本文首先對零信任安全的背景、定義及發展歷史進行介紹，然后提出一種通用的零信任參考架構，并以奇安信零信任安全解決方案為例，對零信任參考架構的應用方案進行解讀。

網絡安全形勢不容樂觀，外部攻擊和內部威脅愈演愈烈。有組織的、武器化的、以數據及業務為攻擊目標的高級持續攻擊仍然能輕易找到各種漏洞突破企業的邊界；內部業務的非授權訪問、雇員犯錯、有意的數據竊取等內部威脅愈演愈烈。

安全事件層出不窮，傳統安全架構失效背后的根源是什么呢？答案是信任。傳統的基于邊界的網絡安全架構某種程度上假設、或默認了內網的人和設備是值得信任的，認為網絡安全就是構筑企業的數字護城河，通過防火墻、WAF、IPS等邊界安全產品/方案對企業網絡邊界進行重重防護就足夠了。

事實證明：正確的思維應該是假設系統一定有未被發現的漏洞、假設一定有已發現但仍未修補的漏洞、假設系統已經被滲透、假設內部人員不可靠。“四個假設”徹底推翻了傳統網絡安全通過隔離、修邊界的技術方法，徹底推翻了邊界安全架構下對“信任”的假設和濫用，基于邊界的網絡安全架構和解決方案已經難以應對如今的網絡威脅。

需要全新的網絡安全架構應對現代復雜的企業網絡基礎設施，應對日益嚴峻的網絡威脅形勢，零信任架構正是在這種背景下應運而生，是安全思維和安全架構進化的必然。

1.1.零信任定義

零信任架構一直在快速發展和成熟，不同版本的定義基于不同的維度進行描述。在《零信任網絡》一書中，埃文.吉爾曼（Evan Gilman）和道格.巴斯(Doug Barth)將零信任的定義建立在如下五個基本假定之上：

網絡無時無刻不處于危險的環境中。

網絡中自始至終存在外部或內部威脅。

網絡的位置不足以決定網絡的可信程度。

所有的設備、用戶和網絡流量都應當經過認證和授權。

安全策略必須是動態的，并基于盡可能多的數據源計算而來。

簡而言之：默認情況下不應該信任網絡內部和外部的任何人/設備/系統，需要基于認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了范式上的顛覆，其本質是以身份為基石的動態可信訪問控制。

NIST在最近發表的《零信任架構》（草案）中指出，零信任架構是一種網絡/數據安全的端到端方法，關注身份、憑證、訪問管理、運營、終端、主機環境和互聯的基礎設施，認為零信任是一種關注數據保護的架構方法，認為傳統安全方案只關注邊界防護，對授權用戶開放了過多的訪問權限。零信任的首要目標就是基于身份進行細粒度的訪問控制，以便應對越來越嚴峻的越權橫向移動風險。

基于如上觀點，NIST對零信任及零信任架構定義如下：

零信任（ZT）提供了一系列概念和思想，旨在面對失陷網絡時，減少在信息系統和服務中執行準確的、按請求訪問決策時的不確定性。零信任架構（ZTA）是一種企業網絡安全規劃，它利用零信任概念，并囊括其組件關系、工作流規劃與訪問策略。

1.2.零信任歷史

從零信任的發展歷史進行分析，也不難發現零信任的各種不同維度的觀點也在持續發展、融合，并最終表現出較強的一致性。

零信任的最早雛形源于2004年成立的耶利哥論壇（Jericho Forum），其成立的使命正是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案。2010年，零信任這個術語正式出現，并指出所有的網絡流量都是不可信的，需要對訪問任何資源的任何請求進行安全控制，零信任提出之初，其解決方案專注于通過微隔離對網絡進行細粒度的訪問控制以便限制攻擊者的橫向移動。

隨著零信任的持續演進，以身份為基石的架構體系逐漸得到業界主流的認可，這種架構體系的轉變與移動計算、云計算的大幅采用密不可分。2014年開始，Google基于其內部項目BeyondCorp的研究成果，陸續發表了多篇論文，闡述了在Google內部如何為其員工構建零信任架構。BeyondCorp的出發點在于僅僅針對企業邊界構建安全控制已經不夠了，需要把訪問控制從邊界遷移到每個用戶和設備。通過構建零信任，Google成功地摒棄了對傳統VPN的采用，通過全新架構體系確保所有來自不安全網絡的用戶能安全地訪問企業業務。

通過業界對零信任理論和實踐的不斷完善，零信任已經超越了最初的網絡層微分段的范疇，演變為以身份為基石的，能覆蓋云環境、大數據中心、微服務等眾多場景的新一代安全解決方案。

綜合分析各種零信任的定義和框架，不難看出零信任架構的本質是以身份為基石的動態可信訪問控制，聚焦身份、信任、業務訪問和動態訪問控制等維度的安全能力，基于業務場景的人、流程、環境、訪問上下文等多維的因素，對信任進行持續評估，并通過信任等級對權限進行動態調整，形成具備較強風險應對能力的動態自適應的安全閉環體系。  

2.1.關鍵能力模型

零信任的本質是在訪問主體和客體之間構建以身份為基石的動態可信訪問控制體系，通過以身份為基石、業務安全訪問、持續信任評估和動態訪問控制的關鍵能力，基于對網絡所有參與實體的數字身份，對默認不可信的所有訪問請求進行加密、認證和強制授權，匯聚關聯各種數據源進行持續信任評估，并根據信任的程度動態對權限進行調整，最終在訪問主體和訪問客體之間建立一種動態的信任關系。

1)  以身份為基石

基于身份而非網絡位置來構建訪問控制體系，首先需要為網絡中的人和設備賦予數字身份，將身份化的人和設備進行運行時組合構建訪問主體，并為訪問主體設定其所需的最小權限。

在零信任安全架構中，根據一定的訪問上下文，訪問主體可以是人、設備和應用等實體數字身份的動態組合，在《零信任網絡》一書中，將這種組合稱為網絡代理。網絡代理指在網絡請求中用于描述請求發起者的信息集合，一般包括用戶、應用程序和設備共三類實體信息，用戶、應用程序和設備信息是訪問請求密不可分的上下文。網絡代理具有短時性特征，在進行授權決策時按需臨時生成。訪問代理的構成要素（用戶或設備）信息一般存放在數據庫中，在授權時實時查詢并進行組合，因此，網絡代理代表的是用戶和設備各個維度的屬性在授權時刻的實時狀態。

最小權限原則是任何安全架構必須遵循的關鍵實踐之一，然而零信任架構將最小權限原則又推進了一大步，遵循了動態的最小權限原則。如果用戶確實需要更高的訪問權限，那么用戶可以并且只能在需要的時候獲得這些特權。而反觀傳統的身份與訪問控制相關實現方案，一般對人、設備進行單獨授權，零信任這種以網絡代理作為授權主體的范式，在授權決策時刻按需臨時生成主體，具有較強的動態性和風險感知能力，可以極大地緩解憑證竊取、越權訪問等安全威脅。

2)  業務安全訪問

零信任架構關注業務保護面的構建，通過業務保護面實現對資源的保護，在零信任架構中，應用、服務、接口、數據都可以視作業務資源。通過構建保護面實現對暴露面的收縮，要求所有業務默認隱藏，根據授權結果進行最小限度的開放，所有的業務訪問請求都應該進行全流量加密和強制授權，業務安全訪問相關機制需要盡可能工作在應用協議層。

構建零信任安全架構，需要關注待保護的核心資產，梳理核心資產的各種暴露面，并通過技術手段將暴露面進行隱藏。這樣，核心資產的各種訪問路徑就隱藏在零信任架構組件之后，默認情況對訪問主體不可見，只有經過認證、具有權限、信任等級符合安全策略要求的訪問請求才予以放行。通過業務隱藏，除了滿足最小權限原則，還能很好的緩解針對核心資產的掃描探測、拒絕服務、漏洞利用、非法爬取等安全威脅。

3)  持續信任評估

持續信任評估是零信任架構從零開始構建信任的關鍵手段，通過信任評估模型和算法，實現基于身份的信任評估能力，同時需要對訪問的上下文環境進行風險判定，對訪問請求進行異常行為識別并對信任評估結果進行調整。

在零信任架構中，訪問主體是人、設備和應用程序三位一體構成的網絡代理，因此在基礎的身份信任的基礎上，還需要評估主體信任，主體信任是對身份信任在當前訪問上下文中的動態調整，和認證強度、風險狀態和環境因素等相關，身份信任相對穩定，而主體信任和網絡代理一樣，具有短時性特征，是一種動態信任，基于主體的信任等級進行動態訪問控制也是零信任的本質所在。

信任和風險如影隨形，在某些特定場景下，甚至是一體兩面。在零信任架構中，除了信任評估，還需要考慮環境風險的影響因素，需要對各類環境風險進行判定和響應。但需要特別注意，并非所有的風險都會影響身份或主體的信任度。

基于行為的異常發現和信任評估能力必不可少，包括主體（所對應的數字身份）個體行為的基線偏差、主體與群體的基線偏差、主體環境的攻擊行為、主體環境的風險行為等都需要建立模型進行量化評估，是影響信任的關鍵要素。當然，行為分析需要結合身份態勢進行綜合度量，以減少誤判，降低對使用者操作體驗的負面影響。

4)  動態訪問控制

動態訪問控制是零信任架構的安全閉環能力的重要體現。建議通過RBAC和ABAC的組合授權實現靈活的訪問控制基線，基于信任等級實現分級的業務訪問，同時，當訪問上下文和環境存在風險時，需要對訪問權限進行實時干預并評估是否對訪問主體的信任進行降級。

任何訪問控制體系的建立離不開訪問控制模型，需要基于一定的訪問控制模型制定權限基線。零信任強調灰度哲學，從實踐經驗來看，也大可不必去糾結RBAC好還是ABAC好，而是考慮如何兼顧融合，建議基于RBAC模型實現粗粒度授權，建立權限基線滿足企業基本的最小權限原則，并基于主體、客體和環境屬性實現角色的動態映射和過濾機制，充分發揮ABAC的動態性和靈活性。權限基線決定了一個訪問主體允許訪問的權限的全集，而在不同的訪問時刻，主體被賦予的訪問權限和訪問上下文、信任等級、風險狀態息息相關。

需要注意，并非所有的風險都對信任有影響，特別是環境風險，但風險一旦發生，就需要對應的處置策略，常見手段是撤銷訪問會話。因此，零信任架構的控制平面需要能接收外部風險平臺的風險通報，并對當前訪問會話進行按需處理，從而實現風險處置的聯動，真正將零信任架構體系和企業現存的其他安全體系融合貫穿。

2.2.基本架構原則

在“關鍵能力模型”一節中，對“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”四項零信任關鍵能力進行了詳細描述，這些安全能力需要在零信任架構中通過架構組件、交互邏輯等進行支撐，在將安全能力進行架構映射的過程中，需要遵循一些基本架構原則，才能確保最終實現的零信任架構能切實滿足新型IT環境下的安全需求。這些基本架構原則包括：

全面身份化原則

對所有的訪問主體需要進行身份化，包括人員、設備等，僅僅對人員進行身份管理是遠遠不夠的；另外，訪問控制的主體是網絡代理，而不是孤立的人員或設備。

應用級控制原則

業務訪問需要盡可能工作在應用層而不是網絡層，通常采用應用代理實現；應用代理需要做到全流量代理和加密，切忌不可只對應用的認證請求進行代理。

安全可閉環原則

信任等級基于訪問主體的屬性、行為和訪問上下文進行評估，并且基于信任等級對訪問權限進行動態的、近實時的、自動的調整，形成自動安全閉環。

業務強聚合原則

零信任架構具有內生安全屬性，需要結合實際的業務場景和安全現狀進行零信任架構的設計，建議將零信任安全和業務同步進行規劃。零信任架構需要具備較強的適應性，能根據實際場景需求進行裁剪或擴展。

多場景覆蓋原則

現代IT環境具有多樣的業務訪問場景，包括用戶訪問業務、服務API調用、數據中心服務互訪等場景，接入終端包括移動終端、PC終端、物聯終端等，業務部署位置也多種多樣。零信任架構需要考慮對各類場景的覆蓋并確保具備較強的可擴展性，以便為各業務場景實現統一的安全能力。

組件高聯動原則

零信任各架構組件應該具備較高的聯動性，各組件相互調用形成一個整體，緩解各類威脅并形成安全閉環。在零信任架構實踐中，切忌不可堆砌拼湊產品組件，各產品的可聯動性是零信任能力實現效果的重要基礎。

2.3.核心架構組件

基于前述關鍵能力模型和基本架構原則，零信任架構的核心邏輯架構組件如圖2所示：

本節以奇安信零信任安全解決方案為例，對零信任參考架構的具體實踐要點進行解讀。

奇安信一直保持對零信任的高度關注，奇安信零信任安全解決方案基于零信任參考模型進行設計，充分利用國內外先進技術成果，結合國內典型的業務及安全現狀進行完善優化，目前已經過國內大型部委和央企進行大量實踐驗證并得到廣泛認可，具有極強的先進性和可行性。

3.1.核心產品體系

奇安信零信任安全解決方案主要包括：奇安信TrustAccess動態可信訪問控制平臺、奇安信TrustID智能可信身份平臺、奇安信ID智能手機令牌及各種終端Agent組成，如圖3所示。奇安信零信任安全解決方案中，動態可信訪問控制平臺和智能可信身份平臺邏輯上進行解耦，當客戶現有身份安全基礎設施滿足零信任架構要求的情況下，可以不用部署智能可信身份平臺，通過利舊降低建設成本。

1)奇安信TrustAccess動態可信訪問控制平臺

奇安信TrustAccess提供零信任架構中動態可信訪問控制的核心能力，可以為企業快速構建零信任安全架構，實現企業數據的零信任架構遷移。

TrustAccess的核心組件包括：可信應用代理TAP、可信API代理TIP、可信訪問控制臺TAC、智能身份分析系統IDA、可信終端環境感知系統TESS和可信網絡感知系統TNSS。

可信應用代理系統TAP

可信應用代理系統TAP是零信任參考架構中的可信代理在業務訪問場景的產品實現。

針對企業應用級訪問控制需求，實現了應用的分層安全接入、一站式應用訪問、應用單點登錄、應用審計等能力。

可信API代理系統TIP

可信API代理系統TIP是零信任參考架構中的可信代理在數據交換場景的產品實現。

針對API服務的安全保護需求，實現了API接口的統一代理、訪問認證、數據加密、安全防護、應用審計等能力。

可信訪問控制臺TAC

可信訪問控制臺TAC是零信任參考架構中動態訪問控制引擎的產品實現。

TAC為TAP/TIP提供自適應認證服務、動態訪問控制和集中管理能力，針對企業的各個業務訪問場景，實現了自適應認證服務、訪問控制策略統一配置管理、WEB應用和API服務集中管理、動態授權、風險匯聚關聯、應用審計等功能。

智能身份分析系統IDA

智能身份分析系統IDA是零信任參考架構中信任評估引擎的產品實現。

IDA基于身份及權限信息、TAP/TIP/TAC訪問日志、可信環境感知上報的屬性和風險評估、其他外部分析平臺上報的日志及事件進行綜合風險關聯判定，利用大數據分析和人工智能技術，構建信任評估模型進行持續信任評估，為TAC提供信任等級作為決策依據。

可信終端環境感知系統TESS

可信終端環境感知系統TESS提供各種場景的終端環境的安全狀態和環境感知，為IDA提供實時的終端可信度的判斷依據，是IDA的重要數據源。

可信網絡環境感知系統TNSS

可信網絡環境感知系統TNSS提供網絡環境的安全狀態和環境感知，為IDA提供實時的網絡可信度的判斷依據，是IDA的重要數據源。

2) 奇安信TrustID智能可信身份平臺

奇安信TrustID智能可信身份平臺是零信任參考架構身份安全基礎設施的產品實現，是一種現代身份與權限管理系統。

TrustID可為企業提供更高級、更靈活的現代身份與權限管理能力，當TrustAccess自帶的基礎身份和權限管理能力，或企業現有的身份基礎設施無法滿足企業的管理需求時，可借助TrustID對身份與權限管理方面的能力進行提升，達到零信任架構對身份安全基礎設施的能力要求。除了為TrustAccess服務，TrustID也可為企業的業務系統和其他需要身份、認證、授權的場景提供身份及權限基礎服務。

奇安信TrustID也支持對接企業現有的外部身份源系統，包括PKI、4A、AD等，通過將企業現有的身份源進行匯聚和同步，形成完善的身份生命周期管理能力，為TrustAccess提供身份基礎設施服務。

3) 奇安信零信任安全解決方案與參考架構的關系

奇安信零信任安全解決方案在零信任參考架構的基礎上對產品組件進行了拆分和擴展，但在總體架構上保持了高度一致，將其產品組件映射到零信任參考架構如圖4所示：

3.2.典型場景方案

下面以一個典型應用場景為例，描述奇安信零信任安全解決方案的邏輯原理。此應用場景數據子網需要保護的資源包括業務應用和API服務，用戶/外部平臺子網的用戶終端需要訪問業務應用，外部應用需要通過接口調用API服務，方案邏輯圖如圖5所示，本圖只是邏輯原理圖，實際物理部署需要根據具體的網絡拓撲、安全分區情況確定。

零信任架構對傳統的邊界安全架構思想重新進行了評估和審視，并對安全架構思路給出了新的建議：默認情況下不應該信任網絡內部和外部的任何人、設備、系統和應用，而是應該基于認證、授權和加密技術重構訪問控制的信任基礎，并且這種授權和信任不是靜態的，它需要基于對訪問主體的信任評估進行動態調整。

零信任架構是一種全新的安全理念和架構，認為不應該僅僅在企業網絡邊界上進行粗粒度的訪問控制，而是應該對企業的人員、設備、業務應用、數據資產之間的所有訪問請求進行細粒度的訪問控制，并且訪問控制策略需要基于對請求上下文的信任評估進行動態調整，是一種應對新型IT環境下已知和未知威脅的“內生安全”機制。

《零信任架構及解決方案》白皮書.pdf

企業：奇安信