F5安全专栏 | 什么是零信任架构（ZTA）？

作者 | Malcolm Heath 、 Sander Vinberg

了解什么是零信任架构（ZTA）以及如何将其应用于你的环境

在过去的几年中，“零信任”概念一直是网络和应用访问领域的主题之一。我们希望通过一组简单的观念来表述零信任的核心特征；同时，这些观念不仅适用于访问，还适用于更广泛的网络安全领域。

我们将从系列文章介绍一个涵盖了围绕零信任广泛概念的框架，并将其与激励当今应用安全业务领导者的现有业务背景联系起来。最后，我们还提出零信任观念系统的特征描述，即应对当前和新兴威胁的工具和安全实施背后的驱动力，这些内容将是后续文章的重点。

我们将从以下方面，和大家一起全方位了解“零信任”：

*本文即为系列文章第一篇《什么是零信任架构》，开启 F5 “零信任”知识库之旅~

自从1994年 Stephen Paul Marsh 在他的博士论文中提出 "零信任 "这个术语以来，它已经经历了很多变化。事实上，由于变化太多，安全业从业人员经常发现自己被要求实施零信任，但却不知道如何去做。

值得庆幸的是，随着 NIST SP 800-207 在2020年8月的发布，我们有了一份文件，可以帮助 CISO、运营团队和架构师结合零信任理论和实际实施之间的差距。由于 "零信任 "一词可以适用于原则、架构设计、实施这些设计的举措和产品，我们将主要依靠 NIST 800-207 文件，因为它在区分这些方面和提供有用的指导方面是独一无二的。

零信任架构（ZTA）是为了解决更传统的安全架构的一些缺点，所以从描述传统的安全架构开始是有意义的。

在传统的安全架构中，广义上讲，有一个硬边界，通常由一个或多个防火墙定义，还有一个用于远程访问的 VPN ，以及一些集中的认证管理，以识别用户并授予访问权。一般来说，一旦通过认证的用户进入安全边界，他们就很少受到控制，也就是他们处于一个 "受信任 "的区域，因此可以访问文件服务器，连接到网络中的其他节点，使用服务，诸如此类。

当然，一些企业在相当长的时间里已经意识到了这种一般方法的缺点，所以在一些架构中，可能会有一个边界包含着一个边界，或者控制点和重新认证点，但总的来说，对传统模式的一般调侃描述是 “外硬内软”。我们偶尔会听到有人把这描述为 “有墙的花园”。墙被认为是把坏人挡在外面，让免费的生产力在里面。

无论我们如何设计、实施，这样的设计都有几个缺点。主要的弊端有以下几点： 1弊端一 如果攻击者能够穿透边界，他们往往可以不受阻碍地进行探索，使用横向移动，攻击界限内的机器，并提升他们的权限，并且往往很难被发现。

2弊端二 人们很少关注单个认证实体的行为。一个被认证的用户可能会做一些非常出格的事情，并且不会被发现。

3弊端三 总体上缺乏细化的访问控制，允许用户（无论是否有恶意）访问，并且不严格要求数据和服务。

4弊端四 对外部威胁的明显关注并没有解决恶意的内部人员，也没有解决可能已经获得立足点的外部攻击者。

5弊端五 当企业从内部环境向云、多云或混合环境过渡时，这种安全架构难以整合、实施和维护。

6弊端六 鉴于自带设备（BYOD）的流行，以及需要授予外部供应商、承包商和远程工作人员的访问权，界限内的所有设备都可以被信任的假设往往很难得到证实。

ZTA 通过重新定义整体架构来解决这些挑战，取消了单一大边界内的信任区域的概念。

相反，ZTA 将任何特定资源周围的信任边界压缩到尽可能小的范围。它通过在用户每次想使用任何资源时要求重新认证和授权来做到这一点。这将个人实体的身份和访问控制置于架构概念的中心。

这种新的架构范式解决了旧模式中的许多缺陷。首先，它可以防止攻击者的横向移动。如果一个攻击者（内部人员或外部人员）设法进入 “内部”，他们将不断面临获得进一步访问的障碍，他们不得不在每一步重新认证和证明他们的身份。

ZTA 还使用实体的行为分析，而传统的访问控制往往只使用一组凭证作为其标准。用户参数，如一天中的时间、访问模式、位置、数据传输大小和许多其他可观察到的现象都被评估，以确定试图访问资源的实体是否以可接受的方式进行。如果一个实体开始尝试访问他们通常不访问的资源，或者在一天中他们通常不工作的时间，这些行为会触发警报，并可能自动改变授权。

将边界缩小到单个资源层面，可以实现非常细化的访问控制。例如，一些用户可以使用一组特定的 API，而其他用户则可以使用不同的子集。或者一个承包商可能只被允许访问他们支持的系统，而不允许访问其他系统。虽然这在传统的架构中是可能的，而且经常尝试，但 ZTA 的架构所提供的极其精细的访问控制可以使其更容易管理和监控。

此外，BYOD 也变得更容易管理。非企业设备可以被限制为只能访问一个子集的资源，或者根本无法访问，除非它们在补丁级别或其他品质方面满足某些特定要求。

如果 ZTA 的实施足够广泛和完整，可以完全移除外部边界，远程工作人员和承包商就不再需要被授予 VPN 访问权。他们可以简单地只访问他们需要的资源，而不访问其他资源，这可以简化甚至完全消除对 VPN 的需求，尽管后者在云环境之外的实践中很少实现。同样，使用这种架构，为来访客户提供的访客网络也相当容易实现；他们只被允许访问出站连接。

然而，这种对传统架构的彻底背离是有一定代价的。鉴于这至少在某些方面是一个全新的范式，目前的安全管理员需要时间来适应它。这种架构的实际实施通常需要对额外的控制进行大量投资，并伴随着学习、培训和支持成本。

整合 ZTA 是复杂的，维护它也是复杂的，有一个完全不同的访问授权模式，以及更多必须进行强大监控的地方。负载均衡的访问控制的优势可能会被管理这种复杂性的困难所抵消。而且，到目前为止，行为访问控制还没有被广泛实施，也很少能轻易实现。

最后，任何大型的架构变化都需要在保持业务运行和过渡到新架构之间取得平衡。迁移到 ZTA 需要仔细的计划、变更控制以及大量的时间和精力。

这个问题看起来让人感到疑惑。从原则层面来说，ZTA 听起来不像是一个全新的架构，而更像是以前的原则的增量，如基于角色的访问控制（RBAC）、深度防御、最小特权和 “假设破坏”。

然而，一旦我们开始勾勒出对每个请求实施重新认证的选项，就会更清楚这到底是一个怎样的实质性变化。出于这个原因，NIST 在2020年发布的文件中最有力的方面之一是强调了完成真正的 ZTA 所必需的几个核心组件：政策决定点（PDP）和政策执行点（PEP）。

每个企业资产前都有 PDP 和 PEP，每个请求都必须通过它们，这是 ZTA 与以前试图实施类似的、但范围较窄的原则之间最重要的、具有指示性的区别。

PDPs 和 PEPs 是抽象的能力，可以根据企业的需要采取不同的形式（下面会有更多介绍）。但在所有情况下，政策决定点是评估请求主体和被请求对象的整体态势并产生访问控制决定的组件。

政策执行点是负责根据政策决策点的输出，打开和关闭与特定资源的连接的组件。PDP和PEP可以合并或分布，在某些情况下，PEP将在主体系统上的代理（如雇员的笔记本电脑）和资源上某种形式的网关之间分割。但在所有情况下，PDP和PEP都代表了完成重新认证和重新授权每个请求这一基本目标的能力。

现在应该很清楚，零信任（作为一套抽象的原则）可以表现为许多不同的 ZTA（作为一个实际的设计）。这是零信任的一个优势，因为它把主动权交给了各个架构师和从业人员，让他们以适合每个团队的方式评估和优先考虑各种核心原则（图1）。

图一 nist 零信任体系结构的原则

同时，这种架构的多变性也是如何真正实现零信任的部分原因似乎并不明确。在所有情况下，将访问控制边界分开以分别包围每个资源的目标将至少使用一个而且很可能是许多 PDP 和 PEP，但技术组件的安排和它们的相互联系对大多数组织来说是独特的。

幸运的是，NIST 的文件还充实了三种不同的架构方法，四种不同的部署方式，以及五种不同的业务层面的场景，以显示如何将原则付诸实施。我们在这里只是简单地谈一谈，以说明不同的企业可以如何开始接近他们自己的零信任项目。

本文上篇介绍了零信任的概念、优势及劣势；在下周将会推出本文章的下半篇，着重介绍零信任整体战略、部署的变体和情景模拟。