1.1 零信任網(wǎng)絡(luò)是什么

零信任網(wǎng)絡(luò)中存在如下5個(gè)基本斷言：

● 網(wǎng)絡(luò)無(wú)時(shí)無(wú)刻不在危險(xiǎn)之中；

● 網(wǎng)絡(luò)始終面臨著內(nèi)部和外部威脅；

● 僅根據(jù)網(wǎng)絡(luò)位置不足以確定是否可信；

● 所有設(shè)備、用戶和網(wǎng)絡(luò)流都必須經(jīng)過(guò)認(rèn)證和授權(quán)；

● 安全策略必須是動(dòng)態(tài)的，并根據(jù)盡可能多的數(shù)據(jù)源來(lái)確定。

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)將不同的網(wǎng)絡(luò)（或單一網(wǎng)絡(luò)的不同部分）劃分為不同的區(qū)域，并使用防火墻來(lái)隔離不同的區(qū)域。每個(gè)區(qū)域都被賦予不同的信任等級(jí)，而信任等級(jí)決定了可訪問(wèn)的網(wǎng)絡(luò)資源。這種模型提供了極其強(qiáng)大的縱深防御能力，例如，對(duì)于風(fēng)險(xiǎn)較高的資源，如面向公共網(wǎng)絡(luò)的Web服務(wù)器，將其放在隔離區(qū)（DMZ），并對(duì)進(jìn)出該區(qū)域的流量加以嚴(yán)密的監(jiān)視和控制。這種做法催生了一種類似于圖1-1所示的架構(gòu)（你以前可能見過(guò)）。

為了改善這種傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)，存在很多權(quán)宜之計(jì)，但面對(duì)現(xiàn)今的網(wǎng)絡(luò)攻擊形勢(shì)，這些措施收效甚微。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)存在如下缺點(diǎn)：

● 不檢查區(qū)域內(nèi)部的流量；

● 在主機(jī)部署位置方面缺乏靈活性（物理和邏輯方面也是如此）；

● 存在單點(diǎn)故障。

必須指出的是，如果不再根據(jù)網(wǎng)絡(luò)位置來(lái)確定可信度，VPN也就沒(méi)有存在的必要。VPN讓用戶能夠進(jìn)行認(rèn)證，以獲取位于遠(yuǎn)程網(wǎng)絡(luò)中的IP地址；再通過(guò)隧道技術(shù)將流量傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò)，流量到達(dá)遠(yuǎn)程網(wǎng)絡(luò)后被解封裝并路由。這是一個(gè)嚴(yán)重的安全后門，但未曾被人懷疑。如果宣稱網(wǎng)絡(luò)位置對(duì)確定可信度毫無(wú)價(jià)值，諸如VPN等多種現(xiàn)代網(wǎng)絡(luò)通信方式將慘遭淘汰。當(dāng)然，這意味著必須將安全措施實(shí)施點(diǎn)盡可能前推到網(wǎng)絡(luò)邊緣，同時(shí)意味著網(wǎng)絡(luò)核心無(wú)須再承擔(dān)這種職責(zé)。另外，所有主流操作系統(tǒng)都提供了有狀態(tài)防火墻，交換和路由技術(shù)也取得了長(zhǎng)足進(jìn)展，這讓人能夠在網(wǎng)絡(luò)邊緣部署高級(jí)功能。考慮到所有這些因素，可得出如下結(jié)論：轉(zhuǎn)變網(wǎng)絡(luò)安全范式正當(dāng)其時(shí)。通過(guò)分散地執(zhí)行安全策略并遵循零信任原則，可構(gòu)建出類似于圖1-2所示的網(wǎng)絡(luò)安全架構(gòu)。

零信任模型中的控制平面

在零信任模型中，支持系統(tǒng)被稱為控制平面。除控制平面以外的其他部分都屬于數(shù)據(jù)平面，由控制平面進(jìn)行協(xié)調(diào)和配置。針對(duì)受保護(hù)資源的訪問(wèn)請(qǐng)求，將先由控制平面進(jìn)行處理，對(duì)設(shè)備和用戶進(jìn)行認(rèn)證和授權(quán)。這一層將應(yīng)用細(xì)粒度的控制策略，可能考慮如下因素：在組織中的角色、在一天中的什么時(shí)間訪問(wèn)、地理位置和設(shè)備類型。如果要訪問(wèn)的是安全等級(jí)較高的資源，可能需要強(qiáng)制進(jìn)行更高強(qiáng)度的認(rèn)證。

確定請(qǐng)求得到許可后，控制平面動(dòng)態(tài)地配置數(shù)據(jù)平面，使其接收來(lái)自該客戶端（也僅限該客戶端）的流量。另外，控制平面還可能進(jìn)行協(xié)調(diào)，以確定要在請(qǐng)求者和資源之間建立的加密隧道的細(xì)節(jié)，這可能包括一次性的憑證、密鑰和臨時(shí)端口號(hào)。

需要指出的是，控制平面對(duì)于請(qǐng)求的許可決策是有時(shí)間限制的，而不是永久性的。這意味著，如果最初促使控制平面做出許可決策的因素發(fā)生變化，控制平面可以與數(shù)據(jù)平面進(jìn)行協(xié)調(diào)，進(jìn)而撤銷資源訪問(wèn)權(quán)限。

對(duì)于上述措施，在嚴(yán)格程度上可以做出一些妥協(xié)，但基本理念是不變的，那就是由權(quán)威方或可信的第三方根據(jù)各種輸入實(shí)時(shí)認(rèn)證、授權(quán)和協(xié)調(diào)訪問(wèn)。第2章將更詳細(xì)地討論控制平面和數(shù)據(jù)平面。