从技术标准的视角来看,零信任理念最早的标准化文件要论CSA发布的“SDP Specification 1.0”。该文件给出了SDP的体系结构和传输协议规范,并由此给出了一套实际上符合零信任理念的技术方案。CSA大中华区的SDP工作组于2019年将该1.0版本的文件翻译为中文。时隔3年之后,2022年4月,CSA正式发布了“SDP Specification 2.0”,2.0版本在1.0版的基础上进行了扩展和增强。2022年5月,CSA大中华区也正式发布了中文版的2.0版本。在这一版本中,我国自主研制的密码算法也作为推荐的密码算法首次写入了SDP规范中。
2.0版本的SDP规范提供了动态的网络安全边界部署能力,可以灵活地在不安全的网络上对要保护的资源进行隔离。SDP规范2.0版本提供了按需、动态、可隔离的可信逻辑层,并对未授权的实体隐藏被访问的资源对象,只有在访问实体建立信任后才允许连接和访问资源对象。
如图2-4所示,SDP规范2.0版本将体系结构的核心组件分为SDP控制器(SDP Controller)、SDP连接发起主机(SDP Intiating Host,SDP IH)和SDP连接接受主机(SDP Accepting Host,SDP AH)。
图2-4 SDP零信任体系结构图
SDP控制器主要用于确定哪些SDP主机可以相互通信。为了执行这一任务,SDP控制器可以与外部认证服务进行交互,以验证地理位置信息或身份验证信息。SDP连接发起主机与SDP控制器通信,以请求可以连接的其他SDP连接接受主机的列表。在提供任何信息之前,SDP控制器可以要求SDP连接发起主机提供诸如硬件或软件清单等信息。
SDP连接接受主机会拒绝来自SDP控制器以外的所有主机的通信请求。只有在收到SDP控制器的明确指示后,SDP连接接受主机才会接受来自SDP连接发起主机的连接请求。
业界常常提及和谈论的零信任规范,要论2020年NIST发布的《零信任架构》(“Zero Trust Architecture”,NIST SP 800-207)。该文件在业界第一次全面定义了零信任的技术架构、相关组件、部署场景等内容,比较全面地阐述了零信任理念的核心思想和基本原则。该文件在全球产生了广泛影响。
《零信任架构》提出了零信任的七大原则。
❑所有数据源和计算服务均被视为资源。
❑无论网络位置如何,所有通信都必须是安全的。
❑对资源的访问授权是基于每个连接的。
❑对资源的访问权限由动态策略决定,包括身份、应用和资源安全状态,也可能包括其他行为属性。
❑确保所有拥有和关联的设备都尽可能处于最高等级的安全状态,并监控设备资产以确保它们保持这样的安全状态。
❑在访问被允许之前,所有对资源访问的身份验证和授权是动态且严格强制实施的。
❑应该尽量收集关于网络基础设施和当前通信状态的信息,并将其应用于提高网络安全状态。
NIST将零信任的体系结构在逻辑上分为策略决策点和策略执行点,如图2-5所示。策略决策点负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限,策略执行点负责启用、监视并最终终止访问主体和企业资源之间的连接。
而由中国发起的零信任国际标准也非常有前瞻性和影响力。2019年9月,在瑞士日内瓦举办的ITU-T安全标准会议中,由国内的腾讯、中国国家互联网应急中心和中国移动设计院主导发起的“Guidelines for continuous protection of the service access process”(《服务访问过程持续保护指南》)国际标准成功立项,并于2021年10月正式作为国际技术标准规范发布(编号为ITU-T X.1011),成为三大国际标准化组织(ISO、IEC、ITU-T)发布的首个零信任技术标准。
图2-5 NIST零信任体系结构图
该标准重点推动零信任的内涵从“永不信任,持续验证”向“持续保护”升级。相较于传统的“永不信任,持续验证”的安全理念,“持续保护”通过对身份认证、资源访问的持续控制,将安全的范围延展到了事前、事中、事后全过程,实现对全要素的安全保护。该标准提出了零信任安全技术参考框架的核心组成部分,重在持续识别企业用户在网络访问过程中受到的安全威胁,提供持续保护措施,包括持续监测关键对象的安全风险并进行动态的访问控制,以及对关键访问过程对象进行安全防护。ITU-T零信任“持续保护”的逻辑框架图如图2-6所示。
图2-6 ITU-T零信任“持续保护”的逻辑框架图
该标准的发布不仅代表着中国零信任的创新实践和技术范式走入了全球视野,还进一步驱动零信任理念在更多领域生根发芽,成为产业数字化转型的基石。
2021年2月,美国国防信息系统局(DISA)发布了《国防部零信任参考架构》1.0版本。该文件定义了零信任的目的、原则、关联标准、技术体系结构等细节,是美国部委级别的非常有落地参考价值的技术标准,也称为DoD标准。与NIST发布的SP 800-207标准不同,DoD标准不仅从技术角度进行描述和定义,还从美军军队架构描述方法的角度切入对零信任架构进行阐述,可以更好地解释零信任架构的预期目标、架构各组成部分及其关系、数据流转、应用场景等关键内容。DoD标准所描述的零信任网络安全框架的概览图如图2-7所示。
图2-7 DoD标准中的零信任网络安全框架概览图
DoD标准开篇即提出美国国防部下一代网络安全体系结构将基于零信任原则、以数据为中心进行建设。该文件认为,实施零信任方案是保护基础设施、网络和数据的一次巨大的安全范式转变,即从信任网络、设备、人员、进程的观念转变为基于多属性分析、多检查点判定的信任级别授权,具备符合最小特权访问理念的身份验证和授权策略访问的能力。该参考架构采用了DoDAF美军军队架构描述方法。虽然零信任的基本原则看似简单,但其实际实现和操作层面却很复杂烦琐,涉及软件定义网络、数据打标、行为分析、访问控制、策略编排、加密、自动化等多个领域的工作。
在能力层面,DoD标准提出零信任功能围绕七大支柱展开,即用户、设备、应用程序与工作负载、数据、网络与环境、自动化与编排、可见性与分析工具。