1.7 邊界安全模型與零信任模型

邊界安全模型和零信任模型之間有天壤之別，前者試圖在可信資源和不可信資源之間（本地網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間）建立一道屏障，而后者基本上放棄了這種想法，接受了“壞人”無(wú)處不在的現(xiàn)實(shí)，不再通過設(shè)立屏障來(lái)保護(hù)內(nèi)部易受攻擊的對(duì)象，轉(zhuǎn)而采取全民皆兵的策略。

邊界安全模型賦予了受保護(hù)網(wǎng)絡(luò)一定的信任等級(jí)，這種做法違背了零信任模型的基本原則，引發(fā)了一些糟糕的行為。當(dāng)網(wǎng)絡(luò)被認(rèn)為可信時(shí)，管理員常常會(huì)放松警惕，畢竟他們是人。位于同一個(gè)信任區(qū)內(nèi)的主機(jī)很少會(huì)彼此防范，畢竟既然在同一個(gè)信任區(qū)，好像就意味著大家的可信度是一樣的。但隨著時(shí)間的推移，我們逐漸認(rèn)識(shí)到這種假設(shè)不成立，因此，不僅需要保護(hù)主機(jī)免受來(lái)自外部的攻擊，還需要使其免受來(lái)自內(nèi)部的攻擊。

零信任模型假定網(wǎng)絡(luò)被完全攻陷，因此必須同時(shí)假定攻擊者可能使用任意IP地址進(jìn)行通信。鑒于此，僅根據(jù)訪問者的IP地址或物理位置來(lái)授予資源訪問權(quán)限是不夠的，所有的主機(jī)都必須提供合適的身份標(biāo)識(shí)，甚至位于當(dāng)前信任區(qū)內(nèi)的主機(jī)亦如此。攻擊者并非只會(huì)發(fā)起主動(dòng)攻擊，他們還可能執(zhí)行被動(dòng)攻擊，即通過監(jiān)聽流量來(lái)獲取敏感信息。在這種情況下，僅有主機(jī)身份標(biāo)識(shí)還不夠，還必須對(duì)流量進(jìn)行強(qiáng)加密。

在零信任網(wǎng)絡(luò)中，有3個(gè)關(guān)鍵組件：用戶/應(yīng)用認(rèn)證與授權(quán)、設(shè)備認(rèn)證與授權(quán)、信任。其中第一個(gè)組件具有二元性（用戶和應(yīng)用），因?yàn)椴⒎撬胁僮鞫际怯捎脩魣?zhí)行的。對(duì)于自動(dòng)執(zhí)行的操作（例如，數(shù)據(jù)中心內(nèi)的操作），需要考慮應(yīng)用的質(zhì)量，就像在正常情況下需要考慮用戶的品性一樣。

設(shè)備認(rèn)證與授權(quán)同用戶/應(yīng)用認(rèn)證與授權(quán)同樣重要，但在采用邊界安全模型的網(wǎng)絡(luò)中，很少使用這種特性來(lái)保護(hù)服務(wù)和資源。這種特性通常是使用VPN或NAC技術(shù)來(lái)部署的，在較成熟的網(wǎng)絡(luò)中尤其如此，但在端點(diǎn)（而不是網(wǎng)絡(luò)節(jié)點(diǎn)）之間很少部署這種特性。

最后，需要計(jì)算信任評(píng)分，并將應(yīng)用、設(shè)備和信任評(píng)分組合在一起，形成代理（agent）。然后，將策略應(yīng)用于代理，以便給訪問請(qǐng)求授權(quán)。代理包含豐富的信息，可用于實(shí)現(xiàn)靈活而細(xì)粒度的訪問控制，即通過在策略中包含信任評(píng)分，設(shè)置各種適應(yīng)條件來(lái)調(diào)整訪問控制策略。

訪問請(qǐng)求獲得授權(quán)后，控制平面通知數(shù)據(jù)平面，讓它接受請(qǐng)求。在此過程中，還可配置詳細(xì)的加密參數(shù)。加密可在設(shè)備層面、應(yīng)用層面或這兩個(gè)層面進(jìn)行，為確保機(jī)密性，至少需要在其中一個(gè)層面進(jìn)行加密。

借助于這些認(rèn)證/授權(quán)組件，以及控制平面在協(xié)調(diào)加密信道方面提供的幫助，可確保網(wǎng)絡(luò)中的流量都經(jīng)過了認(rèn)證。對(duì)于沒有經(jīng)過認(rèn)證、授權(quán)和加密的流量，主機(jī)和網(wǎng)絡(luò)設(shè)備將其丟棄，以確保敏感數(shù)據(jù)不會(huì)被泄露。另外，通過將每個(gè)控制平面事件和操作都寫入日志，可輕松地對(duì)網(wǎng)絡(luò)流量進(jìn)行基于流或基于請(qǐng)求的審計(jì)。

在有些采用邊界安全模型的網(wǎng)絡(luò)中，也提供了類似的功能，但只在網(wǎng)絡(luò)邊界執(zhí)行它們。VPN力圖提供這些功能，以確保對(duì)內(nèi)部網(wǎng)絡(luò)的安全訪問，但流量到達(dá)VPN集中器后，便不再處于這些安全功能的保護(hù)范圍內(nèi)了。管理員顯然知道互聯(lián)網(wǎng)強(qiáng)度的安全措施是什么樣的，只是沒有將這些安全措施貫徹到整個(gè)網(wǎng)絡(luò)中。

只要想象一下全面實(shí)施了這些安全措施的網(wǎng)絡(luò)是什么樣的，就會(huì)發(fā)現(xiàn)零信任網(wǎng)絡(luò)這種新范式存在很多亮點(diǎn)。它使用加密技術(shù)來(lái)驗(yàn)證身份，這意味著對(duì)于所有的連接，其源IP地址不再重要（嚴(yán)格地說(shuō)，依然可根據(jù)源IP地址來(lái)判斷風(fēng)險(xiǎn)，稍后將詳細(xì)討論）。自動(dòng)化系統(tǒng)消除了技術(shù)壁壘，這導(dǎo)致VPN基本上已成明日黃花。私有網(wǎng)絡(luò)不再有任何特殊之處，其中的主機(jī)與互聯(lián)網(wǎng)中的主機(jī)一樣堅(jiān)固。如果以批判性思維看待NAT和私有地址空間，可能會(huì)發(fā)現(xiàn)零信任模型使得它們提供的安全功能毫無(wú)意義。

總之，邊界安全模型的缺陷在于缺乏全面的安全保護(hù)，猶如由安全外殼包裹柔弱軀體，而我們真正想要的是堅(jiān)固的軀體：知道如何核查身份，還知道如何以無(wú)法被竊聽的方式發(fā)送信息。有堅(jiān)固的軀體并不意味著不再需要維護(hù)安全外殼，在極度敏感的場(chǎng)景中，維護(hù)安全外殼的做法依然值得提倡。然而，堅(jiān)固的軀體確實(shí)將安全的堤壩構(gòu)筑到了足夠的高度，即便弱化或取消安全外殼，也絕非不理智的。同時(shí)考慮到大部分零信任功能是對(duì)最終用戶是透明的，零信任安全模型看起來(lái)幾乎消除了安全性和便利性之間的矛盾：越安全，越便利。解決便利性問題的責(zé)任或許已被轉(zhuǎn)移到管理員的頭上。