零信任体系化能力建设（3）：网络弹性与隔离边界

网络是现代企业数字基础设施的核心。零信任理念致力于构建一个以身份（而非网络）为中心的网络安全架构，引发了企业网络安全架构的变革。在零信任体系化能力建设中，“网络”承载并连接了其他的安全能力支柱，是实现零信任安全框架的关键。
然而，复杂多样的网络环境为实施零信任带来了前所未有的挑战，任何网络相关能力建设的风险都将严重阻碍零信任战略的推进，因此，将“网络”支柱的成熟度建设放在零信任实施计划的后期是大多数企业的选择。本文主要从网络相关的零信任安全能力建设入手，讨论网络分段与微隔离、流量管理与检视、通信加密和网络可用性保护等问题。

关键字：零信任；微隔离；网络弹性；加密

一、零信任网络安全

零信任架构使传统基于边界的安全方法发生了改变，在向零信任迁移的过程中，网络扮演着一个非常独特的角色。一方面，“网络”从安全活动的焦点转变为相互关联的支柱领域之一，失去了在传统以网络为中心的安全框架中的主导地位。另一方面，网络是零信任架构的重要支撑，是连接零信任其他所有支柱的方式和通道。

因此，IT和安全团队需要重新审视“网络”在零信任安全框架中的角色和地位。在企业架构中，应用程序并非孤立存在，它运行在数据中心和云中，可能包含多个需要相互协调的分布式组件和功能。但在所有情况下，应用程序需要通过网络来访问资源，而用户也需要网络来访问应用程序和数据。

在零信任体系化安全能力中，“网络”是一个开放的通信媒介和通道，包括传统的基础网络通道（例如，内部网络、无线网络和互联网）和信息通道（例如，用于传输信息的网络隧道和应用层通道等）。企业网络跨越了多种基础设施环境和连接，包括：
传统的本地设施、服务器和应用程序；
随时移动、接入的移动设备；
访问公司资源的外部用户（例如，供应商、客户等）;
基于云的系统（IaaS、PaaS和SaaS）;
部署于特定环境的、计算能力有限的IoT设备;
内容分发网络（CDN）。

复杂环境中没有真正的边界。网络复杂性一直是传统边界安全面临的主要挑战，而传统网络安全控制措施（例如，防火墙、网络分段、NAC和IDS等）也存在各种难以避免的缺点，主要包括：
网络分段和NAC存在沉重的运维负担，并且可能因引入专有数据报格式，导致厂商依赖和锁定；
防火墙因价格昂贵且管理复杂，只能在有限的网络边界或DMZ上使用，以实现价值最大化；
网络数据采集和集中分析极具挑战性，涉及专有数据格式、有限可见性等问题；
网络威胁检测的误报和漏报导致运营开销增加，并为组织带来不可见和未缓解的风险。

零信任在更接近应用程序、数据和其他资源的位置实现安全控制，增强传统基于网络的保护措施，并提高纵深防御能力。为了实现零信任战略，组织需要明确业务活动与零信任网络之间的关联，了解环境中的所有入口、出口和访问点，并基于这些可见性来实施整体的网络安全策略，包括业务流映射，从身份（或设备）出发对访问进行分段（微隔离）和安全强化。

二、网络安全的关键能力

在零信任安全框架中，网络层面的安全能力既要确保对网络的授权访问，防止横向移动和非法访问，也要保障业务流量的机密性和完整性，确保敏感信息不被篡改或泄露，同时还要保证网络的弹性和高可用，适应不断变化的威胁环境和业务需求。

1．网络分段与隔离
传统上，网络管理员通过分段将企业网络划分为多个区域，并在分段之间部署和管理安全服务策略，来提高网络的可管理性。在网络分段（Network Segmentation）中，跨越区域边界的流量必须经过防火墙的检查，这为组织提供了高层级的网络可见性，能够识别并阻止攻击者的横向移动。

微隔离（Micro-Segmentation）对网络分段进行进一步细化，力图将每个设备（甚至应用程序）置于独立的分段内。与被称为宏隔离（Macro-Segmentation）的网络分段相比，微隔离虽然确实将网络划分为更小的隔离部分，但其重点是要能够为单个工作负载、应用程序或服务创建安全策略，提供比网络分段更细粒度的可见性和安全控制，确保所有设备或应用程序之间的流量都被检查，以查找潜在的恶意内容或违反企业安全或访问控制策略的行为。

图1 网络分段与微隔离

将网络分段变得更小，实现微分段的网络设计是向零信任安全迁移的理想步骤。

在云数据中心中，SDN（软件定义网络）和NFV（网络功能虚拟化）等技术有助于根据特定应用程序、服务或工作负载创建这些类型的微隔离，基于容器的编排平台还可以通过隔离特定服务和应用程序来促进微隔离的实现。

2．流量管理与检视
由于不同应用在访问权限、优先级、可达性、依赖服务和通信路径等方面存在不同的要求，企业网络中的每个应用程序都应该以唯一的方式进行处理。

传统的流量管理主要受网络QoS的需求驱动，对数据包进行排队排序，确保关键业务、高优先级流量得到优先处理。例如，适用于骨干网QoS的DiffServ模型，通常根据数据流的QoS要求，将流量划分为不同的级别，高级别的数据流比低级别的数据流优先传输。

在零信任安全体系中，基于应用感知的流量管理不仅用于保障关键业务的QoS，根据应用的特定部分或用户操作来控制流量，还需要能够适应网络上允许的应用程序类型，识别并阻止格式异常的流量，以防止对允许的应用程序协议的滥用，降低网络安全风险。

为了实施有效的网络流量管理，需要增加网络可见性，确保在流量层面能够检视、识别、区分不同的应用程序，以实施基于应用感知的安全策略。在全流量加密的零信任网络环境中，该要求显然存在一些技术瓶颈，同时还要面对QoS保障所带来的网络运维复杂性问题。

3．协议安全与加密
为了提高数据的机密性，防止攻击者窥探用户敏感信息，需要在数据传输中加密所有数据，包括企业内部的东-西向流量和与外部网络之间的南-北向流量。

图2 企业网络的南-北向、东-西向流量

一般来说，在应用或数据层面（即支柱）来实施加密策略相对比较简单，组织也已经开始逐渐采用SSH、TLS、HTTPS和安全DNS（例如，DNSSEC、DNS over TLS、DNS over HTTPS等）等协议开发或替换应用，以提供适当的机密性。然而，有些遗留应用使用了自定义协议和端口，很难进行加密改造。因此，组织需要采用一些其他类型的安全措施。例如，尝试将这些应用程序的流量隔离到独立的段中，以减少能够查看明文流量的人数。

另外，除了端到端的应用层加密方式外，网络层（点到点）加密可以确保所有数据都被加密，并提供友好无感的用户体验。加密过程由网络上的不同设备（路由器、防火墙）或通过软件代理来执行。需要注意的是，网络层加密能够满足南-北向的数据（例如，客户与企业应用之间的电子商务通信）加密需要，但它可能无法加密东-西向数据，企业内网或云端数据中心的流量可能仍然是明文。

最后，当所有流量都被加密后，自然也就丢失了可见性，零信任需要在监控网络流量和降低数据泄露风险之间取得平衡。此外，即使在普遍采用加密通信的网络中，明文的敏感信息和口令也几乎无处不在，企业网络仍然会面临一些与机密性相关的安全问题（例如，密钥管理）。

4．网络弹性与可用
网络弹性（Cyber Resilience）在NIST SP 800-160中被定义为“为应对不利条件、压力、攻击或威胁，网络系统所应具备的预测、承受、恢复和适应能力”，包括网络的可扩展性、可靠性、容错性和自适应性等方面，其目标是确保在面对故障、攻击、负载增加或其他不可预测的情况时，网络能够继续提供稳定和可靠的服务。

与网络安全相比，网络弹性假设攻击者已经侵入并将在网络中长期存在，在网络环境（包括威胁、运行和技术）持续发生变化的前提下，以最大程度提高组织完成关键或重要任务或业务功能的能力，体现了“面向失效的防御”、“纵深防御”、“自适应防御”的安全理念，要求从多个层次和维度来全面地进行基于风险的检测、响应和安全拒止，这与零信任的安全弹性理念是一致的。

图3 NIST网络弹性工程框架

从实现层面看，网络弹性更侧重对关键业务和核心基础设施的安全保障，并通过网络弹性工程框架（CREF，如图3）从目的、目标和技术三个层面给出了网络弹性的实现框架。

在建设零信任网络能力时，网络弹性工程能够支持零信任理念的实施，通过快速调整和部署新的安全措施、身份验证和访问控制机制，适应不断变化的安全需求和威胁环境。另一方面，零信任安全通过精细的访问控制和身份验证来减少安全漏洞和风险，从而增强网络的安全性和弹性。

三、网络安全的最佳实践

零信任网络需要具有“分而治之”的网络弹性能力，其关键思想是通过在网络内放置多个检查点来创建网络微分段，以阻止恶意或未经授权的横向移动，并在发生违规访问时，能够快速响应以遏制和隔离威胁。

1．建立数据流清单
为了提供实施合理的网络分段和微隔离，需要识别、映射网络中的合法数据流。数据流清单用于记录和管理组织内部和外部的数据流动情况，应覆盖企业网络中的所有业务流，并实现向身份和设备实体的映射，包括数据的来源、目的地、协议/端口、传输方式、访问权限等信息。

建立数据流清单是零信任网络建设的重要步骤，也是一个需要持续建设、更新的过程，以保持与网络和业务变化的同步。在针对南北向和东西向流量进行梳理和分类分析时，可分别采用以下方法：
识别边界点。确定数据流进入和离开网络的关键边界点，例如防火墙、代理服务器或边界路由器。
分析网络日志。分析南北向流量的网络日志，以识别数据的源头和目的地，以及协议和端口。
识别应用程序。通过协议分析、端口识别或应用程序分类工具，确定与每个数据流相关的应用程序和服务。
识别内部通信。通过网络流量监控工具或数据包分析，了解内部系统之间的通信流量。
制定网络拓扑图。通过绘制网络拓扑图，标识各个系统和组件之间的连接和通信路径。
映射业务流程。与业务团队合作，了解各个业务流程涉及的系统和数据交换情况，识别每个数据流与特定业务流程的关联。

2．实现网络微隔离
实现微隔离是大多数零信任网络建设的起点。通过微隔离，组织可以为不同的用户、设备和数据流设置特定的访问规则和权限，确保数据按照预期的方式流动，避免敏感数据被错误地传输到不应访问的区域。

不同组织的微隔离细分深度因成熟度而异，有的组织使用无微隔离的“扁平网络”，有的仅通过VLAN进行了简单隔离，而具有更高成熟度的零信任网络则需要考虑身份、设备、数据和资源的微隔离。

此外，实现微分段需要对网络架构、应用程序和数据流有深入的了解。映射和管理如此众多的网络分段，并一致地执行安全策略极具挑战性。这也是SDN、NFV等网络自动化和虚拟化技术得到广泛应用的原因之一。

3．网络监测与响应
在零信任网络建设中，建立全面的网络可见性是威胁检测和响应的基础。通过网络监测工具、入侵检测系统（IDS）、入侵防御系统（IPS）、威胁情报和分析等技术，实时监控网络流量和设备行为，可以帮助发现异常活动、未经授权的访问和潜在的威胁行为。

引入自动化工具和响应机制可以提高威胁检测和响应的效率和准确性，包括实时告警、自动封锁恶意流量、隔离受感染的设备等措施，组织可以更好地进行威胁检测和响应，以保护网络和数据安全。

4、SDP与VPN替代
经过三年疫情的考验，以VPN为代表的远程访问方案暴露出了严重的技术缺陷，远程用户为了访问云资源，而不得不通过VPN隧道绕行数据中心。仅在接入时进行身份验证，并获得大量访问权限的VPN也不符合零信任的安全理念。

SDP被视为VPN的一种替代方案，提供了更加灵活、安全和可控的网络访问方式，可以基于用户身份、设备状态、网络环境等多个因素来决定用户能够访问的资源和权限，更加适用于现代的分布式和云原生环境。

四、结语

零信任架构试图通过消除对内部网络上的隐含信任，来减轻与网络威胁相关的风险。然而，云时代下企业网络涵盖了内网、数据中心、云等多个区域，在如此复杂的网络环境中，实现这一目标并非易事。零信任网络安全建设要求企业重新审视企业网络的组成和弹性要求，加强底层基础设施、容器、微服务和云平台的网络安全管理，通过与现有安全程序和工具的无缝集成，为企业提供更强大的网络安全能力，以应对日益复杂的威胁环境变化。

审核编辑 黄宇