零信任安全架构作为一种新型的安全理念和架构,它的出现不是偶然的,是随着云计算、物联网及移动办公等新技术新应用的兴起,网络安全和数据安全的必然选择。谷歌的BeyondCorp项目从2011年到2017年将零信任理念落地,用于自身的办公安全框架,是零信任安全的最佳实践。在零信任架构从理念到实践的过程中,国内外也产生了众多的零信任安全相关的组织和相应的标准及技术规范。
零信任思想的历史可以追溯到2004年成立的耶利哥论坛(Jericho Forum),其重点研究方向之一就是探讨无边界趋势下的网络安全架构和解决方案。“零信任”(Zero Trust)术语最早是由当时Forrester分析师John Kindervag于2010年提出的。他非常敏锐地发现传统的边界安全理念下信任被滥用,存在非常多的安全问题。在边界安全理念中网络位置决定了信任程度。在安全区域边界外的用户默认是不可信的(不安全的),边界外用户想要接入边界内的网络需要通过防火墙等安全机制;安全区域内的用户默认都是可信的(安全的),对边界内用户的操作不再做过多的监测。但是这就在每个安全区域内部存在过度信任的问题。
随着云计算、物联网及移动办公等新技术新应用的兴起,企业的业务架构和网络环境也随之发生了重大的变化,这给传统边界安全理念带来了新的挑战。例如,云计算技术的普及,带来了物理安全边界模糊的挑战;远程办公、多方协同办公等成为常态,带来了访问需求复杂性变高和内部资源暴露面扩大的风险;各种设备、各种人员接入,带来了设备、人员的管理难度和不可控安全因素增加的风险;高级威胁攻击带来了边界安全防护机制被突破的风险。这些都对传统的边界安全理念和防护手段提出了挑战,急需更好的安全防护理念和解决思路。传统边界安全理念先天能力存在不足,新技术新应用又带来了全新的安全挑战,在这样的背景下,“从不信任,始终验证”逐步成为零信任的核心思想。
谷歌是一家重视网络安全的全球性互联网公司,在对一些网络安全事件分析后,谷歌发现公司内网的安全防护薄弱而内部威胁却与日俱增,便开始尝试用新的安全思想和架构来重构公司的网络安全体系,搭建一个适用于云时代并便于员工接入的安全的企业网络。谷歌从2011年起在公司内部发起了代号为“BeyondCorp”的安全项目,并在2014年12月后,陆续发表了6篇与BeyondCorp相关的论文,全面介绍了BeyondCorp的架构和谷歌的实施情况。
谷歌最初将BeyondCorp项目的目标设定为“让所有员工在不被信任的网络中,不用通过接入VPN就能顺利工作”。BeyondCorp项目抛弃了对企业内网授予默认的信任,提出了一个全新的安全方案,取代了传统的基于边界安全的做法。在这种全新的无特权(默认信任)网络访问模式下,访问只依赖于设备和用户凭证等安全状态,以及访问的上下文环境情况,而与用户所处的网络位置无关。无论用户是在公司内网、家里、酒店还是咖啡厅的公共网络,所有对企业资源的访问都要基于设备状态和用户凭证等进行认证、授权和加密。这种新模式可以针对不同的企业资源进行细粒度的访问控制,所有谷歌员工都可以从任何网络成功发起访问,无须通过传统的VPN连接进入特权网络,除了可能存在延迟差异,对企业资源的本地和远程访问用户体验基本一致。
从2011年启动到2017年结束,BeyondCorp项目对谷歌企业网络的零信任迁移历时6年,完成了大部分的企业应用的系统改造。作为业界最为著名的零信任实践案例,BeyondCorp项目的安全理念已经融入大部分谷歌员工的日常工作中,尤其在新冠疫情出现后,谷歌已有超过10万名员工使用相同的基础设施远程办公。谷歌的案例让很多人理解到零信任的实施并非只是安全团队的工作,而需要企业领导和所有员工的理解和支持。值得注意的是,谷歌的BeyondCorp是一个安全项目,并不是谷歌推出的零信任产品。BeyondCorp项目的很多实践经验与谷歌内部的技术栈、业务特性和工作流程强相关,所以它并不一定适用于其他机构。目前谷歌已经着手将BeyondCorp项目的核心安全能力抽象成商业化的产品对外提供服务。2021年,谷歌云宣布推出BeyondCorp Enterprise,这是一个由该公司DDoS攻击保护服务的零信任平台,该平台取代了BeyondCorp Remote Access(2020年4月推向市场),是谷歌在零信任商业产品领域的首次尝试。
业界对于零信任的技术路线一般总结为“SIM”。其中,“S”代表的软件定义边界(Software Defined Perimeter,SDP),由云安全联盟(CSA)提出,旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来,更加关注南北向流量的安全。“I”代表的现代身份管理与访问控制(Indentity and Access Management,IAM),通过建立和维护一套全面的数字身份,并提供有效、安全的 IT 资源访问的业务流程和管理手段,更加关注南北向流量。“M”代表的微隔离(Micro Segmentation,MSG),由Gartner提出,更加关注东西向流量的安全,能够在逻辑上将数据中心划分为不同的安全段,直到各个工作负载级别,然后为每个独特的段定义安全控制和所提供的服务,可以在数据中心内部部署灵活的安全策略。
随着业界对零信任的理解、研究和实践的不断深入,零信任相关的技术也在不断演进,并将跟更多的技术、应用深度结合,如零信任和广域网络访问的结合、零信任与边缘计算的结合、零信任与云原生的结合、零信任与操作系统/办公协同应用的结合等。
2013年,云安全联盟(CSA)成立软件定义边界(SDP)工作组,该工作组在2014年4月发布了《软件定义边界(SDP)标准规范1.0》(简称《SDP 1.0》)。随着SDP作为零信任理念的主流落地技术架构逐渐被广泛接受,SDP工作组于2022年4月发布了《软件定义边界(SDP)标准规范2.0》(简称《SDP 2.0》)。
2019年3月,云安全联盟大中华区(CSA GCR)召开SDP工作组启动会,SDP工作组正式成立。2021年,SDP工作组升级为零信任工作组,截至2021年6月,行业专家已经超过百人,工作组成员单位已有50余家业内顶尖企业和机构。
2019年4月,谷歌牵头发起零信任联盟——BeyondCorp Alliance,旨在推出一系列的产品和服务促进业界更容易接受零信任理念并落地应用。目前联盟成员包括Citrix、CrowdStrike、Jamf、Lookout、Palo Alto Networks、Symantec(Broadcom的一个部门)、VMware等。
2020年6月,在中国产业互联网发展联盟的指导下,腾讯联合零信任领域多家权威机构发起成立业界首个以标准为纽带的零信任产业联盟——零信任产业标准工作组,覆盖产、学、研、用四大领域。截至2021年6月,工作组成员单位已超过40余家。
2021年4月,在中国电子信息产业集团有限公司的指导下,由中国信息安全研究院有限公司和奇安信科技集团股份有限公司牵头发起的零信任联盟正式成立。目前,该联盟首批参与单位已有近50家。
1.国际标准
国际上最早涉及零信任相关的标准可追溯到2014年,云安全联盟(CSA)的SDP工作组发布了《软件定义边界(SDP)标准规范1.0》,该标准描述了SDP协议架构、工作流、协议实现、SDP应用等内容。SDP的安全理念和零信任的安全理念完全一致:①无论用户和服务器资源在什么位置,都要确保所有的资源访问都是安全的;②记录和检查所有流量;③对所有授权实施需要知道(Need-to-Know)原则。《软件定义边界(SDP)标准规范1.0》的发布在业界引发强烈反响,在美国硅谷和以色列涌现了一批创业公司,行业发展如火如荼,甚至出现了一批上市公司。2019年,由CSA大中华区SDP工作组组织专家将《软件定义边界(SDP)标准规范1.0》翻译为中文。由于《软件定义边界(SDP)标准规范1.0》出台时间较早,零信任理念和相关技术在快速演进,虽然该规范为确保联网的安全性提供了坚实的架构和概念基础,但仍有一些尚未触及,如SDP访问授权策略和非个人实体保护几个方面。2022年,《软件定义边界(SDP)标准规范2.0》在前一版本的基础上进行补充、说明和扩展。经过近年来零信任行业的快速发展以及SDP技术架构被市场的普遍接受,《软件定义边界(SDP)标准规范2.0》相对《软件定义边界(SDP)标准规范1.0》做了不少的改进,其中包括在架构、流程图、SDP协议、单包授权(Single Packet Authorization,SPA)协议格式,以及对于物联网(IoT)的支持等多个方面。
2019年9月,在瑞士日内瓦举办的国际电信联盟电信标准分局(ITU-T)安全研究组(SG17)全体会议上,由腾讯、国家互联网应急中心(CNCERT)和中国移动通信集团设计院有限公司(简称中国移动设计院)主导的“服务访问过程持续保护指南”国际标准成功立项。该标准提供有关持续身份安全、访问控制和安全防护管理的标准化指导,成为三大国际标准组织中首个零信任安全相关的技术标准,对推动零信任安全技术在全球范围规模商用的进程,加快零信任技术和服务快速发展与普及具有重要深远的意义。
2019年9月,美国国家标准与技术研究院(NIST)发布了 Zero Trust Architecture (《零信任架构》)草案;2020年2月,NIST对《零信任架构》的草案进行了修订;8月11日,《零信任架构》标准正式发布。该标准介绍零信任的基本概念、体系架构的逻辑组件、部署场景、零信任与现有联邦指导意见[如风险管理框架(RMF)、NIST隐私框架、联邦身份、凭证和访问管理(Identity Credential and Access Management,ICAM)、可信互联网连接(TIC)、国家网络安全保护系统(NCPS)、持续诊断和缓解(CDM)计划、智能云和联邦数据策略]的可能交互等内容。
2021年2月,美国国防信息系统局(DISA)发布了《国防部零信任参考结构》,该参考架构首先介绍其目的、背景、方法等内容,其次讨论零信任的核心概念及原则,并提供了零信任支柱的一些详细要求。
2.国内标准
2019年7月,腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构,发起国内首个零信任标准——《零信任安全技术参考框架》(CCSA)立项,率先推进国内的零信任标准研制工作,该标准主要解决零信任网络安全技术的标准化、规范化等问题,帮助用户基于标准化的方式来评估其安全态势,重构网络与安全应用。
2020年8月,奇安信科技集团股份有限公司(简称奇安信)牵头在全国信息安全技术标准化委员(TC260)申请的《信息安全技术 零信任参考体系架构》标准在鉴别与授权工作组(WG4)立项,成为首个零信任国家标准。该标准主要致力于提出可信的零信任架构,从概念模型开始,确定零信任原则和技术框架,包括零信任架构的体系、组件和基本工作流程等内容。
2021年5月,产业互联网发展联盟发布了《零信任系统通用技术要求》(T/IDAC 002—2021)、《零信任系统服务接口规范 用户认证接口》(T/IDAC 003—2021)两项联盟标准。该标准定义了零信任产品的功能、性能指标,以及涉及用户身份认证的接口规范。同年,中国信息通信研究院牵头推进《零信任能力成熟度》《基于云计算的安全信任体系 第2部分:零信任安全解决方案能力要求》等相关标准工作。
2021年6月30日,由中国电子工业标准化技术协会正式发布《零信任系统技术规范》(T/CESA 1165—2021)团体标准,这是零信任技术架构落地国内以来,业内发布的首个零信任技术实现标准,于2021年7月1日起实施。本标准规定了用户访问资源、服务之间调用两种场景下零信任系统在逻辑架构、认证、访问授权管理、传输安全、安全审计、自身安全等方面的功能、性能技术要求和相应的测试方法,适用于零信任系统的设计、技术开发和测试。
可以看出,2019年可谓是零信任标准化研制工作的元年,这也侧面说明了零信任理念经过十余年的发展,相关技术和产品已逐步成熟。可以预见未来将会有更多零信任相关的标准出台,这对零信任产业的规模化发展打下了良好基础。