此報(bào)告主要參考了《零信任實(shí)戰(zhàn)白皮書》，結(jié)合自己對(duì)零信任的理解，做了一個(gè)精簡(jiǎn)的總結(jié)，做參考。

　　一、零信任認(rèn)識(shí)

　　零信任解決的是由于傳統(tǒng)邊界模型過(guò)度信任造成的安全問(wèn)題，重點(diǎn)是Trust Area 內(nèi)過(guò)度信任的問(wèn)題，零信任打破了信任和網(wǎng)絡(luò)位置默認(rèn)的綁定關(guān)系，不像傳統(tǒng)信任關(guān)系是靜態(tài)不變的，而是動(dòng)態(tài)持續(xù)監(jiān)測(cè)各參與對(duì)象的安全狀態(tài)、并對(duì)其重建信任評(píng)估，然后進(jìn)行動(dòng)態(tài)調(diào)整權(quán)限、降權(quán)、阻斷等強(qiáng)管控手段。我自己認(rèn)為，動(dòng)態(tài)持續(xù)監(jiān)控、根據(jù)對(duì)象安全狀態(tài)進(jìn)行調(diào)整權(quán)限，這個(gè)是零信任非常重要的功能，也是傳統(tǒng)邊界模型做不到的。

　　二、零信任實(shí)現(xiàn)架構(gòu)

　　目前有零信任實(shí)踐的公司，大多都是采用SDP架構(gòu)（software define perimeter），SDP架構(gòu)主要包括三大組件：SDP控制器（SDP Controler）、SDP發(fā)起客戶端、 SDP服務(wù)提供者。

　　控制層與數(shù)據(jù)層保持分離，以便實(shí)現(xiàn)完全可擴(kuò)展。

　　三、零信任實(shí)現(xiàn)方案

　　有兩種實(shí)現(xiàn)方案，一是用戶對(duì)資源訪問(wèn)的方案，如辦公網(wǎng)訪問(wèn)公司應(yīng)用，大多數(shù)采用此種對(duì)零信任架構(gòu)進(jìn)行實(shí)踐摸索；二是生產(chǎn)服務(wù)之間相互調(diào)用的方案，由于涉及生產(chǎn)、及各種復(fù)雜訪問(wèn)關(guān)系，很少有公司對(duì)此種進(jìn)行實(shí)踐。

　　3.1、用戶對(duì)資源訪問(wèn)模式方案

　　此種方案涉及到的對(duì)象有：用戶、終端、資源、鏈路。

　　此方案，對(duì)架構(gòu)進(jìn)行抽象后的架構(gòu)示意圖如下：

　　認(rèn)證不再只是人的認(rèn)證，授權(quán)、信任不再是靜態(tài)不變，而是：人（雙因素、OTP）+終端（是否符合安全基線，安全狀態(tài)是否符合）+軟件（是否有漏洞）=認(rèn)證（持續(xù)動(dòng)態(tài)認(rèn)證）—→認(rèn)證通過(guò)—-→授權(quán)（基于對(duì)各對(duì)象動(dòng)態(tài)安全監(jiān)測(cè)和信任評(píng)估，動(dòng)態(tài)授權(quán)、降權(quán)、阻斷等）——-→資源零信任在技術(shù)實(shí)現(xiàn)分類上，根據(jù)零信任網(wǎng)關(guān)的類型總結(jié)為兩種：

　　3.1.1、反向代理/應(yīng)用層web協(xié)議網(wǎng)關(guān)：

　　應(yīng)用層代理模式指的是在零信任網(wǎng)關(guān)實(shí)現(xiàn)上，通過(guò)七層應(yīng)用代理方式，將對(duì)后端應(yīng)用的訪問(wèn)通過(guò)本地應(yīng)用 ，層代理配置，將應(yīng)用層請(qǐng)求發(fā)至應(yīng)用層代理網(wǎng)關(guān)中，由應(yīng)用層代理網(wǎng)關(guān)進(jìn)行攔截、轉(zhuǎn)發(fā)，架構(gòu)如下圖：

　　實(shí)現(xiàn)原理如下圖：

　　該模式下的簡(jiǎn)化訪問(wèn)過(guò)程如下（有agent）：

　　a）用戶通過(guò)零信任終端Agent進(jìn)行設(shè)備注冊(cè)和授權(quán)；b）終端Agent進(jìn)行安全基線加固，以及上傳終端設(shè)備安全狀態(tài)；c）用戶通過(guò)零信任終端Agent（或可信集成的瀏覽器），來(lái)設(shè)置本地應(yīng)用層代理配置，指定特定資源的訪問(wèn)由應(yīng)用層代理發(fā)至應(yīng)用層代理網(wǎng)關(guān)中；

　　d）應(yīng)用層代理網(wǎng)關(guān)通過(guò)安全控制中心，進(jìn)行認(rèn)證和鑒權(quán)；e）應(yīng)用層代理網(wǎng)關(guān)鑒權(quán)通過(guò)后，將請(qǐng)求轉(zhuǎn)發(fā)給應(yīng)用系統(tǒng)，獲取請(qǐng)求資源；f）應(yīng)用層代理網(wǎng)關(guān)將資源轉(zhuǎn)發(fā)給零信任終端，完成資源請(qǐng)求。

　　優(yōu)點(diǎn)：由于是應(yīng)用層代理，因此可以基于應(yīng)用進(jìn)行細(xì)顆粒的授權(quán)控制，可以深入到對(duì)特定應(yīng)用，特定資源的 控制；缺點(diǎn)：對(duì)于非HTTP的業(yè)務(wù)，部分開(kāi)放設(shè)置能力的CS應(yīng)用客戶端可以支持配置，大部分CS架構(gòu)的客戶端都是 不支持的，滿足不了全場(chǎng)景的辦公需求。

　　3.1.2、流量代理網(wǎng)關(guān)方式，即四層代理方式

　　流量代理方式在實(shí)現(xiàn)上，終端有agengt情況下，可通過(guò)hook、虛擬網(wǎng)卡、網(wǎng)絡(luò)過(guò)濾驅(qū)動(dòng)等方式，將本地流 量轉(zhuǎn)發(fā)給零信任網(wǎng)關(guān)，零信任網(wǎng)關(guān)負(fù)責(zé)流量的攔截和轉(zhuǎn)發(fā)，如下圖：

　　如果終端沒(méi)有agent，只要零信任流量代理網(wǎng)關(guān)部署在網(wǎng)絡(luò)鏈路中，能夠劫持流量即可充當(dāng)代理網(wǎng)關(guān)。

　　優(yōu)點(diǎn)：

　　a）由于是四層流量代理，因此可以實(shí)現(xiàn)全局代理，無(wú)論是B/S應(yīng)用，還是C/S應(yīng)用都可以通過(guò)流量代理網(wǎng) 關(guān)進(jìn)行控制和授權(quán)。支持全辦公場(chǎng)景；b）此外該模式下，C/S應(yīng)用不需要改造，可以直接接入進(jìn)零信任體系中，對(duì)業(yè)務(wù)干擾較?。蝗秉c(diǎn)：

　　a）由于是四層流量代理，因此對(duì)于加密的請(qǐng)求，解密成本較高。

　　b） 不易實(shí)現(xiàn)精細(xì)化的權(quán)限控制，例如 針對(duì)垂直的WEB流量，不能基于HTTP協(xié)議層做對(duì)應(yīng)更加細(xì)化的訪問(wèn)控制，需要額外用垂直的WEB流量網(wǎng)關(guān)，。

　　c）另外全流量代理模式下，容易出現(xiàn)和其他安全類流量劫持軟件沖突，需要對(duì)應(yīng)修復(fù)支持工具3.1.3、混合網(wǎng)關(guān)方式

　　單一的實(shí)現(xiàn)方式都有其弊端和優(yōu)勢(shì)，例如用了全流量代理可能導(dǎo)致無(wú)法識(shí) 別內(nèi)容，無(wú)法對(duì)特定應(yīng)用進(jìn)行解析和精細(xì)的權(quán)限控制，因此也可以將技術(shù)實(shí)現(xiàn)方式進(jìn)行融合，融合點(diǎn)主要是在網(wǎng)關(guān)對(duì)上述多個(gè)能力進(jìn)行整合，用全流量代理網(wǎng)關(guān)作為統(tǒng)一入口，對(duì)特定應(yīng)用的控制由應(yīng)用代理模塊進(jìn)行控 制，在實(shí)現(xiàn)上同時(shí)擁有全流量代理、Web應(yīng)用反向代理、應(yīng)用層代理（其他RDP、SSH、IOT等）能力，如下 圖：

　　該模式下的簡(jiǎn)化訪問(wèn)過(guò)程如下：

　　a）用戶在訪問(wèn)資源時(shí)，根據(jù)所訪問(wèn)的資源類型，將請(qǐng)求轉(zhuǎn)發(fā)到流量代理網(wǎng)關(guān)上；b）流量代理網(wǎng)關(guān)通過(guò)安全控制中心對(duì)用戶進(jìn)行認(rèn)證和鑒權(quán)；c）流量網(wǎng)關(guān)根據(jù)請(qǐng)求的資源類型，鑒權(quán)通過(guò)后將請(qǐng)求轉(zhuǎn)發(fā)，向后轉(zhuǎn)發(fā)中分為以下情景：

　　直接轉(zhuǎn)發(fā)：如果沒(méi)有特定應(yīng)用代理模塊，請(qǐng)求將直接轉(zhuǎn)發(fā)到應(yīng)用中，例如C/S應(yīng)用；轉(zhuǎn)發(fā)到應(yīng)用代理模塊：有特定應(yīng)用控制的模塊時(shí)，將請(qǐng)求轉(zhuǎn)發(fā)到應(yīng)用代理模塊中，由應(yīng)用代理模塊進(jìn)一步進(jìn)行更細(xì)粒度的鑒權(quán)，例如對(duì)SSH服務(wù)進(jìn)行零信任控制和授權(quán)，對(duì)Web應(yīng)用進(jìn)行零信任控制和授權(quán)，或是更特定業(yè)務(wù)協(xié)議的場(chǎng)景，IOT的零信任控制授權(quán)。

　　d）流量代理網(wǎng)關(guān)將資源轉(zhuǎn)發(fā)給終端，完成資源請(qǐng)求響應(yīng)。

　　混合實(shí)踐舉例：有Agent和無(wú)Agent的場(chǎng)景，滿足不同的權(quán)限控制需要：

　　a）提供一套流量網(wǎng)關(guān)服務(wù)器和Agent，提供給企業(yè)內(nèi)部職員終端安全訪問(wèn)，實(shí)現(xiàn)強(qiáng)終端安全防護(hù)和管控目 標(biāo)；b）同時(shí)部署一套對(duì)外提供反向代理網(wǎng)關(guān)，通過(guò)DNS解析將部分業(yè)務(wù)代理出去，提供給合作商，針對(duì)一些 敏感數(shù)據(jù)泄漏風(fēng)險(xiǎn)較低的系統(tǒng)，用戶可以不用安裝客戶端直接由WEB Portal方式，經(jīng)身份認(rèn)證鑒權(quán)后訪問(wèn)。

　　優(yōu)點(diǎn)：

　　a） 由于混合代理方式，如果業(yè)務(wù)要求全部場(chǎng)景，可以使用全流量代理模式，處理C/S和B/S系統(tǒng)的終端應(yīng) 用；b） 如業(yè)務(wù)方需要對(duì)特定業(yè)務(wù)實(shí)現(xiàn)更精細(xì)對(duì)權(quán)限控制，可以使用應(yīng)用代理的應(yīng)用解析能力，因此可以基于應(yīng)用進(jìn)行細(xì)顆粒的授權(quán)控制；缺點(diǎn)：混合模式架構(gòu)較為復(fù)雜，實(shí)現(xiàn)起來(lái)較為麻煩3.1.4、部署方式

　　在用戶對(duì)資源訪問(wèn)的零信任實(shí)現(xiàn)上，具體到落地部署中，可以根據(jù)企業(yè)特點(diǎn)有多種部署方式，下面列舉常 見(jiàn)的幾類部署模式：

　　1）企業(yè)內(nèi)部部署 （辦公場(chǎng)景）

　　在企業(yè)內(nèi)部部署模式中，零信任網(wǎng)關(guān)主要用于企業(yè)內(nèi)部服務(wù)保護(hù)，因此部署位置將零信任網(wǎng)關(guān)放置到服務(wù) 器網(wǎng)絡(luò)前，如下圖：

　　此種，通過(guò)零信任系統(tǒng)提供統(tǒng)一的業(yè)務(wù)安全訪問(wèn)通道，關(guān)閉職場(chǎng)內(nèi)部終端直連內(nèi)部業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)策略，盡可能 避免企業(yè)內(nèi)部服務(wù)全部暴露在辦公網(wǎng)絡(luò)（內(nèi)網(wǎng)中過(guò)多的默認(rèn)信任）。所有的終端訪問(wèn)都要進(jìn)過(guò)終端身份校驗(yàn)（人的安全可信），終端/系統(tǒng)/應(yīng)用的可信確認(rèn)（終端設(shè)備的安全 可信），還有細(xì)粒度的權(quán)限訪問(wèn)校驗(yàn)，然后才可以通過(guò)加密安全網(wǎng)關(guān)訪問(wèn)具體的業(yè)務(wù)（鏈路的安全可信），這 樣能極大的降低和減少內(nèi)部業(yè)務(wù)資產(chǎn)被惡意掃描和攻擊的行為。

　　2） 集團(tuán)多分支部署

　　集團(tuán)公司，其全國(guó)/全球的多個(gè)分支子公司、辦事處、并購(gòu)公司、外部合作（協(xié)作）公司等員工需要安全 訪問(wèn)集團(tuán)內(nèi)部系統(tǒng)，該需求模式下可以采用以下部署模式，實(shí)現(xiàn)多分支的訪問(wèn)：

　　該部署模式中可以針對(duì)集團(tuán)、子公司的組織架構(gòu)（用戶群組）或者具體人員（用戶）設(shè)置訪問(wèn)策略，員工訪問(wèn)可達(dá)的集體內(nèi)部系統(tǒng)僅限于指定的業(yè)務(wù)（細(xì)粒度授權(quán)），不可越界。應(yīng)保障訪問(wèn)過(guò)來(lái)的人員身份、設(shè)備、鏈路的安全，同時(shí)子公司的終端或者賬戶如果有異?？梢约皶r(shí)阻斷訪問(wèn)。

　　3.2 、 生產(chǎn)服務(wù)之間相互調(diào)用的零信任方案

　　此種方案有幾個(gè)核心元素：

　　a）工作負(fù)載：workload，承載業(yè)務(wù)的主機(jī)，可以是物理服務(wù)器、虛擬機(jī)或容器。

　　b）訪問(wèn)者：發(fā)起訪問(wèn)一方的工作負(fù)載。

　　c）提供者：提供服務(wù)一方的工作負(fù)載。在數(shù)據(jù)中心中，任意一個(gè)工作負(fù)載都可能本身即是提供者，也是 其他工作負(fù)載的訪問(wèn)者d） 服務(wù)：即根據(jù)業(yè)務(wù)需要所開(kāi)放的供其他工作負(fù)載或用戶訪問(wèn)的服務(wù)基于工作負(fù)載的零信任架構(gòu)：

　　由于很少有公司在生產(chǎn)服務(wù)之間嘗試零信任架構(gòu)，此種方式不過(guò)多介紹四、零信任應(yīng)用場(chǎng)景

　　4.1、辦公安全（目前實(shí)踐較多的）

　　包含遠(yuǎn)程辦公需求、集團(tuán)性多分支機(jī)構(gòu)辦公安全、傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，無(wú)非就是通過(guò)vp，專線直接訪問(wèn)公司或者集團(tuán)資源。總結(jié)來(lái)說(shuō)零信任架構(gòu)從安全層面不在區(qū)分內(nèi)外網(wǎng)、是否為遠(yuǎn)程、是否為分支，統(tǒng)一通過(guò)零信任網(wǎng)關(guān)接入、零信任網(wǎng)關(guān)代理、隱藏后端服務(wù)只不過(guò)辦公區(qū)可以通過(guò)內(nèi)網(wǎng)訪問(wèn)零信任網(wǎng)關(guān)、遠(yuǎn)程用戶、分支機(jī)構(gòu)，可通過(guò)公網(wǎng)、專線等訪問(wèn)零信任網(wǎng)關(guān)，無(wú)論哪種方式，都要經(jīng)過(guò)，認(rèn)證、鑒權(quán)/授權(quán)、這一套流程。

　　辦公安全零信任架構(gòu)：

　　遠(yuǎn)程辦公需求零信任實(shí)現(xiàn)：

　　遠(yuǎn)程辦公場(chǎng)景下正確的實(shí)施零信任方案后可以帶來(lái)如下好處：

　　a）可快速擴(kuò)容：零信任網(wǎng)關(guān)可以通過(guò)負(fù)載均衡實(shí)現(xiàn)快速的橫向擴(kuò)展，來(lái)滿足突發(fā)的遠(yuǎn)程辦公需求；b）安全控制能力強(qiáng)：零信任把安全架構(gòu)延伸到用戶終端上，有更強(qiáng)的控制和感知能力；c）安全攻擊面?。毫阈湃芜h(yuǎn)程辦公方案中，唯一可被訪問(wèn)的只有零信任網(wǎng)關(guān)，所有內(nèi)部資源全部被隱藏 在網(wǎng)關(guān)后，即便資源存在0day也難以被攻擊到；d）易使用：用戶一旦完成認(rèn)證后，整個(gè)使用過(guò)程對(duì)用戶不會(huì)有打擾，用戶和在公司內(nèi)部的權(quán)限維持一 致，有較好用戶體驗(yàn)4.2、數(shù)據(jù)中心內(nèi)部訪問(wèn)

　　基本都是采用微隔離架構(gòu)進(jìn)行網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層的細(xì)粒度隔離，此種方式不過(guò)多介紹五、零信任落地經(jīng)驗(yàn)

　　零信任安全理念在企業(yè)的落地不會(huì)是一蹴而就，也絕非僅靠采購(gòu)一些零信任安全產(chǎn)品或者部署一些零信任安全組件就能夠簡(jiǎn)單實(shí)現(xiàn)。需要企業(yè)根據(jù)自身業(yè)務(wù)系統(tǒng)建設(shè)階段、人員和設(shè)備管理情況、現(xiàn)有網(wǎng)絡(luò)環(huán)境、企業(yè)網(wǎng)絡(luò)安全威脅、現(xiàn)有安全機(jī)制、預(yù)算情況、安全團(tuán)隊(duì)人員能力等因素綜合考慮，制定零信任安全目標(biāo)和實(shí)施計(jì)劃，分階段的逐步落地，持續(xù)提升企業(yè)零信任安全能力，是一個(gè)不斷完善、持續(xù)優(yōu)化的過(guò)程。

　　落地建設(shè)可分為：全新建設(shè)零信任架構(gòu)網(wǎng)絡(luò)、在已有網(wǎng)絡(luò)架構(gòu)上改造升級(jí)，兩種情況。

　　無(wú)論是全新搭建還是已有網(wǎng)絡(luò)架構(gòu)升級(jí)，實(shí)施過(guò)程應(yīng)考慮以下因素：

　　1）有專門的安全團(tuán)隊(duì)和人員牽頭和推進(jìn)實(shí)施；2）領(lǐng)導(dǎo)的重視（往往決定了落地的難易程度）；3）有明確的安全目標(biāo)（以及階段性目標(biāo)）；

　　4）有適配達(dá)到安全目標(biāo)的足夠預(yù)算；

　　5）業(yè)務(wù)團(tuán)隊(duì)的充分理解和配合；

　　6）第三方廠商的配合

　　無(wú)論是全新搭建還是已有網(wǎng)絡(luò)架構(gòu)升級(jí)，實(shí)施過(guò)程可以參考以下方法和步驟：

　　1）明確范圍

　　全面梳理和確認(rèn)過(guò)程中涉及的人員、設(shè)備、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)等保護(hù)對(duì)象，并考慮到實(shí)施過(guò)程中可能涉及的網(wǎng)絡(luò)位置（集團(tuán)總部、分支機(jī)構(gòu)、云環(huán)境等）等因素。從應(yīng)用場(chǎng)景進(jìn)行梳理可能是比較好的一種方式。

　　2）確定安全目標(biāo)

　　根據(jù)零信任網(wǎng)絡(luò)保護(hù)對(duì)象的重要程度，以及企業(yè)可能面臨的安全風(fēng)險(xiǎn)、企業(yè)安全現(xiàn)狀、團(tuán)隊(duì)能力、可投入的資源等因素，確定零信任網(wǎng)絡(luò)需要建設(shè)的安全能力，以及能力實(shí)現(xiàn)的強(qiáng)弱程度（并非一定要把所有最高級(jí)別的安全能力手段都加于企業(yè)身上，而是應(yīng)根據(jù)企業(yè)實(shí)際需求適配，但需要保障零信任基本能力的建設(shè)）。

　　3）制定實(shí)施計(jì)劃

　　根據(jù)已確定的安全目標(biāo)、企業(yè)現(xiàn)狀，制定實(shí)施計(jì)劃，明確各實(shí)施階段的實(shí)施目標(biāo)和里程碑標(biāo)志（能夠驗(yàn)證目標(biāo)已達(dá)成的事項(xiàng)）

　　4）分階段實(shí)施

　　根據(jù)制定的實(shí)施計(jì)劃，推動(dòng)相關(guān)人員實(shí)施。并按照項(xiàng)目管理的模式，按時(shí)推進(jìn)，跟蹤進(jìn)展，適時(shí)調(diào)整，逐 個(gè)階段的實(shí)現(xiàn)。

　　5）持續(xù)完善和優(yōu)化

　　在完成零信任網(wǎng)絡(luò)的基本建設(shè)后，應(yīng)該不斷和提升豐富企業(yè)的零信任安全能力（包括持續(xù)加強(qiáng)零信任組件的自身安全防護(hù)、持續(xù)提升企業(yè)的零信任網(wǎng)絡(luò)安全運(yùn)營(yíng)能力等），最終從安全技術(shù)、安全意識(shí)、安全運(yùn)營(yíng)、組織建設(shè)等方面持續(xù)完善和優(yōu)化六、零信任和現(xiàn)有安全產(chǎn)品的關(guān)系

　　自認(rèn)為零信任只是一種新的安全理念，也不過(guò)只是一種新的安全架構(gòu)，并不能取代現(xiàn)有安全產(chǎn)品，不過(guò)在零信任架構(gòu)中，可以把現(xiàn)有安全產(chǎn)品更緊密結(jié)合在一起，形成更立體聯(lián)動(dòng)的效應(yīng)，比如現(xiàn)有的一些檢測(cè)告警類、防護(hù)類安全產(chǎn)品可以輔助實(shí)現(xiàn)零信任架構(gòu)中 “動(dòng)態(tài)持續(xù)檢測(cè)各對(duì)象安全狀態(tài)，動(dòng)態(tài)調(diào)整權(quán)限、降級(jí)、甚至阻斷”這一特點(diǎn)解決傳統(tǒng)一些架構(gòu)中，弱管控、動(dòng)態(tài)處置效率不高等缺點(diǎn)，真正實(shí)現(xiàn)全過(guò)程持續(xù)“零信任”。