讀零信任網路：在不可信網路中構建安全系統02零信任模型

1. 零信任網路

1.1. 利用分散式策略實施和應用零信任原則，可以構建零信任架構網路安全架構

1.2. 信任級別（Trust Level）定義了所需安全協議強度的下限

1.2.1. 安全協議強度超出需求的情況是很少見的，因此儘可能減少信任是更明智的做法

1.2.2. 一旦信任被內建於系統中，就很難消除

1.3. 零信任網路就是一個完全不可信的網路

1.3.1. 零信任模型認為，主機無論處於網路的什麼位置，都應當被視為網際網路主機

1.3.2. 它們所在的網路，無論是網際網路還是內部網路，都必須被視為充滿威脅的危險網路

1.3.3. 零信任模型首先假設內部網路中同樣存在惡意的攻擊者，並據此建立安全機制來防範這種威脅

1.3.4. 只有認識到這一點，才能建立安全通訊

1.3.4.1. 至少有辦法阻止針對某個特定IP地址（主機）的攔截或篡改攻擊

1.3.4.2. 自動化系統使我們能夠把這一級別的安全防護機制應用到基礎設施中的所有系統

1.4. 5個基本假定

1.4.1. 網路無時無刻不處於危險的環境中

1.4.2. 網路中自始至終存在外部或內部威脅

1.4.3. 網路的位置不足以決定網路的可信程度

1.4.4. 所有的裝置、使用者和網路流量都應當經過認證和授權

1.4.5. 安全策略必須是動態的，並基於儘可能多的資料來源計算而來

1.5. 零信任架構的支撐系統稱為控制平面，其他部分稱為資料平面，資料平面由控制平面指揮和配置

1.6. 控制平面

1.6.1. 訪問受保護資源的請求首先經過控制平面處理，包括裝置和使用者的身份認證與授權

1.6.2. 細粒度的控制策略也在這一層進行，控制平面可以基於組織中的角色、時間或裝置型別進行授權

1.6.3. 如果使用者需要訪問安全等級更高的資源，那麼就需要執行更高強度的認證

1.6.4. 一旦控制平面完成檢查，確定該請求具備合法的授權，它就會動態配置資料平面，接收來自該客戶端（且僅限該客戶端）的訪問流量

1.6.5. 能夠為訪問請求者和被訪問的資源協調配置加密隧道的具體引數

1.6.5.1. 一次性的臨時憑證、金鑰和臨時埠號

1.6.6. 由一個權威的、可信的第三方基於多種輸入來執行認證、授權、實時的訪問控制等操作

1.7. 零信任模型的確將安全水平提高到了一定的程度，即使降低或取消這些安全外殼也不是不可行的

1.7.1. 零信任模型中的絕大多數安全功能都能夠對終端使用者透明，這看起來甚至解決了安全性和易用性的矛盾

1.7.2. 零信任模型更安全、更易用

2. 零信任網路的關鍵元件

2.1. 3個關鍵元件：使用者/應用程式認證、裝置認證和信任

2.2. 第一個元件包含了使用者認證和應用認證兩層含義

2.2.1. 並不是所有的操作都由使用者執行，比如在資料中心內部，很多操作由應用程式自動執行，在這種情況下，通常把應用程式等同於使用者看待

2.2.2. 採用密碼學技術對身份進行強認證，意味著對於任意連線都可以不用在意它的源IP地址到底是什麼

2.3. 裝置的認證和授權與使用者/應用程式的認證和授權同樣重要，這一特性很少出現在採用邊界安全模型保護的網路中

2.3.1. 在傳統的網路中，裝置認證通常會出現在VPN或NAC技術中，但是在端到端的場景下很少用到

2.4. 如果代理發出的訪問請求被批准，那麼零信任模型的控制平面會通知資料平面接受該請求，這一動作還可以配置流量加密的細節引數

2.5. 透過這些認證/授權元件，以及使用控制平面協助完成的加密通道，就可以確保網路中每一個訪問流量都按照預期經過了認證、授權和加密

2.6. 沒有經過認證、授權和加密完整處理的流量會被主機和網路裝置丟棄，以確保敏感資料不會洩露出去

2.7. 控制平面的每個事件和每項操作都會被記錄下來，用於完成基於訪問流或訪問請求的審計工作

3. 自動化系統

3.1. 構建零信任網路並不需要太多新的技術，而是採用全新的方式使用現有技術

3.2. 自動化系統是建設和運營零信任網路的關鍵元件

3.2.1. 控制平面和資料平面之間的互動需要自動化系統來處理

3.2.2. 如果策略執行不能動態更新，那麼零信任網路就無法實現，因此，策略執行過程的自動化和速度是問題的關鍵

4. 雲環境

4.1. 零信任非常適合在雲環境中部署

4.1.1. 你完全不需要信任公有云環境中的網路

4.2. 由於零信任模型主張加密所有通訊資料，哪怕通訊雙方位於同一個資料中心內部，因此管理員不需要操心哪些資料包流經網際網路，哪些不流經網際網路

4.3. 在AWS這樣的大型公有云中，一個“區域”（region）往往由若干資料中心組成，這些資料中心之間採用光纖進行連線，終端使用者往往並不清楚公有云的這些架構細節

4.4. 網路服務供應商自身的網路實施也可能存在風險，或許網路中的鄰居也能夠看到你的網路流量

4.5. 網路管理員在進行故障排查時監聽捕獲了你的網路流量

4.6. 不能認為資料中心內部的網路流量就是安全的，就能夠防監聽、防篡改

5. 邊界安全模型與零信任模型的對比

5.1. 邊界安全模型試圖在可信資源和不可信資源（本地網路和網際網路）之間建一堵牆

5.2. 零信任模型則“認輸”了，它接受“壞人”無處不在的現實

5.2.1. 零信任模型不是依靠建造城牆來保護牆內柔弱的身體，而是讓全體民眾都擁有了自保的能力

5.3. 邊界安全模型事實上為受保護的內部網路賦予了一定級別的信任

5.3.1. 這種做法違背了零信任模型的基本原則，會導致一系列問題的發生

5.3.2. 可信區域內部的主機很少有自我保護的能力，因為既然這些主機共享同一個可信區域，也就意味著它們之間是互相信任的

5.4. 零信任模型假定整個網路完全不可信，那麼就必須假定攻擊者可以使用任意IP地址進行通訊

5.4.1. 僅使用IP地址或物理位置作為識別符號來保護資源是不夠的

5.4.2. 僅有主機的身份標識是不夠的，還需要對網路流量進行強加密處理

5.4.3. 攻擊者並不僅限於發起主動攻擊，他們還可以執行被動攻擊，透過監聽網路流量獲取敏感資訊