零信任架构理念的核心是将传统以网络为基础的信任，变为以身份为信任的机制。零信任不是不信任，是指从零开始建立信任。通过身份治理，实现设备、用户、应用等实体的全面身份化，从零开始构筑基于身份的信任体系，建立企业全新的身份边界。

1、所有的数据源和计算服务都被视为资源：

2、无论网络位置如何，所有通信被保护：

3、以单个会话为基础许可对单个企业资源访问；

4、对资源的访问由动态策略（包括客户端身份、应用和被请求资产等的可观测状态）决定，并可能包括其他行为属性；

5、企业确保其掌握和关联的所有设备都处于尽可能的最安全状态，并监控资产以确保它们保持在尽可能的最安全状态；

6、在访问被许可前，动态、严格地执行所有资源身份验证和授权；

7、企业收集尽可能多关于网络基础设施当前状态的信息，并用于改善其安全态势。

1、对网络拓扑中所有位置的所有网络流量都进行加密；

2、以单个连接为基础对资源访问进行授权，且已授权的连接

3、不会自动允许对其他企业资源的访问；

4、识别全部资产、设备和资源，并进行持续评估和监控，以使其保持在尽可能安全的状态；

5、持续监控用户和设备的交互，并尽可能使用多因子认证进行重复认证和授权；

6、记录网络和通信等的实时信息，并用于后期改善策略一致性以提高企业的整体安全态势 ；

7、对资源的访问权限由基于从环境中获得的以下信息动态决定：

    ·基于用户、网络位置、企业设备特征、请求访问的时间 / 日期和企业资源特征等信息的组织化策略；

    ·请求访问的设备标识和企业资产的可见状态 ；

    ·过去观察到的、围绕用户/设备标识和访问请求的行为。

构成零信任架构的组件很多。左右两边是外部支撑系统，中间的核心区域则通过数据平面和控制平面将 PDP和PEP 进行了逻辑上的分割，使得企业资产和资源在网络上不能直接被访问。企业在开展日常生产任务和业务时使用数据平面。PDP 通过控制平面来与 PEP 通信和管理系统之间的连接，以便被授权和批准的主体（用户 / 计算机）可以访问客体（数据）。零信任架构确保主体“可信”且请求有效， PDP/PEP 会传递恰当的判断，以允许主体访问资源。

1、策略决策点（Policy Decision Point, PDP）：通过持续评估每个访问请求的身份和安全状态作出访问控制决策。PDP由两部分组成：

    ·策略引擎（Policy Engine, PE）：负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源（例如IP黑名单、威胁情报服务的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。策略引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出（并记录）决策，策略管理器执行决策（批准或拒绝）；

    ·策略管理器（Policy Administrator, PA）：负责建立客户端与资源之间的连接（是逻辑职责，而非物理连接）。它将生成客户端用于访问企业资源的任何身份认证令牌或凭证。它与策略引擎（PE）紧密相关，并依赖于其决定最终允许或拒绝连接。PA与认证和授权密切相关。

2、策略执行点（Policy Enforcement Point, PEP）：负责启用、监视并最终终止主体和企业资源之间的连接。这是ZTA中的单个逻辑组件，但也可能分为两个不同的组件：客户端（例如，用户便携式电脑上的代理）和资源端（例如，在资源之前控制访问的网关组件）或充当连接门卫的单个门户组件。

目前软件定义边界（SDP）、微隔离（MSG）和统一身份管理（IAM）是零信任领域三条主要的技术路线。它们不是对立的，而是相互协同配合，应根据实际业务场景、风险优先级、技术成熟度等因素，综合选择技术路线和落地节奏。

IAM的主要目标是确保正确的人或“物”出于正确的原因，能够在正确的时间、正确的地点从正确的设备中获取到正确的资源（应用、数据等）。开发零信任架构的增强身份治理方法，使用身份作为策略创建的关键组件。如果不是针对请求访问企业资源的主体，则无需创建访  问策略。对于这种方法，企业资源访问策略基于身份和分配的属性。资源访问的主要要求，基于授予给定主体的访问权限。其他因素，如使用的设备、资产状态和环境因素，可以改变最终置信水平/可信度的计算（和最终访问授权），或者以某种方式调整结果，例如基于网络位置仅授予对给定数据资源的部分访问。保护资源的单个资源或PEP组件，必须具有将请求转发到策略引擎服务或认证主体，并在授予访问权限之前批准请求的方法。

MSG通常用于“业务 <-> 业务”的东西向访问控制，主要对应数据中心内部业务交互的场景技术成熟度和可获取性不如SDP，尚未形成规模化的落地实践一般情况下，与SDP进行协同，实现“用户-业务-业务”端到端安全访问控制。

微隔离是一种网络安全技术，它使安全架构师能够在逻辑上将数据中心划分为不同的安全段，一直到各个工作负载级别，然后为每个独特的段定义安全控制和所提供的服务。多采用软件方式，而不是安装多个物理防火墙，微隔离可以在数据中心深处部署灵活的安全策略。

通过将单个资源或资源组放置在由网关安全组件保护的自身网段上，企业可以实现零信任架构。在这种方法中，企业放置网关设备作为PEP，来保护每个资源或资源组。这些网关设备动态地授予对来自客户端资产的单个请求的访问权。根据模型的不同，网关可以是唯一的PEP组件，也可以是由网关和客户端代理组成的多 组件PEP的一部分。

软件定义边界（SDP）是零信任策略的最高级实现方案。通常用于“用户 -> 业务”的南北向访问控制，主要对应办公场景是当前最主流的落地场景，技术能力最为成熟，技术可获取性高。SDP旨在通过软件的方式，在“移动 +云”的时代背景下，为企业构建起一个虚拟边界，利用基于身份的访问控制机制，为企业应用和服务穿上“隐身衣”，使网络黑客因看不到目标而无法对资源发动攻击，有效保护企业的数据安全。

使用网络基础设施来实现零信任架构。零信任的实现可以通过使用overlay网络（即第7层网络，但也可以创建在ISO网络栈的较低层）来实现。这些方法有时被称为软件定义边界（SDP）方法，通常包括来自SDN和IBN（基于意图网络）的概念。在这种方法中，PA（策略管理器）充当网络控制器，并根据PE（策略引擎）做出的决策创建和重新配置网络。客户端继续经由PEP请求访问，PEP由PA组件管理。

3.1 SDP基本通信模型

1）AH与控制器,IH 与控制器交互过程：

2）单包授权（SPA）

    ·服务隐藏：防火墙的Default-drop（默认丢弃）规则缓解了端口扫描和相关侦查技术带来的威胁。这种防火墙使得SPA组件对未授权用户不可见，显著减小了整个SDP的攻击面。相比与VPN的开放端口以及在很多实现中都存在的已知弱点， SPA更安全。

    ·缓解分布式拒绝服务（DDoS）攻击：如果一个HTTPS服务暴露在公共互联网而能被攻击，很少的流量就可能使其死机。SPA使服务只对认证的用户可见，因而所有DDoS攻击都默认由防火墙丢弃而不是由被保护的服务自己处理。

    ·零日(Zero-day)保护：当一个漏洞被发现时，只有被认证的用户才能够访问受影响的服务，使该漏洞的破坏性显著减小。

3）双向TLS（mTLS）：

通常TLS为单向认证，即只有一个对象校验对端的证书合法性。对象校验对端的证书合法性。通常都是client来校验服务器的合法性。这样方案中对于访问的端侧设备是无法验证的，也就是会明显存在非法客户端访问的情况，无法保证终端设备针对服务器端的可信。因此，在SDP协议中明确提出需要使用双向认证，即相互校验，服务器需要校验每个client，client也需要校验服务器。通过双向TLS可以保证在通信开始前，端侧和服务侧的相关合法可信性认证。

3.2 SDP应用场景（部分）

3.3 SDP与企业现有网络安全产品之间的联系

1) SIEM系统

将SIEM 系统与SDP部署集成有助于实现将安全操作从被动操作转移到主动操作的目标。为了控制风险，现有的SIEM 除了作为SDP日志信息的接收器之外，还应被视为重要的信息源。SIEM 系统可以通过断开用户连接、禁止来自未验证设备或某些主机的连接以及删除可疑连接帮助控制风险。

2) IDS系统

部署SDP系统可能会需要对IDS系统进行一定的变更，但通过阻止未认证的网络流量的方式有助于降低系统噪声。这种改变使得 IDS更关注已授权应用的网络流量，同时把资源有效倾斜到内部威胁检测方面。SDP 同样也可以简化和增强“蜜罐”系统的创建和有效性。因为所有的被保护系统针对攻击者而言都是不可见的，的服务枚举功能增加了恶意攻击者发现和攻击服务 （包括蜜罐）的可能性。

3）VPN

替代VPN是SDP 最基本的目标。和VPN类似，SDP 同样要在客户端设备上部署一个客户端。通过使用 SDP代替VPN ,组织机构可以对远程用户、内部用户、移动设备用户等提供同一套访问控制平台。也正是因为SDP ，尤其是那些部署在互联网上的SDP设备，通过 SPA （单包授权）技术和动态防火墙技术，可以比传统的VPN服务器抵御更多的攻击。

4）NGFW

NGFW 的架构和SDP存在竞争和重叠。在过去一段时间 里 ，NGFW 厂商已经成功地、创新式的解决了SDP范围内的一些问题。通过组合使用NGFW 和 VPN并配以用户和应用识别，企业可以在一定程度上实现SDP的许多目标。但是，在架构设计实现方面，这种方案和SDP的实现不同。NGFW是基于I P地址的，而SDP是基于连接的。NGFW 可以提供有限的身份认证和以应用为中心的功能。NGFW 的访问模型是典型的粗颗粒度方式，提供给用户比他们严格需要更广泛的访问能力。相SDP，NGFW 提供了较少的针对外部系统的访问决策动态管理能力。

3.4 SDP架构安全优势

1)SDP 通过最小化攻击面来降低安全风险。

2)SDP 通过分离访问控制和数据信道来保护关键资产和基础架构，使其中的每一个都看起来是“黑”不可见的，从而阻止潜在的基于网络的攻击。

3)SDP 提供了一个集成的安全体系结构，这个体系结构是现有安全产品（如 NAC 或反恶意软件）难以实现的。SDP集成了以下独立的架构元素：用户感知的应用程序，客户端感知的设备以及网络感知的防火墙/网关等。

4)SDP 提供了基于连接的安全架构而不是基于IP的替代方案，因为当今 IP 环境的爆炸式增长和云环境中的边界缺失使得基于 IP 的安全性变得脆弱。

5)SDP 允许根据预先审查谁可以连接（从哪些设备、哪些服务、基础设施和其他参数）来控制所有连接。

3.5 SDP架构业务优势

1)节省成本及人力

    ·使用 SDP 替换传统网络安全组件可降低采购和支持成本。

    ·使用 SDP 部署并实施安全策略可降低操作复杂性，并减少对传统安全工具的依赖。

    ·SDP 可以为组织机构带来效率和简便性，最终有助于减少人力需求。

2)提高IT运维的灵活性

IT 流程可能会拖累业务流程。相比之下，SDP 的实现可以由 IT 或 IAM 事件自动驱动。这些优势加快了 IT 的速度，使其更快地响应业务和安全需求。

3)合规范围增加及成本降低

    ·通过集中控制从注册设备上的用户到特定应用程序/服务的连接，SDP 可以改进合 规性数据收集、报告和审计过程。

    ·SDP可为在线业务提供额外的连接跟踪。

    ·SDP提供的网络微隔离经常用于减少合规范围，这可能会对合规报告工作产生重大影响。

4)业务的敏捷性和创新

SDP 使企业能够快速、安全地实施其优先任务。例如：

    ·SDP 支持将呼叫中心从企业内部机构转换为在家办公的工作人员

    ·SDP 支持将非核心业务功能外包给专业的第三方

    ·SDP 支持远程第三方网络和位置上用户自助服务的设备

    ·SDP 支持将公司资产部署到客户站点，与客户建立更强的集成并创造新的收入。

威努特在飞速发展期间，企业自身的数字化转型也迎来了新的挑战。包括：

① 接入终端管控问题：公司需要响应来自全国各地内部员工对于内部业务系统的访问需求，且接入终端类型广泛，基本都是BYOD办公，终端接入风险高，安全问题难管控；

② 访问权限难管控：内外部组织架构调整速度快，访问需求也在不断变化，网关上的ACL策略积累众多，维护难度极高，且不敢随意调整，越权访问风险极高；

③ 数据资产难保护：内部业务系统众多，众多系统不同人员权限不同，而内部的访问权限如果管控过于粗放，为了业务便利牺牲安全性，威胁企业自身安全则得不偿失。

①具有权限的用户希望连接到企业资源。访问请求由本地代理（Agent）接收，并且请求被发送到策略管理器。

②策略管理器将请求转发到策略引擎进行评估。如果请求被授权，则策略管理器将通过控制平面配置设备代理与相关资源网关之间的安全通信信道。

③当工作流完成或策略管理器触发安全事件（例如，会话超时、重新认证失败，接入环境变化等）时，设备代理与资源网关之间的连接将被终止。

安全收益：极大的收缩了业务暴露面，通过零信任构建的动态访问策略，将业务根据不同敏感度分类，结合终端环境实现针对不同敏感度应用的不同安全控制，并通过多种不同的业务准入时的增强认证等方式减少身份仿冒、钓鱼威胁。

运维收益：仅边界ACL运维一项工作，就节省大量人力投入。过去内网权限管控完全依赖各网络区域边界的ACL来实现，仅策略管理维护都要投入大量精力，全面零信任后，所有策略集中在零信任平台完成，基于用户身份的可视化权限，不仅释放了运维压力，也避免了过去因为ACL权限不可视导致的权限管理复杂、权限孵化等问题。

业务收益：工作效率大幅提高，包括流程、程序响应速度等，连接内网的时间降低，效率显著提高。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121