邊界信任及其弱點

邊界信任是現代網絡中最常見的傳統信任模型。所謂邊界信任就是明確什么是可信任的設備或網絡環境，什么是不可信任的設備或網絡環境，并在這兩者之間建立“城墻”，從而保證不可信任的設備或網絡環境無法在攜帶威脅信息的情況下，訪問到可信任的設備或網絡環境的信息。

在企業應用層面最常見的例子是將公司內的網絡認為是可信任的網絡環境，將公司外的網絡認為是不可信任的網絡環境，再在這兩者之前建立防火墻服務，從而防止帶有威脅的外部請求獲取到公司的敏感信息。

典型的邊界信任模型架構圖，其中認為Internet為不可信任的區域，DMZ區域是類似防火墻的區域，而Trusted與Privileged為信任區域，其中Privileged是特權管理賬號，從信任模型的角度來說，一臺可信設備是否是Privileged，不影響對這臺設備是否“完全信任”其安全性。

隨著防火墻技術的發展，越來越多的威脅信息都可以被防火墻直接攔截，這使得邊界信任模型看起來完美無缺。但是，邊界信任模型存在一些致命弱點。

1) 如今的網絡攻擊的花樣層出不窮，攻擊方式變化非常快。然而，由于將所有的“防護”都孤注一擲地依賴于防火墻，一旦有新的威脅形式超出防火墻的防護范圍，那么防火墻就形同虛設

2) 如果攻擊者使用了某些方法繞過了防火墻，比如，利用惡意郵件，直接進入內網

3) 無法識別可信設備對其他可信設備進行攻擊的行為

零信任介紹

從邊界信任模型中存在的致命弱點中不難發現，所有的弱點，歸根到底都是對可信任設備與網絡環境的“過度信任”造成的。這種“過度信任”體現在以下兩個方面：

1)? 模型假設所有的可信設備的可信度都是相同的，即所有設備無論功能和狀態，只要認為是可信的，就都是“完全信任”其安全性。

2)? 模型假設對所有可信設備的信任是永久的，全時段的。

顯然這種“過度信任”是非常危險的，是一種對信任的濫用。基于對邊界信任的致命弱點的研究，“零信任”模型橫空出世。

相比于邊界信任模型中對信任設備及網絡區域的“過度信任”，“零信任”模型提出：在考慮敏感信息時，默認情況下不應該信任網絡中的任何設備和區域，而是應該通過基于認證和授權重構訪問控制的信任體系，對訪問進行“信任授權”，并且這種授權和信任應當是動態的，即“信任授權”應當基于訪問實時地進行評估與變換。

在構建“零信任”模型的體系時，網絡專家們對該模型做了以下假設：

1) 網絡始終是暴露在危險之中

2)? 無論外網或者內網，危險始終存在

3)? 不存在可信任的網絡區域，網絡區域不能作為判斷網絡可信的決定因素

4)? 所有設備，用戶和網絡流量在訪問時都應經過認證和授權

5)? 認證和授權的策略必須是基于所有可能數據，并加以計算得到的

原文如下：

根據“零信任”模型的理念和假設，網絡專家們進一步的給出了典型的“零信任”模型的架構。?

在架構中，支持“零信任”模型能正常運行的核心是一個被稱為Control Plane，即控制平臺的組件，在“零信任”模型中，所有訪問敏感信息的請求都應該先經過控制平臺，由控制平臺對訪問進行評估，決定此次訪問需要提供什么等級的認證信息，再校驗訪問所攜帶的認證信息是否達到標準，從而實現認證，當認證成功后，再對訪問進行授權，若認證失敗，則拒絕訪問。

從模型設計上來探究邊界信任模型與“零信任”模型的區別時，我們不難發現，“零信任”模型是一種“信任細化”的設計，即摒棄了邊界信任模型“過度信任”的一刀切做法，采用對信任在訪問維度，設備維度和時間維度的細化處理，再加上認證和授權體系的動態化，使得權限授權也是被細化處理的。

在如今社會，網絡攻擊的手段層出不窮的大背景下，“信任細化”是一種比較符合當前安全防范需求的理念，也正是因為這樣，“零信任”模型是當今與網絡訪問相關的產品推薦使用的安全模型。

案例：Google?BeyondCorp

Google的員工規模龐大，員工和公司資源之間的交互方式多種多樣,Google每天都有幾萬名員工在公司辦公區域之外的地點移動辦公，而公司辦公區隨時也有成千上萬名訪客的參觀。導致原先的邊界安全體系極其不穩定。因此需要一種更先進的基于用戶身份而非網絡位置的訪問控制體系，用于控制對應用、數據和服務的訪問。

基于此，google投入4年多時間設計和迭代實現了一個相對穩健的零信任的網絡模型Google?BeyondCorp，實現“讓所有Google員工從不受信任的網絡中不接入VPN就能順利工作”的目標。

Google?BeyondCorp建立在以下3條原則下：

• 發起連接時所在的網絡不能決定用戶可以訪問的服務。
• 服務訪問權限的授予基于對用戶和用戶的設備的了解。
• 對服務的所有訪問都必須通過身份驗證、獲得授權并經過加密。

下圖是BeyondCorp的核心組件和數據訪問流。

圖：BeyondCorp的組件和訪問流?

如上圖所示，BeyongCorp的整體邏輯是，首先用戶需要進行身份認證，身份認證根據地點的不同使用不同的認證方式。在大樓內，用戶使用“RADIUS”進行認證；在公網，使用“SSO”方式進行認證。注意，這里的只是身份的認證，不代表具有網絡或者資源的訪問權限，訪問權限的獲取需要授權，需要“訪問控制引擎”賦予“訪問代理”授權信息后獲取。

具體的授權過程，首先由“管道”將“用戶的設備狀況”、“用戶身份信息”、“證書狀況”、“信任評估結果”情況等信息告知“訪問控制引擎”。“訪問控制引擎”根據這些信息進行判斷，最終針對每個請求提供服務級別的授權，最后由“訪問代理”根據授權結果進行訪問控制。

授權決策依據用戶，用戶所屬的組，設備證書以及設備清單數據庫中的信息。如有必要，訪問控制引擎還可以實施基于位置的訪問控制。

舉個例子，可以將bug跟蹤系統訪問權限嚴格限制為使用受管理工程師設備的專職工程師，將財務應用程序的訪問權限限制為財務運營組中的全職和兼職員工，并且訪問設備是受管理的非工程師設備。訪問控制引擎還可以通過不同方式限制應用程序的各個部分。例如，在bug跟蹤系統中查看條目可能比更新或搜索相同條目所需的訪問控制嚴格。

google BeyondCorp的架構如上所示，比較簡單，實際在具體的落地和實施過程中，還是有很多讓人眼前一亮的細節。讀者如有興趣，可以在google reserch上找到BeyondCorp的幾篇文章。

零信任的一些問題

最后，說了零信任架構這么多好。那么零信任模型又有什么缺點呢？要知道，任何一個新事物的、新概念的誕生總是伴隨著兩面性。

筆者認為，零信任架構的主要問題，或者是實現中的主要困難、風險有如下幾點：

1、權限集中問題，在零信任的架構或者BeyondCorp的實踐中可以看到，所有的對訪問資源的授權，均由訪問控制引擎完成，一旦訪問控制引擎出現問題或者風險，無論是業務連續性（如接入代理的單點故障問題）還是數據安全問題，都會造成較大的影響。

2、實時性與控制精度之間的矛盾較大，因為在零信任的機構中，要求實時校驗、從不信任，需要實時的對通過認證后的用戶行為進行監督，并動態調整授權的范圍。對應訪問控制節點與訪問控制引擎，又要做到實時控制，又要做到最小化權限的精準度，這對訪問控制節點和引擎的要求都較高，無論是算法、性能還是認證邏輯方面都面臨比較大的挑戰。

3、數據處理的難度大，實施困難。零信任的成熟度如何，很大程度取決于對相關數據的收集、分析與處理能力。首先是對設備、用戶、應用、歷史行為的各類數據進行收集，數據的來源分散，準確性完整度格式化都是一個問題。解決好數據收集、過濾、歸并、存儲的問題后，如何有效的對這些數據進行及時的處理，對訪問控制策略引擎的算法和性能要求非常高。雖然google也提出了在前端進行粗略的訪問控制，并將精細化控制留給應用。但筆者認為即使讓應用來做精細化的控制，最終的控制執行也是需要讓“訪問代理”模塊來做的，而且統一后端應用與前端模塊之間的協調性，也是需要集中化的控制模塊的。

另外講一點題外話，感覺零信任的架構思想，特別像之前在安全運維中提得比較多的安全運營中心SOC，在SOC中，對各種安全設備、節點的多源異構數據源產生的信息進行收集、過濾、格式化、歸并、存儲，并提供了諸如模式匹配、風險分析、異常檢測等能力，對各種安全事件進行分析、統計和關聯，并及時發布預警，提供快速響應能力。

好處是集中化后，統計、分析、處理確實更精準，更全面。問題同樣是集中化帶來的數據處理難度、數據風險、單點故障、垃圾數據告警增多等問題。

新人創作打卡挑戰賽發博客就能抽獎！定制產品紅包拿不停！

總結

以上是生活随笔為你收集整理的边界信任模型，零信任模型的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。