零信任體系技術(shù)研究

00引言當前，各企事業(yè)單位的網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)變得越來越復雜。企業(yè)不僅存在多個內(nèi)部網(wǎng)絡(luò)，還存在通過遠程連接本地網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠程辦公室、移動用戶以及云服務(wù)。這種復雜性已經(jīng)超越了傳統(tǒng)基于網(wǎng)絡(luò)邊界防護的安全方法，因為企業(yè)已經(jīng)沒有簡單、容易識別的網(wǎng)絡(luò)邊界。傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全防護逐漸被證明是不夠的，局限性正日益凸顯，一旦攻擊者突破企業(yè)網(wǎng)絡(luò)邊界防護，便可以在內(nèi)部網(wǎng)絡(luò)中進一步橫向移動進行攻擊破壞，不受阻礙和控制。上述網(wǎng)絡(luò)基礎(chǔ)設(shè)施的復雜性促進了網(wǎng)絡(luò)安全原則和安全模型的創(chuàng)新與發(fā)展，“零信任”。零信任(ZeroTrust，ZT)技術(shù)應(yīng)運而生。零信任技術(shù)從重點關(guān)注企業(yè)數(shù)據(jù)資源的保護，逐漸擴展到對企業(yè)的設(shè)備、基礎(chǔ)設(shè)施和用戶等所有網(wǎng)絡(luò)資源的保護。零信任安全模型假設(shè)攻擊者可能出現(xiàn)在企業(yè)內(nèi)部網(wǎng)絡(luò)，企業(yè)內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施與其它外部網(wǎng)絡(luò)一樣，面臨同樣的安全威脅，也容易受到攻擊破壞，并不具有更高的可信度。在這種情況下，企業(yè)必須不斷地分析和評估其內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù)功能面臨的安全風險，提升網(wǎng)絡(luò)安全防護能力來降低風險。在零信任中，通常涉及將數(shù)據(jù)、計算和應(yīng)用程序等網(wǎng)絡(luò)資源的訪問權(quán)限最小化，只對那些必須用戶和資產(chǎn)開啟訪問權(quán)限進行授權(quán)訪問，并持續(xù)對每個訪問請求者的身份和安全狀態(tài)進行身份驗證和授權(quán)。零信任體系(ZeroTrustSystem,ZTS)是一種基于零信任原則建立的企業(yè)網(wǎng)絡(luò)安全策略，旨在防止企業(yè)內(nèi)部數(shù)據(jù)泄露，限制內(nèi)部攻擊者橫向移動和攻擊破壞。本文將給出零信任和零信任體系的定義，遵循的原則，討論零信任體系的組成，分析處理方法的變化和面臨的安全威脅。01零信任基礎(chǔ)“零信任”是一種以資源保護為核心的網(wǎng)絡(luò)安全模式，其前提是信任從不被隱式授予，而是必須持續(xù)評估?！傲阈湃误w系”是一種企業(yè)資源和數(shù)據(jù)安全端到端的保護方法，包含人和非人實體的身份標識、認證信息、訪問管理、操作運維、端點管控、運行環(huán)境和互連基礎(chǔ)設(shè)施等內(nèi)容。最初的重點是將企業(yè)資源訪問權(quán)限控制在那些執(zhí)行任務(wù)必須的最小用戶范圍內(nèi)。傳統(tǒng)企業(yè)主要關(guān)注網(wǎng)絡(luò)邊界防護，用戶只要通過邊界身份驗證，就有權(quán)訪問企業(yè)整個網(wǎng)內(nèi)資源。因此，網(wǎng)絡(luò)內(nèi)部未經(jīng)授權(quán)的橫向移動和攻擊破壞一直是廣大企事業(yè)單位面臨的最大挑戰(zhàn)之一。盡管企業(yè)網(wǎng)絡(luò)邊界防設(shè)備提供了強大的網(wǎng)絡(luò)邊界保護功能，有效阻止了來自網(wǎng)絡(luò)外部的攻擊者，但是在檢測和阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊方面顯得力不從心，更無法有效保護遠程工作者、基于云的外圍用戶。1.1零信任和零信任體系定義零信任提供了一組概念和設(shè)計思想，旨在減少在信息系統(tǒng)和服務(wù)中實施快速、準確訪問決策的不確定性。零信任體系是利用零信任概念建立的網(wǎng)絡(luò)安全計劃，包含組件關(guān)系、工作流程規(guī)劃和訪問策略等內(nèi)容。因此，零信任企業(yè)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和操作策略，是企業(yè)零信任體系計劃的執(zhí)行結(jié)果。企業(yè)決定采用零信任作為網(wǎng)絡(luò)安全基礎(chǔ)，并按照零信任原則制定計劃，形成零信任體系。然后執(zhí)行此計劃以部署企業(yè)中使用的零信任環(huán)境。這個定義的關(guān)鍵是防止對數(shù)據(jù)和服務(wù)未經(jīng)授權(quán)的訪問，同時使訪問控制執(zhí)行盡可能細粒度。也就是說，允許授權(quán)和批準的用戶訪問企業(yè)數(shù)據(jù)，而對所有攻擊者、非授權(quán)用戶拒絕提供服務(wù)。更進一步說，可以用“資源”這個詞代替“數(shù)據(jù)”，因此零信任和零信任體系是關(guān)于資源訪問的，而不僅僅是數(shù)據(jù)訪問。為了減少不確定性，重點關(guān)注于身份認證、授權(quán)和收縮隱式信任區(qū)域，縮短身份驗證機制中的時間延遲。訪問規(guī)則被限制為最少的特權(quán)，并且盡可能細化。在圖1所示的抽象訪問模型中，用戶或機器需要訪問企業(yè)資源。通過策略決策點(PolicyDecisionPoint,PDP)和相應(yīng)的策略執(zhí)行點(PolicyenforcementPoint,PEP)授予訪問權(quán)限。圖1零信任訪問模型零信任系統(tǒng)中必須確保用戶身份是真實的，請求是有效的。PDP/PEP通過適當?shù)呐袛?，才允許企業(yè)主體訪問資源。這意味著零信任適用于兩個基本領(lǐng)域:身份認證和授權(quán)。用戶對這個惟一請求的身份信任程度是多少？在對用戶身份的信任程度給定的情況下，是否允許該用戶訪問企業(yè)資源？用于請求的設(shè)備是否具有適當?shù)陌踩珷顟B(tài)？是否有其他因素需要考慮，并改變信任水平?例如用戶訪問時間、所處位置、安全狀態(tài)等等。總的來說，企業(yè)需要為資源的訪問開發(fā)和維護基于風險的動態(tài)安全策略，并建立一個系統(tǒng)來確保這些安全策略被正確和嚴格地執(zhí)行。因此，企業(yè)不應(yīng)該依賴于隱式的可信，無論什么用戶只要符合訪問資源的身份驗證標準，所有訪問資源的請求都應(yīng)視為同等有效?！半[式信任區(qū)域”表示所有實體至少被信任到最后一個PDP/PEP網(wǎng)關(guān)級別的區(qū)域。例如，火車站的乘客篩選模型。所有乘客通過火車站進站安全檢查(PDP/PEP)，進入候車室。旅客在候車室里轉(zhuǎn)悠，所有被放行的旅客都被認為是可信的。在這個模型中，隱式信任區(qū)域就是候車室。PDP/PEP應(yīng)用一組控件，以便PEP之外的所有通信都具有公共的信任級別。PDP/PEP應(yīng)該有超出其通信控制范圍的其他策略。為了讓PDP/PEP盡可能的具體，隱式信任區(qū)域必須盡可能的小。零信任是圍繞PDP/PEP對資源保護提供的一套原則和概念，盡可能將PDP/PEP設(shè)置到距離企業(yè)資源更近的位置。目的是更明確地對構(gòu)成企業(yè)的所有用戶、設(shè)備、應(yīng)用程序和工作流程進行身份驗證和授權(quán)控制。1.2零信任原則（1）所有數(shù)據(jù)源和計算服務(wù)都被視為資源。一個網(wǎng)絡(luò)可以由多種不同的設(shè)備組成。它們將數(shù)據(jù)發(fā)送到企業(yè)的交換機、路由器、存儲器和服務(wù)器，控制執(zhí)行器的系統(tǒng)以及其他功能部件。此外，如果個人擁有能夠訪問企業(yè)資源的設(shè)備，也應(yīng)當將這些設(shè)備劃歸企業(yè)資源進行管理。（2）無論網(wǎng)絡(luò)位置如何，所有通信都應(yīng)該是安全的。網(wǎng)絡(luò)位置并不意味著信任。位于企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的所有資產(chǎn)，包括傳統(tǒng)網(wǎng)絡(luò)邊界范圍內(nèi)的資產(chǎn)，其訪問請求都必須與來自外部網(wǎng)絡(luò)的訪問請求和通信滿足相同的安全策略。換句話說，不應(yīng)因設(shè)備位于企業(yè)網(wǎng)絡(luò)邊界范圍內(nèi)而自動授予信任。所有通信都應(yīng)該以最安全的方式進行，保護其機密性和完整性，并提供源身份驗證。（3）對單個企業(yè)資源的訪問是在每個會話的基礎(chǔ)上授予的。在授予訪問權(quán)限之前，將評估對請求者的信任。對于一個特定的操作，只意味著“以前某個時候”可信，而不會在啟動會話或使用資源執(zhí)行操作之前直接授權(quán)訪問。同樣，對一個資源的身份驗證和授權(quán)也不會自動授予對另一個資源的訪問權(quán)。（4）對資源的訪問由動態(tài)策略決定，包括客戶端標識、應(yīng)用程序和請求資產(chǎn)的可見狀態(tài)，以及其他行為屬性。通過定義它擁有什么資源、它的成員是誰，以及這些成員需要什么資源訪問權(quán)來保護資源。對于零信任，客戶端標識包括用戶帳戶和該帳戶關(guān)聯(lián)的屬性，以自動進行身份驗證任務(wù)。請求資產(chǎn)狀態(tài)包括設(shè)備特征，如已安裝的軟件版本、網(wǎng)絡(luò)位置、請求的時間/日期、以前觀察到的行為和已安裝的憑據(jù)。行為屬性包括自動用戶分析、設(shè)備分析和從觀察到的使用模式的測量偏差。策略是一組基于組織分配給用戶、數(shù)據(jù)資產(chǎn)或應(yīng)用程序的屬性的訪問規(guī)則。這些規(guī)則和屬性是基于業(yè)務(wù)流程的需求和可接受的風險級別。資源訪問和操作權(quán)限策略可以根據(jù)資源/數(shù)據(jù)的敏感性而變化。（5）企業(yè)確保所擁有的資產(chǎn)和相關(guān)的設(shè)備均處于最安全的狀態(tài)，并持續(xù)監(jiān)控以確保資產(chǎn)處于最安全的狀態(tài)。沒有設(shè)備天生就值得信任。這里，“最安全狀態(tài)”是指設(shè)備處于符合實際的最安全狀態(tài)，設(shè)備仍然可以執(zhí)行任務(wù)所需的操作。實現(xiàn)零信任體系的企業(yè)應(yīng)該建立一個持續(xù)診斷和緩解系統(tǒng)來監(jiān)控設(shè)備和應(yīng)用程序的安全狀態(tài)，并根據(jù)需要應(yīng)用補丁/修復程序。（6）所有資源的身份驗證和授權(quán)都是動態(tài)的，并且在允許訪問之前必須嚴格執(zhí)行。這是一個不斷循環(huán)的過程，包括獲取訪問、掃描和評估威脅、調(diào)整和不斷重新評估正在進行的通信中的信任。實現(xiàn)零信任體系的企業(yè)應(yīng)該具備身份、憑證和訪問管理以及資產(chǎn)管理等系統(tǒng)。這包括使用多因子身份驗證訪問部分或全部企業(yè)資源。根據(jù)策略的定義和執(zhí)行，在整個用戶交互過程中不斷重新進行身份驗證和授權(quán)的監(jiān)控，以努力實現(xiàn)安全性、可用性、易用性和成本效率之間的平衡。（7）企業(yè)盡可能多地收集網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信系統(tǒng)當前的狀態(tài)信息，以提升其網(wǎng)絡(luò)安全狀況。企業(yè)應(yīng)該收集關(guān)于網(wǎng)絡(luò)流量和訪問請求的數(shù)據(jù)，用于改進策略的創(chuàng)建和執(zhí)行。這些數(shù)據(jù)還可用于為來自實體的訪問請求提供上下文信息。02零信任體系的組成2.1核心邏輯組件在企業(yè)中，構(gòu)成零信任體系的邏輯組件很多，最核心的還是策略決策點和策略執(zhí)行點這個兩個組件。這些組件可以通過本地服務(wù)或遠程服務(wù)的方式來操作，組件之間的相互關(guān)系如圖2。從圖中可以看出，策略決策點被分解為兩個邏輯組件:策略引擎（PolicyEngine，PE）和策略管理員（PolicyAdministrator，PA）。零信任體系邏輯組件之間通過一個單獨的控制平面進行通信，而應(yīng)用程序數(shù)據(jù)則在一個數(shù)據(jù)平面上進行通信。圖2零信任核心邏輯組件（1）策略引擎：該組件負責最終決策授予給定實體對資源的訪問權(quán)限。PE使用企業(yè)策略和外部來源的輸入作為信任算法的輸入來授予、拒絕或撤銷對資源的訪問權(quán)。決策引擎與策略管理員組件配對。策略引擎制定并記錄決策，策略管理員執(zhí)行決策。（2）策略管理員：該組件負責建立或關(guān)閉實體與資源之間的通信路徑。它將生成客戶端用來訪問企業(yè)資源的任何身份驗證和身份驗證令牌或憑據(jù)。它與PE緊密相關(guān)，并取決于其最終允許或拒絕會話的決定。（3）策略執(zhí)行點：該系統(tǒng)負責啟動，監(jiān)控和終止實體與企業(yè)資源之間的連接。這是零信任體系中的單個邏輯組件，但是可以分為兩個不同的組件：客戶端的代理組件和資源側(cè)的資源訪問控制組件，或者充當網(wǎng)絡(luò)接入控制的單個門戶組件。PEP之外是承載企業(yè)資源的隱式信任區(qū)。2.2輔助系統(tǒng)除了實現(xiàn)零信任體系的核心邏輯組件之外，還有幾個數(shù)據(jù)源產(chǎn)生的輔助系統(tǒng)，他們將數(shù)據(jù)源提供給策略引擎作為訪問決策的輸入和策略規(guī)則。包括以下本地數(shù)據(jù)源以及外部數(shù)據(jù)源：（1）持續(xù)診斷和緩解系統(tǒng)：該系統(tǒng)將收集企業(yè)資產(chǎn)當前的狀態(tài)信息，并將其更新應(yīng)用于配置和軟件組件。企業(yè)持續(xù)診斷和緩解系統(tǒng)向策略引擎提供有關(guān)發(fā)出訪問請求的資產(chǎn)信息，例如它是否正在運行適當?shù)男扪a過的操作系統(tǒng)和應(yīng)用程序，或者資產(chǎn)是否有任何已知漏洞。（2）威脅情報系統(tǒng)：它提供來自內(nèi)部或外部的信息，幫助策略引擎做出訪問決策。這些服務(wù)可以是多個服務(wù)，他們從內(nèi)部和/或多個外部源獲取數(shù)據(jù)，并提供關(guān)于新發(fā)現(xiàn)的攻擊或漏洞的信息。這還包括黑名單、新識別的惡意軟件，以及對策略引擎想要拒絕企業(yè)資產(chǎn)訪問的其他資產(chǎn)的攻擊報告。（3）數(shù)據(jù)訪問策略：這是有關(guān)訪問企業(yè)資源的屬性，規(guī)則和策略。這組規(guī)則可以在策略引擎中編碼或由策略引擎動態(tài)生成。這些策略是授權(quán)訪問資源的起點，它為企業(yè)資產(chǎn)和應(yīng)用程序提供了基本的訪問權(quán)限。這些策略應(yīng)該基于任務(wù)角色和組織需求來確定。（4）公鑰基礎(chǔ)設(shè)施：該系統(tǒng)負責為企業(yè)資源、實體和應(yīng)用程序頒發(fā)證書并對其進行日志記錄。（5）身份標識管理系統(tǒng)：負責創(chuàng)建、存儲和管理企業(yè)用戶帳戶和標識記錄，并利用輕量級目錄訪問協(xié)議服務(wù)器來發(fā)布。該系統(tǒng)包含用戶姓名、電子郵件地址、證書等必要的用戶信息，以及用戶角色、訪問屬性和分配的資產(chǎn)等其他企業(yè)特征。身份標識管理系統(tǒng)經(jīng)常通過公鑰基礎(chǔ)設(shè)施來處理與用戶帳戶相關(guān)的工作。（6）網(wǎng)絡(luò)活動日志系統(tǒng)：這是一個企業(yè)系統(tǒng)，它聚合了資產(chǎn)日志、網(wǎng)絡(luò)流量、資源訪問操作和其他事件，這些事件對企業(yè)信息系統(tǒng)的安全狀態(tài)提供實時(或近似實時)反饋。（7）安全信息和事件監(jiān)控系統(tǒng)：它收集以安全為中心的信息，供以后分析。將這些數(shù)據(jù)用于優(yōu)化策略，并警告對企業(yè)資產(chǎn)的可能攻擊。2.3零信任算法對于部署了零信任系統(tǒng)的企業(yè)，可以將策略引擎視為大腦，將策略引擎的信任算法視為主要的思想過程。信任算法是策略引擎用來最終授予或拒絕訪問某個資源的過程。策略引擎從多個來源獲取輸入:策略數(shù)據(jù)庫，其中包含關(guān)于用戶、用戶屬性和角色、歷史用戶行為模式、威脅情報來源和其他元數(shù)據(jù)來源的信息，如圖3所示。圖3零信任算法輸入在圖2中，可以根據(jù)為零信任算法提供的內(nèi)容不同，將輸入分為不同的類別。（1）訪問請求：這是來自實體的實際請求。被請求的資源是被使用的主要信息，但是也使用關(guān)于請求者的信息。這可能包括操作系統(tǒng)版本、使用的應(yīng)用程序和補丁級別。根據(jù)這些因素和資產(chǎn)安全狀況，對資產(chǎn)的訪問可能受到限制或拒絕。（2）用戶數(shù)據(jù)庫：包括用戶標識、屬性和特權(quán)等，表明這是“誰”在請求訪問資源。這是企業(yè)或協(xié)作者的用戶集和分配的用戶屬性/特權(quán)集。這些用戶和屬性是構(gòu)成資源訪問策略的基礎(chǔ)。用戶身份可以包括邏輯身份和策略執(zhí)行點執(zhí)行身份驗證檢查的結(jié)果。身份的屬性包括時間和地理位置等，這些屬性可用于獲得信任水平。授予多個用戶的一組特權(quán)可以被認為是一個角色，應(yīng)該在單個的基礎(chǔ)上將特權(quán)分配給一個用戶，而不僅僅是因為它們可能適合某個特定的角色。此集合應(yīng)該編碼并存儲在ID管理系統(tǒng)和策略數(shù)據(jù)庫中。這還可能包括一些信任算法變量中關(guān)于過去觀察到的用戶行為的數(shù)據(jù)。（3）系統(tǒng)數(shù)據(jù)庫：包含資產(chǎn)數(shù)據(jù)和每個企業(yè)擁有的物理和虛擬資產(chǎn)的已知狀態(tài)。這與發(fā)出請求的資產(chǎn)的可觀察狀態(tài)相比較，可以包括操作系統(tǒng)版本、使用的應(yīng)用程序、網(wǎng)絡(luò)地理位置和補丁級別。根據(jù)與此數(shù)據(jù)庫相比較的資產(chǎn)狀態(tài)，對資產(chǎn)的訪問可能受到限制或拒絕。（4）資源訪問需求：這組策略補充了用戶身份標識和屬性數(shù)據(jù)庫，并定義了對資源訪問的最低需求。需求可能包括認證者保證級別，如多因子認證網(wǎng)絡(luò)位置、數(shù)據(jù)敏感性和資產(chǎn)配置請求。這些要求應(yīng)由數(shù)據(jù)保管人和負責利用數(shù)據(jù)的業(yè)務(wù)流程的人員共同制定。（5）安全威脅情報：這是一個或多個關(guān)于一般威脅和在互聯(lián)網(wǎng)上活動的惡意軟件的信息源。這些信息可以是外部服務(wù)或內(nèi)部掃描發(fā)現(xiàn)，還可以包括攻擊簽名和緩解措施。這是最有可能由服務(wù)而不是企業(yè)控制的惟一組件。每個數(shù)據(jù)源的重要性權(quán)重可以是專有算法，也可以由企業(yè)配置。這些權(quán)重值可以用來反映數(shù)據(jù)源對企業(yè)的重要性。最后的決定被傳遞給策略管理員執(zhí)行。策略管理員的工作是配置必要的策略執(zhí)行點以啟用授權(quán)通信。根據(jù)零信任體系的部署方式，這可能涉及將身份驗證結(jié)果和連接配置信息發(fā)送到網(wǎng)關(guān)和代理或資源門戶。策略管理員還可以在通信會話上放置一個保持或暫停，以便根據(jù)策略需求重新驗證和重新授權(quán)連接。策略管理員還負責根據(jù)策略發(fā)出終止連接的命令。03零信任體系處理方法的變化3.1加強身份管理加強身份管理的ZTS方法將參與者的身份作為策略創(chuàng)建的關(guān)鍵組件。如果沒有請求訪問企業(yè)資源的實體，就不需要創(chuàng)建訪問策略。對于這種方法，企業(yè)資源訪問策略基于標識和分配的屬性。對資源訪問的主要需求是基于授予給定實體的訪問特權(quán)。其他因素，諸如使用的設(shè)備、資產(chǎn)狀態(tài)和環(huán)境因素，都可能會改變最終的信任水平計算或最終訪問授權(quán)，甚至以某種方式調(diào)整結(jié)果。私有資源或保護資源的PEP組件必須具有將實體請求轉(zhuǎn)發(fā)到策略引擎服務(wù)的方法，或者在授予訪問權(quán)之前對實體進行身份驗證并批準請求。3.2使用微分段保護企業(yè)可以將單個或群組資源放置在由網(wǎng)關(guān)安全組件保護的自身網(wǎng)段上來實現(xiàn)零信任體系。這種方法，企業(yè)將網(wǎng)關(guān)設(shè)備作為PEP來保護每個資源或資源組。這些網(wǎng)關(guān)設(shè)備動態(tài)授權(quán)來自客戶端資產(chǎn)的訪問請求。根據(jù)模型不同，網(wǎng)關(guān)可以是唯一的PEP組件，也可以是由網(wǎng)關(guān)和客戶端代理組成的多部分PEP的一部分。此方法適用于各種用例和部署模型，因為保護設(shè)備充當PEP，而管理設(shè)備充當PE/PA組件。這種方法需要身份管理程序來完全發(fā)揮作用，并依賴于網(wǎng)關(guān)組件充當PEP，保護資源免受未經(jīng)授權(quán)的訪問或發(fā)現(xiàn)。這種方法的關(guān)鍵在于，PEP組件是受管理的，并且應(yīng)能根據(jù)需要及時做出反應(yīng)和重新配置，以快速響應(yīng)工作流中的威脅或更改。通過使用一般的網(wǎng)關(guān)設(shè)備甚至無狀態(tài)防火墻就可以實現(xiàn)微分段企業(yè)的某些功能，但是管理成本與快速響應(yīng)之間存在矛盾，往往難以平衡。3.3使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施和軟件定義邊界第三種方法使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施來實現(xiàn)零信任體系。零信任的實現(xiàn)可以通過使用覆蓋網(wǎng)絡(luò)來實現(xiàn)。這些方法有時被稱為軟件定義邊界方法，經(jīng)常包括來自軟件定義網(wǎng)絡(luò)和基于意圖的網(wǎng)絡(luò)概念。在這種方法中，PA充當網(wǎng)絡(luò)控制器，根據(jù)PE做出的決策設(shè)置和重新配置網(wǎng)絡(luò)?？蛻舳死^續(xù)通過由PA組件管理的PEP請求訪問。當該方法在應(yīng)用網(wǎng)絡(luò)層實現(xiàn)時，最常見的部署模型是代理/網(wǎng)關(guān)。在此場景中，代理和資源網(wǎng)關(guān)建立用于客戶端和資源之間通信的安全通道。04零信任體系面臨的安全威脅盡管基于零信任體系的網(wǎng)絡(luò)比傳統(tǒng)網(wǎng)絡(luò)安全得多，但是任何企業(yè)都無法消除網(wǎng)絡(luò)安全風險。當零信任體系與現(xiàn)有的網(wǎng)絡(luò)安全政策和指導、身份認證和訪問管理、持續(xù)監(jiān)控等相輔相成時，零信任體系就可以降低企業(yè)網(wǎng)絡(luò)的整體安全風險并防范常規(guī)威脅和攻擊。然而，在實現(xiàn)零信任體系過程中，一些安全威脅還是客觀存在，并具有獨特性。4.1零信任體系決策過程的顛覆威脅在零信任體系中，策略決策點是整個企業(yè)的關(guān)鍵組件。企業(yè)資源之間不發(fā)生通信，除非得到策略決策點的批準和配置許可。這意味著必須正確配置和維護這些組件。任何具有策略引擎規(guī)則的配置訪問權(quán)限的企業(yè)管理員都可能執(zhí)行未經(jīng)批準的更改或犯可能破壞企業(yè)操作的錯誤。同樣，一個被破壞的策略管理員可以允許訪問那些不被批準的資源。降低相關(guān)風險意味著必須正確配置和監(jiān)管策略決策點組件，并且必須記錄任何配置更改并進行審計。4.2拒絕服務(wù)或網(wǎng)絡(luò)中斷威脅在ZTS中，策略管理員是資源訪問的關(guān)鍵組件。如果沒有策略管理員的許可和配置操作，企業(yè)資源之間不能相互連接。如果攻擊者中斷或拒絕訪問策略執(zhí)行點或策略管理員，它可以對企業(yè)的產(chǎn)生經(jīng)營產(chǎn)生不利影響。企業(yè)可以通過將策略強制駐留在云中或根據(jù)網(wǎng)絡(luò)彈性指南復制到多個位置來減輕這種威脅。這雖然降低了風險，但并沒有消除風險。僵尸網(wǎng)絡(luò)會對關(guān)鍵的服務(wù)提供商發(fā)起大規(guī)模拒絕服務(wù)（DenialOfService，DoS）攻擊，并擾亂網(wǎng)上用戶的服務(wù)。攻擊者也有可能攔截并阻止來自企業(yè)內(nèi)部分用戶帳戶到策略執(zhí)行點或策略管理員的流量。在這種情況下，只有一部分企業(yè)用戶受到影響。這在傳統(tǒng)的基于虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）的訪問中也是可能的，而且也不是ZTS所獨有的。主機提供商也可能會不小心將基于云的策略引擎或策略管理員脫機。云服務(wù)在過去經(jīng)歷過中斷，無論是作為服務(wù)的基礎(chǔ)設(shè)施還是服務(wù)器。如果策略決策點組件從網(wǎng)絡(luò)上變得不可訪問，則操作錯誤可能會阻止整個企業(yè)運行。4.3證書被盜/內(nèi)部威脅正確實現(xiàn)的ZT、信息安全和彈性策略以及最佳實踐降低了攻擊者通過竊取憑證或內(nèi)部攻擊獲得廣泛訪問權(quán)限的風險?；诰W(wǎng)絡(luò)位置的無隱式信任的ZT原則，意味著攻擊者需要破壞現(xiàn)有的帳戶或設(shè)備才能在企業(yè)中立足。正確實現(xiàn)的ZTS應(yīng)該能夠防止被破壞的帳戶或資產(chǎn)訪問正常權(quán)限或訪問模式之外的資源。因此，攻擊者感興趣的帳戶將成為主要的攻擊目標。攻擊者可能使用網(wǎng)絡(luò)釣魚、社會工程或聯(lián)合攻擊來獲取有價值的帳戶憑證。根據(jù)攻擊者的動機，“有價值”可能意味著不同的東西。企業(yè)管理員帳戶可能很有價值，但是對財務(wù)收益感興趣的攻擊者可能會考慮具有同等價值的財務(wù)或支付資源訪問權(quán)的帳戶。為網(wǎng)絡(luò)訪問而實現(xiàn)多因子認證可能會降低被破壞帳戶的訪問風險。然而，與傳統(tǒng)企業(yè)一樣，具有有效憑證的攻擊者仍然能夠訪問已授權(quán)戶訪問的資源。攻擊者或受攻擊的員工擁有有效人力資源員工的憑據(jù)和企業(yè)擁有的資產(chǎn)，仍然可以訪問員工數(shù)據(jù)庫。ZTS增強了對這種攻擊的抵抗力，并防止任何被破壞帳戶或資產(chǎn)在網(wǎng)絡(luò)中橫向移動進行攻擊破壞。如果被破壞的憑據(jù)沒有被授權(quán)訪問特定的資源，它們將繼續(xù)被拒絕訪問該資源。此外，上下文信任算法比傳統(tǒng)的基于邊界的網(wǎng)絡(luò)更有可能檢測并快速響應(yīng)這種攻擊。上下文信任算法可以檢測不正常行為的訪問模式，并拒絕對敏感資源的已泄露帳戶或內(nèi)部威脅訪問。4.4網(wǎng)絡(luò)可見性威脅所有流量都被檢查并記錄到網(wǎng)絡(luò)上，并進行分析，以識別和應(yīng)對針對企業(yè)的潛在攻擊。但是，正如前面提到的，企業(yè)網(wǎng)絡(luò)上的一些流量對于傳統(tǒng)的第3層網(wǎng)絡(luò)分析工具來說可能是不透明的。這些流量可能來自于非企業(yè)擁有的資產(chǎn)或抵抗被動監(jiān)控的應(yīng)用程序。企業(yè)不能對數(shù)據(jù)包進行深度檢查或分析加密流量，必須使用其他方法來評估網(wǎng)絡(luò)上可能的攻擊者。這并不意味著企業(yè)無法分析它在網(wǎng)絡(luò)上看到的加密流量。企業(yè)可以收集關(guān)于加密通信的元數(shù)據(jù)，并使用這些元數(shù)據(jù)檢測活躍的攻擊者或網(wǎng)絡(luò)上可能的惡意軟件。機器學習技術(shù)可以用來分析無法解密和檢查的通信數(shù)據(jù)。使用這種類型的機器學習將允許企業(yè)將流量分類為有效的或可能惡意的，并可進行補救。在ZTS部署中，只需要以這種方式檢查來自非企業(yè)資產(chǎn)的流量，因為所有企業(yè)流量都要通過PEP由策略管理員進行分析。4.5網(wǎng)絡(luò)信息的存儲威脅對企業(yè)網(wǎng)絡(luò)流量分析的一個相關(guān)威脅是分析組件本身。如果存儲網(wǎng)絡(luò)流量和元數(shù)據(jù)是為了構(gòu)建上下文策略、取證或后續(xù)分析，那么這些數(shù)據(jù)就會成為攻擊者的目標。就像網(wǎng)絡(luò)圖、配置文件和其他分類的網(wǎng)絡(luò)體系結(jié)構(gòu)文檔一樣，這些資源也應(yīng)該受到保護。如果攻擊者能夠成功地訪問存儲的流量信息，他們就能夠深入了解網(wǎng)絡(luò)體系結(jié)構(gòu)并識別資產(chǎn)，以便進行進一步的偵察和攻擊。零信任企業(yè)中，攻擊者偵察信息的另一個來源是用于編碼訪問策略的管理工具。與存儲的通信流一樣，此組件包含對資源的訪問策略，可以向攻擊者提供關(guān)于哪些帳戶最有價值進行攻擊的信息。對于所有有價值的企業(yè)數(shù)據(jù)，應(yīng)該有足夠的保護措施來防止未經(jīng)授權(quán)的訪問和訪問嘗試。由于這些資源對安全性至關(guān)重要，因