从攻击面视角，看信创零信任方案实践

从攻击面视角理解零信任

Gartner在2022年发布的《2022年网络安全重点趋势(Top Trends in Cybersecurity 2022)》报告中，把“攻击面扩大”作为重要的一项提出。

报告指出：为了管理一系列扩大的安全攻击暴露面，组织机构需要关注的远不只是针对漏洞进行补丁修复。由于一系列数字化方案的应用带来的变化，例如新型混合网络架构、公有云的加速应用、互连更紧密的供应链、外部可访问数字资产增多及物联网科技的更多应用，导致攻击面大幅扩大。组织机构必须开始在传统的“安全屋”方案之上思考新战略，尽快采取行动提升安全可视化及关键业务的风险防范水平。

攻击面的定义是：一个给定的计算机或网络系统可以被恶意人员访问和利用的漏洞的总和。 为了对攻击面进行持续可视化呈现和缩减，需要做好以下几方面工作：

业务访问：即人访问业务系统的过程管理。

漏洞管理：优先级排序、分类与可视化处置。

资产安全：测绘、脆弱性管理、合规建设等。

零信任是一种架构和方法论，其关注点在于提供安全的应用访问路径。 从攻击面视角出发，零信任主要针对“业务访问”部分给出解决方案，可进一步细化为几个重点：

权限与路径：围绕人和应用的访问权限与路径，进行可视化呈现、梳理与管理，消除违规和越权访问，规划最优路径。

通信安全：将通信内容进行加密，对通信的双方进行身份校验，避免通信被监听或破坏。

内容审计：将通信内容进行还原、记录和留存。

在保护数据安全方面，相比数据安全领域的脱敏、泄露防护、数据库防护等专用技术，零信任解决方案的核心作用在“关口前移”。对于关键数据设置合理的访问权限与路径，实现高效率管理，从源头提升非法接触数据的难度和门槛，可以有效帮助数据安全整体方案进行落地。

零信任实践的三个层次

对于零信任建设，本文将按照以下三个层次进行分析：

零信任的三个层次

1、南北向：外部远程接入

在南北向，访问控制的主要挑战来自于传统VPN技术的几个隐患：

长期开放固定端口，导致网络层暴露面持续存在，这一缺陷在攻防演练中多次被攻击方成功利用。

长连接机制下，网络质量敏感型应用可能存在性能问题。

在多云和混合云接入环境下，权限控制不够精细或维护成本过高。

终端安全管控能力不足。

目前主流的VPN替代方案是软件定义边界SDP（Software Defined Perimeter），这一方案已有较为广泛的应用 ，其核心优势如下：

采用先认证再连接模式，避免固定端口暴露。

使用短连接方案，增强业务性能体验。

基于人和业务系统定制全局策略并实现动态自适应，在多云和混合云接入场景下更为适用，且能降低维护难度。

支持全品类主机和移动终端操作系统、SDK及浏览器环境接入，采用人+端+接入环境三维校验技术，在终端身份核验方面更具执行力，更适合移动应用和IoT终端接入场景。

2、东西向：内部主机互访

在东西向流量层面，零信任的主要解决方案是微隔离。其针对的主要安全攻击手段是横向扩散，也即攻击者获取失陷主机后作为跳板在安全域内继续扩大攻击，最终威胁到核心资产。 微隔离可以通俗地理解为业务系统间防火墙，在数据中心等场景中，大二层环境和虚拟化工作负载使得这一技术更为流行。

微隔离产品一般可以做三种分类，分别是：

Hyper-V微隔离：以VM为单位进行隔离。

网络微隔离：在L3/L4进行隔离(经常借助SDN控制器)。

主机微隔离：基于主机/业务系统进行隔离。

其中最受欢迎的微隔离方案是主机微隔离 ，其中一个原因是这个方案相对容易部署，通过管理平台和主机上部署Agent就可以开始部署策略。无论是Windows或Linux操作系统，Agent可以通过iptables等方式进行策略控制，而在管理平台上可以将主机互访关系与路径进行可视化与管理，并针对访问需求进行策略自适应计算、异常分析与下发，这种方案在云负载、虚拟负载和物理服务器上都保持一致有效，从而阻断东西向安全威胁，缩减业务交付时间和维护成本。

3、斜向：安全域访问控制

除了讨论特别多的南北向和东西向之外，兼具二者的所谓“斜向”经常被忽略，尤其是当网络规模足够大和安全访问控制策略足够复杂时，这一方向会显得尤为重要。 在跨广域网的多分支机构网络中，同时有众多远程接入用户，包括居家办公员工、供应链及第三方合作伙伴，此时安全域的划分与安全策略规划将会比较复杂。试想，此时两个主机之间的访问可能会跨三层及安全域，也就是说在南北和东西两个方向同时发生，而真正的访问控制落地会在安全设备的访问控制策略上，单纯的南北向或东西向权限控制都不能独立解决问题。

斜向对应的零信任解决方案是NSPM（Network security policy management）技术。 在NSPM的访问控制基线管理功能中，可以基于业务需求和安全域访问规则设置访问控制基线，访问控制基线信息至少包括源域、源地址、目的域、目的地址、协议、端口、动作等信息，支持黑白名单、高危端口、病毒端口的自定义，支持定期依据访问控制基线对网络访问控制策略进行检查，及时发现和清除导致非法越权访问的违规策略。此外，NSPM的网络暴露风险管理功能能够以某一主机或主机组为对象，自动化实现网络暴露路径与暴露风险的分析，从网络访问关系与安全路径的角度描述其对外的暴露情况，可以帮助用户及时了解某些重要主机与网络暴露面的大小、风险的高低，辅助用户进行暴露面收敛与暴露路径的安全加固。

为了系统性解决权限控制问题，需要将南北向、东西向和斜向解决方案进行有机结合。当前，将SDP、主机微隔离和NSPM结合的零信任解决方案并不常见，国内的厂商安博通是供应商之一，产品均已适配信创终端环境，在金融和运营商行业已有成功案例。

信创终端环境落地经验总结

将零信任技术方案应用于信创环境，工作主要在于完成相关软件在信创CPU(龙芯/鲲鹏/飞腾)、信创操作系统(麒麟、统信)及信创网卡和信创数据库等环境中的适配。这一落地过程中需要克服的主要技术难点包括：

硬件无关化程度：当软件主要在用户态实现时，迁移到信创过程中将不会涉及到过多的驱动工作，更加顺利。

解决跨平台编译和各语言、组件版本升降级问题。

各类国产化产品的适配和迁移工作。

克服开发工具链相对薄弱的现状进行持续调试。

与体系架构相关的开源软件重构和迁移。

通过几个体系的信创领域产品推进，零信任相关产品已经在信创终端环境下实现了较好的落地。从应用效果看，尽管在性能和加解密能力等方面还有优化空间，但已可以成功应用于通用环境。

未来展望

在政策和技术双重驱动下，零信任安全在信创领域已取得了不错成果，未来将会迎来更大机遇，尤其是在金融市场的加速应用。零信任解决方案的落地过程中需要关注多个层面，持续缩减攻击面和控制访问权限，守好前置关，成为数字化转型和数据安全的重要措施。

参考文献：

《Guide to Network Security Concepts》,Gartner

《Top Trends in Cybersecurity 2022》,Gartne