零信任網(wǎng)絡(luò) -在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)

11 11.1什么是零信任網(wǎng)絡(luò) 1.2邊界安全模型的演進(jìn) 41.3威脅形勢的演進(jìn) 81.4邊界安全模型的缺陷 1.5信任在哪里 1.7邊界安全模型與零信任模型的對比 151.8云環(huán)境的應(yīng)用 17 202.1威脅模型 22 242.3認(rèn)證信任 262.4最小特權(quán) 292.5可變的信任 2.6控制平面和數(shù)據(jù)平面 36 393.1什么是網(wǎng)絡(luò)代理 403.2如何使用網(wǎng)絡(luò)代理 413.3如何適當(dāng)?shù)乇┞毒W(wǎng)絡(luò)代理 433.4標(biāo)準(zhǔn)的缺失 44 46 474.1授權(quán)體系架構(gòu) 474.2策略執(zhí)行組件 494.3策略引擎 504.4信任引擎 544.5數(shù)據(jù)存儲系統(tǒng) 59 5.2通過控制平面認(rèn)證設(shè)備 5.3設(shè)備清單管理 5.4設(shè)備信任續(xù)租 5.5軟件配置管理 5.6使用設(shè)備數(shù)據(jù)進(jìn)行用戶授權(quán) 825.7信任信號 866.1身份權(quán)威性 6.2私有系統(tǒng)的身份初始化 886.3身份的存儲 6.4何時進(jìn)行身份認(rèn)證 6.5如何認(rèn)證身份 6.6用戶組的認(rèn)證和授權(quán) 996.7積極參與、積極報告 6.8信任信號 1047.1理解應(yīng)用流水線 7.2信任源代碼 7.3構(gòu)建系統(tǒng)的信任 7.4建立分發(fā)系統(tǒng)的信任 7.5人工參與 7.6信任實例 7.7運行時安全 1248.1加密和認(rèn)證 8.2首包認(rèn)證建立初始信任 8.3網(wǎng)絡(luò)模型簡介 8.4零信任應(yīng)該在網(wǎng)絡(luò)模型中的哪個位置 9.1確定實現(xiàn)范圍 9.2建立系統(tǒng)框圖 9.3理解網(wǎng)絡(luò)流量 9.4無控制器架構(gòu) 9.5定義和安裝策略 9.6零信任代理 1689.7客戶端與服務(wù)端遷移 9.8案例研究 9.9案例：GoogleBeyondCorp 9.10案例研究：PagerDuty的云平臺無關(guān)網(wǎng)絡(luò) 190 10.4不可信的計算平臺 193 10.8控制平面安全 第1章在網(wǎng)絡(luò)監(jiān)控?zé)o處不在的時代，很難確定誰是值得信任的。我們能相信互聯(lián)網(wǎng)流量沒有被監(jiān)聽嗎？當(dāng)然不能！我們既無法信任提供光纖租用的互聯(lián)網(wǎng)服務(wù)商，也無法信任昨天在數(shù)據(jù)中心布線的合同工。數(shù)“據(jù)中心內(nèi)部的系統(tǒng)和網(wǎng)絡(luò)流量是可信的”這一假設(shè)是不正確的。現(xiàn)代的網(wǎng)絡(luò)設(shè)計和應(yīng)用模式，已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡(luò)邊界的安全防護(hù)模式逐漸失去原有的價值。因此，網(wǎng)絡(luò)邊界的安全防護(hù)一旦被突破，即使只有一臺計算機被攻陷，攻擊者也能夠在“安全的”數(shù)據(jù)中心內(nèi)部自由移動。零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網(wǎng)絡(luò)位置建立信任，而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機制的前提下，有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。零信任模型并不是不切實際的設(shè)想，利用已經(jīng)成熟的加密技術(shù)和自動化系統(tǒng)，這一愿景完全可以實現(xiàn)。1-1什么是零信任網(wǎng)絡(luò)零信任網(wǎng)絡(luò)的概念建立在以下5個基本假定之上。?網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中。?網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅。?網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度。.所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。2第1章零信任的基本概念安全策略必須是動態(tài)的，并基于盡可能多的數(shù)據(jù)源計算而來。傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)把不同的網(wǎng)絡(luò)或（者單個網(wǎng)絡(luò)的一部分）劃分為不同的區(qū)域，不同區(qū)域之間使用防火墻進(jìn)行隔離。每個區(qū)域都被授予某種程度的信任，它決定了哪些網(wǎng)絡(luò)資源允許被訪問。這種安全模型提供了非常強大的縱深防御能力。比如，互聯(lián)網(wǎng)可訪問的Web服務(wù)器等高風(fēng)險的網(wǎng)絡(luò)資源，被部署在特定的區(qū)域一（般稱為“隔離區(qū)”，DMZ)，該區(qū)域的網(wǎng)絡(luò)流量被嚴(yán)密監(jiān)控和嚴(yán)格控制。這是一種常見的網(wǎng)絡(luò)安全架構(gòu)，如圖1-1所示。零信任模型徹底改變了這種安全架構(gòu)。傳統(tǒng)的網(wǎng)絡(luò)分區(qū)與隔離安全模型在過去發(fā)揮了積極作用，但是現(xiàn)在卻疲于應(yīng)對高級的網(wǎng)絡(luò)攻擊。傳統(tǒng)的安全模型主要有以下缺點。?缺乏網(wǎng)絡(luò)內(nèi)部的流量檢查。?主機部署缺乏物理及邏輯上的靈活性。?存在單點故障。需要關(guān)注的是，如果基于網(wǎng)絡(luò)位置劃分區(qū)域的需求消失了，那么對VPN的需求也就消失了。VPN的作用是對用戶進(jìn)行身份認(rèn)證并分配IP地址，然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò)，然后進(jìn)行數(shù)據(jù)包的解封裝和路由?；蛟S人們從來沒有想過，在某種程度上，VPN是一種不會遭人懷疑的后門。如果網(wǎng)絡(luò)的位置對于網(wǎng)絡(luò)安全失去價值，那么諸如VPN等網(wǎng)絡(luò)安全設(shè)備也會失去其原有的價值。當(dāng)然，這也迫使我們把安全控制的實施點盡可能地前推到網(wǎng)絡(luò)邊緣，這同時也減輕了網(wǎng)絡(luò)核心設(shè)備的安全責(zé)任。此外，大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻，交換和路由技術(shù)的進(jìn)展也為在網(wǎng)絡(luò)邊緣部署高級功能創(chuàng)造了機會。將所有這些改變帶來的收益匯集在一起，得出一個結(jié)論：是時候進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的范式轉(zhuǎn)換了。利用分布式策略實施和應(yīng)用零信任原則，可以構(gòu)建如圖1-2所示的網(wǎng)絡(luò)安全架構(gòu)。零信任架構(gòu)的支撐系統(tǒng)稱為控制平面，其他部分稱為數(shù)據(jù)平面，數(shù)據(jù)平面由控制平面指揮和配置。訪問受保護(hù)資源的請求首先經(jīng)過控制平面處理，包括設(shè)備和用戶的4第1章零信任的基本概念身份認(rèn)證與授權(quán)。細(xì)粒度的控制策略也在這一層進(jìn)行，控制平面可以基于組織中的角色、時間或設(shè)備類型進(jìn)行授權(quán)。如果用戶需要訪問安全等級更高的資源，那么就需要執(zhí)行更高強度的認(rèn)證。一旦控制平面完成檢查，確定該請求具備合法的授權(quán)，它就會動態(tài)配置數(shù)據(jù)平面，接收來自該客戶端且（僅限該客戶端）的訪問流量。此外，控制平面還能夠為訪問請求者和被訪問的資源協(xié)調(diào)配置加密隧道的具體參數(shù)，包括一次性的臨時憑證、密鑰和臨時端口號等。雖然上述措施的安全強度有強弱之分，但基本的處理原則是不變的，即由一個權(quán)威的、可信的第三方基于多種輸入來執(zhí)行認(rèn)證、授權(quán)、實時的訪問控制等操作。本書提到的傳統(tǒng)安全架構(gòu)通常是指“邊界安全模型”。該模型的基本思想與物理世界中通過修建城墻來保護(hù)城堡一樣，是通過構(gòu)建層層防線來保護(hù)網(wǎng)絡(luò)中的敏感資源。人侵者必須穿透這些防線，才能夠訪問敏感資源。遺憾的是，這種做法在計算機網(wǎng)絡(luò)場景下存在根本性的缺陷，實質(zhì)上無法保證敏感資源的安全性。為了充分理解這種缺陷，有必要回顧一下邊界安全模型出現(xiàn)的原因及其發(fā)展歷程。1.2.1管理全球IP地址空間導(dǎo)致邊界安全模型出現(xiàn)的原因要從互聯(lián)網(wǎng)的ip地址分配開始說起。在互聯(lián)網(wǎng)發(fā)展的早期，越來越多的網(wǎng)絡(luò)連接在一起。在那個年代，互聯(lián)網(wǎng)還沒有大規(guī)模普及，一個網(wǎng)絡(luò)可能是連接到互聯(lián)網(wǎng)，也可能是與其他業(yè)務(wù)部門、公司或是某個研究機構(gòu)的網(wǎng)絡(luò)相連。當(dāng)然，在任何ip網(wǎng)絡(luò)中，ff地址都必須是唯一的。如果不同網(wǎng)絡(luò)的運營者使用了重疊的ip地址空間，那么他們必須花費很大的力氣進(jìn)行修改。如果正在連接的網(wǎng)絡(luò)恰好是互聯(lián)網(wǎng)，那么IP地址必須是全球唯一的。很顯然，網(wǎng)絡(luò)的EP地址分配必須通過統(tǒng)一的協(xié)調(diào)?；ヂ?lián)網(wǎng)號碼分配機構(gòu)（InternetAssignedNumbersAuthority，IANA)于1998年正式成立，直到今天IANA仍然是IP地址分配的協(xié)調(diào)機構(gòu)。在IANA成立之前，IP地址分配和協(xié)調(diào)的職責(zé)是由JonPostel來承擔(dān)的，他繪制了如圖1-3所示的互聯(lián)網(wǎng)地圖。Jon是IP地址所有權(quán)記錄的權(quán)威來源，如果你想確保自己的IP地址是全球唯一的，那么就需要到他這里注冊。在那個時代，即使網(wǎng)絡(luò)暫時不需要連接到互聯(lián)網(wǎng)，也鼓勵人們?yōu)槠渥訧P地址，因為說不定哪天這個網(wǎng)絡(luò)就1.2邊界安全模型的演進(jìn)5會連接到另一個網(wǎng)絡(luò)。1.2.2私有IP地址空間的誕生20世紀(jì)80年代末和20世紀(jì)90年代初，隨著IP網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍越來越廣，6第1章零信任的基本概念隨意使用IP地址空間成為一個嚴(yán)重的問題。許多網(wǎng)絡(luò)雖然事實上與互聯(lián)網(wǎng)隔離，但是卻有很大的IP地址空間需求，連接ATM的網(wǎng)絡(luò)、連接大型機場航班信息顯示屏的網(wǎng)絡(luò)等，都是典型的例子。出于各種原因，這些網(wǎng)絡(luò)的確需要與互聯(lián)網(wǎng)隔離，有的設(shè)備因為需要滿足安全或隱私的要求而與互聯(lián)網(wǎng)隔離如（ATM);有的設(shè)備功能非常有限，通過網(wǎng)絡(luò)大規(guī)模地連接起來意義不大如（機場的航班信息顯示屏)。于是，私有互聯(lián)網(wǎng)地址分配標(biāo)準(zhǔn)一RFC1597誕生了，其目的是解決大量公共IP地址空間的浪費問題。1994年3月，RFC1597宣布IANA為私有網(wǎng)絡(luò)保留3個IP地址范圍：/8、配的范圍，從而減緩公共IP地址空間的消耗，也使得網(wǎng)絡(luò)運營者能夠在適當(dāng)?shù)臅r候使用非全球唯一的IP地址。此外，私有IP地址空間的使用還產(chǎn)生了另外一個效果，而且直到今天仍然在發(fā)揮作用一使用私有地址空間的網(wǎng)絡(luò)更加安全，因為這些網(wǎng)絡(luò)無法連接到其他網(wǎng)絡(luò)，特別是連接到互聯(lián)網(wǎng)。在那個年代，連接到互聯(lián)網(wǎng)的組織相對來說比較少，因此，內(nèi)部網(wǎng)絡(luò)經(jīng)常使用保留的私有網(wǎng)絡(luò)地址空間。另外，網(wǎng)絡(luò)的安全防護(hù)措施也非常弱，甚至完全沒有，因為這些網(wǎng)絡(luò)在物理上通常位于一個組織的內(nèi)部，攻擊者很難接觸到。1.2.3私有網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)互聯(lián)網(wǎng)應(yīng)用的發(fā)展非常迅速，很快大多數(shù)組織都希望以某種方式出現(xiàn)在互聯(lián)網(wǎng)上。電子郵件就是較早的互聯(lián)網(wǎng)應(yīng)用之一。人們希望能夠發(fā)送和接收電子郵件，這就意味著他們需要一個可公開訪問的郵件服務(wù)器，也意味著他們需要以某種方式連接到互聯(lián)網(wǎng)。私有網(wǎng)絡(luò)中的郵件服務(wù)器一般情況下是唯一連接到互聯(lián)網(wǎng)的服務(wù)器，它通常有兩個網(wǎng)絡(luò)接口，一個連接互聯(lián)網(wǎng)，一個連接內(nèi)部網(wǎng)絡(luò)。通過連接到互聯(lián)網(wǎng)的郵件服務(wù)器，私有網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和人員就能夠發(fā)送和接收互聯(lián)網(wǎng)電子郵件。人們很快意識到，這些服務(wù)器實際上開辟了一條物理通道，把互聯(lián)網(wǎng)和安全的私有網(wǎng)絡(luò)連接了起來。如果攻擊者攻陷其中一臺服務(wù)器，那么他就能夠進(jìn)人私有網(wǎng)絡(luò)，因為私有網(wǎng)絡(luò)中的主機與連接互聯(lián)網(wǎng)的服務(wù)器之間是連通的。因此，出于安全的考慮，需要嚴(yán)格檢查這些服務(wù)器及其網(wǎng)絡(luò)連接。于是，網(wǎng)絡(luò)運營者在這些服務(wù)器的兩側(cè)部署了防火墻，用于控制網(wǎng)絡(luò)通信，阻止?jié)撛诘墓粽邚幕ヂ?lián)網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的主機，如圖1-4所示。發(fā)展到這一步，邊界安全模型就誕生了。內(nèi)部網(wǎng)絡(luò)變成了“安全”的網(wǎng)絡(luò)，受到嚴(yán)格控制的服務(wù)器所部署的位置成為DMZ,即隔離區(qū)。1.2邊界安全模型的演進(jìn)7圖1-4互聯(lián)網(wǎng)和私有資源都可以訪問隔離區(qū)中的主機，但是私有資源的網(wǎng)絡(luò)訪問不能超出隔離由于需要從內(nèi)部網(wǎng)絡(luò)訪問的互聯(lián)網(wǎng)資源數(shù)量快速增長，因此，給內(nèi)部網(wǎng)絡(luò)資源賦予訪問互聯(lián)網(wǎng)的權(quán)限，要比為每個應(yīng)用維護(hù)代理主機更加容易。NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)能夠很好地解決這個問題。RFC1631為網(wǎng)絡(luò)設(shè)備定義了一個標(biāo)準(zhǔn)，使其能夠在組織的網(wǎng)絡(luò)邊界執(zhí)行I：P地址轉(zhuǎn)換。通過維護(hù)一張公共IP/端口與私有IP/端口的映射關(guān)系表，NAT設(shè)備能夠使私有網(wǎng)絡(luò)中的設(shè)備訪問任意的互聯(lián)網(wǎng)資源。這種輕量級的映射關(guān)系與應(yīng)用程序無關(guān)，也就是說，網(wǎng)絡(luò)運營者不再為每個應(yīng)用程序單獨配置互聯(lián)網(wǎng)連接，而只需要支持私有網(wǎng)絡(luò)的通用互聯(lián)網(wǎng)連接即可。NAT設(shè)備有--個很有趣的特性：因為IP地址映射關(guān)系是多對一的，所以源自互聯(lián)網(wǎng)的連接無法訪問內(nèi)部的私有IP地址，除非事先在NAT設(shè)備上進(jìn)行專門的配置來處理這種特殊情況。因此，NAT設(shè)備具有與狀態(tài)檢測防火墻相似的特性。事實上，防火墻設(shè)備也很快開始集成NAT功能，這兩個功能合二為一，基本上無法區(qū)分。這類設(shè)備既能支持網(wǎng)絡(luò)的連通功能，又能支持嚴(yán)格的安全控制，因此很快得到廣泛應(yīng)用，幾乎每個組織的網(wǎng)絡(luò)邊界上都部署了防火墻設(shè)備，如圖1-5所示。8第1章零信任的基本概念1.2.5現(xiàn)代邊界安全模型通過在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間部署防火墻/NAT設(shè)備，能夠清晰地劃分安全區(qū)域，絡(luò)需要與另一個組織的網(wǎng)絡(luò)互連，則只需要在兩個組織網(wǎng)絡(luò)的邊界處部署防火墻/NAT設(shè)備，這樣另一個組織的網(wǎng)絡(luò)就成為一個新的安全區(qū)域。然后，就像隔離區(qū)或安全區(qū)一樣，可以在邊界防火墻設(shè)備上配置特定的規(guī)則，規(guī)定不同區(qū)域之間允許或禁止哪種類型的網(wǎng)絡(luò)流量通過?；仡欉^去，可以看到很明顯的進(jìn)步。我們從離線/私有網(wǎng)絡(luò)中只有個別主機能夠連接互聯(lián)網(wǎng)，發(fā)展到通過在網(wǎng)絡(luò)邊界部署安全設(shè)備來建立高度互聯(lián)的網(wǎng)絡(luò)。這種進(jìn)步并不難理解，網(wǎng)絡(luò)運營者出于各種商業(yè)目的，必須讓內(nèi)部網(wǎng)絡(luò)中的服務(wù)器對互聯(lián)網(wǎng)敞開大門，但是他們又不想失去私有網(wǎng)絡(luò)的安全性，而防火墻/NAT設(shè)備能夠在網(wǎng)絡(luò)邊界進(jìn)行嚴(yán)密的安全控制，極大地降低了安全風(fēng)險。即使在互聯(lián)網(wǎng)出現(xiàn)之前，計算機系統(tǒng)之間的遠(yuǎn)程通信也一直是人們追求的目標(biāo)。那1.3威脅形勢的演進(jìn)9個時代的計算機遠(yuǎn)程通信通常是通過公共電話系統(tǒng)來實現(xiàn)的。用戶和計算機系統(tǒng)可以撥入公共電話網(wǎng)絡(luò)，將數(shù)據(jù)編碼成音頻信號來傳輸，以連接到遠(yuǎn)程計算機。因為物理上接觸到遠(yuǎn)程計算機非常困難，所以公共電話網(wǎng)絡(luò)的撥號接口成了當(dāng)時常見的攻擊向量。E&話線路，這很容易被發(fā)現(xiàn)，而從IP網(wǎng)絡(luò)上發(fā)起的攻擊只是表現(xiàn)為TCP連接，這顯然20世紀(jì)90年代末，世界上第一個軟（件）特洛伊木馬問世，并開始在互聯(lián)網(wǎng)上傳播。特洛伊木馬欺騙用戶安裝惡意軟件，然后打開一個端口等待連接請求。攻擊者可以連接到這個開放的端口并遠(yuǎn)程控制目標(biāo)計算機。人們很快就意識到，需要一種保護(hù)互聯(lián)網(wǎng)主機的方法，而設(shè)置硬件防火墻就是極好的選擇那（時候大多數(shù)操作系統(tǒng)還沒有基于主機的防火墻)。硬件防火墻能夠在網(wǎng)絡(luò)邊界處強制執(zhí)行安全策略，確保只允許列人白名單的“安全”的互聯(lián)網(wǎng)流量進(jìn)入內(nèi)部網(wǎng)絡(luò)。如果管理員無意中安裝了向互聯(lián)網(wǎng)開放端口就（像特洛伊木馬一樣）的軟件，那么防火墻就可以阻斷訪問該端口的互聯(lián)網(wǎng)連接。只有顯式配置了允許訪問該端口的策略，防火墻才會放行相應(yīng)的網(wǎng)絡(luò)連接。訪問互聯(lián)網(wǎng)主機的內(nèi)部網(wǎng)絡(luò)流量也同樣可以進(jìn)行控制，確保內(nèi)部用戶訪問互聯(lián)網(wǎng)主機的網(wǎng)絡(luò)流量可以通過，但反過來則不行。這樣可以防止攻擊者利用被攻陷的隔離區(qū)的互聯(lián)網(wǎng)主機橫向移動進(jìn)人內(nèi)部網(wǎng)絡(luò)。雖然對隔離區(qū)的入站和出站網(wǎng)絡(luò)流量都進(jìn)行了嚴(yán)格的控制，從隔離區(qū)進(jìn)入內(nèi)部網(wǎng)絡(luò)的難度非常大，但由于可以從互聯(lián)網(wǎng)訪問到隔離區(qū)的主機，因此它們?nèi)匀皇枪舻闹饕繕?biāo)。攻擊者首先必須攻陷被防火墻保護(hù)的主機，然后安裝用于隱蔽通信的軟件，以便于把數(shù)據(jù)偷取出來。如果攻擊者意圖獲得內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限，那么網(wǎng)絡(luò)的撥號接口仍然是最容易利用的攻擊入口。事情發(fā)展到這里發(fā)生了有趣的變化，引入NAT原本的目的是使內(nèi)部網(wǎng)絡(luò)中的計算機能夠訪問互聯(lián)網(wǎng)，現(xiàn)在它卻變成了安全控制設(shè)備。這在某種程度上歸功于NAT技術(shù)機制本身，而且也的確存在真實的安全需求。雖然內(nèi)部網(wǎng)絡(luò)中的計算機希望自由地訪問互聯(lián)網(wǎng)資源，但出于安全的考慮，仍然需要嚴(yán)格控制入站流量。部署NAT設(shè)備的網(wǎng)絡(luò)和沒有部署NAT設(shè)備的網(wǎng)絡(luò)有一個重要的差別：前者放松了出站流量的安全控制策略。10第1章零信任的基本概念上的主機發(fā)送消息，這就是今天我們都已經(jīng)了解的攻擊技術(shù)^回連(PhoningHome)?；剡B技術(shù)是現(xiàn)代網(wǎng)絡(luò)攻擊技術(shù)的重要組成部分，其主要作用是從受保護(hù)的網(wǎng)絡(luò)中把數(shù)據(jù)慢慢地偷取出來，但更重要的是，由于TCP協(xié)議的雙向特性，使用回連技術(shù)也可以向受保護(hù)的網(wǎng)絡(luò)中注人數(shù)據(jù)。典型的網(wǎng)絡(luò)攻擊涉及多個步驟，如圖1-6所示。首先，攻擊者需要攻陷內(nèi)部網(wǎng)絡(luò)中的某一臺計算機。攻擊方法有很多種，可以在用戶使用瀏覽器訪問特定網(wǎng)頁時，利用瀏覽器的安全漏洞發(fā)起攻擊；也可以在給用戶發(fā)送的電子郵件附件中植入惡意代碼，利用內(nèi)網(wǎng)計算機本地的安全漏洞發(fā)起攻擊，等等。這種漏洞的有效負(fù)載非常小，只要建立起與遠(yuǎn)程互聯(lián)網(wǎng)主機的連接，能夠執(zhí)行接收到的可執(zhí)行代碼即可。這類惡意代碼通常被稱為撥號器D（ialer)。撥號器下載并安裝真正用于攻擊的惡意軟件，然后惡意軟件嘗試與受攻擊者控制的遠(yuǎn)程互聯(lián)網(wǎng)主機建立新的連接，攻擊者使用此連接向惡意軟件發(fā)送指令，偷取敏感1.4邊界安全模型的缺陷11數(shù)據(jù)，甚至建立一個交互式的會話連接。于是，攻擊者就可以把被攻陷的計算機當(dāng)作跳板，在內(nèi)部網(wǎng)絡(luò)中發(fā)起進(jìn)一步攻擊。出站安全是一種非常有效的對抗撥號回連攻擊的方法，可以檢測并阻止撥號器回連的出站網(wǎng)絡(luò)連接。但是，撥號器軟件經(jīng)常偽裝成常規(guī)的Web流量，或者其他看似無害的“正?！本W(wǎng)絡(luò)流量。如果為了阻斷攻擊而配置過于嚴(yán)格的出站安全策略，則可能會影響Web的可用性及用戶體驗，組織的運維管理部門更關(guān)注這類現(xiàn)實的問題。能夠從內(nèi)部網(wǎng)絡(luò)中的某臺主機發(fā)起攻擊是一種非常強大的能力。這些主機擁有訪問相同安全域中其他主機的權(quán)限橫（向移動甚至可能有權(quán)限與更高級別安全域內(nèi)的主機通信。因此，攻擊者首先攻陷內(nèi)部網(wǎng)絡(luò)中低級別安全域內(nèi)的某臺計箅機，然后在網(wǎng)絡(luò)中橫向移動，最終獲得更高級別安全域的訪問權(quán)限。?回顧前面描述的攻擊步驟，可以發(fā)現(xiàn)這類攻擊有效地突破了基于網(wǎng)絡(luò)邊界的安全模型。邊界安全模型的主要缺陷看起來有些微妙，但也是非常清晰的：基于網(wǎng)絡(luò)區(qū)域定義安全策略，僅在網(wǎng)絡(luò)邊界處強制執(zhí)行，并且僅使用了源和目標(biāo)信息進(jìn)行安全決策。1.4邊界安全模型的缺陷直到今天，邊界安全模型仍然是主流的網(wǎng)絡(luò)安全模型，但是該模型的缺陷也越來越明顯。面對幾乎每天都會發(fā)生的復(fù)雜攻擊，一個網(wǎng)絡(luò)即便采用了完善的邊界安全模型，也往往會被攻陷。攻擊者有無數(shù)種方法把遠(yuǎn)程訪問工具（RemoteAccessTool,RAT)投遞到內(nèi)部網(wǎng)絡(luò)中以獲得遠(yuǎn)程訪問權(quán)限，然后開始在內(nèi)部網(wǎng)絡(luò)中橫向移動。邊界防火墻就像那些為了防止間諜入侵而在城市周邊修建的城墻一樣，作用越來越小。把網(wǎng)絡(luò)分割成若千安全區(qū)域，這種安全架構(gòu)設(shè)計本身就存在問題。設(shè)想如下場景：--家小型.電子商務(wù)公司雇用了幾名員工，并擁有若千用來處理薪酬、庫存等事務(wù)的內(nèi)部業(yè)務(wù)系統(tǒng)，還有一些用于運行網(wǎng)站系統(tǒng)的服務(wù)器。在這樣的場景下，當(dāng)然需要對訪問權(quán)限進(jìn)行分類：員工需要訪問內(nèi)部業(yè)務(wù)系統(tǒng)；Web服務(wù)器需要訪問數(shù)據(jù)庫服務(wù)器；數(shù)據(jù)庫服務(wù)器不需要互聯(lián)網(wǎng)訪問，但員工需要訪問互聯(lián)網(wǎng)等。傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)會把這些訪問權(quán)限組定義為不同的安全區(qū)域，然后規(guī)定不同安全區(qū)域的訪問規(guī)則，如圖1-7所示。既然這些安全策略是以安全區(qū)域為基礎(chǔ)定義的，那么不同安12第1章零信任的基本概念全區(qū)域之間的網(wǎng)絡(luò)流量就應(yīng)當(dāng)遵循既定的安全策略強制執(zhí)行檢查。大家都能想到，通用的安全規(guī)則總是存在例外，它們通常被稱為防火墻例外規(guī)則(FirewallException)。這些例外規(guī)則應(yīng)當(dāng)盡可能嚴(yán)格地限制范圍。比如，Web開發(fā)人員希望使用SSH訪問用于生產(chǎn)環(huán)境的Web服務(wù)器，或者HR員工為了進(jìn)行審計可能需要訪問HR$欠件數(shù)據(jù)庫，等等。在這些情況下，可行的辦法是在防火墻上配置例外規(guī)則，允許某個地址訪問特定的服務(wù)器?，F(xiàn)在，假設(shè)這家電子商務(wù)公司的競爭對手雇用了一支黑客團(tuán)隊，他們想要竊取該公司的庫存清單和銷售數(shù)字。黑客首先在互聯(lián)網(wǎng)上找到了公司員工的電子郵件地址，然后給他們發(fā)送電子郵件，郵件內(nèi)容被偽裝成公司附近某家餐廳的優(yōu)惠券。幾乎可以肯定會有某個員工單擊郵件內(nèi)容中的鏈接，然后黑客在其個人計算機上安裝惡意軟件。惡意軟件回連到黑客控制的服務(wù)器，建立連接會話后，黑客就能夠控制這臺計算機。還算幸運，這名員工只是一個實習(xí)生，黑客獲得的訪問權(quán)限是有限的?；ヂ?lián)網(wǎng)圖1-7企業(yè)辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)的交互黑客并沒有停下腳步，他們開始在內(nèi)部網(wǎng)絡(luò)中四處搜索，很快發(fā)現(xiàn)該公司正在使用一款文件共享軟件。并且，所有員工的計算機都沒有使用這款軟件的最新版本，而1.4邊界安全模型的缺陷13這款軟件的當(dāng)前版本存在一個漏洞，可以被利用來實施攻擊。就這樣，黑客逐個攻陷員工的計算機，并繼續(xù)搜尋具有更高權(quán)限的計算機。當(dāng)然，如果黑客擁有更高級的攻擊知識，那么這個過程會更有針對性。最終，黑客找到了該公司的Web開發(fā)人員所使用的計算機，并在這臺計算機上安裝了鍵盤記錄器，目的是竊取Web服務(wù)器的登錄憑據(jù)。接下來，黑客使用收集到的系統(tǒng)登錄憑據(jù)，通過SSH登錄到Web服務(wù)器，使用Web開發(fā)人員的sudo權(quán)限，從磁盤讀取數(shù)據(jù)庫的口令并連接到數(shù)據(jù)庫。最后，黑客轉(zhuǎn)儲數(shù)據(jù)庫的內(nèi)容并下載數(shù)據(jù)，刪除所有日志文件。如果該公司的IT運維人員運氣好的話，也許能發(fā)現(xiàn)這次數(shù)據(jù)泄露事件。黑客的任務(wù)完成了，完整的攻擊過程如圖1-8所示。黑客這么容易就成功了？是的，正如上面這個示例所揭示的那樣，網(wǎng)絡(luò)中多個層面的失敗最終導(dǎo)致了這次數(shù)據(jù)泄露事故?；蛟S有人認(rèn)為，這不過是一個人為設(shè)計的攻擊案例，但事實上類似的網(wǎng)絡(luò)攻擊成功案例非常普遍。然而，這個案例中令人驚訝的部分卻往往被人忽視：在整個攻擊過程中，網(wǎng)絡(luò)中的安全防護(hù)措施在發(fā)揮什么作用？P方火墻的部署是經(jīng)過精心設(shè)計的，安全策略和例外規(guī)則嚴(yán)格限制了范圍。從網(wǎng)絡(luò)安全的角度看，一切都做得非常正確，那為什么攻擊還能成功昵？14第1章零信任的基本概念①通過釣魚郵件鎖定企業(yè)的員工。②攻陷辦公網(wǎng)的員工計算機，獲得Shell。③在辦公網(wǎng)絡(luò)中橫向移動。④定位擁有特權(quán)的計算機。⑤安裝鍵盤記錄器的特權(quán)計算機本地提權(quán)。⑥竊取開發(fā)人員的口令。⑦從特權(quán)計算機攻擊生產(chǎn)應(yīng)用主機。⑧利用開發(fā)人員口令在生產(chǎn)應(yīng)用主機上提升權(quán)限。⑨從應(yīng)用程序中竊取數(shù)據(jù)庫口令。⑩通過失陷的應(yīng)用主機外泄數(shù)據(jù)庫中的數(shù)據(jù)。經(jīng)過仔細(xì)分析，就會發(fā)現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)不足以抵抗這種攻擊。惡意軟件通過撥號器回連的方式可以輕松地穿透邊界安全設(shè)備，不同安全區(qū)域之間的防火墻在執(zhí)行安全策略時只使用了源和目的地址作為判別依據(jù)。雖然邊界安全模型仍然具有一定的安全價值，但是它在網(wǎng)絡(luò)安全中應(yīng)當(dāng)扮演什么樣的角色，是否繼續(xù)將其作為網(wǎng)絡(luò)安全的主要機制？這是我們需要重新思考的問題。當(dāng)然，首先要尋找現(xiàn)有的解決方案。邊界安全模型是公認(rèn)的保護(hù)網(wǎng)絡(luò)安全的方法，但這并不意味著沒有更好的方案。在網(wǎng)絡(luò)安全方面出現(xiàn)的最糟糕的情況是什么？這個問題的答案雖然有些絕對，但還是可以回答：信任出了問題。如果要考慮邊界安全模型之外的其他方案，那么首先必須準(zhǔn)確地理解什么是可信的，什么是不可信的。信任級別（TrustLevel)定義了所需安全協(xié)議強度的下限。但事實上，安全協(xié)議強度超出需求的情況是很少見的，因此盡可能減少信任是更明智的做法。一旦信任被內(nèi)置于系統(tǒng)中，就很難消除。什么是零信任網(wǎng)絡(luò)？顧名思義，就是一個完全不可信的網(wǎng)絡(luò)。我們幾乎天天和這樣的網(wǎng)絡(luò)打交道，那就是互聯(lián)網(wǎng)。互聯(lián)網(wǎng)給我們帶來了很多安全方面的經(jīng)驗教訓(xùn)。當(dāng)然，網(wǎng)絡(luò)管理員對互聯(lián)網(wǎng)服務(wù)器和本地服務(wù)器的安全防護(hù)方式大不相同，但為什么會這樣？如果導(dǎo)致這種區(qū)別的問題能夠解決，甚至只是部分解決，那么我們在安全方面做出的妥協(xié)還值得嗎？零信任模型認(rèn)為，主機無論處于網(wǎng)絡(luò)的什么位置，都應(yīng)當(dāng)被視為互聯(lián)網(wǎng)主機。它們所在的網(wǎng)絡(luò)，無論是互聯(lián)網(wǎng)還是內(nèi)部網(wǎng)絡(luò)，都必須被視為充滿威脅的危險網(wǎng)絡(luò)。只1.7邊界安全模型與零信任模型的對比15有認(rèn)識到這一點，才能建立安全通信。由于大多數(shù)管理員都有建設(shè)和維護(hù)互聯(lián)網(wǎng)主機安全機制的經(jīng)驗，因此至少有辦法阻止針對某個特定IP地址主（機）的攔截或篡改攻擊。自動化系統(tǒng)使我們能夠把這一級別的安全防護(hù)機制應(yīng)用到基礎(chǔ)設(shè)施中的所有系統(tǒng)。1.6自動化系統(tǒng)的賦能構(gòu)建零信任網(wǎng)絡(luò)并不需要太多新的技術(shù)，而是釆用全新的方式使用現(xiàn)有技術(shù)。自動化系統(tǒng)是建設(shè)和運營零信任網(wǎng)絡(luò)的關(guān)鍵組件?？刂破矫婧蛿?shù)據(jù)平面之間的交互需要自動化系統(tǒng)來處理。如果策略執(zhí)行不能動態(tài)更新，那么零信任網(wǎng)絡(luò)就無法實現(xiàn)，因此，策略執(zhí)行過程的自動化和速度是問題的關(guān)實現(xiàn)自動化處理的方法有很多種，專門開發(fā)的自動化系統(tǒng)是較理想的，不過像傳統(tǒng)的配置管理系統(tǒng)C（MS)這類工具也能夠勝任。配置管理系統(tǒng)的廣泛應(yīng)用是構(gòu)建零信任網(wǎng)絡(luò)的重要基礎(chǔ)，因為這類系統(tǒng)通常管理維護(hù)設(shè)備清單庫，并能自動化處理數(shù)據(jù)平面中的網(wǎng)絡(luò)策略配置。由于現(xiàn)代的配置管理系統(tǒng)既可以維護(hù)設(shè)備庫，又能夠處理數(shù)據(jù)平面的配置自動化，因此利用這類系統(tǒng)可以很快邁出構(gòu)建零信任網(wǎng)絡(luò)的第一步。1.7邊界安全模型與零信任模型的對比邊界安全模型與零信任模型存在根本上的差別。邊界安全模型試圖在可信資源和不受“壞人”無處不在的現(xiàn)實。零信任模型不是依靠建造城墻來保護(hù)墻內(nèi)柔弱的身體，而是讓全體民眾都擁有了自保的能力。邊界安全模型事實上為受保護(hù)的內(nèi)部網(wǎng)絡(luò)賦予了一定級別的信任，這種做法違背了零信任模型的基本原則，會導(dǎo)致一系列問題的發(fā)生。當(dāng)認(rèn)為網(wǎng)絡(luò)“可信”時，管理員往往會放松警惕他（們也是人)?？尚艆^(qū)域內(nèi)部的主機很少有自我保護(hù)的能力，因為既然這些主機共享同一個可信區(qū)域，也就意味著它們之間是互相信任的?，F(xiàn)在，人們逐漸認(rèn)識到這種假設(shè)是錯誤的，我們不僅需要保護(hù)主機免受來自外部的攻擊，還需要保護(hù)它們免受相互之間的攻擊。既然零信任模型假定整個網(wǎng)絡(luò)完全不可信，那么就必須假定攻擊者可以使用任意ff16第1章零信任的基本概念地址進(jìn)行通信。因此，僅使用IP地址或物理位置作為標(biāo)識符來保護(hù)資源是不夠的。所有主機，甚至處于相同“可信區(qū)域”的主機，都必須提供正確的身份標(biāo)識。攻擊者并不僅限于發(fā)起主動攻擊，他們還可以執(zhí)行被動攻擊，通過監(jiān)聽網(wǎng)絡(luò)流量獲取敏感信息。在這種情況下，僅有主機的身份標(biāo)識是不夠的，還需要對網(wǎng)絡(luò)流量進(jìn)行強加密處理。零信任網(wǎng)絡(luò)有3個關(guān)鍵組件：用戶/應(yīng)用程序認(rèn)證、設(shè)備認(rèn)證和信任。第一個組件包含了用戶認(rèn)證和應(yīng)用認(rèn)證兩層含義，因為并不是所有的操作都由用戶執(zhí)行，比如在數(shù)據(jù)中心內(nèi)部，很多操作由應(yīng)用程序自動執(zhí)行，在這種情況下，通常把應(yīng)用程序等同于用戶看待。設(shè)備的認(rèn)證和授權(quán)與用戶/應(yīng)用程序的認(rèn)證和授權(quán)同樣重要，這一特性很少出現(xiàn)在采用邊界安全模型保護(hù)的網(wǎng)絡(luò)中。在傳統(tǒng)的網(wǎng)絡(luò)中，設(shè)備認(rèn)證通常會出現(xiàn)在VPN或NAC技術(shù)中，但是在端到端的場景下很少用到。NAC技術(shù)NAC(網(wǎng)絡(luò)準(zhǔn)入控制）是一種邊界安全技術(shù)，某目的是在終端設(shè)備訪問敏感網(wǎng)絡(luò)時對其進(jìn)行強認(rèn)證。802.1X和可信網(wǎng)絡(luò)連接（TrustedNetworkConnect,TNC)這類網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)關(guān)注的焦點是網(wǎng)絡(luò)的準(zhǔn)入而不是服務(wù)的準(zhǔn)入，因此不屬于零信任模型的范疇。更符合零信任模型的做法是，采用類似的機制在設(shè)備訪問服務(wù)時進(jìn)行強認(rèn)證(TNC技術(shù)涉及一部分，詳細(xì)內(nèi)容參見第5章)。雖然NAC技術(shù)仍然可以應(yīng)用于零信任網(wǎng)絡(luò)中，但它距離遠(yuǎn)程端點太遠(yuǎn)，并不能滿足零信任模型中設(shè)備強認(rèn)證的需求。最后，零信任模型需要計算出“信任評分”（TrustScore),并將應(yīng)用程序、設(shè)備和信任評分綁定在一起形成“代理”A（gent),然后基于代理實施安全策略，進(jìn)行訪問請求的授權(quán)。代理所包含的信息非常豐富，因此可以執(zhí)行非常靈活的、細(xì)粒度的訪問控制。安全策略中包含信任評分，可以靈活適應(yīng)各種條件下的訪問控制需求。如果代理發(fā)出的訪問請求被批準(zhǔn)，那么零信任模型的控制平面會通知數(shù)據(jù)平面接受該請求，這一動作還可以配置流量加密的細(xì)節(jié)參數(shù)。訪問流量的機密性也非常重要，至少要采用設(shè)備級加密或者應(yīng)用程序級加密中的一種，也可以兩種方式同時釆用。通過這些認(rèn)證/授權(quán)組件，以及使用控制平面協(xié)助完成的加密通道，就可以確保網(wǎng)絡(luò)中每一個訪問流量都按照預(yù)期經(jīng)過了認(rèn)證、授權(quán)和加密；沒有經(jīng)過認(rèn)證、授權(quán)和加密完整處理的流S會被主機和網(wǎng)絡(luò)設(shè)備丟棄，以確保敏感數(shù)據(jù)不會泄露出去。另外，控制平面的每個事件和每項操作都會被記錄下來，用于完成基于訪問流或訪問請求的審計工作。邊界安全模型也可以提供類似的安全能力，但是這些安全能力僅在網(wǎng)絡(luò)邊界上部署和實施。傳統(tǒng)的VPN就是一個很好的例子，它同樣提供了類似的安全特性，用來實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全訪問。但是，這種安全能力在網(wǎng)絡(luò)流量到達(dá)VPN設(shè)備之后就會終止。很顯然，網(wǎng)絡(luò)管理員知道互聯(lián)網(wǎng)安全應(yīng)該怎么實現(xiàn)，只是他們沒有把這些安全措施貫徹到整個網(wǎng)絡(luò)。假如一個網(wǎng)絡(luò)全面部署并實施了零信任安全模型中的安全能力，那么這種全新的安全范式會讓我們對安全產(chǎn)生新的認(rèn)知和理解。采用密碼學(xué)技術(shù)對身份進(jìn)行強認(rèn)證，意味著對于任意連接都可以不用在意它的源IP地址到底是什么從（技術(shù)上講，網(wǎng)絡(luò)連接的IP地址仍然可以用于風(fēng)險的度量—稍后章節(jié)將對此進(jìn)行詳細(xì)討論)。如果采用自動化技術(shù)解決了配置管理的棘手難題，那么VPN基本就沒有什么用了，“私有網(wǎng)絡(luò)”這個概念也將不復(fù)存在。內(nèi)部網(wǎng)絡(luò)中的主機和互聯(lián)網(wǎng)主機沒有什么區(qū)別，都釆用相同的手段進(jìn)行保護(hù)。認(rèn)真思考NAT技術(shù)和私有地址空間，很明顯零信任模型使其安全參數(shù)失去了意義。最后，邊界安全模型的根本缺陷是缺乏全局性防護(hù)和安全策略強制執(zhí)行，就像用安全的外殼包裹著軟弱的軀體，我們真正想要的是知道如何認(rèn)證身份、如何防止溝通交流被竊聽的堅硬的軀體。但是，擁有堅硬的軀體也并不一定意味著不需要維持安全的外殼，尤其是在高度敏感的應(yīng)用場景下。不過，零信任模型的確將安全水平提高到了一定的程度，即使降低或取消這些安全外殼也不是不可行的。零信任模型中的絕大多數(shù)安全功能都能夠?qū)ψ罱K用戶透明，這看起來甚至解決了安全性和易用性的矛盾：零信任模型更安全、更易用。事實上，解決是否易用問題的責(zé)任被推到了管理員身上。在云環(huán)境中部署基礎(chǔ)設(shè)施存在許多挑戰(zhàn)，部署安全基礎(chǔ)設(shè)施則是更大的挑戰(zhàn)。零信任非常適合在云環(huán)境中部署，原因很明顯:你完全不需要信任公有云環(huán)境中的網(wǎng)絡(luò)!在零信任模型中，計箅資源不依賴IP地址或網(wǎng)絡(luò)的安全性即可進(jìn)行身份驗證和安全通信，這種能力意味著可以最大程度地把計算資源商品化。由于零信任模型主張加密所有通信數(shù)據(jù)，哪怕通信雙方位于同一個數(shù)據(jù)中心內(nèi)部，因此管理員不需要操心哪些數(shù)據(jù)包流經(jīng)互聯(lián)網(wǎng)，哪些不流經(jīng)互聯(lián)網(wǎng)。零信任模型的18第1章零信任的基本概念這一優(yōu)勢往往被低估了。全面掌握何時、何地以及如何對通信流量進(jìn)行加密，這些認(rèn)知難度是相當(dāng)大的，特別是對那些不完全了解底層系統(tǒng)的開發(fā)人員來說，更加困難。零信任模型則不再需要考慮這些特殊情況，也就意味著它在很大程度上消除了人為錯誤可能帶來的影響?；蛟S有些人會爭辯，雖然零信任模型降低了認(rèn)知難度，但是也沒有必要在數(shù)據(jù)中心內(nèi)部全面實施流量加密。事實證明并非如此。在AWS這樣的大型公有云中，一個“區(qū)域”r（egion)往往由若干數(shù)據(jù)中心組成，這些數(shù)據(jù)中心之間采用光纖進(jìn)行連接，最終用戶往往并不清楚公有云的這些架構(gòu)細(xì)節(jié)。此外，網(wǎng)絡(luò)服務(wù)供應(yīng)商自身的網(wǎng)絡(luò)實施也可能存在風(fēng)險，或許網(wǎng)絡(luò)中的鄰居也能夠看到你的網(wǎng)絡(luò)流量。更可能出現(xiàn)的情況是，網(wǎng)絡(luò)管理員在進(jìn)行故障排查時監(jiān)聽捕獲了你的網(wǎng)絡(luò)流量。也許網(wǎng)絡(luò)管理員是可信任的，但是萬一幾個小時后有人偷走了他.的筆記本電腦，而電腦磁盤上保存著你的網(wǎng)絡(luò)流量，那該怎么辦呢？因此，我們不得不接受這樣的現(xiàn)實：不能認(rèn)為數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)流量就是安全的，就能夠防監(jiān)聽、防篡改。本章探討了零信任模型產(chǎn)生的原因及其基本概念。零信任模型注定會取代邊界安全模型。邊界安全模型試圖把攻擊者阻擋在可信的內(nèi)部網(wǎng)絡(luò)之外，然而零信任模型卻認(rèn)識到這種方法注定會失敗，因此，零信任模型首先假設(shè)內(nèi)部網(wǎng)絡(luò)中同樣存在惡意的攻擊者，并據(jù)此建立安全機制來防范這種威脅。為了更好地理解邊界安全模型失敗的原因，我們回顧了邊界安全模型產(chǎn)生的原因和過程。起初整個互聯(lián)網(wǎng)都是路由可達(dá)的。然而，一些用戶隨后認(rèn)識到網(wǎng)絡(luò)的某些部分沒有理由與互聯(lián)網(wǎng)連通，于是私有網(wǎng)絡(luò)的概念誕生了。之后人們對這種做法逐漸形成共識，組織機構(gòu)紛紛圍繞如何保護(hù)可信的私有網(wǎng)絡(luò)這一目標(biāo)來構(gòu)建安全體系架構(gòu)。不幸的是，這些私有網(wǎng)絡(luò)并沒有，也不可能與互聯(lián)網(wǎng)真正物理隔絕，最終的結(jié)果是建造出一個千瘡百孔、經(jīng)常被突破的邊界防線。在充分理解邊界安全模型的基礎(chǔ)上，我們將其安全設(shè)計與零信任模型進(jìn)行了比較。零信任模型小心地管理系統(tǒng)中的信任。這些網(wǎng)絡(luò)依賴自動化技術(shù)來管理安全控制系統(tǒng)，使之更加動態(tài)、更加安全。本章介紹了零信任模型的關(guān)鍵概念，比如用戶、設(shè)備和應(yīng)用程序的身份認(rèn)證，以及這些實體組合之后的授權(quán)等，本書的后續(xù)章節(jié)會詳細(xì)討論這些概念。本章最后的部分討論了如何遷移到公有云，以及互聯(lián)網(wǎng)的普及如何從根本上改變了威脅格局。所謂的“內(nèi)部網(wǎng)絡(luò)”越來越多地被共享，它其實只是一種高度抽象的概念和說法，用戶也不太清楚他們的數(shù)據(jù)什么時候會在更脆弱的長距離網(wǎng)絡(luò)中傳輸。這種變化導(dǎo)致的最終結(jié)果是，用戶在構(gòu)建新的業(yè)務(wù)系統(tǒng)時，要比以往任何時候都更加重視數(shù)據(jù)的安全問題。第2章將討論如何構(gòu)建安全管理信任的系統(tǒng)，以及需要理解的高層概念。果2早信任管理是零信任網(wǎng)絡(luò)的一個重要功能。人們對信任這個概念并不陌生，比如，你會信任自己的家人，但不會信任大街上的陌生人，當(dāng)然更不可能信任面露兇相的陌生人。為什么會這樣？信任是如何產(chǎn)生的？首先，你確實了解自己的家人。你知道他們長什么樣子，住在哪里，你并不會懷疑他們的身份，在重要的事情上你會更加相信自己的家人而不是陌生人。反之，陌生人對你來說則是完全未知的。你也許見過他們的長相，知道他們的一些基本信息，但卻不知道他們住在哪里，也不了解他們的過往。有的陌生人或許看上去很不錯，但你也肯定不會在重要的事情上相信他們。比如說，你也許會在去洗手間的時候請陌生人幫你照看物品，但是肯定不會請陌生人幫你在ATM上取錢。最終，你只是簡單地把所有能夠辨識的環(huán)境、與陌生人相關(guān)的所有信息等，都納入考慮的范圍，然后判斷他們的可信度有多高。ATM取錢這樣的任務(wù)需要非常高的信任等級，而幫助你看管物品所需要的信任等級則低得多，當(dāng)然也不會低到信任等級為零。在某些情況下，人們甚至可能連自己都無法完全信任，但是至少可以確信所釆取的行動的確是自己所為。因此，零信任網(wǎng)絡(luò)中的信任往往源自系統(tǒng)管理員。“零信任網(wǎng)絡(luò)中的信任”這句話聽上去似乎有些自相矛盾，但是理解這一點卻非常重要：如果不存在與生倶來的信任，那么就必須從某個地方產(chǎn)生信任并小心地管理它。這里還有一個小問題：系統(tǒng)管理員并不是總能有機會進(jìn)行授權(quán)和授予信任！另外，當(dāng)用戶數(shù)量急劇增多時，信任管理的工作量會非常大，而系統(tǒng)管理員的數(shù)量卻不可能無限制地隨之增加。這個問題有成熟的解決方案，那就是信任委托，如圖2-1圖2-1管理員信任某個特定的系統(tǒng)，這個系統(tǒng)又可以信任另一個系統(tǒng)，從而形成信任鏈信任委托非常重要。借助信任委托，人們可以構(gòu)建自動化系統(tǒng)，在無須人為干預(yù)的情況下，以安全可信的方式管理大規(guī)模增長的零信任網(wǎng)絡(luò)。首先，系統(tǒng)管理員是可信的，然后他必須為系統(tǒng)賦予一定程度的信任，使該系統(tǒng)能夠以管理員的身份執(zhí)行后續(xù)動作。為了更好地理解信任委托這個概念，我們以服務(wù)的自動伸縮(Auto-Scaling)功能為例進(jìn)行簡要描述。假設(shè)你希望自己的服務(wù)能夠按需自動開通，那么這里就會存在問題：如何確定一個新生成的服務(wù)是自己的而不是其他人的？為了達(dá)到這個目的，管理員就必須將責(zé)任委托給供應(yīng)系統(tǒng)（ProvisioningSystem)，授予它創(chuàng)建新主機和為新主機授予信任的能力。通過這種方式，我們就可以相信新創(chuàng)建的服務(wù)確實是自己的，因為供應(yīng)系統(tǒng)已經(jīng)確認(rèn)過該服務(wù)是由它創(chuàng)建的，并且供應(yīng)系統(tǒng)還可以證明系統(tǒng)管理員已經(jīng)把這樣的權(quán)力授予了它。能夠返回給系統(tǒng)管理員的這一串信任通常被稱為信任鏈（TrustChain),而系統(tǒng)管理員被稱為信任錨（TrustAnchor)〇定義威脅模型是設(shè)計安全架構(gòu)的第一步。威脅模型用來描述潛在的攻擊者及其能力、資源以及意圖攻擊的目標(biāo)。威脅模型通常會明確攻擊者的范圍，并按照攻擊者的能力高低進(jìn)行排序，以便于人們按照從易到難的順序，合理部署相應(yīng)的攻擊緩解措施。定義明確的威脅模型是非常好的工具，它能夠幫助我們聚焦于攻擊者，思考并部署相應(yīng)的安全緩解措施。在安全系統(tǒng)的建設(shè)過程中，經(jīng)常出現(xiàn)與其他工程實踐類似的傾向：人們往往傾向于在那些令人浮想聯(lián)翩的工程問題上投人很大的精力，卻忽視那些枯燥無味但仍然很重要的工作。在安全系統(tǒng)的建設(shè)過程中，這種傾向更加令人擔(dān)憂，因為系統(tǒng)中薄弱的環(huán)節(jié)恰恰是攻擊者關(guān)注的地方。因此，威脅模型作為一種機制，可以幫助我們聚焦于某個具體的威脅，并仔細(xì)思考緩解該威脅的具體措施。在對安全建設(shè)工作的優(yōu)先級進(jìn)行排序時，威脅模型同樣可以起到指導(dǎo)作用。設(shè)想一下，如果一個系統(tǒng)的安全措施連用戶弱口令暴力破解這類簡單的攻擊都不能防范，那么奢談如何防范國家級別的攻擊者就變得毫無意義。因此，我們在構(gòu)建威脅模型時也要從初級的攻擊者開始考慮，這一點非常重要。網(wǎng)絡(luò)安全領(lǐng)域有多種威脅建模方法，以下這幾種都是流行的建模工具。雖然不同的建模工具所使用的威脅描述框架并不相同，但是它們的目標(biāo)是一致的，都需要盡可能地枚舉針對系統(tǒng)的威脅，然后進(jìn)一步枚舉能夠緩解這些威脅的系統(tǒng)和流程。不同的威脅模型處理問題的視角也不盡相同。有的建模工具聚焦于被攻擊者視為目標(biāo)的資產(chǎn)；有的則獨立地審視每一個軟件組件，枚舉針對每個組件的所有可能的攻擊；還有的則使用與攻擊者相同的視角，把系統(tǒng)看作一個整體，分析攻擊者使用何種手段滲透進(jìn)這個系統(tǒng)。這些建模工具各有其優(yōu)缺點，在實踐過程中混合使用這3類建模工具是比較理想的做法，有助于構(gòu)建多樣化的威脅緩解措施。如果使用基于攻擊者視角的威脅建模工具，則可以把攻擊者按照能力造（成的損害)從低到高排列，具體如下。這類攻擊者又被稱為“腳本小子”。他們沒有什么高明的攻擊戰(zhàn)術(shù)，也沒有明確的攻擊目標(biāo)，往往利用那些眾所周知的漏洞和工具發(fā)起攻擊，廣撒網(wǎng)，碰運氣。此類攻擊者針對特定的目標(biāo)發(fā)起針對性的攻擊。他們經(jīng)常通過魚叉郵件、社交工程等手段發(fā)起攻擊。擁有合法憑據(jù)的系統(tǒng)用戶。外包人員、非特權(quán)的企業(yè)員工等，都屬于這一類。(4)可信內(nèi)部人員可信度很高的系統(tǒng)管理員。按照以上方式把威脅進(jìn)行分級，就能夠聚焦于每一個級別的威脅，分析和探討緩解該威脅的方法。2.1.2節(jié)將討論零信任模型的目標(biāo)是緩解哪些級別的威脅。RFC3552描述了互聯(lián)網(wǎng)的威脅模型。一般情況下，零信任網(wǎng)絡(luò)遵循互聯(lián)網(wǎng)威脅模型來描述安全態(tài)勢，規(guī)劃緩解威脅的措施。為了更好地理解這一威脅模型，建議完整閱讀RFC3552,本節(jié)摘錄了其中相關(guān)的內(nèi)容。互聯(lián)網(wǎng)環(huán)境下的威脅模型相當(dāng)容易理解。通常情況下，假設(shè)參與協(xié)議交互的端點系統(tǒng)自身并沒有被攻陷。如果其中一個端點系統(tǒng)被攻陷，那么阻止攻擊就變得非常困難了。在這種情況下，通過仔細(xì)設(shè)計安全協(xié)議，還是有可能縮小損害的范圍，降低損害的程度。與之相反，假設(shè)攻擊者幾乎能夠完全控制端點系統(tǒng)用以通信的信道。這意味著攻擊者可以讀取網(wǎng)絡(luò)上的任何PDU(ProtocolDataUnit,協(xié)議數(shù)據(jù)單元并且不被察覺地刪除和篡改數(shù)據(jù)包，或者將偽造的數(shù)據(jù)包注入到通信線路中。攻擊者能夠生成看似源自可信主機的數(shù)據(jù)包。因此，即使與之通信的端點系統(tǒng)本身是安全的，互聯(lián)網(wǎng)環(huán)境的特點也使得我們無法確認(rèn)通信數(shù)據(jù)包真的源自該端點系統(tǒng)。因為零信任網(wǎng)絡(luò)需要控制網(wǎng)絡(luò)中的端點設(shè)備，所以它對互聯(lián)網(wǎng)威脅模型進(jìn)行了擴展,充分考慮了端點設(shè)備被攻陷的情形。面對端點設(shè)備可能遭受的攻擊，通常的應(yīng)對方式是首先對端點操作系統(tǒng)進(jìn)行安全加固，然后采用端點系統(tǒng)安全掃描、系統(tǒng)活動行為分析等方式來進(jìn)行攻擊檢測。此外，定期升級端點設(shè)備中的軟件，定期更換端點設(shè)備的登錄憑證，甚至定期更換端點設(shè)備本身等，也能夠緩解針對端點設(shè)備的攻擊。擁有無限資源的攻擊者本質(zhì)上是無法防御的，零信任網(wǎng)絡(luò)充分考慮了這一因素。因此，零信任網(wǎng)絡(luò)的防御目標(biāo)是那些常見類型不（是所有類型）的攻擊者。從前面對攻擊者能力的描述來看，零信任網(wǎng)絡(luò)能夠防御的攻擊者包括從低級別的“碰運氣攻擊者”到高級別的“可信內(nèi)部人員”。大本上就是以上這些，很難遇到復(fù)雜程度更高的攻擊。因此，針對這些類型的攻擊者制定緩解措施具有更廣泛的適用性，能夠抵御組織面臨的絕大多數(shù)攻擊，顯著提升組織的安全態(tài)勢。我們還會遇到一些很難防御的、相對小眾的威脅，如利用虛擬機管理程序的漏洞復(fù)制虛擬機內(nèi)存等。防御這類威脅需要付出相當(dāng)大的代價，可能需要專用的物理硬件，因此大多數(shù)零信任網(wǎng)絡(luò)的威脅模型排除了這類攻擊。我們應(yīng)該明白，在網(wǎng)絡(luò)安全方面雖然有許多最佳實踐，但是零信任模型僅需要保證用于認(rèn)證和授權(quán)操作的信息的機密性，如存儲在磁盤上的憑據(jù)的機密性。至于對端點系統(tǒng)安全性的進(jìn)一步要求，如全盤加密等，是其他安全策略需要考慮的問題。如果沒有辦法把物理世界中的人與其數(shù)字世界中的身份聯(lián)系起來，那么無論釆用什么方法都無法真正建立對一個人身份的信任。人類可以使用多種感官系統(tǒng)的組合來判斷面前的這個人是否就是他們所認(rèn)為的那個人，事實證明，人類多種感官的組合很難被欺騙。然而，計算機系統(tǒng)就沒那么幸運了。計算機場景下的身份認(rèn)證更像是通過電話與某人交談。你可以聽到他的聲音，可以看到他的來電號碼，可以問他問題……但是，卻看不到他本身。這就是很大的挑戰(zhàn)：應(yīng)該用什么辦法來判斷電話線路另一端的人(或系統(tǒng)）的確就是他所聲稱的那個人或（系統(tǒng)）？通常情況下，管理員采用檢查遠(yuǎn)程系統(tǒng)的ip地址，并要求對方輸入口令的方式來完成身份認(rèn)證。但是在零信任網(wǎng)絡(luò)中，僅僅采用這些方法進(jìn)行身份認(rèn)證是遠(yuǎn)遠(yuǎn)不夠的。因為零信任網(wǎng)絡(luò)中的攻擊者能夠使用任意IP地址進(jìn)行通信，還能夠?qū)⒆约褐糜趦膳_遠(yuǎn)程通信的計算機之間發(fā)起中間人攻擊。因此，零信任網(wǎng)絡(luò)中的每個訪問請求都需要經(jīng)過強身份認(rèn)證。目前，應(yīng)用較廣泛的身份認(rèn)證機制是安全工程師們都非常熟悉的X.509標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)定義了數(shù)字證書的標(biāo)準(zhǔn)格式，并能夠通過信任鏈認(rèn)證身份。X.509證書是TLS協(xié)議以（前是SSL協(xié)議）用來驗證連接的主要機制。-SSL是匿名的大多數(shù)TLS應(yīng)用實例僅配置了單向身份認(rèn)證，即只是由客戶端驗證所訪問的資源是否可信，但是被訪問的資源沒有驗證客戶端是否可信，這種配置在零信任網(wǎng)絡(luò)場景下來說存在明顯的問題。TLS協(xié)議本身支持雙向身份認(rèn)證，即被訪問的資源也同樣可以驗證客戶端的身份。這一步驟對私有資源的保護(hù)來說非常重要。關(guān)于零信任網(wǎng)絡(luò)TLS配置的更多信息可以參考8.5.2節(jié)”X.509證書使用兩個密鑰：公鑰和私鑰。公鑰需要被公布出去，私鑰則被嚴(yán)格保密。使用公鑰加密的數(shù)據(jù)，可以用私鑰解密，反之亦然，如圖2-2所示。通過正確解密由眾所周知且（可驗證）的公鑰加密的數(shù)據(jù)片段，人們可以證明其擁有正確的私鑰，就能夠在不暴露秘密的情況下驗證身份。。圖2-2Bob使用Alice的公鑰加密消息，只有Alice能夠解密基于證書的身份認(rèn)證機制可以讓通信雙方確信對方擁有正確的私鑰，并且可以確信攻擊者通過搭線竊聽的方法無法竊取并重用密鑰。但該機制仍然依賴于一個秘密，而這個秘密可能會被竊取。通過網(wǎng)絡(luò)搭線竊聽這種方式雖然行不通了，但是攻擊者仍然可以使用惡意軟件感染或物理接觸的方式竊取這個秘密。也就是說，雖然身份憑據(jù)的合法性可以得到驗證，但是其機密性無法得到保證。因此，實踐中最好使用存儲在不同位置的多個秘密，根據(jù)這些秘密的組合授予訪問權(quán)限。在這種情形下，攻擊者必須竊取多個秘密才能完成攻擊，這增加了攻擊的難度。雖然組合使用多個秘密的方式有助于防止未授權(quán)的訪問，但是仍然存在所有秘密都被竊取的風(fēng)險。因此，所有身份認(rèn)證憑據(jù)都應(yīng)當(dāng)有時間限制。為身份認(rèn)證憑據(jù)設(shè)定有效期限，不僅能夠最大限度地縮減憑據(jù)泄露或密鑰被盜的影響范圍，還可以給管理員更新密鑰和重建信任創(chuàng)造更多的機會，爭取更多的時間。管理員更改或更新密鑰/口令的行為被稱為憑據(jù)輪換（CredentialRotation)。憑據(jù)輪換機制能夠有效防止秘密失竊，并在發(fā)生秘密失竊事件時及時將其注銷，避免更大的損失。人們應(yīng)當(dāng)盡可能避免使用難以輪換或者輪換成本很高的身份認(rèn)證憑據(jù)，如硬件令牌/口令等，特別是新建的系統(tǒng)，應(yīng)當(dāng)在系統(tǒng)設(shè)計早期就考慮到這個因素。身份認(rèn)證憑據(jù)的輪換頻率通常與輪換所需的成本成反比。輪換代價高昂的憑據(jù)示例6需要外部機構(gòu)簽發(fā)的數(shù)字證書。?人工配置的服務(wù)賬戶。需要系統(tǒng)重啟才能重置的數(shù)據(jù)庫口令。。一旦更改就會導(dǎo)致所有已保存的散列值失效的密鑰種子。2.2節(jié)簡要講述了數(shù)字證書和公鑰加密體制的基本知識，但是數(shù)字證書本身并不能解決身份認(rèn)證問題。雖然可以使用遠(yuǎn)程實體的公鑰加密一條消息，通過遠(yuǎn)程實體是否能夠解密來判斷它是否擁有正確的私鑰，但是從哪里獲得該遠(yuǎn)程實體的公鑰呢？雖然公鑰不需要保密，但是仍然需要一種方法來驗證獲得的公鑰的確屬于某人。公鑰基礎(chǔ)設(shè)施KI)解決了這個問題。PKI定義了一組角色及其職責(zé)，能夠在不可信的網(wǎng)絡(luò)中安全地分發(fā)和驗證公鑰。PKI的目標(biāo)是允許無特權(quán)的通信雙方通過共同信任的第三方來驗證對方身份的真實性。PKI利用注冊中心R（A)把通信實體的身份與其公鑰進(jìn)行綁定，然后把這種綁定關(guān)系內(nèi)嵌入數(shù)字證書，并由可信的第三方進(jìn)行數(shù)字簽名。只要發(fā)送方和接收方信任同一個第三方，發(fā)送方就可以使用經(jīng)過第三方簽名的證書來證明自己的身份。受歡迎的兩類供應(yīng)商。CA的信任依賴于數(shù)字簽名鏈，用戶能夠根據(jù)數(shù)字簽名鏈回溯到初始的可信根節(jié)點。WoT沒有使用信任鏈的形式，而是允許參與通信的系統(tǒng)斷言對等方身份的有效性，最終形成相互背書的網(wǎng)狀結(jié)構(gòu)。用戶可以遍歷信任網(wǎng)站，尋找自己需要的、能夠信任的數(shù)字證書。WoT在PGP系統(tǒng)中得到了廣泛使用，但本書更關(guān)注CA這類PKI系統(tǒng)，因為CA的流行程度遠(yuǎn)遠(yuǎn)超過信任網(wǎng)絡(luò)。2.3.1什么是CACA是數(shù)字證書鏈的信任錨，它們簽署并公開發(fā)布公鑰及其綁定的身份信息，允許無特權(quán)實體通過數(shù)字簽名來驗證這種綁定關(guān)系的有效性。CA證書用于表明CA自己的身份，CA證書對應(yīng)的私鑰用于簽署由其頒發(fā)的客戶證書。因為CA證書是眾所周知的，所以通信實體可以使用CA證書來校驗該CA頒發(fā)的客戶證書的數(shù)字簽名。CA作為可信的第三方，能夠為客戶簽發(fā)并維護(hù)數(shù)字證書的有效性。CA作為可信的第三方擁有非常高的特權(quán)，因此必須不惜一切代價保護(hù)CA的安全性。CA的安全性一旦遭到破壞，就會導(dǎo)致災(zāi)難性的后果。因為X.509數(shù)字證書標(biāo)準(zhǔn)支持證書鏈，所以根CA可以保持離線狀態(tài)。離線狀態(tài)的根CA可以得到更好的安全保護(hù)，這也是絕大多數(shù)PKI體系的根CA的標(biāo)準(zhǔn)做法。本書第5章將詳細(xì)討論X.509的安全機制。2.3.2零信任模型中PKI的重要性PKI是零信任模型身份認(rèn)證的基石，大多數(shù)零信任網(wǎng)絡(luò)都釆用PKI來證明身份的真實性。以下這些實體都可以使用數(shù)字證書來進(jìn)行身份認(rèn)證。?應(yīng)用程序。PKI可以綁定實體的身份和公鑰，但是如何保護(hù)實體的私鑰呢？無論如何，身份認(rèn)證的操作過程中使用的恰恰是實體的私鑰。因此，需要安全地保存實體的私鑰，并且應(yīng)當(dāng)使其盡可能靠近實體的物理位置，這在身份認(rèn)證機制中是非常重要的一點。實體私鑰的保存方法因?qū)嶓w的類型而異，如果實體是一個用戶，那么他可以把私鑰存儲在智能卡的安全芯片中，然后把智能卡放在口袋里隨身攜帶。本書第5章~第7章將討論不同實體使用的不同方法。零信任網(wǎng)絡(luò)頒發(fā)的證書數(shù)量可能會很多，因此非常有必要對證書進(jìn)行自動化管理。需要注意的是，如果需要人工來處理證書申請，那么必須謹(jǐn)慎考慮是否有必要，因為這會降低整個系統(tǒng)的效率。話雖如此，但數(shù)字證書的簽發(fā)畢竟是敏感度很高的工作，因此很多系統(tǒng)在設(shè)計時都會保留人工可以介入的審批流程。2.3.3私有PKI還是公共PKIPKI通常被部署為公共的信任系統(tǒng)，簽發(fā)和管理互聯(lián)網(wǎng)上使用的X.509證書。在公共PKI模式下，可信第三方是公共的可信任方，客戶利用公共PKI對其他組織的資源進(jìn)行身份認(rèn)證。雖然公共PKI非常適合作為互聯(lián)網(wǎng)的信任基礎(chǔ)設(shè)施，但是卻不適合零信任網(wǎng)絡(luò)。為什么公共PKI不適合零信任網(wǎng)絡(luò)？公共PKI有很多優(yōu)勢，如成熟的基礎(chǔ)設(shè)施和工具、經(jīng)過諸多專家評審過的安全實踐，以及更短的市場進(jìn)入時間等，這些優(yōu)勢都非常有吸引力。但是對零信任網(wǎng)絡(luò)來說，公共PKI也有許多缺點，其中一個突出缺點是成本。公共PKI系統(tǒng)依賴于受公眾信任的權(quán)威機構(gòu)簽發(fā)和管理證書，而這些機構(gòu)都是商業(yè)化運作的，簽發(fā)證書需要收取費用。零信任網(wǎng)絡(luò)可能會使用大量的證書，如果考慮到憑據(jù)輪換策略，證書的使用量會更大，這會產(chǎn)生高昂的證書簽發(fā)費用，很多組織難以承受。公共PKI系統(tǒng)還有另外一個重大缺點，那就是CA機構(gòu)的可信度問題。人們真的可以完全信任這些公共的CA權(quán)威機構(gòu)嗎？很多公共的CA機構(gòu)是由不同的國家和政府運營的，如果零信任網(wǎng)絡(luò)使用了這些機構(gòu)的公開PKI，那么任何一個CA機構(gòu)出現(xiàn)問題，都會切斷整個零信任網(wǎng)絡(luò)的信任。事實上，人們很難完全信任與這些CA機構(gòu)有關(guān)聯(lián)的政府部門和相關(guān)法律。當(dāng)然，這種情況也有相應(yīng)的解決辦法，比如只使用特定的某一個公共CA，但是如果它與其他組織使用的CA沒有交集，那么如何建立和保持信任就是一個挑戰(zhàn)。最后，使用公共CA會影響零信任網(wǎng)絡(luò)的靈活性和可擴展性。公共CA機構(gòu)為了在公眾面前維持其可信度，會采取措施加強自身的安全防護(hù)。這些安全措施包括證書生成的策略、在證書的哪些位置放置哪些信息等，但是這些規(guī)定并不一定適用于特定組織的零信任網(wǎng)絡(luò)。因為零信任網(wǎng)絡(luò)為了完成身份認(rèn)證，可能需要在證書中存儲與組織相關(guān)的元數(shù)據(jù)，比如用戶角色或用戶ID等。此外，很多公共CA不提供可編程接口，這給零信任網(wǎng)絡(luò)的自動化管理帶來了巨大的挑戰(zhàn)。2.3.4公共PKI有勝于無雖然公共PIO存在很多明顯的缺點，并且我們強烈反對將其應(yīng)用于零信任網(wǎng)絡(luò)，但是使用公共PKI總比完全沒有PKI要好。無論選擇哪種PKI，都需要在自動化管理方面下功夫，這是建設(shè)零信任網(wǎng)絡(luò)的首要工作。如果在零信任網(wǎng)絡(luò)建設(shè)的初期選擇使用公共PKI,那么在意識到風(fēng)險變大時，需要有明確的路徑能夠切換成使用私有PK!。當(dāng)然，需要認(rèn)真考慮是否值得這么做，因為這種切換意味著重新實現(xiàn)私有PKI的自動化，需要付出比較大的代價。最小特權(quán)原則是指一個實體應(yīng)該只被授予完成任務(wù)所需要的特權(quán)，而不是被授予該實體想要得到的權(quán)限。最小特權(quán)原則能夠極大降低用戶或應(yīng)用程序濫用權(quán)限的可能中；對用戶來說，最小特權(quán)通常表現(xiàn)為“只有工程師才能訪問源代碼”這樣的安全策略；終端設(shè)備也同樣需要考慮最小特權(quán)原則，但通常情況下終端設(shè)備采用與用戶或應(yīng)用程序相同的策略。以保護(hù)隱私的名義進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包加密是一種經(jīng)常被忽視的最小特權(quán)應(yīng)用。因為除了通信雙方，還有誰真正需要訪問網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)最小特權(quán)原則還有另外一個作用：如果確實需要更高的訪問權(quán)限，那么用戶可以并且只能在需要的時候獲得這些特權(quán)。因此，只有清楚地了解了每項操作所需的特權(quán)，才能恰當(dāng)?shù)亟o用戶授權(quán)。這種做法比簡單的訪問控制機制前進(jìn)了一步。在這種模式下，用戶大部分時間都在使用非特權(quán)賬戶，當(dāng)需要提升權(quán)限時，則需要使用擁有更高權(quán)限的獨立賬戶執(zhí)行操作。在一臺計算機中，提升用戶的權(quán)限通常需要驗證其身份。比如，UNIX系統(tǒng)用戶使用sudo命令時，系統(tǒng)會提示用戶輸入口令驗證身份，驗證成功之后，用戶才能以另外一個角色執(zhí)行操作。在GUI環(huán)境中，系統(tǒng)會在用戶執(zhí)行高權(quán)限操作時彈出一個對話框，提示用戶輸人口令。計算機系統(tǒng)通過與用戶的交互，降低了惡意軟件假冒用戶身份執(zhí)行操作的可能性。零信任網(wǎng)絡(luò)的情形與之類似，用戶在大多數(shù)情況下以最小特權(quán)模式訪問網(wǎng)絡(luò)資源，只在需要執(zhí)行敏感操作時才提升權(quán)限。比如，經(jīng)過身份認(rèn)證的用戶可以自由地訪問公司的目錄或使用項目計劃軟件。但是，如果用戶要訪問關(guān)鍵的生產(chǎn)系統(tǒng)，那么就需要釆用額外的手段確認(rèn)該用戶的身份，確保該用戶的系統(tǒng)沒有被攻陷。對于風(fēng)險相對較低的操作，特權(quán)提升過程可以很簡單，只需重新提示用戶輸入口令、要求出示雙因素認(rèn)證令牌或者給用戶的手機推送認(rèn)證通知。對于高風(fēng)險的操作，可以選擇通過帶外方式要求相關(guān)人員進(jìn)行主動確認(rèn)。對于特別敏感的操作，管理員可能需要讓相關(guān)人員積極參與，人工主動驗證該操作權(quán)限的合法性。強制性關(guān)聯(lián)身份認(rèn)證的過程和現(xiàn)實世界是一個不錯的辦法，這能夠避免已被攻陷的系統(tǒng)干擾正常的操作。但是人工參與認(rèn)證付出的代價比較大，需謹(jǐn)慎使用，而且使用得太頻繁也會失去效用。除了用戶，零信任網(wǎng)絡(luò)也應(yīng)當(dāng)為應(yīng)用程序配置最小特權(quán)。但是在實際應(yīng)用中，企業(yè)環(huán)境部署的應(yīng)用程序往往具有相當(dāng)廣泛的網(wǎng)絡(luò)訪問權(quán)限。一方面是因為配置應(yīng)用程序的訪問控制策略相對比較困難，另一方面是因為人們通常會假定網(wǎng)絡(luò)中的用戶比應(yīng)用程序更有可能成為攻擊的目標(biāo)。人們在配置一臺新的計算機時，第一步往往就是禁用保護(hù)計算機應(yīng)用程序的安全框架，這幾乎成了常態(tài)。除了考慮用戶和應(yīng)用程序的特權(quán)之外，零信任網(wǎng)絡(luò)還需要考慮設(shè)備的特權(quán)。零信任網(wǎng)絡(luò)把用戶或應(yīng)用程序與其所使用的設(shè)備進(jìn)行綁定，作為一個整體授予相應(yīng)的特權(quán)。這種方式有效地降低了用戶憑據(jù)丟失或被盜而造成的損失和影響。本書第3章將探討設(shè)備和用戶的綁定在實際場景中的工作方式。零信任網(wǎng)絡(luò)中的特權(quán)比傳統(tǒng)網(wǎng)絡(luò)更具有動態(tài)性。傳統(tǒng)網(wǎng)絡(luò)中的安全策略往往是靜態(tài)的，如果遇到需要更高特權(quán)的情形，則特權(quán)的請求者通常需要說服系統(tǒng)管理員變更安全策略，或者請求系統(tǒng)管理員代替他們執(zhí)行操作，后一種做法更普遍。靜態(tài)安全策略存在兩個問題。首先，在管理相對寬松的組織中，特權(quán)數(shù)量會隨著時間的推移而逐漸增長，最終導(dǎo)致最小特權(quán)原則失效。其次，無論組織的管理是寬松還是嚴(yán)格，系統(tǒng)管理員都被賦予了更高的訪問權(quán)限，這會導(dǎo)致其成為攻擊者實施網(wǎng)絡(luò)釣魚攻擊的主要目標(biāo)。與傳統(tǒng)網(wǎng)絡(luò)使用的靜態(tài)安全策略不同，零信任網(wǎng)絡(luò)依靠網(wǎng)絡(luò)活動的諸多屬性來分析當(dāng)前訪問請求的風(fēng)險。這些屬性可以是時間屬性（比如某用戶在正常活動時間窗口之外的訪問請求更加可疑)、空間屬性（比如某用戶從與上次訪問不同的地理位置發(fā)起訪問請求甚至行為屬性（比如某用戶試圖訪問通常情況下不應(yīng)該訪問的資源)。把訪問請求的這些細(xì)節(jié)納入考慮和分析范圍，就能夠?qū)υL問請求做出細(xì)粒度的授權(quán)判定。比如，用戶在正常工作時間從其正常地理位置訪問數(shù)據(jù)庫的請求應(yīng)該被授權(quán)，但是從新的地理位置或者在非工作時間訪問數(shù)據(jù)庫的請求則被要求使用多因子身份認(rèn)證?；诰W(wǎng)絡(luò)活動的風(fēng)險分析主動調(diào)整訪問權(quán)限的能力是零信任網(wǎng)絡(luò)的安全特性之一。通過動態(tài)調(diào)整安全策略和訪問權(quán)限，零信任網(wǎng)絡(luò)能夠積極應(yīng)對已知和未知的惡意攻擊。信任管理是網(wǎng)絡(luò)安全管理中非常困難的工作。確定網(wǎng)絡(luò)中的人員和設(shè)備應(yīng)該如何授權(quán)相當(dāng)耗費時間，并且人員和設(shè)備又在不斷變化，這會直接影響網(wǎng)絡(luò)的安全態(tài)勢。雖然網(wǎng)絡(luò)的信任管理如此重要，但是很多網(wǎng)絡(luò)卻普遍存在信任管理系統(tǒng)部署不足的情況，這的確令人驚訝。定義信任策略這項工作通常由安全工程師手工完成。云上的系統(tǒng)或許可以管理策略，但是這些策略只提供初級的用戶權(quán)限區(qū)隔如（超級用戶、管理員和普通用戶很難滿足高級用戶的需求。由于安全策略的定義和維護(hù)都比較困難，因此試圖變更現(xiàn)有安全策略的請求會遇到阻力。另外，安全策略變更之后導(dǎo)致的影響范圍也同樣很難界定，于是系統(tǒng)管理員對策略的變更非常謹(jǐn)慎。這種現(xiàn)狀會讓最終用戶感到沮喪，也使得系統(tǒng)管理員面對大量策略變更請求不堪重負(fù)。權(quán)限分配通常也是手工作業(yè)，系統(tǒng)管理員根據(jù)用戶在組織中的職責(zé)為其分配相應(yīng)的權(quán)限。這種基于角色的策略系統(tǒng)導(dǎo)致管理員不得不制造出許多信任池（poolOftrust)，從而削弱了網(wǎng)絡(luò)的整體安全態(tài)勢。這些信任池也為黑客創(chuàng)造了一個“獵殺系統(tǒng)管理員”的市場，他們四處尋找并試圖攻陷系統(tǒng)管理員的權(quán)限。安全網(wǎng)絡(luò)的黃金標(biāo)準(zhǔn)或許應(yīng)該是這樣的：根本就不存在高特權(quán)的系統(tǒng)管理員！信任池問題凸顯了傳統(tǒng)網(wǎng)絡(luò)信任管理的根本性缺陷：安全策略動態(tài)性不足，無法應(yīng)對日益變化的網(wǎng)絡(luò)安全威脅。安全成熟度比較高的組織會針對網(wǎng)絡(luò)活動部署審計設(shè)備，執(zhí)行審計流程，但是審計工作的執(zhí)行頻率往往不高，而且坦率地說，網(wǎng)絡(luò)活動的審計工作非常乏味，以至于沒人愿意認(rèn)真做好這件事。另外，行為惡劣的管理員對網(wǎng)絡(luò)造成的損害是巨大的，試圖通過審計流程發(fā)現(xiàn)并減輕影響往往為時已晚。因此，需要重新思考網(wǎng)絡(luò)參與者的信任關(guān)系，意識到網(wǎng)絡(luò)參與者的信任是基于參與者過去和當(dāng)前的行為而不斷變化的。根據(jù)參與者的行為來確定其可信度，這種信任模式并不是新鮮事物，信用卡代理機構(gòu)許多年以前就已經(jīng)開始提供這項服務(wù)了。信用卡代理機構(gòu)不再要求零售商、金融機構(gòu)甚至雇主獨立定義和確定一個人的可信度，而是對一個人在現(xiàn)實世界中的行為進(jìn)行度量和評分，從而確定這個人的可信度。然后，消費機構(gòu)就可以根據(jù)其信用評分來決定給予此人多少信用。在申請按揭抵押貸款時，信用評分較高的人將獲得更優(yōu)惠的利率，從而降低貸款人的風(fēng)險。企業(yè)雇主也可以把一個人的信用評分作為是否錄用的決策參考依據(jù)。以具體個案為基礎(chǔ)進(jìn)行分析，信用評分依賴的這些因素會讓人覺得有些隨意和模糊，但正是這種模糊性發(fā)揮了重要作用：在這種評分機制下,安全策略的定義不僅基于確定性的描述，還要基于不斷變化的度量分值，這為系統(tǒng)提供了一種防御任意威脅的機制。零信任網(wǎng)絡(luò)基于上述認(rèn)識和理解定義信任，如圖2-3所示。零信任網(wǎng)絡(luò)不再給網(wǎng)絡(luò)參與者定義和分配基于二元決策的策略，而是持續(xù)監(jiān)視參與者的網(wǎng)絡(luò)活動，并據(jù)此持續(xù)更新其信任評分，然后使用這個評分作為授權(quán)策略判定的依據(jù)之一，如圖2-4所示。比如，一個用戶從不可信的網(wǎng)絡(luò)查看日歷，這種訪問請求需要相對較低的信任評分；但是，如果該用戶試圖更改系統(tǒng)設(shè)置，則需要更高的信任評分，信任評分不滿足要求，系統(tǒng)會拒絕該用戶的請求，并將此請求標(biāo)記為需要立即審核。這個示例雖然很簡單，但是足夠我們從中發(fā)現(xiàn)信任評分的價值：能夠?qū)Υ_保信任所需的檢查與平衡進(jìn)行細(xì)粒度的決策判定。由于零信任網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)流量都是加密的，因此傳統(tǒng)的流量監(jiān)聽方法很難達(dá)到預(yù)期的效果，只能看到有限的內(nèi)容，比如IP報頭或下一個協(xié)議報頭（比如TLS場景下的TCP報頭）。但是，如果網(wǎng)絡(luò)訪問請求的路徑中部署了負(fù)載均衡設(shè)備或代理服務(wù)器，那么就能夠看到應(yīng)用數(shù)據(jù)，也就有機會進(jìn)行深度包檢測和授權(quán)操作。動作策略動作\策略Z圖2-3信任評分使得采用更少的策略就能提供相同數(shù)繼的訪問權(quán)限圖2-4信任引擎計箅信任評分并生成網(wǎng)絡(luò)代理，然后根據(jù)策略進(jìn)行請求的授權(quán)。本書第3章將詳細(xì)討論關(guān)于網(wǎng)絡(luò)代理的概念客戶端以不可信的方式開始訪問會話請求，并在訪問過程中通過各種機制不斷積累信任，直到積累的信任足夠獲得系統(tǒng)的訪問權(quán)限。比如，用戶通過強認(rèn)證能夠證明所使用的終端設(shè)備屬于公司，這可能積累了一些信任，但不足以獲得賬單系統(tǒng)的訪問權(quán)限。接下來，用戶提供了正確的RSA令牌，就可以積累更多的信任。最后，設(shè)備認(rèn)證和用戶認(rèn)證相結(jié)合計算出的信任評分滿足要求，用戶就可以獲得賬單系統(tǒng)的訪問權(quán)限了。強策略是信任的“增壓器”與靜態(tài)策略相比，基于信任評分的策略能夠根據(jù)歷史行為等多種變量動態(tài)影響授權(quán)的判定結(jié)果，這將極大地改善網(wǎng)絡(luò)的安全態(tài)勢。經(jīng)由這種機制檢查和授權(quán)的訪問會話有更高的可信度。此外，傳統(tǒng)的信任機制高度依賴用戶的身份認(rèn)證，而這種信任評分積累機制可以顯著降低此依賴，從而改善用戶的使用體驗?；谛湃卧u分的策略模型也不是沒有缺點。其中一個問題是，單一的評分值是否足以保護(hù)所有的敏感資源。用戶的信任評分能夠基于歷史行為而降低，同樣也可以基于歷史的可信行為而增加。那么，攻擊者是否有可能通過在系統(tǒng)中慢慢建立信任，從而獲得更高的訪問權(quán)限呢？如果考慮到組織的審計人員通過定期的網(wǎng)絡(luò)審計有機會發(fā)現(xiàn)人侵者，那么只要延長用戶積累信任所需的“正常”行為的時間，就能夠延緩攻擊者積累信任的進(jìn)度，從而應(yīng)對這種威脅。另外一種方法是把敏感操作的若干條信息公布給控制平面，并將其配置成只有可信位置的可信用戶才能夠訪問。通過信任評分與設(shè)備和應(yīng)用程序元數(shù)據(jù)的綁定，能夠?qū)崿F(xiàn)靈活的策略機制，既可以顯式描述確定的授權(quán)策略，又可以通過計算信任評分的方式應(yīng)對未知的威脅。安全策略和用戶組織角色之間的解耦可能會給最終用戶帶來一定的困擾。比如，用戶在咖啡館訪問敏感資源時請求被拒絕，但是在家里就不會遇到這種情況，系統(tǒng)應(yīng)該如何與用戶溝通這種差別呢？是否應(yīng)該對用戶提出越來越嚴(yán)格的身份認(rèn)證要求？在積累更多的信任、獲得更高的訪問權(quán)限之前，是否應(yīng)該要求新用戶在較低的訪問權(quán)限下工作一段時間？用戶攜帶出現(xiàn)故障的終端設(shè)備來到技術(shù)支持辦公室進(jìn)行維修，是否應(yīng)該給這個用戶增加額外的信任？以上所有這些問題都是需要考慮的重點，不同的零信任網(wǎng)絡(luò)解決這類問題的方法也是不同的。22.6控制平面和數(shù)據(jù)平面控制平面和數(shù)據(jù)平面是網(wǎng)絡(luò)系統(tǒng)經(jīng)常使用的概念，其基本思想是，網(wǎng)絡(luò)設(shè)備有控制平面和數(shù)據(jù)平面兩個邏輯域，這兩個邏輯域之間存在清晰的接口。數(shù)據(jù)平面的作用是轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量，它需要高速處理數(shù)據(jù)包，因此其處理邏輯相對簡單，通常使用專用硬件?？刂破矫婵梢钥醋魇蔷W(wǎng)絡(luò)設(shè)備的大腦，系統(tǒng)管理員用它來配置管理網(wǎng)絡(luò)設(shè)備，因此控制平面會隨著策略的變化而變化。控制平面的強可塑性導(dǎo)致其無法處理高速網(wǎng)絡(luò)數(shù)據(jù)包流量。因此，控制平面和數(shù)據(jù)平面之間的接口定義需要遵循這樣的原則：任何在數(shù)據(jù)平面執(zhí)行的策略行為，都要盡可能減少向控制平面發(fā)送請求相（對于網(wǎng)絡(luò)流量速率來說)。零信任網(wǎng)絡(luò)還定義了控制平面和數(shù)據(jù)平面之間明確的區(qū)別。零信任網(wǎng)絡(luò)中的數(shù)據(jù)平面由直接處理網(wǎng)絡(luò)流量的應(yīng)用程序、防火墻、代理服務(wù)器和路由器組成。這些系統(tǒng)都處于網(wǎng)絡(luò)連接的路徑上，需要快速決定是否應(yīng)該允許流量通過。如果把數(shù)據(jù)平面視為一個整體，就會發(fā)現(xiàn)它在整個零信任網(wǎng)絡(luò)中具有范圍很廣的訪問權(quán)限和暴露面。因此，不能使用數(shù)據(jù)平面上的服務(wù)來獲得控制平面的特權(quán)，從而在網(wǎng)絡(luò)中橫向移動。本書第4章將討論控制平面的安全性。零信任網(wǎng)絡(luò)中的控制平面由一系列組件構(gòu)成，這些組件接收并處理來自數(shù)據(jù)平面的請求，這些請求或者是希望訪問網(wǎng)絡(luò)資源，或者是授予網(wǎng)絡(luò)資源的訪問權(quán)限，如圖2-5所示?？刂破矫娴慕M件檢查發(fā)起請求的系統(tǒng)的相關(guān)數(shù)據(jù)，以確定該操作的風(fēng)險有多大，同時檢查相關(guān)策略以確定訪問該資源需要的信任度有多高?？刂破矫嬉坏┳龀鍪跈?quán)判定，就會通知或者重新配置數(shù)據(jù)平面，并授予相應(yīng)的訪問權(quán)限?？刂破矫婺軌蛴绊憯?shù)據(jù)平面的變化，這種機制非常重要。因為數(shù)據(jù)平面的系統(tǒng)通常是攻擊者進(jìn)入網(wǎng)絡(luò)的入口，所以數(shù)據(jù)平面與控制平面之間的接口必須非常清晰，確保數(shù)據(jù)平面中的系統(tǒng)不會因為被攻陷而導(dǎo)致在網(wǎng)絡(luò)內(nèi)橫向移動。數(shù)據(jù)平面和控制平面系統(tǒng)之間的交互請求必須使用私有PKI系統(tǒng)進(jìn)行身份認(rèn)證和加密，以確保接收方的可信度?？刂破矫婧蛿?shù)據(jù)平面之間的接口應(yīng)當(dāng)類似于操作系統(tǒng)內(nèi)核空間和用戶空間之間的接口，為了防止提權(quán)攻擊，兩個系統(tǒng)之間的交互需要進(jìn)行高度隔離。在關(guān)注控制平面和數(shù)據(jù)平面之間的接口之余，還要關(guān)注控制平面的另外一個基本特性：控制平面是整個網(wǎng)絡(luò)的信任授予者。由于控制平面對網(wǎng)絡(luò)行為的控制力度非常大，因此其自身的可信度至關(guān)重要。由于零信任網(wǎng)絡(luò)中存在這樣一個具有極高特權(quán)的參與者，因此其在安全設(shè)計上也提出了許多有意思的設(shè)計需求。需求是這樣的：控制平面授予數(shù)據(jù)平面的某個參與者的信任應(yīng)該具有時效性。信任應(yīng)當(dāng)是臨時性的，信任委托方和信任受托方之間需要定期履行確認(rèn)手續(xù)，才能保證持續(xù)信任的合理性。租用訪問令牌或短生命周期證書是實現(xiàn)這一原則的較合適的解決方案。如果釆取租用訪問令牌的方案，那么這些令牌不僅需要在數(shù)據(jù)平面（比如，當(dāng)控制平面向網(wǎng)絡(luò)代理授予了令牌，網(wǎng)絡(luò)代理在數(shù)據(jù)平面中移動時）進(jìn)行校驗，還需要在數(shù)據(jù)平面和控制平面交互時進(jìn)行校驗。通過限制數(shù)據(jù)平面和控制平面進(jìn)行憑據(jù)交互的時間窗口，能夠降低對網(wǎng)絡(luò)進(jìn)行物理攻擊的可能性。本章討論了零信任網(wǎng)絡(luò)信任管理的基本概念和所需的關(guān)鍵系統(tǒng)。雖然這些概念和系統(tǒng)在傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)中都很常見，但是卻非常重要。在毫無信任的網(wǎng)絡(luò)中建立并管理信任需要依賴這些概念和系統(tǒng)。信任源自于人，并通過計算機可以執(zhí)行的信任機制流人其他系統(tǒng)。這種建立信任的