讀零信任網路：在不可信網路中構建安全系統01邊界安全模型

1. 現狀

1.1. 在網路監控無處不在的時代，很難確定誰是值得信任的

1.1.1. 既無法信任提供光纖租用的網際網路服務商

1.1.2. 也無法信任昨天在資料中心佈線的合同工

1.2. 現代的網路設計和應用模式，已經使得傳統的、基於網路邊界的安全防護模式逐漸失去原有的價值

1.2.1. 網路邊界的安全防護一旦被突破，即使只有一臺計算機被攻陷，攻擊者也能夠在“安全的”資料中心內部自由移動

1.3. 零信任模型旨在解決“基於網路邊界建立信任”這種理念本身固有的問題

1.3.1. 零信任模型沒有基於網路位置建立信任，而是在不依賴網路傳輸層物理安全機制的前提下，有效地保護網路通訊和業務訪問

2. VPN

2.1. 在某種程度上，VPN是一種不會遭人懷疑的後門

2.2. VPN的作用是對使用者進行身份認證並分配IP地址，然後建立加密的傳輸隧道

2.2.1. 使用者的訪問流量透過隧道傳輸到遠端網路，然後進行資料包的解封裝和路由

2.3. 如果基於網路位置劃分割槽域的需求消失了，那麼對VPN的需求也就消失了

2.4. 傳統的VPN用來實現內部網路的安全訪問

2.4.1. 但是，這種安全能力在網路流量到達VPN裝置之後就會終止

3. NAC

3.1. NAC（網路准入控制）是一種邊界安全技術，某目的是在終端裝置訪問敏感網路時對其進行強認證

3.2. 802.1X和可信網路連線（Trusted Network Connect, TNC）這類網路准入控制技術關注的焦點是網路的准入而不是服務的准入，因此不屬於零信任模型的範疇

3.2.1. 採用類似的機制在裝置訪問服務時進行強認證

3.3. NAC技術仍然可以應用於零信任網路中，但它距離遠端端點太遠，並不能滿足零信任模型中裝置強認證的需求

4. NAT

4.1. 網路地址轉換

4.2. 由於需要從內部網路訪問的網際網路資源數量快速增長，因此，給內部網路資源賦予訪問網際網路的許可權，要比為每個應用維護代理主機更加容易

4.2.1. NAT（網路地址轉換）能夠很好地解決這個問題

4.3. NAT裝置能夠使私有網路中的裝置訪問任意的網際網路資源

4.4. NAT裝置有一個很有趣的特性：因為IP地址對映關係是多對一的，所以源自網際網路的連線無法訪問內部的私有IP地址，除非事先在NAT裝置上進行專門的配置來處理這種特殊情況

4.5. 引入NAT原本的目的是使內部網路中的計算機能夠訪問網際網路，現在它卻變成了安全控制裝置

4.6. NAT裝置具有與狀態檢測防火牆相似的特性

4.6.1. 防火牆裝置也很快開始整合NAT功能，這兩個功能合二為一，基本上無法區分

4.6.2. 這類裝置既能支援網路的連通功能，又能支援嚴格的安全控制，因此很快得到廣泛應用，幾乎每個組織的網路邊界上都部署了防火牆裝置

5. 全球IP地址空間

5.1. 網際網路還沒有大規模普及，一個網路可能是連線到網際網路，也可能是與其他業務部門、公司或是某個研究機構的網路相連

5.2. 如果正在連線的網路恰好是網際網路，那麼IP地址必須是全球唯一的

5.3. 20世紀80年代末和20世紀90年代初，隨著IP網路技術的應用範圍越來越廣，隨意使用IP地址空間成為一個嚴重的問題

5.4. 1994年3月，RFC 1597宣佈IANA為私有網路保留3個IP地址範圍：10.0.0.0/8、172.16.0.0/12和192.168.0.0/16

5.4.1. 私有網際網路地址分配標準——RFC 1597誕生了，其目的是解決大量公共IP地址空間的浪費問題

5.5. 私有IP地址空間的使用還產生了另外一個效果，而且直到今天仍然在發揮作用——使用私有地址空間的網路更加安全，因為這些網路無法連線到其他網路，特別是連線到網際網路

5.5.1. 這些網路在物理上通常位於一個組織的內部，攻擊者很難接觸到

5.6. 網際網路號碼分配機構（Internet Assigned Numbers Authority, IANA）於1998年正式成立，直到今天IANA仍然是IP地址分配的協調機構

6. 威脅形勢

6.1. 20世紀90年代末，世界上第一個（軟體）特洛伊木馬問世，並開始在網際網路上傳播

6.2. 一種保護網際網路主機的方法，而設定硬體防火牆就是極好的選擇

6.2.1. 那時候大多數作業系統還沒有基於主機的防火牆

6.2.2. 硬體防火牆能夠在網路邊界處強制執行安全策略，確保只允許列入白名單的“安全”的網際網路流量進入內部網路

6.2.3. 如果管理員無意中安裝了向網際網路開放埠（就像特洛伊木馬一樣）的軟體，那麼防火牆就可以阻斷訪問該埠的網際網路連線

6.2.4. 訪問網際網路主機的內部網路流量也同樣可以進行控制，確保內部使用者訪問網際網路主機的網路流量可以透過，但反過來則不行

6.3. 雖然對隔離區的入站和出站網路流量都進行了嚴格的控制，從隔離區進入內部網路的難度非常大，但由於可以從網際網路訪問到隔離區的主機，因此它們仍然是攻擊的主要目標

6.4. 回連（Phoning Home）

6.4.1. 是現代網路攻擊技術的重要組成部分

6.4.2. 惡意程式碼可以從內部網路向網際網路上的主機傳送訊息

6.4.3. 其主要作用是從受保護的網路中把資料慢慢地偷取出來

6.4.4. 由於TCP協議的雙向特性，使用回連技術也可以向受保護的網路中注入資料

6.5. 出站安全

6.5.1. 出站安全是一種非常有效的對抗撥號回連攻擊的方法，可以檢測並阻止撥號器回連的出站網路連線

6.5.2. 撥號器軟體經常偽裝成常規的Web流量，或者其他看似無害的“正常”網路流量

6.5.3. 攻擊者首先攻陷內部網路中低階別安全域內的某臺計算機，然後在網路中橫向移動，最終獲得更高階別安全域的訪問許可權

6.6. 基於網路區域定義安全策略，僅在網路邊界處強制執行，並且僅使用了源和目標資訊進行安全決策

7. 邊界安全模型

7.1. 把不同的網路（或者單個網路的一部分）劃分為不同的區域，不同區域之間使用防火牆進行隔離

7.1.1. 每個區域都被授予某種程度的信任，它決定了哪些網路資源允許被訪問

7.1.2. “隔離區”, DMZ

7.1.2.1. 網際網路可訪問的Web伺服器等高風險的網路資源，被部署在特定的區域

7.1.2.2. 該區域的網路流量被嚴密監控和嚴格控制

7.2. 該模型的基本思想與物理世界中透過修建城牆來保護城堡一樣，是透過構建層層防線來保護網路中的敏感資源

7.2.1. 這種安全模型提供了非常強大的縱深防禦能力

7.2.2. 邊界安全模型試圖把攻擊者阻擋在可信的內部網路之外

7.3. 入侵者必須穿透這些防線，才能夠訪問敏感資源

7.3.1. 在計算機網路場景下存在根本性的缺陷，實質上無法保證敏感資源的安全性

7.4. 傳統的網路分割槽與隔離安全模型在過去發揮了積極作用，但是現在卻疲於應對高階的網路攻擊

7.5. 如果網路的位置對於網路安全失去價值，那麼諸如VPN等網路安全裝置也會失去其原有的價值

7.5.1. 這也迫使我們把安全控制的實施點儘可能地前推到網路邊緣，這同時也減輕了網路核心裝置的安全責任

7.6. 私有網路連線到公共網路

7.6.1. 電子郵件就是較早的網際網路應用之一

7.6.2. 私有網路中的郵件伺服器一般情況下是唯一連線到網際網路的伺服器，它通常有兩個網路介面，一個連線網際網路，一個連線內部網路

7.7. 現代邊界安全模型

7.7.1. 透過在內部網路和網際網路之間部署防火牆/ NAT裝置，能夠清晰地劃分安全區域，包括組織內部的“安全”區、隔離區和不可信區域（網際網路）

7.7.2. 防火牆/NAT裝置能夠在網路邊界進行嚴密的安全控制，極大地降低了安全風險

7.8. 缺點

7.8.1. 缺乏網路內部的流量檢查

7.8.2. 主機部署缺乏物理及邏輯上的靈活性

7.8.3. 存在單點故障

8. 邊界安全模型的缺陷

8.1. 邊界安全模型仍然是主流的網路安全模型，但是該模型的缺陷也越來越明顯

8.1.1. 一個網路即便採用了完善的邊界安全模型，也往往會被攻陷

8.1.2. 遠端訪問工具（Remote Access Tool, RAT）投遞到內部網路中以獲得遠端訪問許可權

8.1.2.1. 然後開始在內部網路中橫向移動

8.1.3. 邊界防火牆就像那些為了防止間諜入侵而在城市周邊修建的城牆一樣，作用越來越小

8.2. 不同安全區域之間的網路流量就應當遵循既定的安全策略強制執行檢查

8.3. 通用的安全規則總是存在例外，它們通常被稱為防火牆例外規則（Firewall Exception）

8.3.1. 可行的辦法是在防火牆上配置例外規則，允許某個IP地址訪問特定的伺服器

8.4. 惡意軟體透過撥號器回連的方式可以輕鬆地穿透邊界安全裝置，不同安全區域之間的防火牆在執行安全策略時只使用了源和目的地址作為判別依據

8.5. 邊界安全模型是公認的保護網路安全的方法，但這並不意味著沒有更好的方案

8.6. 邊界安全模型的根本缺陷是缺乏全域性性防護和安全策略強制執行，就像用安全的外殼包裹著軟弱的軀體，我們真正想要的是知道如何認證身份、如何防止溝通交流被竊聽的堅硬的軀體

8.6.1. 擁有堅硬的軀體也並不一定意味著不需要維持安全的外殼，尤其是在高度敏感的應用場景下