基于动态信任的内生安全架构

摘要

通过研究零信任技术的发展历程和趋势以及该技术的七大支柱能力，剖析传统安全架构 特别是在云环境下的劣势与不足。设计了动态信任架构、基于该架构的内生安全模型以及场景下 的动态信任技术体系，给出了基于动态信任的内生安全架构设计。结合系统内生特性，以架构安全为基础，在终端可信、身份可信、网络可信、数据可信各个环节建立多层防线。并结合应用场景进行剖析，对微隔离防护这一关键技术的应用进行了详细的描述。最后对内生安全架构的未来 进行了展望。

内容目录：

1 信任架构研究背景

1.1 基于 PKI 的信任架构

1.2 零信任架构

2   传统安全架构的困境

3   新架构设计

3.1   动态信任架构

3.2   基于动态信任的内生安全模型

3.3   云场景下的动态信任技术架构

3.4   资源隔离防护

3.4.1   微隔离防护

3.4.2   安全域隔离

4   结  语

内生安全体系架构将安全功能作为基本要素耦合到网络信息系统的体系结构中，形成“安全基因”，在不借助外力（安全软件、防火墙等）的情况下，确保整个网信系统安全。对内生安全的理解包括以下 3 个层面：

（1）安全与系统一体化融合。通过在架构、流程、形态上一体化统筹设计系统与安全，将安全功能作为系统的一种内生能力，而不是在系统建成后反复打补丁。

（2）安全与系统相互适应。安全与系统之间不再是从属关系，而是一个有机的整体。体系安全功能无须大量人工操作作为保障，彼此之间能够适配工作，相互调节控制。系统和安全一体化运维，从而提升系统保障效率。

（3）系统安全能力支持自我进化。内生安全作为系统的内在基因，类似人体的免疫机制，对未知、不断变化的安全威胁具有一定程度的应对能力，并支持防护体系从静态防护向动态防御演进。

内生安全架构能够依据系统及系统组成要素的自身特性进行全方位认证、授权和动态度量。基于信任的内生安全架构则是以动态信任技术为基础，构建系统安全架构，覆盖网络、终端、应用、流量等各个层面。信任已经从一种技术变成一种框架，在安全架构中扮演着举足轻重的作用。一方面，从它的诞生来看，它迎合了攻防实战的趋势；另一方面，它符合物联网等新兴技术发展的趋势。在安全与信息化的足够投入，人员与技术团队专业化的前提下，内生安全架构是一种信息安全的高阶形态。

美国国家标准技术研究所（National Institute of Standards and Technology，NIST） 发 布 的 SP 800-207 《零信任结构》（Zero Trust Architecture）中有一句经典的话：零信任是一种思想，而非一种技术。拜登要求政府采用的零信任架构就是利用零信任思想建立网络架构。美军联合信息环境表明：安全防护需要深度结合，深度结合反映了内生安全的思想。深度结合是指安全能力需要与信息化建设紧密结合。信息化建设包括各个层面，如网络层、终端层、用户层、应用层、虚拟化层、云管层 [1] 等，安全建设要与所有这些层面进行深度融合。如果信息系统在设计之初就已经内生了相应的安全措施和控制，则是最佳安全实践，只需在此基础之上，接受安全管理和运行系统的对接、管理和控制；如果信息系统自身欠缺相应的安全机制，则需要通过第三方安全措施进行补充和加固，或者进一步要求信息系统开发相应的内生安全机制。

1 信任架构研究背景

1.1   基于 PKI 的信任架构

公钥基础设施（Public Key Infrastructure，PKI）与信任服务设施的研究和建设的核心思想是将 PKI系统、信任服务系统、信息系统严格区分为 3 类不同的系统，分别通过 PKI/ 认证授权中心（Certificateauthority，CA）产品、信任服务产品、信息系统产品提供各自的功能，从而通过服务化、标准化、规范化等措施，实现信息系统安全可信、受控互联、按需互通。三层系统之间的关系如图 1 所示。

通过图 1 可以看出，信任服务设施是建立在认证基础设施之上的。通过服务的方式为信息系统提供相关的安全支撑功能，这些安全支撑功能包括：

（1）资源服务：主要提供用户和组织机构信息注册和发布服务，设备、信息系统、网络资源信息注册和发布服务，信息资源共享服务等功能。

（2）授权服务：将用户对资源的访问关系进行策略化管理，基于用户、角色、属性等机制进行授权，并通过鉴权服务方式提供访问控制相关服务。

（3）身份认证服务：利用身份认证服务、认证网关等机制，基于数字证书和数字签名实现对用户身份的鉴别和确认。

（4）签章服务：通过密码技术将传统的实体印章数字化并将其与电子文档进行绑定，利用签章技术和版式文件技术实现电子文件签章操作，并基于服务化思想实现电子签章。

（5）可信时间服务：通过加盖时间戳的机制，实现信息操作、电子签名等操作时间的不可否认、不可伪造。

（6）安全审计服务：基于数字签名机制，实现操作日志的安全采集和安全审计。

（7）数字签名服务：将数字签名操作通过功能封装，提供服务化访问接口，为信息系统提供数字签名服务，从而达到简化密码运算操作的目的。

1.2   零信任架构

2020 年 8 月，NIST 发布的 sp-800-207《零信任结构》白皮书中，明确零信任（Zero Trust，ZT）是一个术语，它代表网信安全不断发展的一组范式（paradigms），这些范式的重点从基于网络边界的静态安全防御，转移到用户、资产和资源。美国国防信息系统局（Defense Information SystemsAgency，DISA）最近发布了零信任参考架构 [3]。它将防御从静态的网络转移到扩展基于边界的关注用户、资产和资源的领域。零信任体系架构（ZeroTrust Architecture，ZTA）采用零信任原则规划工业和企业基础设施和工作流程，零信任假设没有完全基于资产或用户账户的物理或网络位置。

零信任是对企业网络趋势的一种响应，包括远程用户、自带设备（Bring Your Own Device，BYOD）和位于企业网络边界的基于云的资产。零信任关注的保护资源包括资产、服务、工作流、网络账户等，而不是粗粒度的网段，因为网络位置不再被视为资源安全态势的主要组成部分。全面实施零信任的方法是从前期发现和评估任务开始。最初的发现过程将识别体系结构中有关访问和授权活动的数据，需要发现工作负载、网络、设备和用户之间的关系。在设计零信任体系结构之前，必须实现符合现有信息技术（Information Technology，IT）安全策略和标准的基线保护级别。零信任的成熟度模型如图2 所示，但零信任设计的成熟度可能不会影响到所有的功能和控制。

零信任支柱有助于对环境中执行零信任的功能和技术进行分类。如图 3 所示，美国国防部（Department of Defense，DoD）零信任架构的 7 个支柱包括用户、设备、网络 / 环境、应用程序和工作负载、数据、可见性分析、自动化和编排。

零信任使用 3 大支撑技术作为底层支撑。零信任的 3 种建设方案则正好对应 3 大支撑技术，分 别 是 增 强 型 身 份 认 证 与 访 问 管 理（Identity andAccess Management，IAM）、微隔离技术（microsegmentation，MSG）、软件定义边界（Software DefinedPerimeter，SDP）。

（1）IAM。零信任时代的身份管理的核心是持续的动态认证和持续的动态授权。在实操中，零信任方案会使用多因素身份验证、单点登录等 IAM 技术来确保用户使用安全的设备、建立安全的会话、访问适当的资源。

（2）MSG。零信任时代 MSG 的核心要义就是把资源更细粒度分割，便于增加更周密的访问控制权限，既能防范违规的东西横移，又可以为南北向访客精细分配资源。数据中心有边界防护（“大仓保安”），而对于数据中心内部 / 企业内网来说，还需要“小仓保安”对横向移动进行监管，如服务器之间、虚机之间，甚至 pod（一组容器）之都需要进行管控，这是微隔离的初衷。

（3）SDP。SDP 在“访问者”和“资源”之间建立动态和细粒度的“业务访问隧道”。SDP 与传统（Virtual Private Network，VPN）隧道不同，它是“临时”并“单一”的访问控制，把业务资源对未授权的用户完全屏蔽。即便获得授权的用户，也只是使用资源，却不知道资源的具体位置，正所谓“可用而不可见”。基于控制通道与数据通道分离的设计，SDP 构造了一个“暗黑网络”，减少了资源的暴露面，获得了更好的安全性，不仅可以替代 VPN/ 边界网关来控制南北向流量，也可以用于内网间的访问权限控制，彻底定义一个弹性的动态的安全边界。

2 传统安全架构的困境

某些企业的内部网络在建设之初并没有考虑安全性，而是从信息传输的角度以核心、分发和接入3 层架构实现。当安全问题浮现时，企业网络的 3层架构已经完成，安全专家只能在此基础上堆叠安全相关功能。传统的安全架构如图 4 所示。

在传统的 IT 组网中，网络安全需求的落地往往把重心放在以下工作：

（1）精心设计的网络架构，如带外管理网段 /带内生产网段的严格划分、不同网段之间的严格隔离，严格划分网络区域，不同区域执行不同的安全策略；

（2）网络边界处部署专门的边界安全设备，如入侵防御 / 入侵检测（Intrusion Prevention System/intrusion detection system，IPS/IDS）、防火墙、web安 全 网 关（Web Application Firewall，WAF）、 分布式拒绝服务攻击（Distributed Denial of Service，DDoS）等，这些网络安全方案，长期以来起到了较好的安全防护作用。但随着企业网络规模的日益扩大、网络攻击技术的不断发展、云技术和容器化的不断发展，传统安全方案的缺点越来越明显。

整体防御能力重边界、轻纵深，这种理念通过“边界”来区分“可信”与“不可信”。但是复杂的网络部署环境会造成过长、过宽的网络边界，同时云计算、大数据、移动互联、物联网等技术的混合使用也导致网络边界越来越模糊，所以边界的界定也越来越困难。黑客一旦突破边界防御，就如同进入无人之境，而在过于强调边界防护的传统安全方案下，网络边界越来越容易成为实际上的马奇诺防线，攻击者往往第一步会利用应用薄弱点（0day或 nday）、水坑攻击、钓鱼邮件等手段绕过企业重兵部署的防御边界，找到突破点后，通过端口扫描探测更大的攻击目标。

3 新架构设计

3.1   动态信任架构

不论信任技术如何发展，信任架构下纵深防御的思想继续有效。美军联合区域安全栈（Joint Regional Security Stacks，JRSS）减少攻击暴露面的理念在内生安全架构下依然适用。信任架构的难点是信任与资源的深度结合。因此，本文设计的动态信任体系，能够建立信任基础设施，形成覆盖认证、授权、信任评估的统一信任体系。动态信任架构如图 5 所示。

动态信任架构的特点如下：

（1）应用统一认证：实现应用的单点登录等。

（2）资源动态授权：实现数据、信息、应用等资源的细粒度动态授权。

（3）实体信任评估：结合实体的访问行为，对信任度进行动态度量。

（4）行为合规分析：建立合规基线，对人员、设备、数据应用等访问行为进行合规性评定。

（5）环境风险预测：结合系统暴露面和外部攻击形势，对环境风险进行预判。

（6）事件安全举证：采用审计等手段，记录事件的全过程，便于取证分析。

3.2   基于动态信任的内生安全模型

本文给出一种基于信任的内生安全模型，如图 6所示，其主要部分包括终端可信、身份可信、行为可信、数据可信。该模型结合系统规划与架构安全，建立白名单、黑名单、灰名单机制，进行全面监视。

3.3   云场景下的动态信任技术架构

本文采用动态信任技术，以云计算为例进行内生安全具体设计。如图 7 所示，云场景下的动态信任技术架构包括硬件层、虚拟化层、多样化异构资源层、云管理平台层。

3.4   资源隔离防护

在云环境下，资源隔离防护是内生安全的关键点，主要包括微隔离和安全域隔离两部分内容。

3.4.1   微隔离防护

引入零信任安全理论作为基本的微隔离防护设计思想，微隔离防护基于资源微隔离技术、分布式微隔离资源网关技术、安全策略自适应技术、资源拓扑和流量可视化技术、资源安全防护技术，构建基于零信任模型的全方位安全防护体系。微隔离防护的主要设计原则包括：

（1）围绕数据资产，由内到外设计网络，构筑安全防护；

（2）确保对所有资源的访问行为都是安全的，不论是来自内部还是外部；

（3）所有访问都不被信任，都被核查，采用最低特权，严格访问控制；

（4）检查和记录所有流量，实现流量的可视化。

3.4.2   安全域隔离

通过集成式安全隔离模块实现深度数据包的检查，做到细颗粒度的访问控制，实现对恶意软件检查过滤的功能。该模块承担的功能任务较多，需要应对大量虚拟机、应用、存储的流量，因此对性能的要求很高。本文拟采用分布式架构，将隔离模块下沉到各个计算节点，容器主机和虚拟机监视器、虚拟交换机协同工作，分别处理相应主机上对应资源的管控和隔离。

根据组织内不同的数据资产类别（用户、虚拟机、容器、应用、网络、存储等）划分若干个微型核心与边界（Microcore and Perimeter，MCAP），这些 MCAP 会平行对等地连接到集成式安全隔离模块上。如图 8 所示，MCAP 的隔离从两个维度进行：一是基于安全等级标签的强制访问控制，低安全级别的工作负载无法访问高安全级别的资源；二是在传统的网络访问控制的基础上加上应用的维度，根据安全策略进行精确的细粒度的访问控制。

如图 8 所示，云架构下的动态访问控制通过微隔离防护实现，其具有以下 4 个特点：

（1）多粒度隔离：按照不同的安全级别要求，对云资产进行不同粒度 MCAP 分割，隔离模块对MCAP 进行隔离。

（2）全方位威胁监测与防护：采用应用深度识别技术、业务语义分析技术实现从链路到应用，从应用识别到业务语义分析的全覆盖，实现了威胁的检测与防护。

（3）策略自适应：与云管理平台协同，感知应用负载的迁移和伸缩，自适应现有的安全策略或者根据业务的变化动态地调整安全策略。

（4）多维度深度可视：与云管理平台集成，实现拓扑的可视化，检查和记录所有流量，实现信息流的可视化，对历史流量进行分析和对比，发现并可视化威胁。

4 结 语

在内生安全趋势下，基于信任的安全架构具有适应性强、扩展性好的特点，能够适用于大型企业架构，包括用户局域网、大型数据中心，但是也有代价，需要系统在规划、设计之初就要与信任机制、信任实体和信任方法紧密结合设计。基于动态信任的内生安全架构，要结合系统特性，以架构安全为基础，从终端可信、身份可信、网络可信到数据可信各个环节建立多层防线，实现数据的全流程管控，构建虚拟化的数据资源安全边界。通过安全服务或安全运维人员开展持续威胁监测、威胁分析研判、事件及时通告、快速响应处置，将整个数据接入访问的纵深安全防护体系，并将之有效地运营，从而发挥出整体安全保障体系的最大优势。

本文研究了传统安全架构的特点和发展趋势，梳理了信任架构的关键功能和技术，分析了传统安全架构的缺陷，提出了新的动态信任内生安全架构，并且以云计算架构为例进行了深入剖析，能够为信息系统架构设计提供有效参考。

引用格式：曾梦岐 , 石凯 . 基于动态信任的内生安全架构 [J]. 通信技术 ,2022,55(8):1036-1043.

作者简介 >>>

曾梦岐 (1981 — )， 男， 硕士， 高级工程师，主要研究方向为信息安全；

石 凯(1992— )，男，硕士，工程师，主要研究方向为大数据安全、人工智能安全。

选自《通信技术》2022年第8期

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。