深入探讨网络安全中的零信任安全策略

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

零信任的概念

零信任技术体系是一种安全架构和策略，其核心理念是不信任任何用户或设备，而是通过不断验证和授权用户、设备和应用程序的身份和权限来保护网络和数据安全。

在传统的网络安全模型中，通常会侧重于保护边界，即在企业网络内部和外部之间建立防御墙来阻止未经授权的访问。然而，随着云计算、移动设备和远程工作的普及，边界不再明确，传统网络安全模型变得日益无效。

零信任技术体系采用了一种“永远不信任，始终验证”的策略，不论是在企业网络内部还是外部，所有用户、设备和应用程序都需要进行身份验证和授权才能访问网络资源。这种策略依赖于多个安全层次，包括身份验证、访问控制、用户行为分析和网络段隔离等，以确保只有授权用户和设备才能访问敏感数据和应用程序。

零信任技术体系的好处包括更高的数据安全性、更好的用户体验、更灵活的工作方式和更容易满足合规性要求。然而，实施零信任技术体系也面临一些挑战，如复杂性、对现有基础设施的依赖性和对员工的培训和教育等。

因此，采用零信任技术体系需要综合考虑组织的需求、资源和风险承受能力，以确保有效地实施和管理这一安全架构。

零信任三大技术架构

零信任SDP（Software-Defined Perimeter）

零信任SDP（Software-Defined Perimeter）是一种网络安全架构，它的主要目标是为企业提供更高级别的安全保护，特别是在面对日益复杂的网络威胁时。与传统的网络安全模型不同，零信任SDP基于一种“零信任”理念，即不信任任何用户或设备，并要求对每个连接进行验证和授权。

零信任SDP基于软件定义网络（SDN）和一系列安全控制策略来实现。它通过在网络边缘创建一种被称为“黑云”的安全边界，只允许授权用户和设备通过连接到企业资源。这些连接是基于具体的用户身份、设备健康状况、访问权限等因素进行验证和授权的，从而确保只有合法用户能够访问敏感数据和系统。

零信任SDP的优势包括：

1. 增强的安全性：通过实施多重身份验证和授权机制，零信任SDP可以大大降低网络攻击的风险，提高企业数据和系统的安全性。
2. 灵活性和可扩展性：零信任SDP可以适应不同规模和类型的企业网络环境，由于其基于软件定义的特性，可以轻松地进行配置和扩展。
3. 可视化和集中管理：零信任SDP提供了一种集中管理和可视化监控的方式，使企业能够更好地了解和管理网络连接和安全策略。
4. 最小网络暴露面：零信任SDP将网络资源隐藏在黑云之后，只允许经过严格验证和授权的用户和设备访问，从而最小化了网络攻击的可能性。

总的来说，零信任SDP是一种高级的网络安全架构，可以提供更高级别的安全保护，对抗日益复杂的网络威胁。它可以帮助企业建立一个更加可靠和安全的网络环境，保护企业的数据和系统免受未经授权的访问和攻击。

零信任IAM（Zero Trust IAM）

零信任IAM（Zero Trust IAM）是一种安全策略，它将身份和访问管理与零信任安全模型相结合，以实现更高级别的数据保护。传统的身份和访问管理模型通常假设内部网络是可信的，因此只关注对外部网络的访问控制。然而，随着网络攻击和数据泄露事件的增加，零信任安全模型的理念已经提出，要求对所有用户和设备的访问进行验证和授权，无论其位置和网络环境。

零信任IAM采用多层次的安全控制措施来确保用户只能访问其所需的资源。这包括身份验证、访问控制、权限管理和会话管理等功能。与传统IAM模型相比，零信任IAM模型强调了更加细粒度的访问控制和透明的可见性。

零信任IAM的关键原则包括：

1. 最小化特权：用户只能获得完成任务所需的最低权限，不可信任的用户或设备需要额外的身份验证和授权。
2. 连续身份验证：用户在访问资源时需要进行身份验证，而不仅仅是在登录时验证。
3. 权限动态调整：根据用户的活动和环境条件，及时调整用户的权限。
4. 多因素身份验证：通过多个身份验证因素来增加安全性，如密码、生物识别、硬件令牌等。
5. 日志和审计：记录用户的访问和操作日志，以便追踪和分析安全事件。

通过采用零信任IAM策略，组织可以更好地保护其敏感数据和资源，减少数据泄露和未经授权访问的风险。同时，零信任IAM也提供了更灵活的访问管理和用户体验，使用户能够更方便地获取所需的资源。

零信任（Zero Trust）MSG 微隔离

微隔离技术是用于实现东西向安全的**（服务器跟服务器间的安全）**。微隔离是零信任架构的重要组成部分。
零信任微隔离（Zero Trust Micro-segmentation）是一种安全架构和策略，旨在保护网络和数据资源免受内部和外部威胁。传统网络安全模型通常依赖于防火墙和边界控制来保护网络内部。然而，随着云计算、移动设备和远程工作的普及，传统边界保护已经变得不够有效。

零信任微隔离模型基于以下原则：

1. 怀疑一切：不信任任何设备、用户或应用程序，并且要求验证身份和权限。
2. 细粒度访问控制：对网络资源和数据进行细粒度的访问控制，确保只有授权的用户和设备可以访问特定的资源。
3. 最小化特权：仅授予用户和设备所需的最低权限，以减少潜在攻击面。
4. 完整性保护：监控网络流量和数据传输，检测和防止异常活动和数据泄露。
5. 实时监控和响应：实时监控网络活动，及时检测和响应潜在安全事件。

零信任微隔离通过将网络分段成多个微细粒度的区域，限制不同用户和设备之间的通信，从而有效地隔离和保护敏感数据和系统资源。此外，它还使用身份认证、访问控制和加密等技术来确保只有授权的用户和设备可以访问和使用资源。

零信任微隔离可以增强网络安全性，减少潜在攻击面，并提供更高的可见性和控制。它适用于各种组织和行业，特别是对于需要保护敏感数据和遵守合规性要求的企业来说，是一种重要的安全措施。

零信任SDP

SDP的5重认证机制：

1. SPA（单包授权认证）：控制器只有接收到了客户端发出的SPA包，验证合法之后，控制器才对该客户端的IP开放指定客户端认证的端口。这个技术可以屏蔽绝大多数非法用户的网络攻击，让漏洞扫描、DDoS等攻击方式都失效。
2. MTLS（双向认证）：网关跟客户端的通信是加密的，而且是双向认证，网关认证用户，用户也要认证网关。双向的认证保证了中间人攻击无法奏效。
3. 动态防火墙：经过SPA认证后，网关会放行指定端口。但端口放行是暂时的，几秒内没有操作，端口就会自动关闭。最大限度提高防护强度。
4. 设备验证：SDP不止验证用户身份，还要验证用户设备。设备的验证包括设备健康状态的验证，如是否装了杀毒软件等等。设备验证还包括设备证书的验证，只有合法设备才会安装证书，证书参与通信数据的加密过程。保证连接都是来自合法设备的。
5. 应用绑定：用户只能访问有授权的应用。这符合“最小化授权”原则，保证了威胁无法横向蔓延。

访问流程图

数据流详情如大佬的文章https://www.cnblogs.com/Dreamboat1218/p/14451846.html

SDP优势和功能

1. 基础设施隐藏： 终端用户设备在通过身份验证授权之前，SDP控制器和SDP网关不会响应任何连接请求。
2. 减少Dos攻击： 面向互联网的服务都处于SDP网关的后面，可以抵挡DOS攻击，SPA可以保护SDP网关免受DOS攻击。
3. 检测错误包： 从任何其他主机到SDP客户端的第一个数据包是SPA 数据包（或类似的安全构造)。如果SDP网关收到任何其他数据包，则将其视为攻击。
4. 防止越权访问网络： 设备只能访问策略允许的特定主机和服务，不能越权访问网段和子网。
5. 应用程序和服务访问控制： SDP 控制允许哪些设备和应用程序可访问特定服务例如应用程序和系统服务。

SDP缺点

1. 零信任实施策略可能会造成安全差距 ：SDP技术架构实现主要是实现边界的安全零信任，可能会出现安全差距或真空地带，使零信任方案看上去不像宣传的那样好。
2. 客户的网络架构可能无法适应零信任：基础设施隐藏这个功能是相对的，对于对外的应用系统（如门户网站等），零信任SDP无法保障这些系统的安全问题，这就要依靠传统安全进行安全防护，将对外的应用系统隔离到一个DMZ区，进行安全防护，和内网隔离。
3. 零信任并非没有安全风险：用户凭据仍然可能被泄露；零信任管理员帐户凭据是有吸引力的目标。

零信任IAM

（其实感觉和传统的IAM没有什么区别，哪个大佬评论指点一下）

核心功能

MFA（多因子身份认证）
提供多样的身份认证管理，业务系统基于不同用于用户提供统一的认证接口，根据用户的权限级别来确保对应业务安全级别的准确性。使用MFA（多因子身份认证）对用户凭据进行额外的安全保护，可以抵御各种网络威胁。

SSO
保障用户的安全接入，一次登录实现各业务系统的统一访问，无需再次登录鉴权。解决组织多应用，多账号管理繁琐的问题。

动态访问控制
基于可信的终端、应用、身份、流量、上下文信息，进行细粒度的风险度量和授权，实现动态访问控制。

风险识别
基于用户行为的风险识别，支持根据用户所在地点、终端、访问习惯等场景信息，制定差异化的认证策略，并根据用户登录场景的变化，动态调整认证策略，触发基于不同场景下的安全认证策略。

用户行为审计
从用户请求网络连接开始，到访问服务返回结果结束，所有的操作、管理和运行更加可视、可控、可管理、可跟踪。实现重点数据的全过程审计，识别并记录异常数据操作行为，实时告警，保证数据使用时的透明可审计。

IAM优势

1. 加强安全性并降低风险：以用户身份包括属性、角色、组和动态组作为对授权策略的依据，并按位置和时间确定访问权限。授权可以在文件、页面或对象级别上进行。此外，受控制的“模拟”（在此情形中，诸如客户服务代表的某个授权用户，可以访问其他用户可以访问的资源）也由策略定义。

2. 改善合规性和审计绩效：用于分析网络空间中的用户和实体（服务器、路由器等）的行为（可以分析包括用户、IT设备、和IP地址等在内的行为），并应用高级分析技术来检测异常恶意行为，并达到异常行为响应的目的。

3. 提供快速，有效的业务访问：一次认证，可以访问所有的系统。

4. 降低运营成本：同用一套认证系统，避免服务器资源的消耗。

零信任IAM缺点

需要持续的管理、维护
切换到零信任网络安全模型的另一个经常被忽视的挑战是需要持续管理。 在某些情况下，零信任意味需要额外的人员或购买托管服务。
零信任模型依赖于严格定义权限的庞大网络，但公司始终在发展中，人员总是处于被雇用、进入新角色、改变工作地点、辞职和下岗的动态流程中。人员的每次变动都必须更新访问控制，以确保正确的人员可以访问特定信息。如果在员工角色变更或离职后没有立即更新权限和控制，就会产生未经授权获得对敏感数据的访问权限的风险。而保持权限准确和更新需要持续投入，这对于资源紧张的网络安全部门来说往往会难以为继。

零信任（Zero Trust）MSG 微隔离

注：微隔离技术是用于实现东西向安全的（服务器跟服务器间的安全）。微隔离是零信任架构的重要组成部分。

微隔离技术路线

微隔离方案落地可选技术路线包括代理隔离、虚墙隔离、混合模式。

■ 代理隔离

通过代理软件实现隔离，需要将代理部署在网络中的每个节点，节点通过代理向微隔离客户端申请认证，客户端通过代理来控制节点用户的网络行为。这种方案不需要考虑底层架构，且方便节点迁移，代理保留节点身份信息，控制中心安全策略计算复杂度相对降低。但劣势也比较明显，需要为数据中心所有节点安装客户端，节点划分最低到主机级别，业务划分粒度有限。

■ 虚墙隔离

通过虚拟防火墙实现隔离。基于防火墙技术，具有更好的安全性，且易于扩展虚墙的DPI、AV、IPS、WAF等功能，集成多类型日志信息。其劣势在于虚墙的费用相对较高，且性能优化困难。

■ 混合模式

数据中心网络拓扑情况十分复杂时，可适当结合代理和虚墙两种模式，针对具体情况选择易于实施的技术方案，当然，混合模式也会增加管理难度，增加微隔离客户端的实现开销。

微隔离的优点

1. 减少攻击面

2. 改善横向运动的安全性

3. 安全关键应用

4. 改善法规遵从性状况

微隔离的缺点

1. 业务运行环境越复杂，管控粒度越细，策略的计算难度就越高；在庞大的网络体系下如何最大程度提升性能，实现秒级运算，是当下一大问题。
2. 需要做到全方位自适应动态策略生成，包容大范围网络迁移，这个在大型网络中需要实现大量的资金，同时也是一个巨大的工程量。
3. 在业务网络中，很难确定微隔离部署的最佳位置，拓扑的绘制难度很大，同时容易引起网络中断。
4. 需要在庞大业务群中进行定义业务的多重认证，会提高认证延时及服务器的访问延时，业务量大的情况下，会加大服务器资源的消耗。

零信任技术框架实现

1. 运行零信任试验
在将零信任方案投入生产环境之前，请对其进行用户试验和安全评估。评估用户使用体验、管理员管理体验以及安全团队对事件和安全问题的响应体验。从所有类型的用户那里获得反馈，以改进未来的实施。

2.从小处着手

当零信任进入生产环境时，从小处着手。并且不要完全放弃遗留系统。首先，识别最敏感的数据和关键工作流程，并对其进行更严格的访问控制，例如多因素身份验证、特权访问和会话管理。暂时将其余数据留给传统的安全边界控制管理。建议从SDP 和IAM入手，逐步完善网络的零信任架构。

3.慢慢扩展

“小目标”成功后，再扩展部署。循序渐进地引入零信任安全是更为稳妥的方法，不会破坏网络安全战略的连续性。企业逐步锁定关键资产，逐步切换系统所面临的威胁更少。

4.牢记零信任“人的因素”

零信任成功的关键不仅是让合适的员工负责零信任部署和管理，而且还需要适应企业文化。

零信任是一项团队运动。安全、网络、数据和应用开发团队需要与人力资源、财务、最高管理层和其他团队合作，才能取得零信任的成功部署。沟通和协作很重要。培训和认证则有助于提升零信任知识。

请记住，对于零信任来说，培训和文化与技术同样重要。强大的技术可能会被有问题的文化打败。每个员工都是零信任团队的成员，需要适应全新的工作方式和新政策，因此一定要避免任何用户体验摩擦。