以此达到保护组织数据安全的目的。SDP凭借更细粒度的控制、更灵活的扩展、更高的可靠性，正在改变传统的远程连接方式，现已成为目前国际上公认的解决云访问安全的最新趋势。

2019年9月，美国国家标准技术研究院（NIST）发布了《零信任架构》草案（SP800-207），以对外征求意见。《零信任架构》草案还为拟将迁移到零信任安全架构的组织提供了总体路线图，并讨论了可能影响或确实影响零信任架构的相关国家政策。美国防创新委员会（DIB）2019年10月24日通过《通往零信任安全之路》白皮书，敦促军方尽快实施零信任架构（ZTA）。

当前零信任在海外已经得到了广泛的应用，包括Microsoft、Google、Cisco、Symantec等在内的国际巨头均已进军此领域，国内零信任安全访问也发展迅猛，众多安全厂商纷纷推出自己的零信任方案。Gartner行业报告《Market Guide for Zero-Trust Network Access 》对 SDP/ZTNA市场也做了如下预测：到2022年，面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络（ZTNA）进行访问。到2023年，60%的企业将淘汰大部分远程访问虚拟专用网络（VPN），转而使用ZTNA。同时，在Gartner行业报告《Market Report：Strategies Communications Service Providers Can Use To Address Key 5G Security Challenges》中，把纵深防御、持续性和自适应以及零信任安全列为5G安全战略的三大支柱，并且指出应该把微隔离和SDP技术列入5G项目预算和试点。可见，零信任安全与5G将紧密融合未来的商业市场应用。

02. 零信任在开放网络中构建封闭访问机制

开放是互联网的宗旨，而网络安全是保持系统正常运行的需要，对应用的访问面临着开放和封闭的选择。是选择通过开放的互联网公有协议访问，还是选择基于零信任的封闭加密私有协议访问，很大程度上取决于我们所访问的应用对网络安全的要求，基于场景去权衡封闭与开放的关系是应用和安全要考虑的首要问题之一。

美国国家标准技术研究院（NIST）认为零信任架构是一种用于企业资源和数据安全的端到端方法。NIST把零信任定义为将网络防御从广泛的网络边界缩小到最小的微隔离区，针对每一个用户访问的每一个应用，建立一对一的封闭的安全隧道，通过策略决策引擎（Policy Decision Point，PDP）和策略管理引擎（Policy Enforcement Point，PEP）对全交互过程进行严格验证和授权，才允许其访问资源，从而实现应用访问的封闭系统。

2.1 零信任SDP封闭网络安全架构

SDP（Software Defined Perimeter，软件定义边界）是零信任的最佳落地实践，SDP 以“应用访问安全”为基本原则，结合上下文访问情况、终端安全多因子认证等功能，进行单次动态的最小访问权限生成，通过安全发布容器实现应用“隐身”，构建了全新的应用访问安全模式，为用户有效规避安全威胁、风险和漏洞，更好地保护数据资产。

SDP 系统由控制中心、访问网关、统一入口三个部分构成：

控制中心为SDP控制器，实现基于设备指纹的可信接入鉴权，管理设备、用户、服务和安全策略，同时提供可视化管理，包括账号可视化、用户行为可视化、全流程用户访问轨迹可视化、安全策略可视化、网络拓扑可视化。

访问网关为SDP网关，旨在可信安全接入，提供访问鉴权与业务授权的能力，支持单点登录、MFA能力，实现基于角色和属性的动态风险和信任控制。

统一入口为具备 SPA（Single Packet Authorization，单包授权）能力的企业级统一客户端，为用户提供统一的办公入口，可以基于隧道和代理两种方式实现，最小化网络攻击面，国密方式实现传输加密和身份认证保护，让用户享受安全、极致的访问体验。

图1 SDP封闭系统

从紧靠用户的统一入口，到贴近应用的访问网关，加上控制中心，SDP打造了一个全封闭的应用访问区间（如图1所示）。基于私有域名解析技术、用户统一入口封装技术、SPA端口访问技术，SDP架构最大化封闭区间，最小化网络攻击面，充分保障应用访问安全。

零信任封闭系统的核心技术理念主要包括三个方面：

（1）私有域智能引流，基于智能引流策略，控制引流目的地址，让用户找到应用；

（2）统一应用访问入口，WEB/WEB 终端 / CS 应用统一入口，最小化攻击面；

（3）SPA 机制隐藏应用，SPA 敲门机制隐藏应用，每次访问都需要敲门。

2.2 零信任私有域智能引流

零信任私有域智能引流从引流机制上保障应用访问安全：发起端，所有应用访问私有域名，全流程不暴露真实域名；控制端，通过私有DNS解析应用域名，指向对应的接收端；接收端，解析私有域名到实际的访问地址。

2.2.1 互联网开放DNS解析

DNS（Domain Name System，域名系统）是建立在分布式数据库上的分层命名系统，该系统将域名转换为IP地址，并可以将域名分配给Internet 组资源和用户，无论实体的物理位置如何。DNS 的目的是让人们不再去记忆IP地址，使用有含义的域名来访问网站。DNS 旨在响应用户的域名查询请求，返回网络可以识别的IP地址。DNS的解析过程大致可分为三种方式：本地缓存解析、LocalDNS 解析、迭代解析。

2.2.2 零信任引流原理

图2 零信任私有域智能引流

与传统DNS解析不同，零信任基于私有协议智能引流用户的访问请求（如图2所示）。控制中心对用户的身份和接入设备鉴权之后，会下发引流策略到客户端（统一入口），用户通过统一入口访问应用发起域名请求时，请求的是内部定义的私有域名，网卡驱动收到请求后将请求包转发给客户端，客户端对包进行过滤，解析用户的访问请求，同时读取控制中心下发的引流策略，识别目的网关，然后将解析的结果通过网卡驱动响应给访问列表。得到目的网关地址后，用户和网关的通道开始建立，再通过网关访问之后的应用。

零信任私有域智能引流在一个封闭系统中完成引流过程，全流程不暴露应用的真实域名和真实地址。

2.2.3 零信任保障引流的安全

DNS为整个互联网提供地址解析服务，扮演着极其重要的角色，但是其在设计初期缺少对安全性的考虑，使得针对DNS的攻击层出不穷。DNS的安全问题已经成为整个互联网安全的重中之重。常见的攻击如域名劫持，指将主机的域名解析请求解析到错误的IP地址上，使用户无法正常访问目标网站，而错误的IP地址往往指向钓鱼网站、挂马网站等，给用户的隐私与财产带来威胁。

零信任私有域智能引流是在一个封闭系统中完成引流过程，在发起端，所有的应用通过统一入口访问私有域名，控制中心将私有域名智能解析到对应的访问网关，访问网关默认隐藏应用关闭端口，只在控制中心授权后，才会对从统一入口来的访问请求临时开放端口建立通道，解析私有域名到真实的访问地址。零信任私有域智能引流不会暴露应用的真实域名、地址和端口，从机制上保障了应用访问安全，规避了域名劫持和DDoS等攻击手段。

2.3 统一的应用访问可信入口

为了保障用户侧的访问安全，实现所有的访问只给合法用户使用，零信任SDP要求用户通过统一入口来访问应用。这个统一的入口，可以是一个企业级的浏览器，也可以是一个定制的客户端，还可以是基于安卓或IOS的App，或者集成了零信任SDK的第三方产品。

统一入口是零信任封闭系统在用户侧的封闭边界，所有的访问都需要用户首先通过统一入口向控制中心申请认证请求，控制中心基于多因子认证（Multi-Factor Authentication，MFA）、用户角色、访问属性，动态生成本次访问的鉴权与业务授权，实现用户侧的可信接入。

在支持MFA的能力时，应该满足的基本原则：同一安全域的鉴权方式简单易用，满足一定的多因子交叉，跨安全域（尤其是低级向高级访问时）需要增加二次验证，保证安全性提升。简言之，同级安全域之间保证单点能力的便捷性，而跨域时在保证安全性的前提下满足便捷性。

每个用户关联一个或多个角色，每个角色关联一个或多个权限，从而可以实现非常灵活的权限管理。角色可以根据实际业务需求灵活创建，这样就省去了每新增一个用户就要关联一遍所有权限的麻烦。

属性通常来说分为四类：用户属性（如用户年龄），环境属性（如当前时间），操作属性（如读取）和对象属性（又称资源属性），所以理论上能够实现非常灵活的权限控制，几乎能满足所有类型的需求。

2.4 SPA 机制隐藏应用

图3 SPA 机制隐藏应用

为了保障应用侧的访问安全，实现只有让合法用户才能访问进来，零信任 SDP 强制执行“连接前验证”模型，通过SPA来实现这一点（如图3所示）。SPA是一种轻量级安全协议，在允许网络访问相关系统组件（控制中心或访问网关）之前验证设备或用户的身份，连接请求的信息（包括请求者的IP地址）在单个网络消息中进行加密和验证，通过配置默认丢弃（Default-Drop）的防火墙策略使保护的服务对外不可见，这类服务从sshd和OpenVPN到POP和IMAP等邮件协议甚至HTTP的各种服务。默认情况，系统丢弃所有TCP和UDP数据包，而不响应这些尝试，也不向潜在攻击者提供有关端口受监视的信息，这样可以屏蔽用户服务在nmap使用者面前的可见性。所有用户只有在身份验证和授权之后，才会被授予对服务的访问权限。

SPA是零信任SDP不可或缺的一部分，统一入口和控制中心之间，访问网关和控制中心以及统一入口和访问网关之间建立连接前，都需要通过SPA进行连接前的授权。这样，可以最大限度减小对于SDP各网络组件的攻击。

2.5 封闭是为了更安全，安全是为了更方便

安全和方便并不矛盾，我们追求的是即安全、又方便，在面向企业用户的应用场景中：对需要零信任保护的应用提供统一的客户端（企业级浏览器），企业员工通过统一的入口访问企业内部应用，提高应用访问效率；企业级浏览器自动升级更新，客户端补丁和其他安全产品自动检查和更新，减少管理员的客户端维护工作；通过零信任缩小网络攻击面，给内 / 外网提供同样的应用安全保护，降低企业遭受黑客攻击的风险，缓解管理员的压力。

在面向大众用户的应用场景中：不改变最终用户的使用习惯，用户无感知，同时保护终端用户的个人隐私，减少个人数据泄露的风险；客户端安全级别提升，直接减少了最终客户的求助咨询和投诉率，降低企业的客户维护成本；全流程闭环设计，封闭通道加密传输，隐藏真实域名，让攻击者无从下手，有效防御 DDoS、勒索病毒等黑客攻击，减轻管理员的工作压力。可见零信任在保障安全的同时也提供了

方便。

03.零信任落地

零信任通过封闭的机制保障了应用访问安全，因此零信任更适用于需要和可以封闭访问的应用场景。

目前，零信任在远程办公、业务上云、内网防护等场景都有了广泛的应用，然而，零信任适用的落地场景远不止这些。

3.1 零信任可落地所有实名认证的业务场景

零信任可落地所有实名认证的业务场景（如图4所示）。

图4 零信任落地场景

零信任SDP打造了一个封闭的系统，它不是简单的基于用户名、密码来访问控制，零信任落地时要考虑身份认证、设备认证、数据安全、行为管控和自动化响应等方面：支持多因子认证和社交化账号接入，保证账号安全同时更加便捷；验证设备的身份属性和设备当前的补丁、注册表、程序、进程等安全性，确保设备可信；隐藏应用，保护用户到应用的数据访问和传输；持续对用户和设备的行为分析，以确保没有恶意行为；对身份、设备、应用、数据需要有洞察力，自动化检测、响应、修复和补救威胁事件。

零信任最大程度保护了应用访问，对于所有需要实名认证的系统，或者说对于所有需要对接入侧认证的场景， 都应该使用零信任网络。如企业的远程办公、政府行业关注的内网防护、金融行业常用的手机银行、证券行业的交易平台、电商的网上商城、学校的电子图书馆等。

3.2 面向企业用户的落地场景

面向企业用户的应用场景，以提供便捷的使用和管理方式为基本原则，保障企业应用访问安全的同时降低员工的学习成本和企业的管理维护成本（如表1所示）。

远程办公安全是一个很好的切入点。

远程办公是目前零信任落地最广泛的应用，也是目前企业零信任之路的最佳切入点之一。传统VPN正在成为企业网络安全的风险点，针对传统VPN的复杂网络攻击正在瓦解传统安全防御体系，黑客利用远程访问VPN的安全漏洞对企业实施高威的攻击，会导致极为严重的后果，系统性地解决远程办公安全问题已经迫在眉睫。

基于紧靠用户的统一入口，到贴近应用的访问网关，加上控制中心，零信任战略打造了一个逻辑上封闭的系统，更好地解决了远程办公安全访问。员工访问任何企业资源都要先进行身份验证确保身份可信，身份验证之后，要对用户设备进行验证，确保设备可信。在传统网络安全中，VPN接入的用户和内网用户拥有同样的权限，几乎可以访问所有内网资源，而零信任SDP则可以最小化用户的访问权限并且动态调整访问策略。

3.3 面向大众用户的落地场景

面向大众用户的应用场景，以不改变用户的使用习惯为基本原则，实现零信任安全的平稳过渡（如表2所示）。

其中，移动支付场景市场空间广大。

随着我国电子商务和互联网的快速发展， 移动支付取得了长足的进步。只要有一部手机， 就可以使用支付宝、微信、手机银行等进行资金操作。因为移动支付涉及金钱交易，因此其安全问题也备受关注，安全风险是足以影响移动支付未来发展前景的重要问题。

移动支付安全包括客户端程序安全、数据安全、业务安全、通信安全、组件安全、服务端安全；风险包括操作系统漏洞、恶意软件、诈骗短信和不安全的无线网络连接等；手段有二次打包、界面劫持、中间人攻击、SQL注入等。

零信任可以充分保证移动支付场景的应用访问安全和资金安全：

（1）最小化访问权限原则：从用户、设备、应用、环境，动态确定用户的访问权限，真正实现权限的最小化。

（2）应用隐藏：应用访问网关的 SPA 敲门机制默认拒绝所有的 TCP/UDP 请求，应用级的控制手段，每次访问都需要敲门，并基于单个请求连接加密，更好地保证银行的业务系统安全。

（3）持续信任评估机制：零信任态势感知可以在应用的访问过程中，基于用户的行为、用户环境的变化、用户历史画像的比较，持续地对用户进行信任评估，动态调整用户访问权限，以即时应对各类入侵行为，减少可能造成的损失。

在实际工程实践中，需要结合移动安全的实际场景和银行内部移动化业务场景，将安全能力和业务逻辑进行紧密聚合，实现内生安全。

04.结 语

传统的网络安全防御方法尽管存在很多缺陷，但是它也不会被快速替代，零信任之路刚刚开始，零信任的理念和相关的技术正在快速推动网络安全行业的发展和变革，虽然所有的实名访问场景都可以逐步升级到零信任网络的安全框架下，但是在很长的时期内传统安全和零信任的混合状态会一直存在。

尝试零信任的战略对任何一个企业而言，将是一个充满挑战的旅程，为了应对未来 5G 物联网时代复杂的网络攻击，必须要提前做好准备，需要权衡封闭与开放、安全与便利的关系，需要在保障应用访问安全的同时，给予用户最便利的访问方式，同时降低企业的管理和维护成本。

作者简介：

王 刚（1978—），男，学士，中级工程师，主要研究方向为零信任网络安全；

张英涛（1976—），男，学士，解决方案经理，主要研究方向为零信任网络安全；

杨正权（1975—），男，硕士，中级工程师， 主要研究方向为零信任网络安全。

选自《信息安全与通信保密》2020年第八期（为便于排版，已省去原文参考文献）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。