10月29日，英國國家網(wǎng)絡(luò)安全中心發(fā)布《零信任基本原則》草案，為政企機(jī)構(gòu)遷移或?qū)嵤┝阈湃尉W(wǎng)絡(luò)架構(gòu)提供參考指導(dǎo)。

　　00　概 述

　　網(wǎng)絡(luò)架構(gòu)正在快速變化，越來越多的服務(wù)被遷移至云端，軟件即服務(wù)（SaaS）的使用規(guī)模也在不斷增長。與此同時(shí)，各類組織也開始采用愈發(fā)靈活的工作方式，允許員工身在各個(gè)位置通過多種設(shè)備接入業(yè)務(wù)系統(tǒng)。

　　傳統(tǒng)網(wǎng)絡(luò)邊界正在消失，傳統(tǒng)防御方案的價(jià)值也隨之土崩瓦解。零信任是一種專門應(yīng)用此類變化條件的網(wǎng)絡(luò)架構(gòu)。本份指南中概述的八項(xiàng)原則，可幫助您建立自身零信任網(wǎng)絡(luò)架構(gòu)。

　　默認(rèn)網(wǎng)絡(luò)環(huán)境具有惡意性質(zhì)

　　在零信任架構(gòu)當(dāng)中，我們不再對(duì)網(wǎng)絡(luò)抱有任何固有信任。因此接入網(wǎng)絡(luò)，不代表您應(yīng)該或者有權(quán)訪問目標(biāo)網(wǎng)絡(luò)上的所有內(nèi)容。

　　在入侵時(shí)，攻擊者通常會(huì)在目標(biāo)網(wǎng)絡(luò)當(dāng)中建立登陸點(diǎn)，而后憑借著網(wǎng)絡(luò)內(nèi)部的全面受信原則實(shí)現(xiàn)橫向移動(dòng)。但在零信任架構(gòu)中，我們默認(rèn)網(wǎng)絡(luò)環(huán)境具有惡意性質(zhì)。

　　消除網(wǎng)絡(luò)中的默認(rèn)受信思維

　　要在網(wǎng)絡(luò)中消除默認(rèn)受信思維，則必須為用戶、設(shè)備以及服務(wù)建立起新的信任機(jī)制。信任的建立，離不開對(duì)用戶身份（通過身份驗(yàn)證）、設(shè)備運(yùn)行狀況及其所訪問服務(wù)（授權(quán)）的全面把控。

　　為了實(shí)現(xiàn)零信任機(jī)制，您應(yīng)該對(duì)接觸服務(wù)的每一條連接進(jìn)行身份驗(yàn)證，并根據(jù)規(guī)則及策略對(duì)設(shè)備、用戶以及連接進(jìn)行授權(quán)。無論連接請(qǐng)求來自何處，這些策略都會(huì)獨(dú)立評(píng)估您對(duì)用戶及其設(shè)備的信任，并相應(yīng)為其授予對(duì)資源的訪問權(quán)限。

　　要實(shí)現(xiàn)授權(quán)決策，您應(yīng)該根據(jù)誰需要在何種條件下訪問哪項(xiàng)服務(wù)或哪些數(shù)據(jù)明確定義訪問策略。

　　您的具體信任度，則取決于所訪問數(shù)據(jù)的價(jià)值以及所執(zhí)行操作的潛在影響。您應(yīng)該對(duì)設(shè)備進(jìn)行盤點(diǎn)，同時(shí)根據(jù)所定義策略（例如加密、補(bǔ)丁修復(fù)級(jí)別等）監(jiān)控設(shè)備運(yùn)行狀況。

　　如果您不確定零信任架構(gòu)能否滿足您的實(shí)際需求，或者希望了解關(guān)于零信任架構(gòu)的更多信息，我們的網(wǎng)絡(luò)架構(gòu)指南將會(huì)對(duì)您有所幫助。

　　01   這份指南適合哪些受眾？

　　本指南主要面向以下技術(shù)受眾：系統(tǒng)工程師、解決方案與安全架構(gòu)師、以及CISO。在執(zhí)行安全評(píng)估或保障工作時(shí)，您也可以將相關(guān)原則引入審查框架。

　　在實(shí)施相關(guān)設(shè)計(jì)時(shí)，您可以將這些原則作為技術(shù)功能選擇指導(dǎo)。

　　實(shí)施零信任相關(guān)技術(shù)的組織或開源項(xiàng)目，也可以使用這些原則指導(dǎo)自身發(fā)展，并評(píng)估在實(shí)施零信任架構(gòu)的哪些層面存在困難。

　　使用這些原則雖然無法徹底保障架構(gòu)安全，但至少可幫助您集中精力處理真正精密復(fù)雜的問題。

　　02  新興且不斷發(fā)展的零信任架構(gòu)

　　IT系統(tǒng)一直在發(fā)展變化，以此為基礎(chǔ)，這里提出的原則也不可一成不變、僵化自守。請(qǐng)記住，零信任架構(gòu)是一種剛剛興起且仍在不斷發(fā)展的事物。

　　在實(shí)施過程中，您可能會(huì)發(fā)現(xiàn)自己無法一次性滿足所有原則。這可能是因?yàn)槟默F(xiàn)有技術(shù)無法支持零信任架構(gòu)。實(shí)際上，這是一種相當(dāng)常見的情況，恐怕直到零信任技術(shù)成熟之時(shí)才能得到根本性解決。

　　請(qǐng)以實(shí)用為先，包括繼續(xù)支持傳統(tǒng)的安全控制機(jī)制。隨著系統(tǒng)逐步過渡至零信任架構(gòu)，您會(huì)發(fā)現(xiàn)自己能夠遵循的原則越來越多。

　　您的架構(gòu)應(yīng)該具備充分的靈活性以適應(yīng)不斷的變化的需求，同時(shí)又不致影響用戶的正常體驗(yàn)。您應(yīng)考慮如何添加新服務(wù)、在服務(wù)之間往來移動(dòng)，以及啟用/禁用各類功能。這種靈活性將使您的用戶可以隨時(shí)使用新功能，亦保證您自己可以快速對(duì)新的漏洞及威脅做出響應(yīng)。

　　您應(yīng)定期重新審查您的架構(gòu)，并及時(shí)通過變更提高系統(tǒng)的可用性與安全性。

　　03  零信任架構(gòu)的實(shí)施——步步為營

　　對(duì)現(xiàn)有系統(tǒng)架構(gòu)的轉(zhuǎn)型不可能一蹴而就。

　　無論現(xiàn)有網(wǎng)絡(luò)已經(jīng)使用了多久、其中包含多少陳舊服務(wù)，您都應(yīng)該為零信任模式的部署設(shè)計(jì)一種分階段實(shí)施方法，借此推動(dòng)多輪迭代。建立新的架構(gòu)基礎(chǔ)需要時(shí)間。例如，為用戶及設(shè)備建立強(qiáng)身份，或者在組織當(dāng)中部署現(xiàn)代身份驗(yàn)證體系往往相當(dāng)耗時(shí)。

　　在面向新架構(gòu)過渡時(shí)，特別是在實(shí)施并測試零信任控制機(jī)制之前，請(qǐng)不要急于停用傳統(tǒng)安全控制方法。考慮到零信任架構(gòu)強(qiáng)有力的控制原則，一旦系統(tǒng)未經(jīng)正確配置及測試，您的業(yè)務(wù)很可能會(huì)直接暴露在風(fēng)險(xiǎn)當(dāng)中。例如，在確定您的零信任架構(gòu)能夠解決以往由VPN處理的一切潛在威脅之前，請(qǐng)不要輕易刪除VPN連接。

　　此外，傳統(tǒng)系統(tǒng)可能仍然需要由傳統(tǒng)網(wǎng)絡(luò)架構(gòu)進(jìn)行托管，或者無法支持零信任架構(gòu)的某些特性。因此，您可能需要在某些環(huán)境當(dāng)中同時(shí)管理傳統(tǒng)網(wǎng)絡(luò)邊界與零信任架構(gòu)。具體來講，您可能需要為遺留應(yīng)用程序或者身份驗(yàn)證代理保留獨(dú)立的VPN隧道。在更新舊有系統(tǒng)時(shí)，請(qǐng)嘗試在設(shè)計(jì)層面支持零信任架構(gòu)。

　　即使是在從零開始構(gòu)建的新環(huán)境中，零信任模型的實(shí)施同樣可能困難重重。目前市售的產(chǎn)品往往無法充分滿足以下全部原則。因此，您的安全架構(gòu)同樣需要配合完善的風(fēng)險(xiǎn)管理方法。

　　04　術(shù)語

　　在討論零信任架構(gòu)時(shí)，大家應(yīng)該建立一套術(shù)語表。以下是零信任架構(gòu)原則中使用的部分術(shù)語，我們將各項(xiàng)術(shù)語與其他來源相結(jié)合，對(duì)零信任技術(shù)做出準(zhǔn)確描述。

　　訪問策略——用于管理訪問請(qǐng)求的規(guī)范，包括驗(yàn)證請(qǐng)求的可信性與授權(quán)行為。

　　配置策略——用于描述設(shè)備及服務(wù)中配置選項(xiàng)的策略。

　　信號(hào)——包括設(shè)備運(yùn)行狀態(tài)或者位置等信息，可用于確定哪些資產(chǎn)值得信任。您往往需要使用多種信號(hào)以決定所授予的資源訪問權(quán)限。

　　信號(hào)數(shù)據(jù)庫——長期信號(hào)存儲(chǔ)方案，用于隨時(shí)支持訪問決策。

　　策略引擎——負(fù)責(zé)接收信號(hào)并將其與訪問策略進(jìn)行比較的組件。策略引擎通常表現(xiàn)為可從供應(yīng)商處采購的第三方產(chǎn)品或服務(wù)。

　　策略執(zhí)行點(diǎn)——使用策略引擎將設(shè)備請(qǐng)求導(dǎo)引至目標(biāo)服務(wù)，借此確定連接是否可信。

　　設(shè)備運(yùn)行狀態(tài)——確保設(shè)備符合配置策略并處于良好的運(yùn)行狀態(tài)，包括已經(jīng)安裝最新補(bǔ)丁程序、或者啟用了安全啟動(dòng)等功能。

　　05   具體原則

　　以下八項(xiàng)原則為零信任架構(gòu)的設(shè)計(jì)基礎(chǔ)。

　　1.了解您的架構(gòu)，包括用戶、設(shè)備和服務(wù)

　　在零信任網(wǎng)絡(luò)模型中，了解您的資產(chǎn)比以往任何時(shí)候都更加重要。

　　2.了解您的用戶、服務(wù)和設(shè)備身份

　　在零信任架構(gòu)中，身份成為新的邊界，對(duì)于以下各項(xiàng)：用戶（人）、服務(wù)（機(jī)器或軟件過程）、設(shè)備，具有唯一的身份源非常重要。

　　3.了解您的用戶、設(shè)備和服務(wù)的健康狀況

　　設(shè)備的健康狀況、用戶行為和服務(wù)是獲得用戶信任最重要的信號(hào)。

　　4.使用策略授權(quán)請(qǐng)求

　　每個(gè)訪問數(shù)據(jù)或服務(wù)的請(qǐng)求都應(yīng)由中央策略引擎檢查，該引擎將請(qǐng)求與訪問策略進(jìn)行比較，以確定訪問決策。

　　5.始終驗(yàn)證

　　在零信任架構(gòu)中，我們假設(shè)網(wǎng)絡(luò)是惡意的，并對(duì)訪問數(shù)據(jù)或服務(wù)的所有連接進(jìn)行身份驗(yàn)證。

　　6.將監(jiān)控重點(diǎn)放在設(shè)備和服務(wù)上

　　鑒于設(shè)備和服務(wù)比傳統(tǒng)架構(gòu)更容易受到網(wǎng)絡(luò)攻擊，因此對(duì)攻擊進(jìn)行全面監(jiān)控非常重要。

　　7.不要信任任何網(wǎng)絡(luò)，包括您自己的網(wǎng)絡(luò)

　　在零信任中，網(wǎng)絡(luò)被認(rèn)為是惡意的，因此將信任建立在用戶、設(shè)備和服務(wù)，而非網(wǎng)絡(luò)。

　　8.選擇專為零信任設(shè)計(jì)的服務(wù)

　　選擇原生支持零信任網(wǎng)絡(luò)架構(gòu)的服務(wù)。