跳到内容

零信任架构备忘录

简介

本备忘录将帮助您的组织实施零信任架构 (ZTA)。零信任的含义是“永不信任,始终验证”——默认情况下,您不信任任何人或任何事物,即使它们位于您的网络内部。

传统安全就像一座有围墙的城堡。一旦进入内部,您就可以访问所有内容。零信任则不同——它在每次有人或设备尝试访问某些内容时都会进行检查,就像每个门口都有保安一样。这种方法可以防止进入您网络的攻击者在内部横向移动并窃取数据。

零信任核心原则

这些原则来源于 NIST SP 800-207

1. 所有数据源和计算服务都是资源

您网络中的一切都是需要保护的资源——服务器、数据库、云服务、物联网设备和用户设备。不要仅仅因为某物“内部”于您的网络就认为它是安全的。每个资源都需要自己的安全控制。

2. 所有通信无论网络位置如何都受到保护

每次连接都必须加密和认证,无论是您的办公室与云之间、内部系统之间,还是从家里到工作场所的连接。网络位置不决定信任级别。对所有内容都使用 强加密(TLS 1.3 或更高版本)。

3. 对资源的访问基于会话授予

不要给予任何永久访问权限。每次有人尝试访问资源时,都要评估是否应允许他们访问。会话应是短期有效的,并在过期时要求重新认证。没有“一次设置,永久有效”的访问。

4. 访问由动态策略决定

访问决策会考虑多个因素:谁在请求、他们使用什么设备、从哪里连接、当前时间以及他们的常规行为。这些策略会根据风险而变化。工作时间从工作笔记本电脑访问工资单的人风险较低。而同一个人凌晨 2 点在咖啡馆下载大量数据则风险很高。

5. 监测和衡量所有资产的安全态势

持续检查所有设备和系统的健康状况和安全性。如果您看不见它,就无法保护它。这包括监控补丁、杀毒软件状态、配置更改和可疑行为。不符合规定的资产将失去访问权限。

6. 所有认证和授权都是动态且严格执行的

对于每个访问请求,安全决策都实时发生。不要依赖静态规则或永久权限。系统应根据当前风险级别自动调整访问权限,撤销受损账户的访问,并隔离可疑设备。

7. 收集信息以改善安全态势

尽可能收集关于用户、设备、网络流量和系统行为的安全数据。使用这些信息来检测威胁、改进策略并做出更好的安全决策。这些数据对于合规性和事件调查至关重要。

零信任架构核心组件

零信任采用三个协同工作的主要部分

策略引擎 - 负责决定是否允许或阻止访问。它会查看用户身份、设备健康状况、位置、行为和风险评分。棘手之处在于制定既安全又不会使工作变得不可能的策略。

策略管理员 - 负责接收策略引擎的决策,并告知执行系统应采取的行动。当策略引擎指示“允许访问但需要额外验证”时,策略管理员会找出具体细节,并向正确的系统发送指令。

策略执行点 - 这些点实际阻止或允许访问尝试。包括防火墙、代理服务器、应用网关和 API 网关。重要的是,执行发生在所有地方,而不仅仅是您的网络边缘。

这三个部分在每次访问请求中实时协同工作,创建了能够适应不断变化情况的安全防护。

零信任如何应对现代安全挑战

零信任解决了传统方法无法有效处理的安全问题。以下是其在实践中的运作方式

传统与零信任响应对比

攻击场景 传统安全响应 零信任响应
凭据被盗 重置密码,添加基本 MFA 持续风险评估、设备验证、行为分析——即使凭据有效,如果风险高也会拒绝访问
内部威胁 信任网络边界内的员工 无论用户位置、角色或任期如何,验证每次操作——没有隐式信任
横向移动 具有扁平内部网络的边界安全 微分段阻止系统间的移动,每个连接都经过验证
设备受损 VPN 访问授予网络访问权限 设备健康状况持续监控,如果检测到设备受损立即撤销访问
特权账户滥用 永久管理员权限并定期审查 及时访问,具有自动过期和持续监控功能
数据外泄 边界网络监控和 DLP 具有实时行为分析的数据级访问控制

需要零信任的现代威胁

一些当代攻击模式是专门设计用来绕过传统安全的。零信任提供了抵御这些攻击所需的高级能力

供应链攻击 - 隐藏在受信任软件(如 SolarWinds)中的恶意代码完全绕过了边界安全。零信任通过应用程序级别的身份验证、运行时行为监控和微分段来限制损害。

云配置漂移 - 配置错误的云资源将数据暴露在传统网络边界之外。零信任使用策略即代码、持续合规性监控和资源级别访问控制来防止未经授权的数据访问。

API 优先攻击 - 对 API 的直接攻击完全绕过了网络安全。零信任要求对每个 API 调用进行认证和授权,验证请求模式,并使用行为分析来检测滥用模式。

基于身份的攻击 - 复杂的攻击,如 Pass-the-Hash 和 Golden Ticket,窃取身份令牌以冒充合法用户。零信任使用具有持续验证的短期令牌、设备绑定和行为分析来检测异常访问模式。

零信任架构决策实战

以下是三个示例,展示了零信任在正确设置后如何实际运作

案例研究 1:深夜在家工作

发生情况: 一位财务经理需要在晚上 11:30 在家查看工资数据,以准备第二天一早的会议。她以前从未在正常工作时间之外访问过工资单。

零信任如何处理

系统注意到几个风险因素:异常时间(远超出朝九晚五)、家庭网络而非办公室网络,以及敏感数据(工资单包含个人信息和薪资)。但它也看到了好的迹象:公司笔记本电脑具有最新安全防护、有效的设备证书以及正确的职位角色。

系统没有直接阻止她,而是要求进行额外验证——她必须使用她的硬件安全密钥并批准手机上的通知。然后系统允许她进入,但设置了限制:90 分钟的会话时长、详细记录她所做的一切,如果她尝试下载大量数据,还需要额外的验证。

成功原因: 她无需致电 IT 部门就能完成紧急工作,同时系统保持了与风险级别相匹配的强安全控制。

案例研究 2:新承包商笔记本电脑

发生情况: 一位外部承包商正在进行一个软件项目,需要从一台从未连接过的新笔记本电脑访问开发系统。

零信任如何处理

系统检测到一台未知设备尝试连接,并立即阻止了直接网络访问。但系统并未直接拒绝,而是将承包商重定向到一个安全的浏览器平台,在那里他只能访问其所需的开发工具。

他的所有工作都在一个隔离的云环境中进行——他可以编写代码、阅读文档并与团队协作,但他的笔记本电脑上没有任何实际接触。整个会话都已记录以供安全审查,他无法下载文件或访问其项目之外的任何内容。

成功原因: 承包商在不产生安全风险的情况下保持了生产力,公司也完全控制了其代码和数据。

案例研究 3:跨团队项目访问

发生情况: 一位营销经理突然开始查看她以前从未访问过的工程文档。这种访问是合法的(因为是一个跨团队项目),但系统无法自动得知这一点。

零信任如何处理

异常的访问模式触发了中等风险警报。系统没有立即阻止她,而是通过自动化工作流要求经理批准。它向她的上司和工程团队负责人发送了通知,解释了她希望访问的内容。

一旦获得批准,她获得了为期 24 小时的临时访问权限。在此期间,她查看的所有内容都被详细记录,安全团队也收到了她访问内容的摘要。如果她需要更多时间,她必须说明业务原因并请求延期。

成功原因: 跨团队协作未被安全规则阻碍,但公司保持了对敏感技术信息的可见性和控制。

这些案例说明了什么

在每种情况下,零信任不仅仅是简单地回答“是”或“否”——它做出了兼顾安全与业务需求的智能决策。系统考虑了多个风险因素,应用了适当的控制,并保留了详细记录以用于合规性检查和调查。

这种智能方法是优秀零信任实施与基本访问控制之间的区别。技术会适应情况,而不是强迫用户绕过僵化的安全规则。

既然您了解了原则和方法,我们来深入探讨实施的实际细节。从身份和访问管理开始——这是所有其他内容的基础。

身份与访问管理

多因素认证 (MFA)

每个人都需要 MFA——包括员工、承包商和合作伙伴。以下是效果最佳的方法

最安全(高度防钓鱼)

  • FIDO2 硬件安全密钥:使用公钥加密的物理设备
  • 基于 WebAuthn 的平台验证器:使用指纹或面部识别的密钥
  • 智能卡或 PIV 卡:基于 PKI 的认证

良好选择

  • 移动应用:基于 TOTP 的认证器应用程序
  • 备用码:当主要方法失效时使用

避免

  • 基于短信的 MFA:容易受到 SIM 卡劫持和钓鱼攻击

设置条件访问,以便高风险情况需要更强的认证。OMB M-22-09 要求美国联邦机构强制使用防钓鱼 MFA。

管理用户账户

  • 使用一个身份系统:不要有多个用户数据库
  • 自动化账户创建:自动设置基于角色的访问权限
  • 定期审查访问权限:每季度检查谁拥有访问权限
  • 分离管理员账户:不要使用普通账户进行管理

在实施用户账户管理时,遵循全面的 认证最佳实践

访问控制

遵循以下规则授予人员 访问权限

  • 最小特权:仅授予完成工作所需的最低访问权限
  • 及时访问:仅在执行特定任务需要时才提供提升的访问权限
  • 无永久管理员权限:移除常驻管理权限
  • 智能决策:在授予访问权限时考虑用户角色、位置和设备

设备安全

信任设备

在您信任任何设备之前,请确保它符合您的标准

  • 注册所有设备:保留一份带有唯一证书的已批准设备列表
  • 持续健康评估:实时监控杀毒软件状态、操作系统补丁、安全配置和设备安全态势
  • 基于证书的设备身份:使用 PKI 证书唯一标识和认证每个设备
  • 漏洞扫描:定期评估设备安全态势和补丁级别
  • 设备受损时撤销信任:如果设备安全受到威胁,自动移除访问权限

保护端点

每台设备都需要这些保护

  • 反恶意软件:实时保护免受病毒和恶意软件侵害
  • 行为监控:观察可疑的设备活动
  • 全盘加密:加密设备上的所有数据
  • 远程擦除:能够擦除丢失或被盗设备

网络架构

微分段

不再是一个大型网络,而是创建小型隔离分段

  • 按应用隔离:每个应用获得自己的网络分段
  • 默认阻止:除非明确允许,否则不允许流量
  • 监控内部流量:观察系统之间的数据流动
  • 使用加密通信:系统间所有通信必须加密

网络控制

实施这些网络保护措施

  • DNS 过滤:阻止访问恶意网站
  • 网页过滤:控制用户可以访问哪些网站
  • 替换 VPN:改用零信任网络访问 (ZTNA)
  • 监控流量:分析所有网络连接

应用程序和数据保护

保护应用程序安全

使用这些控制来保护您的应用程序

  • 身份感知代理:在允许应用访问前检查用户身份
  • Web 应用程序防火墙 (WAF):在应用层阻止 OWASP Top 10 攻击。可部署在网络边缘、内部网段或作为 API 网关的一部分
  • API 安全网关:认证每个 API 调用,验证请求模式,并使用 REST 安全最佳实践 对微服务通信强制执行速率限制
  • 安全开发:将安全性融入您的开发过程

保护数据

通过这些方法确保您的数据安全

  • 数据分类:按敏感度级别标记数据
  • 使用加密:通过适当的 加密存储 保护存储中或传输中的数据
  • 防止数据丢失:监控并阻止未经授权的数据传输
  • 记录所有访问:记录谁在何时访问了什么数据

监控与分析

安全运营

设置这些监控功能

  • SIEM 集成:从所有系统收集和分析日志
  • 威胁搜寻:主动寻找攻击迹象
  • 自动化响应:自动阻止可疑活动
  • 行为分析:学习正常模式并检测异常

关键追踪指标

监控这些重要数字

  • 认证成功与失败的频率
  • 安全策略违规次数
  • 检测威胁的速度 (MTTD)
  • 响应事件的速度 (MTTR)

实施步骤

零信任的实施需要一种结构化的方法。这不像安装一个安全工具那样简单——它更像是更新您的整个安全方法,同时保持一切正常运行。以下是真正有效的方法

阶段 1:打好基础 (1-6 个月)

在投资新的零信任技术之前,您需要了解您正在保护什么

弄清楚您拥有什么 - 列出所有用户、设备、应用程序以及数据如何流动。这听起来容易,但比您想象的要花更长时间。您会发现被遗忘的系统、影子 IT 和无人记录的连接。

在所有地方设置强 MFA - 这将显著提高安全性。使用 FIDO2 硬件密钥或生物识别认证。不要使用短信验证码——它们太容易被破解。由于这会改变人们的登录方式,因此请规划用户培训。

替换您的 VPN - 普通 VPN 一旦有人登录就会授予过多的访问权限。切换到零信任网络访问 (ZTNA),它只授予对特定应用程序的访问权限。这通常是用户会注意到的重大变化。

控制管理员访问 - 为管理账户设置特权访问管理 (PAM)。移除永久管理员权限并切换到临时访问。这最初可能会减慢一些流程。

阶段 2:增加实际零信任控制 (6-18 个月)

现在您开始构建实际的零信任能力

拆分您的网络 - 将您的扁平网络拆分为更小、独立的网段。从您最重要的应用程序开始。这在技术上很困难,网络团队可能不喜欢额外的工作。

持续监控设备 - 设置系统,持续检查设备健康状况、更新和安全性。不安全的设备会自动失去访问权限或获得受限访问。这给人们带来了保持设备更新的压力。

妥善保护应用程序 - 添加身份感知代理和 Web 应用程序防火墙 (WAF),它们根据谁尝试访问什么来做出安全决策,而不仅仅是他们从哪里连接。

阶段 3:高级功能 (18-36 个月)

构建高级功能

添加行为监控 - 使用学习用户和设备正常行为的系统。当行为看起来异常时,系统可以自动更改访问权限或要求更多验证。这需要机器学习和大量数据。

自动化响应 - 构建能够自动隔离受损账户、隔离可疑设备并根据新威胁更新安全策略的工具。目标是比人类更快地响应。

利用您的数据 - 将您收集的所有安全数据用于改进您的策略。这个阶段是关于微调,而不是构建新功能。

阶段 4:持续改进 (持续进行)

零信任永无止境

保持最新 - 更新威胁情报,调整风险评分,并根据新的攻击方法更改策略。去年有效的可能现在无效。

提前规划 - 开始考虑后量子密码学、新的认证方法和 AI 驱动的安全工具。

衡量重要指标 - 追踪您检测威胁的速度、响应速度、策略违规次数以及用户是否满意。使用这些数据持续改进。

现实情况: 大多数组织需要 3-5 年才能完全实施零信任,这还是在有专门团队和管理层支持的情况下。不要期望快速见效——这需要时间。

这些阶段与 CISA 零信任成熟度模型 v2.0 一致,但您的时间表将取决于您组织的规模和资源。

传统系统挑战

常见问题

传统系统是零信任实施中面临的最大挑战之一,而且攻击者通常会把精力集中在这些系统上,因为它们更难保护。

弱认证可能是最常见的问题。许多旧系统只支持基本的用户名/密码认证,没有多因素认证选项。有些系统在密码被认为足够时就已构建,添加现代认证需要进行大量修改或替换。这导致了一个安全漏洞,即您最敏感的系统通常具有最弱的认证。

网络依赖性是另一个主要问题。旧系统是为扁平、受信任的网络设计的,其中边界内的所有内容都被认为是安全的。这些系统通常需要在组件之间进行直接网络访问,当您实施微分段时无法正常工作。它们期望与其他系统自由通信,而无需进行身份检查。

不幸的是,没有加密在传统环境中很常见。许多旧系统以明文形式发送数据,因为它们是为被认为是安全的内部网络设计的。添加加密通常需要对系统及其所依赖的网络基础设施进行重大更改。

有限的日志记录使得监控传统系统的安全威胁变得困难。旧系统通常不提供现代威胁检测和合规性要求所需的详细安全日志。您无法管理无法衡量的事物,糟糕的日志记录会在您的安全监控中留下盲点。

有效的解决方案

您可以在不完全替换传统系统的情况下保护它们,尽管这需要创新的方法

安全代理和包装器允许您在无法原生支持现代认证和安全控制的系统前添加这些功能。代理处理强认证、多因素验证、会话管理以及其他零信任验证,然后使用传统系统能够理解的任何方法将已认证的请求传递给传统系统。这可能包括身份感知代理、应用防火墙或 API 网关。这种方法特别适用于基于 Web 的传统应用程序。

网络隔离将传统系统放置在独立的、受到严格监控的网络区域中,访问权限非常受限。您不能直接将零信任原则应用于这些系统,但可以控制它们如何与其它一切通信。监控进出这些区域的所有流量,并要求对区域本身的任何访问进行现代认证。

协议转换在您有使用旧认证方法但无法修改的系统时很有帮助。转换网关可以将现代认证令牌(如 SAML 或 OAuth)转换为传统系统期望的任何格式(如 Kerberos 或基本认证),从而弥合新旧安全方法之间的差距。

对于无法自行正确记录日志的系统,增强监控变得至关重要。使用基于网络的检测工具来监控那些不提供详细安全日志的系统的流量模式、连接尝试和数据流。这不会为您提供与现代应用程序相同的可见性,但总比完全没有监控要好。

云安全

多云考量

使用多个云服务提供商时

  • 连接身份:在所有云中使用相同的登录凭据
  • 安全连接:加密云环境之间的通信
  • 一致策略:在所有地方应用相同的安全规则
  • 集中监控:在一个地方查看所有云中的安全事件

容器安全

对于容器化应用程序

  • 服务网格:自动处理容器之间的身份和加密
  • 网络策略:控制哪些容器可以相互通信
  • 扫描镜像:检查容器镜像是否存在漏洞
  • 运行时保护:监控容器行为以发现威胁

常见错误与规避

技术错误

仅依赖网络安全 - 许多组织认为他们只需添加网络控制即可称之为零信任。但零信任根本上是关于基于身份的安全,而非网络安全。如果您仍然以网络“内部”和“外部”来思考问题,那么您就错了。无论访问请求来自何处,都要专注于验证身份和设备健康状况。

监控不足 - 零信任会产生大量的安全数据,一些组织因此感到不知所措,未能有效利用。您需要全面的日志记录和分析能力,而不仅仅是基本监控。没有适当的可见性,您就无法检测威胁、调整策略或证明合规性。投资于能够处理大量数据的 SIEM 工具和安全分析平台,并遵循 全面的日志记录实践

让安全对用户来说太难 - 如果您的零信任实施让人们难以完成工作,他们就会找到绕过您安全防护的变通方法。关键在于平衡安全与用户体验。使用基于风险的认证,让低风险活动无缝进行,仅在风险级别有必要时才增加摩擦。在推出之前,与真实用户一起测试您的策略。

遗忘传统系统 - 许多零信任项目侧重于新的云原生应用程序,而忽略了无法支持现代认证的旧系统。这些传统系统通常包含您最敏感的数据,并成为您安全链中最薄弱的环节。您需要一个策略来保护那些不易升级的系统。

组织错误

缺乏高管支持 - 零信任的实施需要对人们的工作方式进行重大改变,需要大量预算用于新工具,并需要跨多个团队进行协调。如果没有强大的领导承诺和预算批准,您的项目在遇到阻力或资源限制时将会停滞。在开始之前,而不是在遇到问题之后,获得高管支持。

跳过用户培训 - 零信任改变了人们的认证方式、应用程序访问方式以及安全警报处理方式。如果您不投入精力教育员工这些变化为何必要以及如何应对,您将面临持续的抵触和支持工单。计划全面的培训计划,而不仅仅是电子邮件通知。

操之过急 - 一些组织试图在几个月内实施零信任,这通常会导致工作流程中断、用户沮丧和安全覆盖不完整。零信任是一个需要仔细规划和分阶段实施的多年旅程。急于求成往往意味着在问题出现后不得不重做工作。

供应商锁定 - 零信任涉及许多不同的技术,一些供应商会试图向您推销一个完整的“零信任平台”,将您锁定在他们的生态系统中。通过选择支持开放标准并能与多个供应商集成的解决方案来保持您的选择开放。您的安全架构应足够灵活,以适应威胁和技术的演变。

合规性优势

零信任架构帮助组织满足各种合规性要求

框架映射

合规标准 有助于零信任的控制措施
SOC 2 强大的访问控制、持续监控、审计日志记录
ISO 27001 基于风险的访问决策、信息安全管理
PCI DSS 网络分段、加密通信、访问监控
HIPAA 精细访问控制、数据加密、审计跟踪
GDPR 隐私设计、数据访问日志记录、漏洞检测
OMB M-22-09 防钓鱼 MFA、设备证书、加密 DNS

技术组件

零信任需要多种技术类别协同工作

核心组件

  • 身份与访问管理:强认证 (MFA) 和基于风险的访问决策
  • 零信任网络访问 (ZTNA):应用级访问而非网络级 VPN
  • Web 应用程序安全:保护应用程序和 API 免受 OWASP Top 10 攻击
  • 安全监控:实时可见性和对威胁的自动化响应

选择原则

  • 优先使用开放标准(SAML、OAuth、FIDO2),而非专有解决方案
  • 确保组件通过 API 良好集成
  • 通过保持灵活性避免供应商锁定
  • 从一个领域开始,逐步扩展

参考资料