关于零信任:零信任技术思考

当今互联网时代，随着数据泄露和网络攻击的一直减少，平安问题曾经成为了一项重要的思考因素。传统的网络安全策略通常是通过进攻内部威逼来爱护网络。然而，这种办法曾经无奈满足当今简单的平安危险。

相比传统安全策略，零信赖（Zero Trust）更可能适应当今须要进行数据保护的多样化危险因素。零信赖可视作一种平安框架，它假如所有用户、设施和网络流量都是不受信赖的，并要求对所有申请进行身份验证和受权。这使得攻击者在进入网络后仍须要进行认证和受权，从而缩小了网络面临的平安威逼。

零信赖的实施方案能够基于不同组织的需要和状况而异，以下是一些常见的零信赖实施方案：

1. 多因素身份验证（MFA）：应用多种身份验证措施来确认用户身份，例如明码、生物辨认、硬件令牌等；
2. 基于策略的访问控制：依据用户身份、设施、地位和网络流量等因素设置拜访规定和权限，以确保只有被受权的用户能力拜访敏感数据和应用程序；
3. 实时危险评估：联合机器学习技术来剖析用户和设施行为，检测异样流动和威逼状况，并及时采取措施，例如强制登记会话或暂停拜访权限；
4. 网络隔离（MSG，微分段）：将网络宰割为多个平安区域，限度用户和设施之间的通信，从而避免攻击者通过横向浸透来获取敏感数据和拜访权限。
5. 数据泄密防护：DLP、云桌面、终端沙箱、平安浏览器、RBI（近程浏览器隔离）都能够实现数据泄密防护成果。其中云桌面的安全性最高，因为数据只落在服务端，齐全不会存储在用户设施上，但对带宽影响比拟大。

这些计划能够独自或联结应用，以构建一个全面的零信赖平安框架，以确保组织和用户数据的平安和隐衷。

笔者之前参加过企业级的零信赖网络建设，采纳的计划是以 NIST 公布的《零信赖架构》为领导，并与国内云平安联盟 CSA 成员深入探讨过各种施行细节，这里大抵介绍一下过后的思路~

零信赖根本组件

1. 策略决策点（PDP，Policy Decision Point）：次要用于管制拜访策略的决策。具体来说，PDP 能够依据当时定义好的拜访控制策略，决定是否容许用户或设施拜访特定资源或执行特定操作；

   • 策略引擎：当用户发动拜访申请时，策略引擎从周边各个系统获取用户的身份和平安状态，进行综合剖析，而后计算是否容许该用户拜访某个资源；
   • 策略管理：负责管理用户的身份凭证和会话创立，依据策略引擎的计算结果，告诉策略执行点创立会话或敞开会话。

2. 策略执行点（PEP，Policy Enforcement Point）：零信赖假如拜访的主题不可信，而且身处的环境不可行，所以主体只有在通过 PDP 的严格校验后，能力拜访企业资源。PEP 负责接管用户的拜访申请，按 PDP 的指令放行或拦挡；

   NIST 的策略执行点是一个形象的概念，能够指代客户端和网关等组件。NIST 的主体和零碎能够指用户，也能够指服务器，还能够指物联网设施。

3. 策略管理点（PAP，Policy Administration Point）：次要用于治理拜访控制策略，负责存储和治理拜访控制策略，并提供接口供管理员进行配置和批改。

graph LR
    A[主体] --> B[设施]
    B -->| 不可信 | C(策略执行点)
    C -->| 可信 | D[企业资源]
    E(策略管理点) --> F(策略决策点)
    C --> F
    F --> C

除策略之外，为零信赖的 PDP 提供信息输出和治理撑持性能的信息起源还有：

1. 继续诊断和缓解（CDM）零碎：收集企业资产的平安状态，更新系统配置和软件，如果存在破绽，策略决策点就能够采取修复或隔离措施；
2. 行业合规零碎：确保企业恪守了各种合规制度，包含一系列相干的策略规定；
3. 威逼情报来源：为企业提供最新的破绽、恶意软件、歹意 IP 地址等信息。PDP 能够有针对性地进行剖析和屏蔽；
4. 数据拜访策略：定义了谁能够拜访哪些数据，零信赖架构能够在此基础上基于身份和数据属性进行更细粒度的策略管控；
5. 公钥基础设施（PKI）：生成并记录企业向主体、资源签发的证书；
6. 身份管理系统：负责管理企业用户的身份信息，包含报名、邮箱等根本信息，岗位、部门等组织架构信息，角色、平安标签、绑定设施等其它相干信息；
7. 行为日志：汇聚企业系统日志、网络流量、受权日志等。PDP 能够依据行为日志进行剖析建模；
8. 平安信息与事件治理（SIEM）零碎：汇聚各个系统收回的安全事件及告警日志，便于零信赖架构进行策略响应。

零信赖网关

网关是作为 PEP 的存在，分为四层和七层网关，这两套网关属于互相补充的关系。

graph LR
    A[终端] --> B[平安浏览器]
    B -->|TLS| C(防火墙)
    C --> D(七层网关)
    D -->| 授信拜访 | E[公网 HTTP 资源]
    A --> F[UEM]
    F -->| 平安隧道 | G(防火墙)
    G --> H(四层网关)
    H --> I(七层网关)
    I --> J[内网 HTTP 资源]
    H --> K[其它资源]

四层网关能笼罩更丰盛的应用场景，比方 SSH、远程桌面协定（RDP）、文件传输协定（FTP）等，但四层网关的性能不如七层网关，而且裸露了网络层的资源，安全性较低。

七层网关能够在应用层针对 HTTP 申请进行安全策略的管制，对不同业务域名、URL、申请形式设置不同的安全策略，管控粒度也比四层网关更细。所以不能因为所有的七层协定都会过四层，就不做七层网关。

七层网络零信赖

1. 转发申请
   用户的所有 HTTP 申请都应该由七层网关做转发，首先得把业务零碎的域名 DNS 对应到七层网关的 IP 或域名，七层网关收到用户的拜访申请后，通过数据包中的域名信息辨认出用户的拜访指标，而后判断申请的合法性，将非法申请转发给业务零碎的实在服务器，并将返回的数据按原路发给用户，这里为了兼容，在数据包中应标记用户的源 IP，否则业务只能看到网关地址。
2. 获取身份
   客户端申请中存在 cookie 或 token，七层网关会提取这些信息进行身份校验。
3. 验证身份
   网关将访问者的身份信息和其它环境信息发给 PDP，PDP 进行计算后返回验证后果。这里会对网关的性能造成影响，为了晋升验证速度，会用到多级缓存。
   多级缓存的益处是能避免 PDP 过载造成雪崩，而且身份的过期工夫也有个随机范畴，防止出现同一时间大量未认证用户进行认证造成拥挤。多级缓存分为 Lua 本地缓存（L1）和 Redis 分布式缓存（L2），L1 比 L2 的过期工夫要短得多，且应用 LRU 淘汰算法避免存储数据过多。

4. 放行或拦挡
   依据验证后果将拜访申请转发到实在的服务器或报错页面，或跳转到权限平台。

   因为所有的流量都会通过七层网关，就能够对用户的设施和行为进行动静检测，一旦发现异常，立刻拦挡。而且用户只会与七层网关间接交互，看不到业务零碎的实在 IP，只有验证胜利的用户能力接入具备权限的零碎，相当于给业务零碎罩上了一层防护罩。

七层 PDP 管控粒度

这里的零信赖受权策略基于 ABAC 模型，包含：

• 主体对象：这里能够是用户身份（岗位、部门、子公司），也能够是物联网设施（设施 ID）或者利用身份（利用 ID）；
• 资源对象：能够是利用（域名、利用 ID、URL 地址），API（API 地址），服务器（IP、端口、网段、地区）；
• 执行动作：最根本的动作就是放行或拦挡，还能够是 HTTP Method（GET、POST、DELETE 等）；
• 条件环境：对主体对象的限度，比方用户设施必须是可信设施、必须在办公网环境等。

四层网络零信赖

其实和七层网关相似，但这里有个封装及解码的过程，零信赖 Agent（终端组件）将用户身份封装在非 HTTP 或公有协定的数据包里，并通过 TLS 加密，四层网关收到申请后解码 TLS 包，获取数据包内的身份信息交由 PDP 进行计算，决定放行或拦挡。

四层 PDP 管控粒度

与七层 PDP 采纳类似的受权策略，这里列出差别：

• 资源对象：包含 IP、端口、协定；
• 执行动作：除放行或拦挡外，还能针对 SSH 的具体命令做受权。

获取实在源 IP

下面说到后端业务利用获取到申请的起源都是代理 IP，如何获取实在的 client IP 呢，过后有几套计划：

1. 只针对 HTTP 协定，能够在网关设置 X-Real-IP 和 X-Forwarded-For，将实在 IP 传递给后端利用。但如果是四层协定呢？
2. 能够通过 NAT 日志获取。但数据量太大，很容易成为计算瓶颈；
3. 能够应用 HAProxy 的 send-proxy 性能，第一次 socket 连贯时，服务端会收到 proxy 协定，革新下 TCP 服务器，就能够拿到客户端 TCP 连贯时的实在 IP。但服务端和客户端全副要从新适配，推广艰难；
4. 最终咱们抉择了 TOA（TCP Option Address）计划，后端利用能够按需通过 SDK 获取到实在 IP。

client IP 能够放在 TCP Options 字段里。Options 字段最长 40 字节，每个选项由三局部组成：op-kind、op-length、op-data，最常见的 MSS 字段就在这里。目前 Options 应用的 op-kind 并不多，只须要构建一个不抵触的 op-kind 就能够把 client IP 填充进去。IPv4 地址占用 4 个字节，IPv6 占用 16 字节，填充到 Options 里是没有问题的。
对于 UDP 协定而言，既然有 TOA 就会有 UOA（UDP Option Address），实现形式就是对同一条流的前几个报文插入 UOA。

危险与信赖评估

以上的受权策略是动态的，是提前预制好的，在实在的网络环境下存在各式各样的威逼，须要通过一套风控机制来辅助动静受权，使内网更加可信。

大抵能够从以下几个方面进行评估：

1. 身份认证：如果用户通过人脸识别或扫码登录设施，则信赖分值更高；通过账号密码登录，则信赖分值更低。对于信赖分值低的用户拜访敏感服务能够触发二次设施认证；
2. 设施状态：是否装置了 DLP，是否通过了基线扫描，是否将安全补丁更新到最新都能够计算分值；
3. 威逼情报：对接威逼情报库，对于不信赖的 IP 或账号（黑灰产手机号）能够间接拦挡交给平安人员专门解决。威逼情报库不肯定齐全外采，比方能够基于 WAF 或 SIEM 辨认一些危险 IP 退出自有情报库（比方已经有数据泄露或内网扫描行为）；
4. 环境可信度：是否是罕用设施，是否存在同一账号多设施登录的行为，浏览器是否罕用等都能够。

对立身份认证

在施行零信赖计划之后，身份由零信赖零碎进行对立治理、认证、受权，这样做的益处是：

1. 身份认证在网络层，未经身份认证的用户无奈与业务零碎建设网络连接；
2. 零信赖能够对立施行多因子认证，进步所有业务零碎的身份认证强度，取代 SSO；
3. 能够针对敏感业务或有危险的用户进行二次认证，兼顾平安和体验。

准入

graph LR
    A[无线客户端] --> B[接入设施]
    B --> C(IEEE 802.1X)
    C -->|Controlled Port| D[无线网络]
    B -->|Uncontrolled Port| D

无线客户端和接入设施（WiFi 路由器）之间应用 EAPoL 协定（局域网上的可扩大认证协定），并且装置 802.1X 客户端软件，从而使用户可能通过启动客户端软件发动 802.1X 认证。

接入设施和认证服务器之间应用 RADIUS（近程认证拨号用户服务），接入设施为客户端提供入网端口，该端口逻辑上划分为两个 Channel（也叫逻辑 Port），一个用来接管认证信息（Uncontrolled Port），一个用来传递业务数据包（Controlled Port）。

接管认证信息的 Channel 常开，传递业务数据包的 Channel 在未受权的状况下敞开，受权状态可配置，分三种：

• 主动认证（认证受权）
• 强制受权（谁来都受权）
• 强制不受权（谁来都不认）

触发认证形式有两种：

• 客户端被动触发，向组播 / 播送 MAC 发送认证报文（EAPoL-Start 报文触发）
• 设施要求客户端认证（类心跳模式），被动向客户端发送 EAP-Request / Identity 报文来触发认证（这个办公设备当初很少见了，哑终端还有一些在应用，因为比拟傻）

以上是无线设施终端准入的形式，如果终端通过了准入，零信赖零碎能够从 RADIUS 日志获取到认证信息，针对罕用非敏感零碎就无需二次认证。当然，终端上仅有准入是不够的，基于此咱们将它降级为 UEM（Unified Endpoint Management，对立终端治理）。

UEM

UEM 能够治理多种类型的设施，包含智能手机、笔记本、服务器、POS 设施等。UEM 通常具备以下性能：

1. 在办公网络环境下，可信设施无感知入网，非可信设施禁止入网；
2. 基于设施互信的双因子认证，能够集成动静口令、扫码认证、数字证书等；
3. 反对对设施硬件信息、零碎信息以及软件列表信息抓取，主动生成终端设备指纹信息，实现设施唯一性治理；
4. 反对终端平安基线扫描，装置了黑名单利用或未装置 DLP 的设施禁止入网；
5. 对指定的人或者设施，进行解冻、锁定以及挂失等操作，以实现禁止非法设施入网；
6. 可记录入网行为，包含人员、终端、工夫、入网形式等信息，实现对网络准入状态的实时监控。

通过 UEM 能够保障终端可信，敏感数据还能通过 mTLS 双向加密传输，即便遭逢了中间人攻打，拦挡流量，因为没有客户端证书也无奈伪装成用户与服务器通信。

平安浏览器

对于非职能人员（比方客服、销售、渠道等），往往须要的零碎权限很少，但存在通过业务零碎拜访敏感数据的场景，他们的终端也不可控，往往存在设施共享的可能，如果都装置 UEM 治理老本会很高，所以针对这部分人群，咱们基于 NW.js 自研了平安浏览器，相比惯例的浏览器具备以下性能：

1. 浏览器携带自签名的平安证书，零信赖网关会对这些浏览器的合法性进行校验；
2. 强制登录，用户必须携带身份信息拜访外部业务零碎，且无法访问内部零碎；
3. 所有页面内容无奈被复制，而且会打上明水印，避免通过录屏泄露数据；
4. 用户拜访的网页数据和下载文件都会被审计；
5. 平安性能加强，无奈装置第三方插件，对 Cookie 和缓存数据二次加密等。

零信赖施行

零信赖的推广落地也是个大问题，须要多方指标统一，精诚合作。国内上曾经造成了比拟成熟的办法来应答，能够依照 5 个步骤来进行：

1. 确定防护面
   通过资产盘点发现企业所有的网络设备及数据资产，为之建设清晰的目录，记录数字资产与网络设备之间关系。再由辨认引擎，联合辨认策略和辨认模型，辨认出数据中的敏感数据，对数据进行分类分级，并做出综合的剖析。
2. 记录事务流转
   梳理数据的流转门路，和经营所需的网络和数据之间的依赖关系，其实是对企业的业务进行梳理。理解重要数据的流转门路和交互对象，理解企业的数据应用场景，能够剖析出重要数据可能存在的危险，有助于后续采取有针对性的技术措施。
3. 构建零信赖环境
   依据重要数据的分类分级信息和平安危险，为拜访数据的人、设施和利用等主体布局数据的拜访权限，遵循最小权限准则。并设计一个确定的网络架构，以爱护其承载的生产服务及要害数据。
4. 创立零信赖策略
   依据重要数据的流转门路和散布地位，在网络中部署零信赖产品。创立策略以反对细粒度的执行规定，以便在网络中只容许存在已知或非法的零碎通信流量。
5. 继续监控并保护
   零信赖防护能力并不是一步到位的，为了使零信赖计划可能施展预期的成果，须要对整个防护体系的工作状态进行监控，依据呈现的问题和业务变动，及时调整策略。监督的后果将成为失常行为的基线，再建设预警机制对各类异样行为作出响应。

总之，零信赖是一种新兴的平安框架，它可能提供比传统安全策略更加粗疏和准确的爱护机制。随着企业对数据、网络和零碎的平安需要越来越高，零信赖将成为一个必不可少的安全措施，以应答将来一直增长的平安威逼，爱护组织和用户的利益和平安。