10月29日，英國國家網絡安全中心發(fā)布《零信任基本原則》草案，為政企機構遷移或實施零信任網絡架構提供參考指導。

　　00　概 述

　　網絡架構正在快速變化，越來越多的服務被遷移至云端，軟件即服務（SaaS）的使用規(guī)模也在不斷增長。與此同時，各類組織也開始采用愈發(fā)靈活的工作方式，允許員工身在各個位置通過多種設備接入業(yè)務系統(tǒng)。

　　傳統(tǒng)網絡邊界正在消失，傳統(tǒng)防御方案的價值也隨之土崩瓦解。零信任是一種專門應用此類變化條件的網絡架構。本份指南中概述的八項原則，可幫助您建立自身零信任網絡架構。

　　默認網絡環(huán)境具有惡意性質

　　在零信任架構當中，我們不再對網絡抱有任何固有信任。因此接入網絡，不代表您應該或者有權訪問目標網絡上的所有內容。

　　在入侵時，攻擊者通常會在目標網絡當中建立登陸點，而后憑借著網絡內部的全面受信原則實現橫向移動。但在零信任架構中，我們默認網絡環(huán)境具有惡意性質。

　　消除網絡中的默認受信思維

　　要在網絡中消除默認受信思維，則必須為用戶、設備以及服務建立起新的信任機制。信任的建立，離不開對用戶身份（通過身份驗證）、設備運行狀況及其所訪問服務（授權）的全面把控。

　　為了實現零信任機制，您應該對接觸服務的每一條連接進行身份驗證，并根據規(guī)則及策略對設備、用戶以及連接進行授權。無論連接請求來自何處，這些策略都會獨立評估您對用戶及其設備的信任，并相應為其授予對資源的訪問權限。

　　要實現授權決策，您應該根據誰需要在何種條件下訪問哪項服務或哪些數據明確定義訪問策略。

　　您的具體信任度，則取決于所訪問數據的價值以及所執(zhí)行操作的潛在影響。您應該對設備進行盤點，同時根據所定義策略（例如加密、補丁修復級別等）監(jiān)控設備運行狀況。

　　如果您不確定零信任架構能否滿足您的實際需求，或者希望了解關于零信任架構的更多信息，我們的網絡架構指南將會對您有所幫助。

　　01   這份指南適合哪些受眾？

　　本指南主要面向以下技術受眾：系統(tǒng)工程師、解決方案與安全架構師、以及CISO。在執(zhí)行安全評估或保障工作時，您也可以將相關原則引入審查框架。

　　在實施相關設計時，您可以將這些原則作為技術功能選擇指導。

　　實施零信任相關技術的組織或開源項目，也可以使用這些原則指導自身發(fā)展，并評估在實施零信任架構的哪些層面存在困難。

　　使用這些原則雖然無法徹底保障架構安全，但至少可幫助您集中精力處理真正精密復雜的問題。

　　02  新興且不斷發(fā)展的零信任架構

　　IT系統(tǒng)一直在發(fā)展變化，以此為基礎，這里提出的原則也不可一成不變、僵化自守。請記住，零信任架構是一種剛剛興起且仍在不斷發(fā)展的事物。

　　在實施過程中，您可能會發(fā)現自己無法一次性滿足所有原則。這可能是因為您的現有技術無法支持零信任架構。實際上，這是一種相當常見的情況，恐怕直到零信任技術成熟之時才能得到根本性解決。

　　請以實用為先，包括繼續(xù)支持傳統(tǒng)的安全控制機制。隨著系統(tǒng)逐步過渡至零信任架構，您會發(fā)現自己能夠遵循的原則越來越多。

　　您的架構應該具備充分的靈活性以適應不斷的變化的需求，同時又不致影響用戶的正常體驗。您應考慮如何添加新服務、在服務之間往來移動，以及啟用/禁用各類功能。這種靈活性將使您的用戶可以隨時使用新功能，亦保證您自己可以快速對新的漏洞及威脅做出響應。

　　您應定期重新審查您的架構，并及時通過變更提高系統(tǒng)的可用性與安全性。

　　03  零信任架構的實施——步步為營

　　對現有系統(tǒng)架構的轉型不可能一蹴而就。

　　無論現有網絡已經使用了多久、其中包含多少陳舊服務，您都應該為零信任模式的部署設計一種分階段實施方法，借此推動多輪迭代。建立新的架構基礎需要時間。例如，為用戶及設備建立強身份，或者在組織當中部署現代身份驗證體系往往相當耗時。

　　在面向新架構過渡時，特別是在實施并測試零信任控制機制之前，請不要急于停用傳統(tǒng)安全控制方法?？紤]到零信任架構強有力的控制原則，一旦系統(tǒng)未經正確配置及測試，您的業(yè)務很可能會直接暴露在風險當中。例如，在確定您的零信任架構能夠解決以往由VPN處理的一切潛在威脅之前，請不要輕易刪除VPN連接。

　　此外，傳統(tǒng)系統(tǒng)可能仍然需要由傳統(tǒng)網絡架構進行托管，或者無法支持零信任架構的某些特性。因此，您可能需要在某些環(huán)境當中同時管理傳統(tǒng)網絡邊界與零信任架構。具體來講，您可能需要為遺留應用程序或者身份驗證代理保留獨立的VPN隧道。在更新舊有系統(tǒng)時，請嘗試在設計層面支持零信任架構。

　　即使是在從零開始構建的新環(huán)境中，零信任模型的實施同樣可能困難重重。目前市售的產品往往無法充分滿足以下全部原則。因此，您的安全架構同樣需要配合完善的風險管理方法。

　　04　術語

　　在討論零信任架構時，大家應該建立一套術語表。以下是零信任架構原則中使用的部分術語，我們將各項術語與其他來源相結合，對零信任技術做出準確描述。

　　訪問策略——用于管理訪問請求的規(guī)范，包括驗證請求的可信性與授權行為。

　　配置策略——用于描述設備及服務中配置選項的策略。

　　信號——包括設備運行狀態(tài)或者位置等信息，可用于確定哪些資產值得信任。您往往需要使用多種信號以決定所授予的資源訪問權限。

　　信號數據庫——長期信號存儲方案，用于隨時支持訪問決策。

　　策略引擎——負責接收信號并將其與訪問策略進行比較的組件。策略引擎通常表現為可從供應商處采購的第三方產品或服務。

　　策略執(zhí)行點——使用策略引擎將設備請求導引至目標服務，借此確定連接是否可信。

　　設備運行狀態(tài)——確保設備符合配置策略并處于良好的運行狀態(tài)，包括已經安裝最新補丁程序、或者啟用了安全啟動等功能。

　　05   具體原則

　　以下八項原則為零信任架構的設計基礎。

　　1.了解您的架構，包括用戶、設備和服務

　　在零信任網絡模型中，了解您的資產比以往任何時候都更加重要。

　　2.了解您的用戶、服務和設備身份

　　在零信任架構中，身份成為新的邊界，對于以下各項：用戶（人）、服務（機器或軟件過程）、設備，具有唯一的身份源非常重要。

　　3.了解您的用戶、設備和服務的健康狀況

　　設備的健康狀況、用戶行為和服務是獲得用戶信任最重要的信號。

　　4.使用策略授權請求

　　每個訪問數據或服務的請求都應由中央策略引擎檢查，該引擎將請求與訪問策略進行比較，以確定訪問決策。

　　5.始終驗證

　　在零信任架構中，我們假設網絡是惡意的，并對訪問數據或服務的所有連接進行身份驗證。

　　6.將監(jiān)控重點放在設備和服務上

　　鑒于設備和服務比傳統(tǒng)架構更容易受到網絡攻擊，因此對攻擊進行全面監(jiān)控非常重要。

　　7.不要信任任何網絡，包括您自己的網絡

　　在零信任中，網絡被認為是惡意的，因此將信任建立在用戶、設備和服務，而非網絡。

　　8.選擇專為零信任設計的服務

　　選擇原生支持零信任網絡架構的服務。