信息技術(shù)行業(yè)：網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列報(bào)告零信任技術(shù)（Zero Trust）

1 2 4 7 22 26 40 46 2 4 21 22 26 41 一、零信任技術(shù)和產(chǎn)業(yè)發(fā)展現(xiàn)狀國(guó)家高層會(huì)議密集提及新基建，各省積極推動(dòng)網(wǎng)絡(luò)的整體安全性，受到了廣泛關(guān)注，并被寄是尋求網(wǎng)絡(luò)無邊界化趨勢(shì)下的全新安全架構(gòu)及解決方案。2010年，1JerichoForum：耶利哥論壇3S.Roseetal.,ZeroTrustArchitecture,NationalInstituteofStanSpecialPublication800-207,Gaithersburg,Md.,February2020.Av/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf.（一）零信任核心原則安全策略必須是動(dòng)態(tài)的，并基于盡可能多的數(shù)據(jù)源計(jì)算而來（1）將身份作為訪問控制的基礎(chǔ)：零信任的信任關(guān)系來自于對(duì)（2）最小權(quán)限原則：零信任架構(gòu)強(qiáng)調(diào)資源的使用按需分配，僅（3）實(shí)時(shí)計(jì)算訪問控制策略：授權(quán)決策依據(jù)主體的身份信息、（4）資源受控安全訪問：零信任架構(gòu)對(duì)所有業(yè)務(wù)場(chǎng)景、所有資（5）基于多源數(shù)據(jù)進(jìn)行信任等級(jí)持續(xù)評(píng)估：主體信任等級(jí)是零將零信任架構(gòu)的總體框架歸納如下：面分解為用于網(wǎng)絡(luò)通信控制的控制平面和用于應(yīng)用程序通信的數(shù)據(jù)1.核心組件（3）訪問代理2.身份安全基礎(chǔ)設(shè)施說，零信任架構(gòu)借助現(xiàn)代身份管理平臺(tái)實(shí)現(xiàn)對(duì)人/設(shè)備/系統(tǒng)的全面、64A：認(rèn)證Authentication、授權(quán)Auth3.其他安全分析平臺(tái)1.現(xiàn)代身份與訪問管理技術(shù)滿足現(xiàn)代信息系統(tǒng)對(duì)身份與訪問管理的要求，即：確保正確的人或2.軟件定義邊界技術(shù)（2）預(yù)驗(yàn)證：用戶和終端在連接服務(wù)器前必須提前進(jìn)行驗(yàn)證，（3）預(yù)授權(quán)：根據(jù)用戶不同的職能以及工作需求，依據(jù)最小權(quán)（4）應(yīng)用級(jí)的訪問準(zhǔn)入：用戶只有應(yīng)用層的訪問權(quán)限，理論上3.微隔離技術(shù)微隔離（Micro-segmentation又稱軟件定義隔離、微分段）最18Duo：美國(guó)網(wǎng)絡(luò)安全公司，成20Centrify：美國(guó)網(wǎng)絡(luò)安全公司，成立于21PingIdentity：美國(guó)網(wǎng)絡(luò)安全公司，成立于2002年26F5：應(yīng)用交付網(wǎng)絡(luò)和業(yè)務(wù)解決方案28Cryptzone：美國(guó)網(wǎng)絡(luò)安全公司，成立于2008年29Zscaler：美國(guó)網(wǎng)絡(luò)安全公司，成30Illumio：美國(guó)網(wǎng)絡(luò)安全公司，成立于2013年隨著技術(shù)的成熟和產(chǎn)業(yè)基礎(chǔ)的逐步完善，2019年以來，美國(guó)軍DIB32作為美國(guó)國(guó)防部下屬專注于技術(shù)與創(chuàng)新的機(jī)構(gòu)于201 作為聯(lián)邦政府顧問智囊的美國(guó)技術(shù)委員會(huì)-工業(yè)咨詢委員會(huì)，于國(guó)內(nèi)實(shí)際場(chǎng)景進(jìn)行落地實(shí)踐。奇安信、騰訊零信任整體解決方案，并積極尋找機(jī)會(huì)，開九州云騰等身份管理廠商積極推動(dòng)身份管理技術(shù)在零信任架構(gòu)上的零信任標(biāo)準(zhǔn)層面的首個(gè)國(guó)家標(biāo)準(zhǔn)，對(duì)接身份33CCSATC8WG3：ChinaCommunicationsStandardsAssociat34WG4：全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)認(rèn)證355G：The5thGenerationMobileCommuni二、零信任應(yīng)用場(chǎng)景（一）遠(yuǎn)程辦公/article/3xVW4gmkvN71.應(yīng)用場(chǎng)景分析2.先進(jìn)性和創(chuàng)新性 （5）縮減安全管理成本和潛在建設(shè)成本 3.典型案例1.應(yīng)用場(chǎng)景分析（1）針對(duì)高價(jià)值數(shù)據(jù)邊界的猛烈攻擊2.先進(jìn)性和創(chuàng)新性零信任通過關(guān)閉網(wǎng)絡(luò)中的無用服務(wù)，消減網(wǎng)絡(luò)結(jié)構(gòu)(例如，不再（2）以身份為基石的邏輯邊界3.典型案例（1）內(nèi)部隔離（2）設(shè)置安全接入?yún)^(qū)數(shù)據(jù)中心外部設(shè)置安全接入?yún)^(qū)，所有用戶接入、終端務(wù)可計(jì)量為特征，同時(shí)，云計(jì)算作為基礎(chǔ)支撐平臺(tái)，參與角色復(fù)雜，1.應(yīng)用場(chǎng)景分析（1）云管理服務(wù)的安全性要求（2）共享技術(shù)漏洞帶來的威脅（3）云平臺(tái)開源代碼自身風(fēng)險(xiǎn)2.先進(jìn)性和創(chuàng)新性平臺(tái)。隨著越來越多的公有云上服務(wù)組件被使用，SaaS44OpenShift：紅帽公司面向開源開45DockerEE：Dockerente46OpenStack：一個(gè)開源的云計(jì)算管理平臺(tái)項(xiàng)目，是一系列軟件開源項(xiàng)目的授權(quán)后在全鏈路采用雙向mTLS48進(jìn)行加密，務(wù)間通信，通過自適應(yīng)的訪問控制來執(zhí)行最小3.典型案例數(shù)據(jù)中心”應(yīng)用場(chǎng)景實(shí)現(xiàn)零信任安全架構(gòu)。在通過分析內(nèi)部人員1.應(yīng)用場(chǎng)景分析（2）多樣化終端接入管理困難物聯(lián)網(wǎng)終端采用多樣化接入技術(shù)，包括2G49/3G50/4G51/5G、492G：TheSecondGenerationMob503G：TheThirdGenerationMobileCommunicationTe技術(shù)（1G）與第二代數(shù)字手機(jī)通信技術(shù)（2G）相比，3G主要是將無線通信和國(guó)際互聯(lián)514G：The4thGenerationMobileCommunica55NB-IoT：NarrowBandInternetofThings，窄2.解決思路用設(shè)備標(biāo)簽，如移動(dòng)設(shè)備識(shí)別碼（IMEI57）、應(yīng)用開發(fā)商標(biāo)識(shí)符解決設(shè)備入網(wǎng)身份管理問題。（3）建立物聯(lián)設(shè)備安全基線庫(kù)3.典型案例57IMEI：International61MAC地址：MediaAccessControlAddr1.5G應(yīng)用安全風(fēng)險(xiǎn)分析62Gartenr，MarketReport：S（2）按照內(nèi)部和外部梳理5G架構(gòu)面對(duì)…….…….63IMSI：InternationalMobileSu 員設(shè)置并注冊(cè)未經(jīng)授權(quán)的網(wǎng)絡(luò)功能2.基于零信任的5G應(yīng)用風(fēng)險(xiǎn)消減思路64MitM：Man-in-the的計(jì)算機(jī)虛擬放置具有網(wǎng)絡(luò)連接關(guān)系的兩臺(tái)計(jì)算機(jī)之間，這臺(tái)受控計(jì)算機(jī)被稱為“中間人”65MEC：MobileEdgeComp66NFC：NearFieldCommunication，近場(chǎng)通信 （2）實(shí)現(xiàn)細(xì)粒度用戶訪問控制12月簽署。最初的工作范圍是為第三代移動(dòng)通信系統(tǒng)制定全69SUCI：SUbscriptio70AKA：AuthenticationandKeyAgreement，第三代移動(dòng)通（3）訪問控制策略自動(dòng)化配置自動(dòng)化配置和動(dòng)態(tài)訪問控制，最終實(shí)現(xiàn)智能主動(dòng)防三、零信任實(shí)施建議（一）使用范圍1.是否需要零信任工作的人員類型激增，包括辦公場(chǎng)所固定辦公員工 嚴(yán)峻的安全態(tài)勢(shì)和數(shù)字化轉(zhuǎn)型浪潮下的新安全需求促使身份與采用零信任架構(gòu)，是否可以在一定時(shí)間范圍內(nèi)解決已存在的采用零信任架構(gòu)，是否可以在未來一定時(shí)間范圍為信息化系采用零信任架構(gòu)，是否可以順暢對(duì)接現(xiàn)有安全投資，在此基采用零信任架構(gòu)，是否可以滿足上級(jí)機(jī)構(gòu)和國(guó)家對(duì)于信息化零信任安全架構(gòu)將為現(xiàn)在和未來的信息化系統(tǒng)建設(shè)提供更好的2.正確的零信任思維零信任架構(gòu)以安全與易用平衡的持續(xù)認(rèn)證改進(jìn)固化的一次性強(qiáng)71TPM：TrustedPlatformModule，可信平臺(tái)模塊，一種植于計(jì)算機(jī)72HR：HumanResource，1.零信任實(shí)施關(guān)鍵“時(shí)刻”是，過渡到零信任安全的歷程不可避免地伴隨著大2.零信任實(shí)施關(guān)鍵“人物” CIO73/CSO74或CISO75在零信任推進(jìn)過程中，建議成立專門的組織（或虛擬組織在3.零信任實(shí)施優(yōu)先級(jí)73CIO：ChiefInforma74CSO：ChiefSolutionOff75CISO：Chiefinformations能力優(yōu)先型：針對(duì)少量的業(yè)務(wù)構(gòu)建從低到高的能力，通過局部業(yè)務(wù)場(chǎng)景驗(yàn)證零信任的完整能力，然后逐步遷移更多的業(yè)范圍優(yōu)先型：先在一個(gè)適中的能力維度上，遷移盡量多的業(yè) 信任實(shí)施技術(shù)路線（如下圖所示可制定差異化的、場(chǎng)景式的解決1.零信任實(shí)施準(zhǔn)備（2）梳理訪問全路徑，確定業(yè)務(wù)暴露面（3）制定零信任組件配置、實(shí)施方案2.零信任部署連通（2）連接身份安全基礎(chǔ)設(shè)施，支持用戶身份管理（3）對(duì)接信任評(píng)估安全數(shù)據(jù)，支持持續(xù)信任評(píng)估對(duì)所有訪問請(qǐng)求建立訪問控制策略?；诎踩呗院突A(chǔ)信任等級(jí)，續(xù)開展