中孚信息新基建呼唤新一代网络安全新架构

中孚信息新基建呼唤新一代网络安全新架构本站　　以5G、大数据、AI、云计算、工业互联网等新兴技术为牵引的新基建工程，必定给国家经济增长注入“数字动力”，对助推经济建设和产业升级意义深远

　　以5G、大数据、AI、云计算、工业互联网等新兴技术为牵引的新基建工程，必定给国家经济增长注入“数字动力”，对助推经济建设和产业升级意义深远。面对数字化经济转型的时代潮流，网络安全作为新基建的保障基石，也必将迎来全新挑战和行业机遇。

　　在新兴信息技术加速作用下，数据将更加高效的流动，朝着能产生更大价值的地方汇聚。构建新一代数字化基础设施，在推动各个产业向数字化、智能化方向发展的同时，也给网络安全带来全新挑战：

　　网络边界日趋开放和复杂，快速变化的组织结构，灵活的移动办公，传统安全边界日趋模糊，各种接入用户的身份鉴别、授权管理混乱，让基于边界的安全防护逐渐失效；

　　网络安全威胁的“暴露面”大大增加，数字化基础设施呈指数级增长，网络环境延伸到接触生态系统的每台终端，网络攻防不对称性进一步加剧；

　　大量新技术新业务被推广采用，新基建产生泛在数字化应用场景，业务数据在人员、设备、系统间流动频繁，数据泄露和滥用风险大幅增加；

　　外部APT威胁呈高频常态化，遭受内部攻击的可能性大幅度增加，网络安全的内涵和外延不断延伸，复杂多样的新型网络攻击使得未知威胁长期存在，安全态势日趋严峻。

　　新基建网络安全体系遵循国家网络安全等保标准，与新型基础设施同步规划、建设、运行，目标定位在提升安全技术保障能力、强化安全管理服务能力和提高重要数字基础设施安全可信水平。建设范畴主要包括：①对5G、物联网、工业互联网、数据中心、云平台等新型基础设施实行统一动态监测，确保安全平稳可靠运行；②强化网络安全态势感知，结合大数据、AI技术，构建主动防御体系，保障数据安全，注重保护个人隐私，提高信息安全事件动态预警、响应、处置能力；③推广应用安全可信、自主可控的网络产品和服务，提高重要新型基础设施安全可信水平；④强化密码技术在重要新型基础设施中的推广应用，扩大数字证书应用范围等。

　　新基建的本质是IT技术架构变革的结果，需要网络安全架构随之演进。传统网络安全架构面向合规要求设计，采用基于边界的静态被动式防护策略，已难以满足全新安全需求，重构网络安全架构已成必然，主要安全需求：

　　访问主体多样化，业务应用日趋复杂，防护边界变得模糊，不仅暴露了边界威胁面，区域聚合管理困难，而且造成防护策略的的可维护性、灵活性直线下降。这就迫使以区域防护为核心逻辑的传统访问控制转向控制每个访问活动主体的身份认证和行为管理。通过为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程，构筑动态访问控制体系，使得安全边界延伸至所有身份实体。

　　新基建背景下，未来数字化业务部署和运营模式更加开放、互通和生态化，网络攻击将从内部发起的可能性大幅度增加，为保障数字经济可持续性发展，需尽可能缩小防护边界，采取动态访问控制最小化授权，确保在复杂网络威胁形势下有效保障数字化业务的可用性、可生存性和可恢复性。

　　传统安全是基于规则匹配，应对方式单一，属于阈值静态防护策略。该方式已不适用新基建网络安全要求，尤其是云平台。新基建网络安全核心目标是构建一个信任的和弹性IT生态环境，持续对用户、终端设备、应用系统、云服务、漏洞、关系和应用接口进行重定基线以及挖掘发现，最终保障企业能够顺利、充分地参与到数字经济中去。

　　新基建融合度高、渗透性强、覆盖面广，各类应用场景下人、设备、系统经常动态变化，网络安全如何从过去的零散、局部、被动的建设，升级为构建内生、体系化、主动有序为特点的内生安全体系？一种以持续认证手段进行信任评估为主导的安全理念“零信任架构（ZTA：Zero Trust Architecture）”成为最佳选择。

　　零信任最早源自无边界趋势下的网络安全问题研究，2010年被Forrester首席分析师约翰·金德维格正式提出，他强调ZTA应满足三原则：①不应该区分网络位置；②严格限制所有访问，坚持最小权限；③所有访问都应被记录和跟踪。后来，零信任理念逐渐得到业界主流认可，经过不断完善补充，现已发展成以身份为基石的动态可信访问控制体系。零信任的核心是“Never Trust， Always Verify”，即：基于网络所有参与实体的数字身份，对默认不可信的所有访问请求进行加密、认证和强制授权，汇聚关联各种数据源进行持续信任评估，并根据信任的程度动态对权限进行调整，最终在访问主体和访问客体之间建立一种动态的信任关系。

　　ZTA的价值在于它打破了传统基于网络边界构筑信任域的安全理念，对任何访问都要做基于身份进行细粒度的风险度量和访问授权，避免应用资产直接暴露在互联网上，极大减少了暴露面和被攻击风险。此外，零信任架构还适用于云计算、物联网、移动互联和大数据安全等新兴应用场景的安全防护。

　　零信任安全借助身份管理平台实现对人、设备、系统的全面、动态、智能的访问控制，通过全面身份化管理，实现对网络参与的各个实体在统一框架下实施全生命周期安全管理。

　　统一为用户、设备及应用系统创建数字身份，并关联对应的身份生命周期管理流程、梳理关联各业务系统账号和身份的属主关系、控制各个账号的权限分派实现基础授权；为了实现闭环的全面身份化治理，需要部署智能身份分析系统，对当前系统的权限、策略、角色进行智能分析，发现潜在的策略违规并触发工作流引擎进行自动或人工干预的策略调整，实现治理闭环。

　　针对每次访问，策略引擎根据访问者设备、用户认证的情况，综合访问者所使用应用、流量的协议及加密情况等诸多因子实施信任度量，再根据考量结果授权访问资源，并将授权结果通过策略管理器下发给数据平面的策略执行点进行访问控制；同时，策略执行点需要记录授权后的访问行为，并反馈给策略引擎，由策略引擎根据访问行为实时调整访问策略。

　　ZTA是一种安全设计思想，并非一个具体的新技术或产品，在新基建下的网络安全建设中，应针对不同应用场景和产业工作流程，结合企业自身需求特点引入ZTA设计，通常根据核心功能组件和组织策略规则确定具体方案：

　　将请求访问主体的身份作为策略创建的关键组件，即主体身份是访问授权的主要依据，而设备、资产及环境状态等其他因素，则作为影响最终信任评估的有限参考。在具体应用中，策略执行组件将访问请求转发到策略引擎服务，在授权之前进行主体身份认证和信任评估。该方案适合客户端和服务器之间的中继应用，以防止攻击者入侵专用网络。

　　企业将防火墙或网关设备作为策略执行点，基于私有网段实施ZTA，动态授权访问来自客户端资产的各个请求，以保护数据资源安全访问。该方法适用于各种用例和部署模型相对稳定的应用场景。

　　企业在应用程序或应用程序集合周围创建基于身份和上下文的逻辑访问边界，应用程序对外隐藏，只有被授权用户通过可信代理才能访问，在允许访问之前，代理将验证指定参与者的身份、上下文和策略遵守情况，显著减少了攻击面。该方案非常适合云安全应用。

　　新基建ZTA建设目标是构造一个全新的可端到端管控的加密业务网络，所有业务访问在该架构下按照零信任安全原则执行，涉及关键技术包括：

　　端到端可管控网络：这是零信任网络的基础，端到端网络要求将信任边界缩小至企业能承受的最小状态，同时约束最小边界之间默认互相不可访问，只有配置了访问控制策略才可访问。

　　集中认证和策略管控：完成网络访问主体对象身份化，赋予用户、终端、资源数字身份，并实施集中管理，集中配置静态的授权策略，由端到端可管控网络执行。

　　终端资源可信分析：对终端环境和资源状态进行实时监测，根据监测结果给终端和资源可信度进行量化赋值，静态授权策略可参考赋值结果进行自动调整。

　　持续监测动态授权：依据用户、终端、资源的实时信任度变化生成动态策略调整建议，并交由端到端网络执行。

　　接入企业自适应安全治理闭环：零信任不是安全治理的全部，但零信任解决了企业内部业务的安全访问问题，最终零信任需要服务于企业完整的自适应安全治理目标。

　　在ZTA具体实践中，根据应用场景和安全需求不同，策略引擎输入因子的细粒度、策略引擎分析的能力、输出策略的精准度和时效性、策略下发的方式方法、策略执行的力度、反馈机制等均存在差异。最终通过大数据、人工智能等技术手段，对用户、设备、应用的认证、授权做到细粒度的自适应控制，这是ZTA理想化目标。

　　ZTA遵循“先验证用户和设备、后访问业务资源”的原则，其创新价值不仅在于技术本身，而是在于它的架构理念和安全逻辑，具备足够的安全弹性和自适应能力，适应新基建背景下的移动互联网、物联网、5G等新兴应用场景需求。同时，我们还应认识到，ZTA并非万能，它只是面向可管理用户、终端和业务资源之间的安全访问，对于面向公众的业务则无能为力。在未来建设中，ZTA可以整合企业已有安全产品，如IAM、UEBA、SIEM、SOC、态势感知等，还需充分结合等级保护2.0、国密改造、自主可控、可信计算等技术，务实推动零信任架构的落地实践，最终为新基建保驾护航。