此報告主要參考了《零信任實戰(zhàn)白皮書》，結合自己對零信任的理解，做了一個精簡的總結，做參考。

　　一、零信任認識

　　零信任解決的是由于傳統(tǒng)邊界模型過度信任造成的安全問題，重點是Trust Area 內(nèi)過度信任的問題，零信任打破了信任和網(wǎng)絡位置默認的綁定關系，不像傳統(tǒng)信任關系是靜態(tài)不變的，而是動態(tài)持續(xù)監(jiān)測各參與對象的安全狀態(tài)、并對其重建信任評估，然后進行動態(tài)調(diào)整權限、降權、阻斷等強管控手段。我自己認為，動態(tài)持續(xù)監(jiān)控、根據(jù)對象安全狀態(tài)進行調(diào)整權限，這個是零信任非常重要的功能，也是傳統(tǒng)邊界模型做不到的。

　　二、零信任實現(xiàn)架構

　　目前有零信任實踐的公司，大多都是采用SDP架構（software define perimeter），SDP架構主要包括三大組件：SDP控制器（SDP Controler）、SDP發(fā)起客戶端、 SDP服務提供者。

　　控制層與數(shù)據(jù)層保持分離，以便實現(xiàn)完全可擴展。

　　三、零信任實現(xiàn)方案

　　有兩種實現(xiàn)方案，一是用戶對資源訪問的方案，如辦公網(wǎng)訪問公司應用，大多數(shù)采用此種對零信任架構進行實踐摸索；二是生產(chǎn)服務之間相互調(diào)用的方案，由于涉及生產(chǎn)、及各種復雜訪問關系，很少有公司對此種進行實踐。

　　3.1、用戶對資源訪問模式方案

　　此種方案涉及到的對象有：用戶、終端、資源、鏈路。

　　此方案，對架構進行抽象后的架構示意圖如下：

　　認證不再只是人的認證，授權、信任不再是靜態(tài)不變，而是：人（雙因素、OTP）+終端（是否符合安全基線，安全狀態(tài)是否符合）+軟件（是否有漏洞）=認證（持續(xù)動態(tài)認證）—→認證通過—-→授權（基于對各對象動態(tài)安全監(jiān)測和信任評估，動態(tài)授權、降權、阻斷等）——-→資源零信任在技術實現(xiàn)分類上，根據(jù)零信任網(wǎng)關的類型總結為兩種：

　　3.1.1、反向代理/應用層web協(xié)議網(wǎng)關：

　　應用層代理模式指的是在零信任網(wǎng)關實現(xiàn)上，通過七層應用代理方式，將對后端應用的訪問通過本地應用 ，層代理配置，將應用層請求發(fā)至應用層代理網(wǎng)關中，由應用層代理網(wǎng)關進行攔截、轉發(fā)，架構如下圖：

　　實現(xiàn)原理如下圖：

　　該模式下的簡化訪問過程如下（有agent）：

　　a）用戶通過零信任終端Agent進行設備注冊和授權；b）終端Agent進行安全基線加固，以及上傳終端設備安全狀態(tài)；c）用戶通過零信任終端Agent（或可信集成的瀏覽器），來設置本地應用層代理配置，指定特定資源的訪問由應用層代理發(fā)至應用層代理網(wǎng)關中；

　　d）應用層代理網(wǎng)關通過安全控制中心，進行認證和鑒權；e）應用層代理網(wǎng)關鑒權通過后，將請求轉發(fā)給應用系統(tǒng)，獲取請求資源；f）應用層代理網(wǎng)關將資源轉發(fā)給零信任終端，完成資源請求。

　　優(yōu)點：由于是應用層代理，因此可以基于應用進行細顆粒的授權控制，可以深入到對特定應用，特定資源的 控制；缺點：對于非HTTP的業(yè)務，部分開放設置能力的CS應用客戶端可以支持配置，大部分CS架構的客戶端都是 不支持的，滿足不了全場景的辦公需求。

　　3.1.2、流量代理網(wǎng)關方式，即四層代理方式

　　流量代理方式在實現(xiàn)上，終端有agengt情況下，可通過hook、虛擬網(wǎng)卡、網(wǎng)絡過濾驅動等方式，將本地流 量轉發(fā)給零信任網(wǎng)關，零信任網(wǎng)關負責流量的攔截和轉發(fā)，如下圖：

　　如果終端沒有agent，只要零信任流量代理網(wǎng)關部署在網(wǎng)絡鏈路中，能夠劫持流量即可充當代理網(wǎng)關。

　　優(yōu)點：

　　a）由于是四層流量代理，因此可以實現(xiàn)全局代理，無論是B/S應用，還是C/S應用都可以通過流量代理網(wǎng) 關進行控制和授權。支持全辦公場景；b）此外該模式下，C/S應用不需要改造，可以直接接入進零信任體系中，對業(yè)務干擾較?。蝗秉c：

　　a）由于是四層流量代理，因此對于加密的請求，解密成本較高。

　　b） 不易實現(xiàn)精細化的權限控制，例如 針對垂直的WEB流量，不能基于HTTP協(xié)議層做對應更加細化的訪問控制，需要額外用垂直的WEB流量網(wǎng)關，。

　　c）另外全流量代理模式下，容易出現(xiàn)和其他安全類流量劫持軟件沖突，需要對應修復支持工具3.1.3、混合網(wǎng)關方式

　　單一的實現(xiàn)方式都有其弊端和優(yōu)勢，例如用了全流量代理可能導致無法識 別內(nèi)容，無法對特定應用進行解析和精細的權限控制，因此也可以將技術實現(xiàn)方式進行融合，融合點主要是在網(wǎng)關對上述多個能力進行整合，用全流量代理網(wǎng)關作為統(tǒng)一入口，對特定應用的控制由應用代理模塊進行控 制，在實現(xiàn)上同時擁有全流量代理、Web應用反向代理、應用層代理（其他RDP、SSH、IOT等）能力，如下 圖：

　　該模式下的簡化訪問過程如下：

　　a）用戶在訪問資源時，根據(jù)所訪問的資源類型，將請求轉發(fā)到流量代理網(wǎng)關上；b）流量代理網(wǎng)關通過安全控制中心對用戶進行認證和鑒權；c）流量網(wǎng)關根據(jù)請求的資源類型，鑒權通過后將請求轉發(fā)，向后轉發(fā)中分為以下情景：

　　直接轉發(fā)：如果沒有特定應用代理模塊，請求將直接轉發(fā)到應用中，例如C/S應用；轉發(fā)到應用代理模塊：有特定應用控制的模塊時，將請求轉發(fā)到應用代理模塊中，由應用代理模塊進一步進行更細粒度的鑒權，例如對SSH服務進行零信任控制和授權，對Web應用進行零信任控制和授權，或是更特定業(yè)務協(xié)議的場景，IOT的零信任控制授權。

　　d）流量代理網(wǎng)關將資源轉發(fā)給終端，完成資源請求響應。

　　混合實踐舉例：有Agent和無Agent的場景，滿足不同的權限控制需要：

　　a）提供一套流量網(wǎng)關服務器和Agent，提供給企業(yè)內(nèi)部職員終端安全訪問，實現(xiàn)強終端安全防護和管控目 標；b）同時部署一套對外提供反向代理網(wǎng)關，通過DNS解析將部分業(yè)務代理出去，提供給合作商，針對一些 敏感數(shù)據(jù)泄漏風險較低的系統(tǒng)，用戶可以不用安裝客戶端直接由WEB Portal方式，經(jīng)身份認證鑒權后訪問。

　　優(yōu)點：

　　a） 由于混合代理方式，如果業(yè)務要求全部場景，可以使用全流量代理模式，處理C/S和B/S系統(tǒng)的終端應 用；b） 如業(yè)務方需要對特定業(yè)務實現(xiàn)更精細對權限控制，可以使用應用代理的應用解析能力，因此可以基于應用進行細顆粒的授權控制；缺點：混合模式架構較為復雜，實現(xiàn)起來較為麻煩3.1.4、部署方式

　　在用戶對資源訪問的零信任實現(xiàn)上，具體到落地部署中，可以根據(jù)企業(yè)特點有多種部署方式，下面列舉常 見的幾類部署模式：

　　1）企業(yè)內(nèi)部部署 （辦公場景）

　　在企業(yè)內(nèi)部部署模式中，零信任網(wǎng)關主要用于企業(yè)內(nèi)部服務保護，因此部署位置將零信任網(wǎng)關放置到服務 器網(wǎng)絡前，如下圖：

　　此種，通過零信任系統(tǒng)提供統(tǒng)一的業(yè)務安全訪問通道，關閉職場內(nèi)部終端直連內(nèi)部業(yè)務系統(tǒng)的網(wǎng)絡策略，盡可能 避免企業(yè)內(nèi)部服務全部暴露在辦公網(wǎng)絡（內(nèi)網(wǎng)中過多的默認信任）。所有的終端訪問都要進過終端身份校驗（人的安全可信），終端/系統(tǒng)/應用的可信確認（終端設備的安全 可信），還有細粒度的權限訪問校驗，然后才可以通過加密安全網(wǎng)關訪問具體的業(yè)務（鏈路的安全可信），這 樣能極大的降低和減少內(nèi)部業(yè)務資產(chǎn)被惡意掃描和攻擊的行為。

　　2） 集團多分支部署

　　集團公司，其全國/全球的多個分支子公司、辦事處、并購公司、外部合作（協(xié)作）公司等員工需要安全 訪問集團內(nèi)部系統(tǒng)，該需求模式下可以采用以下部署模式，實現(xiàn)多分支的訪問：

　　該部署模式中可以針對集團、子公司的組織架構（用戶群組）或者具體人員（用戶）設置訪問策略，員工訪問可達的集體內(nèi)部系統(tǒng)僅限于指定的業(yè)務（細粒度授權），不可越界。應保障訪問過來的人員身份、設備、鏈路的安全，同時子公司的終端或者賬戶如果有異?？梢约皶r阻斷訪問。

　　3.2 、 生產(chǎn)服務之間相互調(diào)用的零信任方案

　　此種方案有幾個核心元素：

　　a）工作負載：workload，承載業(yè)務的主機，可以是物理服務器、虛擬機或容器。

　　b）訪問者：發(fā)起訪問一方的工作負載。

　　c）提供者：提供服務一方的工作負載。在數(shù)據(jù)中心中，任意一個工作負載都可能本身即是提供者，也是 其他工作負載的訪問者d） 服務：即根據(jù)業(yè)務需要所開放的供其他工作負載或用戶訪問的服務基于工作負載的零信任架構：

　　由于很少有公司在生產(chǎn)服務之間嘗試零信任架構，此種方式不過多介紹四、零信任應用場景

　　4.1、辦公安全（目前實踐較多的）

　　包含遠程辦公需求、集團性多分支機構辦公安全、傳統(tǒng)網(wǎng)絡架構，無非就是通過vp，專線直接訪問公司或者集團資源?？偨Y來說零信任架構從安全層面不在區(qū)分內(nèi)外網(wǎng)、是否為遠程、是否為分支，統(tǒng)一通過零信任網(wǎng)關接入、零信任網(wǎng)關代理、隱藏后端服務只不過辦公區(qū)可以通過內(nèi)網(wǎng)訪問零信任網(wǎng)關、遠程用戶、分支機構，可通過公網(wǎng)、專線等訪問零信任網(wǎng)關，無論哪種方式，都要經(jīng)過，認證、鑒權/授權、這一套流程。

　　辦公安全零信任架構：

　　遠程辦公需求零信任實現(xiàn)：

　　遠程辦公場景下正確的實施零信任方案后可以帶來如下好處：

　　a）可快速擴容：零信任網(wǎng)關可以通過負載均衡實現(xiàn)快速的橫向擴展，來滿足突發(fā)的遠程辦公需求；b）安全控制能力強：零信任把安全架構延伸到用戶終端上，有更強的控制和感知能力；c）安全攻擊面?。毫阈湃芜h程辦公方案中，唯一可被訪問的只有零信任網(wǎng)關，所有內(nèi)部資源全部被隱藏 在網(wǎng)關后，即便資源存在0day也難以被攻擊到；d）易使用：用戶一旦完成認證后，整個使用過程對用戶不會有打擾，用戶和在公司內(nèi)部的權限維持一 致，有較好用戶體驗4.2、數(shù)據(jù)中心內(nèi)部訪問

　　基本都是采用微隔離架構進行網(wǎng)絡層、主機層、應用層的細粒度隔離，此種方式不過多介紹五、零信任落地經(jīng)驗

　　零信任安全理念在企業(yè)的落地不會是一蹴而就，也絕非僅靠采購一些零信任安全產(chǎn)品或者部署一些零信任安全組件就能夠簡單實現(xiàn)。需要企業(yè)根據(jù)自身業(yè)務系統(tǒng)建設階段、人員和設備管理情況、現(xiàn)有網(wǎng)絡環(huán)境、企業(yè)網(wǎng)絡安全威脅、現(xiàn)有安全機制、預算情況、安全團隊人員能力等因素綜合考慮，制定零信任安全目標和實施計劃，分階段的逐步落地，持續(xù)提升企業(yè)零信任安全能力，是一個不斷完善、持續(xù)優(yōu)化的過程。

　　落地建設可分為：全新建設零信任架構網(wǎng)絡、在已有網(wǎng)絡架構上改造升級，兩種情況。

　　無論是全新搭建還是已有網(wǎng)絡架構升級，實施過程應考慮以下因素：

　　1）有專門的安全團隊和人員牽頭和推進實施；2）領導的重視（往往決定了落地的難易程度）；3）有明確的安全目標（以及階段性目標）；

　　4）有適配達到安全目標的足夠預算；

　　5）業(yè)務團隊的充分理解和配合；

　　6）第三方廠商的配合

　　無論是全新搭建還是已有網(wǎng)絡架構升級，實施過程可以參考以下方法和步驟：

　　1）明確范圍

　　全面梳理和確認過程中涉及的人員、設備、業(yè)務系統(tǒng)、數(shù)據(jù)資產(chǎn)等保護對象，并考慮到實施過程中可能涉及的網(wǎng)絡位置（集團總部、分支機構、云環(huán)境等）等因素。從應用場景進行梳理可能是比較好的一種方式。

　　2）確定安全目標

　　根據(jù)零信任網(wǎng)絡保護對象的重要程度，以及企業(yè)可能面臨的安全風險、企業(yè)安全現(xiàn)狀、團隊能力、可投入的資源等因素，確定零信任網(wǎng)絡需要建設的安全能力，以及能力實現(xiàn)的強弱程度（并非一定要把所有最高級別的安全能力手段都加于企業(yè)身上，而是應根據(jù)企業(yè)實際需求適配，但需要保障零信任基本能力的建設）。

　　3）制定實施計劃

　　根據(jù)已確定的安全目標、企業(yè)現(xiàn)狀，制定實施計劃，明確各實施階段的實施目標和里程碑標志（能夠驗證目標已達成的事項）

　　4）分階段實施

　　根據(jù)制定的實施計劃，推動相關人員實施。并按照項目管理的模式，按時推進，跟蹤進展，適時調(diào)整，逐 個階段的實現(xiàn)。

　　5）持續(xù)完善和優(yōu)化

　　在完成零信任網(wǎng)絡的基本建設后，應該不斷和提升豐富企業(yè)的零信任安全能力（包括持續(xù)加強零信任組件的自身安全防護、持續(xù)提升企業(yè)的零信任網(wǎng)絡安全運營能力等），最終從安全技術、安全意識、安全運營、組織建設等方面持續(xù)完善和優(yōu)化六、零信任和現(xiàn)有安全產(chǎn)品的關系

　　自認為零信任只是一種新的安全理念，也不過只是一種新的安全架構，并不能取代現(xiàn)有安全產(chǎn)品，不過在零信任架構中，可以把現(xiàn)有安全產(chǎn)品更緊密結合在一起，形成更立體聯(lián)動的效應，比如現(xiàn)有的一些檢測告警類、防護類安全產(chǎn)品可以輔助實現(xiàn)零信任架構中 “動態(tài)持續(xù)檢測各對象安全狀態(tài)，動態(tài)調(diào)整權限、降級、甚至阻斷”這一特點解決傳統(tǒng)一些架構中，弱管控、動態(tài)處置效率不高等缺點，真正實現(xiàn)全過程持續(xù)“零信任”。