网络后沿:零信任网络架构

用过windows Server操作系统的人肯定熟悉以下页面 , 系统自带的IE浏览器默认开启了增强的安全配置 , 打开所有链接都会被阻止 。尤其是新装的操作系统需要装一些软件的时候 , 需要添加一大堆信任站点 , 所以遇到这种情况我都是认证繁琐的操作去下一个Chrome浏览器 。

网络后沿:零信任网络架构

文章插图
 
那默认的浏览器设置是不是处于一种谁都不信任的"零信任"状态呢?
零信任网络第一次听到"零信任网络" , 是在前段时间新华三举办的领航者峰会上 , 当时还以为是个新概念 , 直到去百度了一下 , 才发现人家已经有10年的历史了!只不过最近突然间火了起来 。
零信任网络模型在2010年由John Kindervag提出 , 零信任是一个安全概念 , 中心思想是企业不应自动信任内部或外部的任何人/事/物 , 应在授权前对任何试图接入企业系统的人/事/物进行验证 。
零信任架构意味着每个用户、设备、服务或应用程序都是不可信任的 , 必须经历身份和访问管理过程才能获得最低级别的信任和关联访问特权 。
如果放开验证不看 , 是不是和NGFW、网闸等安全设备有点相似?以新华三NGFW为例 , 对所有互访流量默认都是全阻断状态 , 没有放通策略 , 当有流量需要互访时就需要一条一条地去添加规则;而网闸更甚 , 只能通过一对一地添加端口映射关系来实现互访 。
网络后沿:零信任网络架构

文章插图
 
从不信任 , 总是验证零信任网络认为 , IP网络上的所有网络流量都是不可信的 。有调查数据显示 , 60%到80%的网络滥用事件来自内部网络 , 因为传统的防火墙和入侵检测系统(IDS)主要是针对网络外部发起的攻击 , 而对来自内部的网络攻击是无效的 。如果内网一个数据库服务器受到攻击 , 黑客可以对该区域内的其他数据库服务器发起攻击 , 而不会受到防火墙的干扰或检测 。所以新华三NGFW设备对于同域间互访都要单独进行配置(系统视图下:security-zone intra-zone default permit) , 在确保南北向流量安全的同时 , 也要保证东西向互访流量安全 。
所有网络资源的安全访问 , 无论在什么位置或设备上 , 都采取最小特权的网络访问策略 , 以严格执行访问控制 。用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和帐户认证 , 这也是零信任原则的体现"Trust no-one. Verify everything" 。
网络后沿:零信任网络架构

文章插图
 
如果再和设备结合一下 , 可以考虑到设备的AAA认证 , 比如新华三的RBAC(Role Based Access Control , 基于角色的访问控制) 。RBAC的基本思想就是给用户指定角色 , 这些角色中定义了允许用户操作哪些系统功能以及资源对象 。通过建立"权限"和"角色"的关联来实现将权限赋予给角色 , 并通过建立两者之间的关联来实现为用户指定角色 , 从而使用户获得相应角色所具有的权限 。比如最小用户查看权限、最小配置权限、超级密码提升用户权限等等 , 从操作员层面降低网络被篡改的几率 。
网络后沿:零信任网络架构

文章插图
 
如果对接入终端实行严格的准入认证机制 , 那么零信任网络通过在网络边缘强制实施安全策略 , 即可实现在源头遏制恶意流量 。
网上有一个google平等对待位于外部公共网络和本地网络设备的BeyondCorp方案 , 即在默认情况下所有设备都不会被授予任何特权 。用户必须:
1)使用由公司提供且持续管理的设备(终端设备资产管理等)
2)通过身份认证(AAA认证授权、证书检查等)
3)符合访问控制引擎中的策略要求(终端安全检查等)
4)通过专门的访问代理(VPN网络、代理网络等)
5)才能访问特定的公司内部资源(精细化授权、DMZ区域等)

网络后沿:零信任网络架构

文章插图
 
相应的 , 为了保证用户获得流畅的资源访问体验 , Google主要完成了:


推荐阅读