1零信任安全簡介

云計算、大數據、物聯網和移動互聯網時代，網絡安全邊界逐漸瓦解，內外部威脅愈演愈烈，傳統的邊界安全難以應對，零信任安全應運而生。

零信任安全代表了新一代網絡安全防護理念，并非指某種單一的安全技術或產品，其目標是為了降低資源訪問過程中的安全風險，防止在未經授權情況下的資源訪問，其關鍵是打破信任和網絡位置的默認綁定關系。

圖1、NIST零信任安全框架圖

在零信任安全理念下，網絡位置不再決定訪問權限，在訪問被允許之前，所有訪問主體都需要經過身份認證和授權。身份認證不再僅僅針對用戶，還將對終端設備、應用軟件等多種身份進行多維度、關聯性的識別和認證，并且在訪問過程中可以根據需要，多次發起身份認證。授權決策不再僅僅基于網絡位置、用戶角色或屬性等傳統靜態訪問控制模型，而是通過持續的安全監測和信任評估，進行動態、細粒度的授權。

2零信任成功應用于IT安全

圖2、IT數據中心的南北向和東西向流量

零信任安全架構已經成功地應用到IT安全領域，成功解決了IT數據中心南北向和東西向安全防護的痛點。當前零信任的落地技術主要有三個：軟件定義邊界（Software Defined Perimeter，簡稱SDP）、身份識別與訪問管理（Identity and Access Management，簡稱IAM）和微隔離（Micro Segmentation，簡稱MSG）。SDP和IAM的技術結合，解決了企業遠程安全辦公、遠程安全運維和遠程安全研發的網絡安全和數據安全問題，也解決了數據中心南北向網絡隱身、身份認證和訪問控制的難題。MSG技術，解決了數據中心東西向流量可視化、訪問控制和策略自適應的難題。

表1、國外零信任SaaS的典型企業

SDP是由國際云安全聯盟CSA于2013年提出的基于零信任理念的新一代網絡安全技術架構。SDP以預認證和預授權作為它的兩個基本支柱。通過在單數據包到達目標服務器之前對用戶和設備進行身份驗證和授權，SDP可以在網絡層上執行最小權限原則，可以顯著地縮小攻擊面。

圖3、基于SDP的南北向安全防護

SDP架構由客戶端、安全網關和控制中心三個主要組件組成。客戶端和安全網關之間的連接是通過控制中心與安全控制通道的信息交互來管理的。該結構使得控制平面與數據平面保持分離，以便實現完全可擴展的安全系統。此外，SDP架構的所有組件都可以集群部署，用于擴容或提高系統穩定運行時間。