零信任體系化能力建設（3）：網(wǎng)絡彈性與隔離邊界

網(wǎng)絡是現(xiàn)代企業(yè)數(shù)字基礎設施的核心。零信任理念致力于構建一個以身份（而非網(wǎng)絡）為中心的網(wǎng)絡安全架構，引發(fā)了企業(yè)網(wǎng)絡安全架構的變革。在零信任體系化能力建設中，“網(wǎng)絡”承載并連接了其他的安全能力支柱，是實現(xiàn)零信任安全框架的關鍵。
然而，復雜多樣的網(wǎng)絡環(huán)境為實施零信任帶來了前所未有的挑戰(zhàn)，任何網(wǎng)絡相關能力建設的風險都將嚴重阻礙零信任戰(zhàn)略的推進，因此，將“網(wǎng)絡”支柱的成熟度建設放在零信任實施計劃的后期是大多數(shù)企業(yè)的選擇。本文主要從網(wǎng)絡相關的零信任安全能力建設入手，討論網(wǎng)絡分段與微隔離、流量管理與檢視、通信加密和網(wǎng)絡可用性保護等問題。

關鍵字：零信任；微隔離；網(wǎng)絡彈性；加密

一、零信任網(wǎng)絡安全

零信任架構使傳統(tǒng)基于邊界的安全方法發(fā)生了改變，在向零信任遷移的過程中，網(wǎng)絡扮演著一個非常獨特的角色。一方面，“網(wǎng)絡”從安全活動的焦點轉變?yōu)橄嗷リP聯(lián)的支柱領域之一，失去了在傳統(tǒng)以網(wǎng)絡為中心的安全框架中的主導地位。另一方面，網(wǎng)絡是零信任架構的重要支撐，是連接零信任其他所有支柱的方式和通道。

因此，IT和安全團隊需要重新審視“網(wǎng)絡”在零信任安全框架中的角色和地位。在企業(yè)架構中，應用程序并非孤立存在，它運行在數(shù)據(jù)中心和云中，可能包含多個需要相互協(xié)調的分布式組件和功能。但在所有情況下，應用程序需要通過網(wǎng)絡來訪問資源，而用戶也需要網(wǎng)絡來訪問應用程序和數(shù)據(jù)。

在零信任體系化安全能力中，“網(wǎng)絡”是一個開放的通信媒介和通道，包括傳統(tǒng)的基礎網(wǎng)絡通道（例如，內部網(wǎng)絡、無線網(wǎng)絡和互聯(lián)網(wǎng)）和信息通道（例如，用于傳輸信息的網(wǎng)絡隧道和應用層通道等）。企業(yè)網(wǎng)絡跨越了多種基礎設施環(huán)境和連接，包括：
?傳統(tǒng)的本地設施、服務器和應用程序；
?隨時移動、接入的移動設備；
?訪問公司資源的外部用戶（例如，供應商、客戶等）;
?基于云的系統(tǒng)（IaaS、PaaS和SaaS）;
?部署于特定環(huán)境的、計算能力有限的IoT設備;
?內容分發(fā)網(wǎng)絡（CDN）。

復雜環(huán)境中沒有真正的邊界。網(wǎng)絡復雜性一直是傳統(tǒng)邊界安全面臨的主要挑戰(zhàn)，而傳統(tǒng)網(wǎng)絡安全控制措施（例如，防火墻、網(wǎng)絡分段、NAC和IDS等）也存在各種難以避免的缺點，主要包括：
?網(wǎng)絡分段和NAC存在沉重的運維負擔，并且可能因引入專有數(shù)據(jù)報格式，導致廠商依賴和鎖定；
?防火墻因價格昂貴且管理復雜，只能在有限的網(wǎng)絡邊界或DMZ上使用，以實現(xiàn)價值最大化；
?網(wǎng)絡數(shù)據(jù)采集和集中分析極具挑戰(zhàn)性，涉及專有數(shù)據(jù)格式、有限可見性等問題；
?網(wǎng)絡威脅檢測的誤報和漏報導致運營開銷增加，并為組織帶來不可見和未緩解的風險。

零信任在更接近應用程序、數(shù)據(jù)和其他資源的位置實現(xiàn)安全控制，增強傳統(tǒng)基于網(wǎng)絡的保護措施，并提高縱深防御能力。為了實現(xiàn)零信任戰(zhàn)略，組織需要明確業(yè)務活動與零信任網(wǎng)絡之間的關聯(lián)，了解環(huán)境中的所有入口、出口和訪問點，并基于這些可見性來實施整體的網(wǎng)絡安全策略，包括業(yè)務流映射，從身份（或設備）出發(fā)對訪問進行分段（微隔離）和安全強化。

二、網(wǎng)絡安全的關鍵能力

在零信任安全框架中，網(wǎng)絡層面的安全能力既要確保對網(wǎng)絡的授權訪問，防止橫向移動和非法訪問，也要保障業(yè)務流量的機密性和完整性，確保敏感信息不被篡改或泄露，同時還要保證網(wǎng)絡的彈性和高可用，適應不斷變化的威脅環(huán)境和業(yè)務需求。

1．網(wǎng)絡分段與隔離
傳統(tǒng)上，網(wǎng)絡管理員通過分段將企業(yè)網(wǎng)絡劃分為多個區(qū)域，并在分段之間部署和管理安全服務策略，來提高網(wǎng)絡的可管理性。在網(wǎng)絡分段（Network Segmentation）中，跨越區(qū)域邊界的流量必須經(jīng)過防火墻的檢查，這為組織提供了高層級的網(wǎng)絡可見性，能夠識別并阻止攻擊者的橫向移動。

微隔離（Micro-Segmentation）對網(wǎng)絡分段進行進一步細化，力圖將每個設備（甚至應用程序）置于獨立的分段內。與被稱為宏隔離（Macro-Segmentation）的網(wǎng)絡分段相比，微隔離雖然確實將網(wǎng)絡劃分為更小的隔離部分，但其重點是要能夠為單個工作負載、應用程序或服務創(chuàng)建安全策略，提供比網(wǎng)絡分段更細粒度的可見性和安全控制，確保所有設備或應用程序之間的流量都被檢查，以查找潛在的惡意內容或違反企業(yè)安全或訪問控制策略的行為。

圖1 網(wǎng)絡分段與微隔離

將網(wǎng)絡分段變得更小，實現(xiàn)微分段的網(wǎng)絡設計是向零信任安全遷移的理想步驟。

在云數(shù)據(jù)中心中，SDN（軟件定義網(wǎng)絡）和NFV（網(wǎng)絡功能虛擬化）等技術有助于根據(jù)特定應用程序、服務或工作負載創(chuàng)建這些類型的微隔離，基于容器的編排平臺還可以通過隔離特定服務和應用程序來促進微隔離的實現(xiàn)。

2．流量管理與檢視
由于不同應用在訪問權限、優(yōu)先級、可達性、依賴服務和通信路徑等方面存在不同的要求，企業(yè)網(wǎng)絡中的每個應用程序都應該以唯一的方式進行處理。

傳統(tǒng)的流量管理主要受網(wǎng)絡QoS的需求驅動，對數(shù)據(jù)包進行排隊排序，確保關鍵業(yè)務、高優(yōu)先級流量得到優(yōu)先處理。例如，適用于骨干網(wǎng)QoS的DiffServ模型，通常根據(jù)數(shù)據(jù)流的QoS要求，將流量劃分為不同的級別，高級別的數(shù)據(jù)流比低級別的數(shù)據(jù)流優(yōu)先傳輸。

在零信任安全體系中，基于應用感知的流量管理不僅用于保障關鍵業(yè)務的QoS，根據(jù)應用的特定部分或用戶操作來控制流量，還需要能夠適應網(wǎng)絡上允許的應用程序類型，識別并阻止格式異常的流量，以防止對允許的應用程序協(xié)議的濫用，降低網(wǎng)絡安全風險。

為了實施有效的網(wǎng)絡流量管理，需要增加網(wǎng)絡可見性，確保在流量層面能夠檢視、識別、區(qū)分不同的應用程序，以實施基于應用感知的安全策略。在全流量加密的零信任網(wǎng)絡環(huán)境中，該要求顯然存在一些技術瓶頸，同時還要面對QoS保障所帶來的網(wǎng)絡運維復雜性問題。

3．協(xié)議安全與加密
為了提高數(shù)據(jù)的機密性，防止攻擊者窺探用戶敏感信息，需要在數(shù)據(jù)傳輸中加密所有數(shù)據(jù)，包括企業(yè)內部的東-西向流量和與外部網(wǎng)絡之間的南-北向流量。

圖2 企業(yè)網(wǎng)絡的南-北向、東-西向流量

一般來說，在應用或數(shù)據(jù)層面（即支柱）來實施加密策略相對比較簡單，組織也已經(jīng)開始逐漸采用SSH、TLS、HTTPS和安全DNS（例如，DNSSEC、DNS over TLS、DNS over HTTPS等）等協(xié)議開發(fā)或替換應用，以提供適當?shù)臋C密性。然而，有些遺留應用使用了自定義協(xié)議和端口，很難進行加密改造。因此，組織需要采用一些其他類型的安全措施。例如，嘗試將這些應用程序的流量隔離到獨立的段中，以減少能夠查看明文流量的人數(shù)。

另外，除了端到端的應用層加密方式外，網(wǎng)絡層（點到點）加密可以確保所有數(shù)據(jù)都被加密，并提供友好無感的用戶體驗。加密過程由網(wǎng)絡上的不同設備（路由器、防火墻）或通過軟件代理來執(zhí)行。需要注意的是，網(wǎng)絡層加密能夠滿足南-北向的數(shù)據(jù)（例如，客戶與企業(yè)應用之間的電子商務通信）加密需要，但它可能無法加密東-西向數(shù)據(jù)，企業(yè)內網(wǎng)或云端數(shù)據(jù)中心的流量可能仍然是明文。

最后，當所有流量都被加密后，自然也就丟失了可見性，零信任需要在監(jiān)控網(wǎng)絡流量和降低數(shù)據(jù)泄露風險之間取得平衡。此外，即使在普遍采用加密通信的網(wǎng)絡中，明文的敏感信息和口令也幾乎無處不在，企業(yè)網(wǎng)絡仍然會面臨一些與機密性相關的安全問題（例如，密鑰管理）。

4．網(wǎng)絡彈性與可用
網(wǎng)絡彈性（Cyber Resilience）在NIST SP 800-160中被定義為“為應對不利條件、壓力、攻擊或威脅，網(wǎng)絡系統(tǒng)所應具備的預測、承受、恢復和適應能力”，包括網(wǎng)絡的可擴展性、可靠性、容錯性和自適應性等方面，其目標是確保在面對故障、攻擊、負載增加或其他不可預測的情況時，網(wǎng)絡能夠繼續(xù)提供穩(wěn)定和可靠的服務。

與網(wǎng)絡安全相比，網(wǎng)絡彈性假設攻擊者已經(jīng)侵入并將在網(wǎng)絡中長期存在，在網(wǎng)絡環(huán)境（包括威脅、運行和技術）持續(xù)發(fā)生變化的前提下，以最大程度提高組織完成關鍵或重要任務或業(yè)務功能的能力，體現(xiàn)了“面向失效的防御”、“縱深防御”、“自適應防御”的安全理念，要求從多個層次和維度來全面地進行基于風險的檢測、響應和安全拒止，這與零信任的安全彈性理念是一致的。

圖3 NIST網(wǎng)絡彈性工程框架

從實現(xiàn)層面看，網(wǎng)絡彈性更側重對關鍵業(yè)務和核心基礎設施的安全保障，并通過網(wǎng)絡彈性工程框架（CREF，如圖3）從目的、目標和技術三個層面給出了網(wǎng)絡彈性的實現(xiàn)框架。

在建設零信任網(wǎng)絡能力時，網(wǎng)絡彈性工程能夠支持零信任理念的實施，通過快速調整和部署新的安全措施、身份驗證和訪問控制機制，適應不斷變化的安全需求和威脅環(huán)境。另一方面，零信任安全通過精細的訪問控制和身份驗證來減少安全漏洞和風險，從而增強網(wǎng)絡的安全性和彈性。

三、網(wǎng)絡安全的最佳實踐

零信任網(wǎng)絡需要具有“分而治之”的網(wǎng)絡彈性能力，其關鍵思想是通過在網(wǎng)絡內放置多個檢查點來創(chuàng)建網(wǎng)絡微分段，以阻止惡意或未經(jīng)授權的橫向移動，并在發(fā)生違規(guī)訪問時，能夠快速響應以遏制和隔離威脅。

1．建立數(shù)據(jù)流清單
為了提供實施合理的網(wǎng)絡分段和微隔離，需要識別、映射網(wǎng)絡中的合法數(shù)據(jù)流。數(shù)據(jù)流清單用于記錄和管理組織內部和外部的數(shù)據(jù)流動情況，應覆蓋企業(yè)網(wǎng)絡中的所有業(yè)務流，并實現(xiàn)向身份和設備實體的映射，包括數(shù)據(jù)的來源、目的地、協(xié)議/端口、傳輸方式、訪問權限等信息。

建立數(shù)據(jù)流清單是零信任網(wǎng)絡建設的重要步驟，也是一個需要持續(xù)建設、更新的過程，以保持與網(wǎng)絡和業(yè)務變化的同步。在針對南北向和東西向流量進行梳理和分類分析時，可分別采用以下方法：
?識別邊界點。確定數(shù)據(jù)流進入和離開網(wǎng)絡的關鍵邊界點，例如防火墻、代理服務器或邊界路由器。
?分析網(wǎng)絡日志。分析南北向流量的網(wǎng)絡日志，以識別數(shù)據(jù)的源頭和目的地，以及協(xié)議和端口。
?識別應用程序。通過協(xié)議分析、端口識別或應用程序分類工具，確定與每個數(shù)據(jù)流相關的應用程序和服務。
?識別內部通信。通過網(wǎng)絡流量監(jiān)控工具或數(shù)據(jù)包分析，了解內部系統(tǒng)之間的通信流量。
?制定網(wǎng)絡拓撲圖。通過繪制網(wǎng)絡拓撲圖，標識各個系統(tǒng)和組件之間的連接和通信路徑。
?映射業(yè)務流程。與業(yè)務團隊合作，了解各個業(yè)務流程涉及的系統(tǒng)和數(shù)據(jù)交換情況，識別每個數(shù)據(jù)流與特定業(yè)務流程的關聯(lián)。

2．實現(xiàn)網(wǎng)絡微隔離
實現(xiàn)微隔離是大多數(shù)零信任網(wǎng)絡建設的起點。通過微隔離，組織可以為不同的用戶、設備和數(shù)據(jù)流設置特定的訪問規(guī)則和權限，確保數(shù)據(jù)按照預期的方式流動，避免敏感數(shù)據(jù)被錯誤地傳輸?shù)讲粦L問的區(qū)域。

不同組織的微隔離細分深度因成熟度而異，有的組織使用無微隔離的“扁平網(wǎng)絡”，有的僅通過VLAN進行了簡單隔離，而具有更高成熟度的零信任網(wǎng)絡則需要考慮身份、設備、數(shù)據(jù)和資源的微隔離。

此外，實現(xiàn)微分段需要對網(wǎng)絡架構、應用程序和數(shù)據(jù)流有深入的了解。映射和管理如此眾多的網(wǎng)絡分段，并一致地執(zhí)行安全策略極具挑戰(zhàn)性。這也是SDN、NFV等網(wǎng)絡自動化和虛擬化技術得到廣泛應用的原因之一。

3．網(wǎng)絡監(jiān)測與響應
在零信任網(wǎng)絡建設中，建立全面的網(wǎng)絡可見性是威脅檢測和響應的基礎。通過網(wǎng)絡監(jiān)測工具、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、威脅情報和分析等技術，實時監(jiān)控網(wǎng)絡流量和設備行為，可以幫助發(fā)現(xiàn)異?；顒印⑽唇?jīng)授權的訪問和潛在的威脅行為。

引入自動化工具和響應機制可以提高威脅檢測和響應的效率和準確性，包括實時告警、自動封鎖惡意流量、隔離受感染的設備等措施，組織可以更好地進行威脅檢測和響應，以保護網(wǎng)絡和數(shù)據(jù)安全。

4、SDP與VPN替代
經(jīng)過三年疫情的考驗，以VPN為代表的遠程訪問方案暴露出了嚴重的技術缺陷，遠程用戶為了訪問云資源，而不得不通過VPN隧道繞行數(shù)據(jù)中心。僅在接入時進行身份驗證，并獲得大量訪問權限的VPN也不符合零信任的安全理念。

SDP被視為VPN的一種替代方案，提供了更加靈活、安全和可控的網(wǎng)絡訪問方式，可以基于用戶身份、設備狀態(tài)、網(wǎng)絡環(huán)境等多個因素來決定用戶能夠訪問的資源和權限，更加適用于現(xiàn)代的分布式和云原生環(huán)境。

四、結語

零信任架構試圖通過消除對內部網(wǎng)絡上的隱含信任，來減輕與網(wǎng)絡威脅相關的風險。然而，云時代下企業(yè)網(wǎng)絡涵蓋了內網(wǎng)、數(shù)據(jù)中心、云等多個區(qū)域，在如此復雜的網(wǎng)絡環(huán)境中，實現(xiàn)這一目標并非易事。零信任網(wǎng)絡安全建設要求企業(yè)重新審視企業(yè)網(wǎng)絡的組成和彈性要求，加強底層基礎設施、容器、微服務和云平臺的網(wǎng)絡安全管理，通過與現(xiàn)有安全程序和工具的無縫集成，為企業(yè)提供更強大的網(wǎng)絡安全能力，以應對日益復雜的威脅環(huán)境變化。

審核編輯 黃宇