导言

2023 年 3 月 1 日，美国发布了《国家网络安全战略》，其中强调了通过实施零信任架构 (ZTA) 战略以及信息技术 (IT) 和运营技术 (OT) 基础设施的现代化来改善联邦网络安全的愿景。本文探讨了卡内基梅隆大学提出的八个潜在 ZTA 研究领域，旨在促进对这一关键网络安全概念的更深入理解和实施。

领域一：就基本 ZTA 定义达成一致

NIST SP800-207 中 ZTA 的定义指出，访问决策是基于每个会话做出的。"会话"一词有多种解释，因此需要明确定义这一术语以及其他关键概念，如每个请求访问和每个请求日志记录。

领域二：建立 ZTA 共同观点

从操作层面来看，组织可以受益于用于定义 ZTA 组件之间事件通信的开源标准。了解如何使用现有框架和标准来最大化 ZTA 互操作性和效率至关重要。

领域三：建立标准 ZTA 成熟度级别

现有的 ZTA 成熟度模型无法提供衡量组织 ZTA 转型的细粒度指南。需要开发一个成熟度模型，以帮助组织确定实现基本 ZTA 安全标准所需的步骤。

领域四：开发 ZTA 生命周期模型

ZTA 的成功实施需要一个明确的生命周期模型，概述了规划、设计、实施、运营和监控阶段。此类模型可提供有关不同实施阶段的指导和最佳实践。

领域五：探索 ZTA 中的混合云和边缘计算

随着混合云和边缘计算的兴起，研究 ZTA 在这些环境中的适用性至关重要。需要解决诸如身份管理、访问控制和威胁检测等挑战。

领域六：自动化 ZTA 实施

自动化可以简化 ZTA 的实施和管理。需要探索诸如使用机器学习 (ML) 和人工智能 (AI) 技术来实现自动化以及开发自适应 ZTA 系统等领域。

领域七：制定 ZTA 政策和治理框架

ZTA 的成功实施需要强有力的政策和治理框架。需要研究如何制定明确的 ZTA 政策、建立决策机制以及定义可接受的使用实践。

领域八：培养 ZTA 专业技能

ZTA 实施需要拥有特定技能和知识的专业人员。需要研究如何培养 ZTA 专业技能，包括开发教育计划、认证和培训计划。

结论

零信任架构 (ZTA) 是改善网络安全的关键战略。通过探索本文概述的研究领域，组织可以加深对 ZTA 的理解，并开发高效实施 ZTA 所需的工具和实践。持续的研究和创新对于推动 ZTA 的发展和增强其在当今动态网络威胁格局中的有效性至关重要。

---

零信任落地实践方案探讨

文 华润医药商业集团有限公司智能与数字化部 孙宏鸣

零信任概念的提出，彻底颠覆了原来基于边界安全的防护模型，近年来受到了国内外网络安全业界的追捧。

所谓零信任顾名思义就是“从不信任”，那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型，而向零信任安全模型进行转变呢？零信任是企业安全建设中必须经历的安全防护体系技术革新，但它必然要经历一个长期 探索 实践的过程。

一、零信任的主要安全模型分析

云计算和大数据时代，网络安全边界泛化，内外部威胁越来越大，传统的边界安全架构难以应对，零信任安全架构应运而生。作为企业，该如何选择“零信任”安全解决方案，为企业解决目前面临的安全风险？

目前“零信任”安全模型较成熟的包括安全访问服务边缘（SASE）模型和零信任边缘（ZTE）模型等。以这两种模型为例，首先要先了解目前模型的区别，探讨各自的发展趋势，再选择适合企业的落地实施方案。

对 SASE 模型，身份驱动、云架构、支撑所有边缘以及网络服务提供点（PoP）分布是其主要特征。SASE 模型扩展了身份的定义，将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等，这些要素都被归纳成了身份，所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同，SASE 不会强制将流量回传到数据中心进行检索，而是将检查引擎带到附近的 PoP 点，客户端将网络流量发到 PoP 点进行检查，并转发到互联网或骨干网转发到其他 SASE 客户端，从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务（SECaaS），即提供所有云服务特有的功能，实现最大效率、方便地适应业务需求，并将所有功能都放置在 PoP 点上。

SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本，整合供应商和厂家的资源，为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构，减少 IT 团队管理及运维安全产品的数量，降低后期运维的复杂性，极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程，并对未授权的数据进行保护。

SASE 模型强调网络和安全紧耦合，网络和安全同步建设，为正在准备搭建安全体系的企业提供了较为理想的路径。反之，已经搭建或正在搭建安全体系过程中的企业，如果要重构企业网络结构，是个极大的挑战，也是一笔不小的投入。所以，SASE 模型可能更适用于面对终端用户的零售行业，为这类企业提供完整的安全服务，不需要企业在每一个分支节点上搭建一整套安全体系，便于统一管理并降低建设成本。

ZTE 模型的重点在零信任。一是数据中心零信任，即资源访问的零信任，二是边缘零信任，即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块，本质上是一个概念。ZTE 模型强调网络和安全解耦，先解决远程访问问题，再解决网络架构重构问题。

二、华润医药商业集团零信任的实践

华润医药商业集团有限公司（以下简称“公司”）作为华润下属的大型医药流通企业，在全国分布百余家分子公司，近千家药店，日常业务经营都离不开信息化基础支撑，所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求，完善网络安全防护能力，公司同样十分重视网络安全建设，目前同国内主流安全厂商合作，建立了以态势感知为核心，贯穿边界与终端的纵深防御体系，并通过连续两年参与攻防演练，不断提升网络安全人员专业水平，通过攻防实战进一步优化网络安全建设。

但公司在涉及云计算、大数据、物联网等技术领域时，现有的网络边界泛化给企业带来的安全风险不可控，传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施，而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。

公司选择了 SASE（安全访问服务边缘）和ZTE（零信任边缘）两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。

公司分支企业众多，几乎覆盖全国范围，存在安全管控难、处置难、安全性低、资源灵活性差等问题，并缺少整体统一的长效运营机制。基于以上问题，公司参考了 SASE 模型的解决方案，将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案，由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构，而是分为三类情况使用不同的方案。

第一类是改变网络安全管理方式，主要针对区域公司。 由于大部分区域公司已经搭建了相对成熟的安全体系，只将原有的传统广域网链路改为就近接入运营商 PoP 点，并将原有的双线冗余线路的备用线路使用软件定义广域网（SD-WAN）技术进行替换，并通过服务质量（QoS）机制将主营业务与办公业务进行合理切分，大大提高了网络使用效率，降低费用成本，并且可以通过统一的管理平台对广域网进行管理，统一下发配置安全策略，提高整体安全管控和处置。

第二类是逐层汇聚、分层管理，主要针对二、三级分支机构。 这类单位安全体系虽已建设，但还未达到较高的程度，通过就近接入 PoP 点或汇聚到区域公司，由运营商提供部分安全服务或由区域公司进行统一管控。

第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。 使用 SD-WAN 安全接入方案就近接入 PoP 点，由运营商提供整体的安全服务，从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整，提供全面、一致的安全服务 , 同时降低整体安全建设成本，提高工作效率。

近两年，公司办公受新冠疫情的影响，员工居家办公成为常态化。作为虚拟专用网络（VPN）产品的使用“大户”，公司原有的 VPN 账户众多 ,传统 VPN 在使用过程中已经难以满足当前业务的需求，一些问题逐渐暴露，经常出现不同程度的安全风险。传统 VPN 架构存在很多问题，如权限基于角色固定分配，不够灵活，在业务生成中及重保等特殊时期，粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网，本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 VPN 业务运维，涉及下级单位 VPN 问题均需要总部人员处理，诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 VPN 客户端的兼容性不同，兼容性问题也是经常被员工吐槽的地方。在 VPN 使用中，基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。

为此，公司参考了 ZTE 模型的解决方案，首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点，以零信任理念为指导，结合深信服软件定义边界（SDP）架构的零信任产品，构建了覆盖全国办公人员的零信任远程办公平台。

SDP 架构的零信任产品，对访问连接进行先认证、再连接，拒绝一切非法连接请求，有效缩小暴露面，避免业务被扫描探测以及应用层分布式拒绝服务攻击（DDoS）。通过单包认证（SPA）授权安全机制实现业务隐身、服务隐身，保护办公业务及设备自身。对于没有安装专有客户端的电脑，服务器不会响应来自任何客户端的任何连接，无法打开认证界面及无法访问任何接口。具备自适应身份认证策略，异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时，零信任平台强制要求用户进行二次认证、应用增强认证，确保用户身份的可靠性。

零信任的试点应用，提升了公司的网络安全性，简化了运维。但基于公司现状及规划，试点工作还需进一步同厂商进行下一步的工作落地和 探索 。在使用体验优化方面，由于 SDP 架构的数据转发链更多，零信任与 VPN 使用流畅度上差异不大，在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版（IPV6），依据相关政策要求，需要进行 IPV6 业务改造，通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯，将零信任产品进一步同公司现有办公平台进行对接，实现身份、业务的统一管理，实现单点登录。公司零信任安全体系建设的下一步工作，是将公司现有安全体系建设进一步与零信任产品体系打通，实现数据互通，进一步提高管理信息化中的安全可靠性。

三、结语

零信任安全架构对传统的边界安全架构模式重新进行了评估和审视，并对安全架构给出了新的建设思路。但零信任不是某一个产品，而是一种新的安全架构理念，在具体实践上，不是仅在企业网络边界上进行访问控制，而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制，从而真正实现“从不信任，始终验证”。

（本文刊登于《中国信息安全》杂志2022年第2期）

零信任概念是什么？

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。 默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。 发展背景：传统的网络安全是基于防火墙的物理边界防御，也就是为大众所熟知的“内网”。 防火墙的概念起源于上世纪80年代，该防御模型前提假设是企业所有的办公设备和数据资源都在内网，并且内网是完全可信的。 然而，随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，传统的安全边界逐渐瓦解。 随着以5G、工业互联网为代表的新基建的不断推进，还会进一步加速“无边界”的进化过程。 与此同时，零信任安全逐渐进入人们的视野，成为解决新时代网络安全问题的新理念、新架构。