传统网络往往通过物理位置的方式来判断威胁，网络类型被分为内网和外网两大类，人们认为内网网络是安全的，而外部网络是危险的。但随着信息技术不断更新迭代，像云计算、大数据等高新技术加速信息化的发展，这种由物理上所划分的安全边界将逐步瓦解。很多的应用信息操作、访问都是由员工从外部网络发起的。但业务与信息化发展融合越紧密，其暴露的风险面就越广，人员通过网络访问后台应用系统，如果单纯依靠防火墙、入侵防御，只能检测到流量内容的安全性，但对于其身份ID、操作行为却无法做鉴别。

2.零信任体系基础

需要指出的是，零信任并非指某种单一的安全技术或产品，而是一种网络安全防护理念，基于这一理念，零信任体系的建设逐渐被提上各企业的日程。

b)零信任访问模型

当用户需要访问企业资源时，必须通过策略决策点（PDP）和相应的策略执行点（PEP）授予访问权限。在这一过程中，零信任系统中必须确保用户身份是真实的，请求是有效的。PDP/PEP通过适当的判断，才允许企业主体访问资源。这意味着零信任适用于两个基本领域：身份认证和授权。

c)零信任体系部署原则

• 所有数据源和计算服务都被视为企业资源；

• 无论网络位置如何，所有通信都应该是安全的；

• 对单个企业资源的访问是在每个会话的基础上授予的；

• 对资源的访问由动态策略决定，包括客户端标识、应用程序和请求资产的可见状态，以及其他行为属性；

• 企业应确保所拥有的资产和相关的设备均处于最安全的状态，并持续监控以确保资产处于最安全的状态；

• 所有资源的身份验证和授权都是动态的，并且在允许访问之前必须严格执行；

• 企业应尽可能多地收集网络基础设施和通信系统当前的状态信息，以提升其网络安全状况。

d)零信任体系组成

图一

零信任体系主要包括两个部分：核心逻辑组件以及辅助系统。

构成零信任体系的逻辑组件很多，最核心的还是策略决策点和策略执行点。这些组件可以通过本地服务或远程服务的方式来操作，组件间的相互关系如图一所示。策略决策点被分解为两个逻辑组件：策略引擎( Policy Engine ,  PE)和策略管理员(Policy Administrator,  PA )。零信任体系逻辑组件之间通过一个单独的控制平面进行通信，而应用程序数据则在一个数据平面上进行通信。

e)零信任体系核心逻辑组件

图二

核心逻辑组件如图二所示，除策略管理员、策略引擎和策略执行点，还包括驱动策略引擎的零信任算法。

若将策略引擎视为零信任体系的大脑，那么策略引擎的信任算法就是主要的思想过程。策略引擎从多个来源获取输入，如图三所示，输入包括用户信息、设备信息、设备状态、访问信息、行为属性以及外部威胁情报等。

算法过程的设计可以通过信息属性度量、静态规则匹配，与相应基准值进行比较，计算其偏差，汇总分析所得的风险，从而得到该次访问的信任等级，然后结合所要访问资源的属性进行最终的判断，基准值可以动态调整。也可以使用神经网络、深度学习等启发式方法，先将输入的系统状态数据的特征提取出来，然后不断学习训练，从而建立起信任评估模型，进而输出模型评估后的信任等级，输出结果也可以对模型的计算过程进行反馈，从而提升模型输出结果的准确性，。

最后，根据信任等级来确定主体的访问权限，并将最后的决定传递给策略管理员来执行。

f)零信任体系辅助系统

除了实现零信任体系的核心逻辑组件之外，还有几个数据源产生的辅助系统，将数据源提供给策略引擎作为访问决策的输入和策略规则。具体包括：

• 持续诊断和缓解系统

• 威胁情报系统

• 数据访问策略

• 公钥基础设施

• 网络活动日志系统

• 身份标识管理系统

• 安全信息和事件监控系统

3.零信任体系设计

接下来从现实的角度来阐述零信任安全体系总体的构建方案。

a)设计思路

通常，零信任体系的设计遵循以下三个思路：

b)总体架构

图四

零信任体系总体架构如图四所示，其包含两个核心部分：安全基础设施以及安全控制服务。

i.安全基础设施

安全基础设施部分相当于零信任体系中的策略引擎，划分为密码支撑体系和可信身份管控两个模块：

密码支撑体系(PKI/CA)的作用是，对不同对象，如人员、设备、应用、服务等提供数字证书管理服务。

可信身份管控则依托密码支撑体系，以身份为中心，对不同对象进行规范化统一管理。通过身份认证服务，实现用户、应用、设备等实体身份鉴别；通过授权管理服务，基于RBAC，ABAC等授权模型，实现细粒度的授权管理与鉴权控制等功能；通过安全审计服务，采集应用系统的运行记录、操作日志、性能指标，并进行统一的规范化处理和综合分析。安全控制服务

ii.安全控制服务

零信任体系架构中另一个核心部分是安全控制服务，其相当于零信任体系中的策略管理员，基于零信任网络环境下以身份为中心进行访问控制的特点，建设智能网关管理平台，作为认证与访问控制策略的大脑，对接密码支撑体系和可信身份管控平台，从而制定各类安全策略。

iii.安全管理中心

是集成多个零信任体系的辅助系统，基于密码态势感知服务，提供其所属设备台账管理、密码应用合规性分析、密码有效性分析，对不同对象行为日志进行收集、安全审计及追踪溯源等。

iv.标准接口规范

在部署零信任体系过程中，需要编制相关标准接口规范，如密码支撑体系接口标准、可信身份管控平台接口标准及产品接入规范，不同类型的网关对接接口规范等，保证其适配、对接合理、合规及便利。

c)逻辑架构

d)零信任体系组成

安全基础设施实现零信任体系核心组件以及零信任算法的两部分的功能，包括密码支撑和可信身份管控两个模块。

安全控制服务为零信任体系辅助系统的一部分，本文简单介绍其中智能网关管理和可信接入网关两部分的内容。

i.密码支撑

密码支撑部分采用PKI/CA技术建设，同时部署证书签发系统、注册审核系统、密钥管理系统、目录服务系统、证书状态查询系统，并部署移动制证系统，配合RA系统为移动设备制作数字证书。

ii.可信身份管控

可信身份管控平台包括身份管理、权限管理、认证管理、应用管理、安全审计等模块。实现设备、用户、应用等实体的全面身份化，实现网络中各客体资源的唯一标识化，并对网络中各资源对象通过单向或叠加的强认证技术，将所有的业务隐藏，通过安全控制服务实现对设备和用户的持续评估和持续认证，实现访问控制策略的动态调整，给予受控资源的动态访问。

iii.智能网关管理

智能网关管理平台是零信任网络环境下的智能控制器，是构建所有认证与访问控制策略的大脑。可对接PKI基础设施和可信身份管控平台，构造用于网关的RBAC/ABAC双模型访问控制策略，并可对异地部署的不同网关提供统一的策略推送管理。

智能网关管理平台对网络中的用户、设备、应用进行关联性分析，并进行持续的安全评估与鉴别，动态生成新的安全策略，推送到客户端和不同的网关节点进行强制执行。

iv.可信接入网关

可信接入网关基于零信任模型设计，在传统的PKI强认证基础上，加入了可组合的多因子认证机制，结合动态上下文环境检测，在不同的接入通道上可以为用户提供一致的，细粒度的访问控制。

如图五所示，可信接入网关由集中管理平台动态控制多个网关的执行策略，实现分布式、可弹性扩展的边界防护。

图五

4.零信任技术方案

目前，主流的零信任实施技术主要有三种，分别是SDP（软件定义边界）、微隔离以及增强身份认证，本文主要介绍SDP和微隔离。

a)SDP(软件定义边界)

SDP架构是由国际云安全联盟在2014年提出的第一个落地的零信任技术方案，主要包括三大组件：SDP控制器,，SDP连接发起主机（IH），SDP连接接受主机(AH)，如图六所示。SDP控制器确定哪些IH,  AH主机可以相互通信，可以与外部认证服务进行信息交互，例如认证系统、地理位置、身份服务器等。SDP连接发起主机IH和接受主机AH会直接连接到SDP控制器，通过控制器与安全控制信道的交互来管理。

以此，企业典型SDP应用方案包括三个部分：客户端、管控平台、应用网关。管控平台和应用网关可采用云平台和私有化部署，应用网关部署在客户端与企业本地信息系统或云部署信息系统之间。按照SDP的设计原则，SPD实施隐藏服务器地址和端口，扫描不被发现，实现网络隐身。用户只有应用层访问权限，无网络级访问。在连接服务器之前，先验证用户和设备合法性后连接。

图六

b)微隔离

微隔离的概念最早由Vmware在发布NSX产品正式提出， 是一种能够适应虚拟化部署环境，能够识别和管理云平台内部流量的一种隔离技术，其核心是对全部东西向流量的可视化识别与访问控制。

通过这种方法，企业可以将单个或群组资源放置在由网关安全组件保护的，自身网段上来实现零信任体系。企业将网关设备作为PEP来保护每个资源或资源组。这些网关设备动态授权来自客户端资产的访问请求。根据模型不同，网关可以是唯一的PEP组件，也可以是由网关和客户端代理组成的多部分PEP的一部分。

5.后续内容

在后续的分享中，会对零信任体系进行更深一步的介绍，重点为典型应用场景的零信任体系设计及分析、围绕零信任体系的信息安全创新。

a)典型应用场景的零信任体系设计及分析

典型应用场景的零信任体系设计及分析部分中，会对目前已落地一些零信任体系案例进行介绍和分析，目前安恒、奇安信、深信服、启明星辰等厂商都已有落地的零信任解决方案，其效果不论，但已经迈出了零信任落地最初的一步。

b)围绕零信任体系的信息安全创新

围绕零信任体系的信息安全创新方面，主要从四个方面展开，SaaS安全，Web安全，云身份、下一代防火墙，这些内容会在以后的分享中进一步介绍。