系列文章

由于本系列文章较长，故分为五个部分，如需回顾前文，可点击下方链接：

打工人眼中攻防演练蓝军那些人那些事儿（一）

打工人眼中攻防演练蓝军那些人那些事儿（二）

打工人眼中攻防演练蓝军那些人那些事儿（三）

打工人眼中攻防演练蓝军那些人那些事儿（四）

打工人眼中攻防演练蓝军那些人那些事儿（五）

六、新型攻防视角看防守体系-零信任

6.1 零信任的基本认知

6.1.1 零信任:Zero trust architecture(信任是随时变化的，没有永久的信任)

1.零信任的本质是基于身份的访问控制，是进行统一管理的基础和起点

2.“一个都不信”，于是进行严格的身份认证和状态确认；仔细检查各种权限要素，以确定“是否得到许可”；即使一切都没有异常，也“只信这一次”；“仔细记录在案”，以便及时发现/追溯不当行为和改进管理措施。在这个主体管控链条之外，还有诸如防止披露过多信息、建立动态交流通道等各种有效的辅助措施，以保证资源访问的安全性。

3.零信任要解决的核心问题只有一个：在无边界 *** 环境下，确保所有的业务访问都是由可信的人、终端或系统用可信的方式访问可信的资源和数据。

6.1.2零信任的基本实现:

1）摒弃内外网概念，尽量将安全关口向两边前移，缩小信任边界

2）确认四个可信：人可信、终端可信、资源可信、行为可信

3）持续验证，动态调整授权

零信任概念里信任是随时变化的，没有永久的信任。

6.1.3零信任会改变什么:

1）摒弃内外网的概念

所有连接都是端到端的，中间 *** 不可信。

2）改变了认证授权和接入的顺序

传统认证模式是先接入再认证。在零信任 *** 里是先****认证授权，再按最小授权接入。通过这种方式可以将业务资源隐藏起来，未认证授权的访问者根本看不到业务资源。

3）身份成为安全策略的核心要素

企业需要一套权威的认证授权和策略管理平台，集中对用户、终端、资源进行管理，所有的安全策略需要以这些身份为基本要素进行设置，不再完全依赖IP地址进行设置

4）安全能力边缘化

在零信任 *** 中，端到端之间的 *** 全程加密，因此原本在内外网边界部署的安全设备会失效，比如NIPS、DLP、WAF等

5）将监测与管控融为一体

6.1.4 零信任的挑战:

1）涉及的安全能力太多

2）超大规模带来的问题

3）建设成本

6.1.5 零信任优点

安全是建立在信任链之上，如果信任链被打破，那么对资源的访问权限则被自动取消。在这个模型下，有几个显著的优点：

1. 安全可靠性更高：因为链条的信任关系是环环相扣，因此中间发生任何异常变化，会更容易被发现被检测到；

2. 攻击难度大：信任链条是多维度组成，例如对用户的信任是通过生物校验和多因素认证，对设备的信任是通过主机准人关系，基线状态，运行状态判断，而维度越多，黑客要攻击的成本就越高，从而入侵的难度也就越大；

3. 持续校验，从不信任：每一次对资源的请求，都是一次重新校验的过程，安全的状态是动态，因此检测也是动态持续发生，这样如果产生了异常，可以迅速感知并阻断；

4. 除此外还有一些全链路分析、集中管控，资产容易管理，包括远程办公等等优点，但这些并不是架构核心优点，因此不再过多描述。

6.1.5 零信任缺点

听起来挺美好的，那么零信任架构是不是完美的？

一直以来我有一个观点，即试图用一个方案解决安全风险时，一定会带来新的风险，这个方案的好坏，很大程度是依赖这个新风险是否可接受。

用人话来说，就是你引入一个新的安全方案的时候，一定会带来新的风险，而对新的风险是否能接受，它是否可控，是决定你这个方案是否可行的关键因素。

所以零信任架构必然也是有它的风险，并且风险不能有效管理，可能会带来更大的问题。在我看来零信任架构有几个缺点：

1. 单点风险：因为对资源的控制都集中在网关上了，因此一旦单点故障会导致整个业务中断；

2. 集中化权限风险：零信任架构实时上是把很多风险收敛给集中起来了，但并非这个风险就不存在了，比如集中化管理中，如果管理失控了会带更大风险；

3. 复杂化风险：因为整个架构涉及多个组件，足够复杂，容易出现业务异常后问题不能及时发现和处理，以及出现业务有任何问题，都是你的责任的情况；

4. 凭证风险：为了平衡用户体验，一般零信任架构都会内置SSO功能，这样对于身份的凭证安全、或是注册设备的凭证安全问题、这些凭证的风险都可能会破坏信任体系；

5. 投资风险：从我们整个周期来看，零信任架构建设周期比一般架构体系要来的长，这样可能会出现项目未完工，人已经走了的情况，后续接手的人是否还认可这个理念，是否要会从头来过，这些都是建设过程的风险。

6.1.6 零信任架构的选择

（1）建议上的场景

1. 有高价值资产：这个应该是所有选择零信任架构的前提，只有资产有价值，需要保护才需要安全的大力投入；

2. 业务严重依赖 *** ：如果你的业务严重依赖 *** ，有从内部被恶意破坏的可能，内部控制又很混乱，这种需求可以通过零信任来收敛权限降低风险；

3. 需要防范内部：如果内部是要作为不可信源来进行防护，那么可以考虑零信任架构，因为它对内部权限，身份的识别以及管控会更加严格，可以全程回溯；

4. 是APT的目标：如果有被针对性的长期攻击风险，可以考虑上零信任来加强安全防护能力，抵御攻击；

5. 有钱有资源：土豪还有什么好说的，高大上的统统来就好，这样的公司让我们做朋友吧！

（2）可以不用上的场景

1. 为了远程办公：之一篇零信任远程办公文章发出去后，很多人找我咨询，因为疫情，公司需要远程办公，看了我的文章后考虑上零信任来解决远程办公需求，这里面其实有两个误区：

疫情不是常态，社会秩序必然会尽快恢复正常，为了一次性偶发场景是否要大成本投入需要衡量；

很多公司并没有很强的安全需求，用VPN已经可以很好的解决办公需求了，有安全需求的通过VPN+云桌面等扩展方案，同样兼顾安全，如果是这类需求其实也可以衡量下成本；

2. 追寻零信任的趋势：好的安全方案应该是贴合自己的场景去设计，新的不一定适合自己，追寻新趋势同时也意味着会引入不可预料的风险；

（3）不要去上的场景

1. 成本投入不足：零信任架构会需要改变公司的IT基础架构，改变业务，不管是技术还是管理都需要很大的改变，如果不能坚持长期投入，比如自研方式可能做到一半人走了，商采部署的方案到一半预算就被砍了，到时都会让公司利益受损；

2. 运营能力不足：如上个章节所说，零信任其实会引入一些新的风险，比如集中化管控带来的安全内部的风险，单点故障风险，运营人员被入侵控制的风险，都会因为零信任架构的集中化模式，大大方便了黑客，所以缺乏好的运营和管理会导致更大的风险，而安全运营能力的建设，悲观的看很多公司并不具备好的运营能力。

6.2 基于SDP的零信任

6.21零信任架构的五个核心思想

*** 总是被认为是怀有敌意的;

*** 外部和内部威胁始终存在;

*** 位置不足以决定 *** 中的信任;

每个设备、用户和 *** 流都经过认证和授权;

策略必须是动态的，并根据尽可能多的数据来源进行修订。

6.2.2 SDP的零信任依据

零信任产品仅是理论模型，实现方式有多种，但事实证明SDP是零信任的更佳实践。依据如下：

CSA：《SDP标准规范1.0》《 SDP架构指南》 《 SDP实现等保2.0合规技术指南v3.20 》；

NIST:《零信任架构》,提出基于软件定义边界SDP 的ZTA、基于微隔离的ZTA、基于增强身份治理的ZTA；

Garter：零信任 *** 接入技术开始取代 VPN，零信任 *** 接入(ZTNA)使企业控制对特定应用的远程访问；

GB：《信息安全技术 零信任架构 参考体系架构》 《零信任参考架构及通用安全指引》

6.2.3 SDP设计的产品

SDP客户端：安卓苹果、信创微软、认证加密、环境感知

SDP控制器：认证授权、信任评估、策略下发、全网可视

SDP网关： *** 隐身、动态链接、传输加密、访问控制

首先经过SDP客户端的可信环境验证，然后加密连接SDP控制器进行可信身份验证，然后告知SDP网关用户可信，SDP网关向客户端开放可信通道，最后SDP客户端才能连接SDP网关，动态控制对业务数据的访问，全程动态可信验证，给予最小权限。

6.3 SDP主要功能

九大功能：

1. 可信用户

2. 可信设备

3. 可信环境

4. 可信 ***

5. 信任评估

6. 动态访控

7. 可信通道

8. 可信应用

9. 信任支撑

可信用户 （用户名口令、证书认证、短信认证、动态令牌、单点登录）

可信设备（设备指纹、IP/MAC、设备注册、设备审批、移动管控）

可信环境（关键进程、注册表项、关键文件、系统版本、补丁版本）

可信 *** （SPA单包授权、默认drop、抗端口扫描、抗重放、抗DDOS、防中间人）先认证后接入的机制导致

信任评估（ ?合规检测、数据保护、威胁发现、安全加固、风险汇聚、信任评分、数据上报、状态监控、行为基线、行为检测、关联分析、多维画像）

动态防控（策略基线配置、动态策略生成、动态策略下发、二次认证策略、强制下线策略、升权降权策略、口令安全策略、用户安全策略、角色安全策略）

可信通道（ ? ?国密算法、国际算法、SSLVPN、IPSecVPN、国密证书、密钥周期）

可信应用（地址隐藏、单点登录、应用 *** 、域名解析、资源映射、主从账号）

信任支撑（身份认证：Radius、AD/LDAP、SAML