基于运营商零信任的一体化纵深防御体系研究

徐 浩，张 侃，刘 光

（1.中国电信集团有限公司网络和信息安全管理部，北京 100010；
2.广东电信智能云网调度运营中心，广东 广州 510653）

随着移动互联网、云虚拟化等技术在运营商基础网络建设中的迅猛发展及应用，传统的CT、IT的界限越来越模糊，多业务边界、多角色、多访问形态及需求，新的云网融合架构、云网基础设施的组成及安全管控变得更加复杂，因此，研究新架构下的综合性安全模型对IT、CT融合架构变革带来的安全威胁有重要的意义。

随着BYOD、云计算、物联网等新兴技术的普及，云的边界变得越来越模糊，同时0day漏洞、恶意加密流量等新型攻击手段层出不穷，导致以边界防护为核心的安全防护框架已失去防护效果。为提升网络安全防护水平，亟须探索新的安全框架和安全生态。

零信任安全架构是以身份为核心，以持续认证、动态授权、全局防御安全理念，以“永不信任、持续认证”的方式变被动为主动防御，在不可信开放网络上，构建端到端的动态授权可信通信网络。通过身份认证、微隔离控制、权限控制、环境持续评估等多种手段实施访问过程的精细化控制。

随着新的业务需求及安全防御态势变化，传统安全防护体系仍面临诸多安全威胁。

（1）网络边界难以界定。云网融合后，网络也承载在云上，云也利用网络来互通，运营商各机构的用户接入、私有云、混合云部署，使网络边界变得模糊难以界定，传统数据中心内外网作为网络边界不再适用。

（2）传统安全防护失效。传统基于边界的防护如FW、VPN、IDS和WAF等基于规则匹配、检测和分析机制，运营商云网业务复杂度及网络复杂度成指数性发展而导致此类防护措施效果减弱。

（3）访问管理控制不严。网络管理规模巨大，运营商包括主实业员工都能访问网络资源，特别是人员变化和流动性较大导致网络敞口过大，同时在网络内部也没有严格最小化网络隔离，存在较大安全风险。

（4）内网病毒攻击无法阻断。网络内部服务器、终端、网络之间没有进行严格的网络隔离控制，大量应用与服务部署在同一个虚拟化VLAN网段内，无法实施严格的网络隔离策略，一旦某台主机被攻陷，很容易造成横向跳板攻击及扩散。

（5）数据泄露安全风险加剧。运营商网络承载了大量如CRM、BOSS等重要业务系统，这些系统存储着涉及用户隐私的敏感数据，一旦系统遭到入侵势必造成严重的数据泄露风险。

（6）重保、等保面临挑战。在每年重要保障中，运营商网络及其重要业务系统面临着扫描及渗透攻击，安全运维团队面临严峻的压力，同时等保2.0对网络和系统包括云平台安全防护要求更高。

（7）自动化管理手段缺失。缺乏有效的自动化管理手段对网络进行全面的安全管控，采用手工配置策略方式进行管理、工作量大且容易出错；
没有对网络进行最小化分段管理，没有基于身份为中心进行访问控制；
缺乏全面可视化、自动化系统支撑。

（8）信任机制漏洞。传统安全管理以网络为中心，通过设定ACL或防火墙策略对访问策略进行管控，然而随着云计算资源池弹性化以及移动化办公趋势发展，面对无处不在的网络边界以及动态变化的IP身份，传统安全以网络为中心已不再适用；
此外，还有信任机制带来新的漏洞。

考虑到运营商云网业务复杂性、安全防御需求的多维性，可以借鉴零信任安全等防护理念，打造适合运营商业务发展、安全防护需求发展的纵深一体化防御体系。谷歌基于零信任安全理念实施的BeyondCorp[2]-[7]项目是一个最佳实践。零信任默认网络无时无刻不处于危险的环境中，用户身份信息、硬件设备信息、访问过程产生的行为信息以及数据流特征等，均可作为认证与鉴权的多维数据来源以确定访问过程基于身份的权限授权范围。

如图1所示，面向运营商多云、复杂组网、业务接入的基础，通过构建基于零信任的一体化纵深防御体系，可根据用户不同需求输出SaaS化的安全服务能力。

零信任安全防护模型有很多种，包括解决南北向边界安全的软件定义边界（SDP）模型、趋向于精细化身份管控的IAM、业务侧隔离防御及深度防御微隔离，甚至将架构能力推向云化的SASE[8]等。

2.1 零信任防御体系相关原则

（1）持续评估所有参与者身份。访问者与被访问业务需建立端到端的互信关系，包括硬件、网络、用户、行为等多个维度之间基于零信任架构和理念，为每一次的业务访问过程进行动态持续评估及合法授权。

（2）动态授予实时最小权限。在零信任体系架构中，针对所有业务场景、资源的访问，均保证是根据来访者的实际合法需求授予的最小的权限，阻止出现权限蔓延问题。

（3）对每一访问请求实施访问控制。在主体获得授权之前，零信任体系默认主体到资源无任何访问信息通道，在获得授权后，访问主体对资源的访问请求构建安全通道，实现每一次访问请求可鉴别、可授权或可阻止。

（4）通过多数据联动持续评估实现动态访问控制。零信任体系对访问授权由动态策略确定，包括来访身份、应用程序/服务和被请求资源的可观察安全状态，以及其他行为属性和环境属性等。在大数据处理、机器学习和人工智能技术支撑下，实时联动多源数据，建立评估模型进行持续评估。

2.2 纵深联动防御机制构建方向

构建零信任的防御体系模型不仅是在某个维度进行防御技术的应用，该体系建设还可以由点及面逐步建设推进，整体防御是联动化的、动态式的、纵深式的以及多维度的，如图2所示，整体防御零信任防御机制应尽可能覆盖更多的防御面并且联动起来。

图2 零信任纵深防御联动机制

（1）终端安全防御闭环。在零信任架构中，终端侧应保障接入时人员身份、终端环境、接入鉴权过程以及使用过程的身份一致性及可靠性；
对于终端接入的环境可以通过外部和内部多种手段实时监测与判断，实时把控到来访端的合法性；
也可将数据防泄密技术融入零信任架构，根据细粒度安全策略，执行敏感数据的访问控制，实现终端防御闭环。

（2）南北向边界接入防御完善。南北向边界防御以零信任SDP为核心构建隐身网络，结合可信身份、可信设备、可信网络、可信环境的接入条件，以零信任机制覆盖不同形态，如C/S、B/S业务访问，基于信任评估、动态控制、可信通道及可信应用四大手段建立接入安全机制。

在用户借助终端接入过程中，安全大脑可多维获取情报，进而实时判定接入的权限范畴，同时该过程是长期不间断的。在此基础上可以叠加网络准入维度的安全控制，在实现用户身份中心授权之前可以通过控制终端接入的网络进行基础限制，可以借助IEEE802.1X等做网络层的接入管控。

（3）东西向深度防御联动。引入零信任微分段能力感知业务内通信行为，并严格管控用户接入网内后的活动范围，划分更小安全隔离域及建立内部流的可视化监管能力，实施自适应安全策略，建立“云-管-边-脑”内外立体化零信任纵深防御体系。

2.3 借助零信任SDP解决接入安全

2.3.1 零信任SDP核心机制

SDP是由云安全联盟开发的一种安全框架，它根据身份为中心融合多种判断源动态控制对资源的访问过程，旨在解决跨边界企业数据中心资源访问安全，该设计采用单向敲门认证机制实现网络隐身，从根本上防止网络攻击行为的产生。在此过程中进一步实现业务级资源的动态授权访问。

零信任SDP架构通过构建SDP连接发起主机IH（即SDP客户端）、SDP连接接受主机AH（即SDP网关）及SDP控制器三角架构，打造零信任隐身网络，为业务打造无暴露面的隐身入口，在保障合法访问无中断的前提下，规避来自网络中攻击者对暴露面的渗透扫描、攻击等。SDP架构如图3所示。

图3 SDP安全架构图

2.3.2 零信任SDP网络隐身的关键流程

图4 SDP数据流程图

SDP数据流如下。

①建立SDP控制器服务（可多个），包括与认证及授权服务对接；
认证授权体系可包括多维元素如LDAP、Radius、短信动态码、PKI等。

②建立SDP连接接受服务（网关），与SDP控制器服务建立身份识别验证。过程中控制器不会主动响应未通过授权校验的请求和通信行为。

③零信任客户端（SDP连接发起主机（IH））与SDP控制进行单包认证过程。

④零信任客户端（SDP连接发起主机（IH））通过验证后，SDP控制器确定客户端有权限的SDP连接接受主机（网关）资源。

⑤SDP控制器告知SDP连接接受主机（网关）某零信任客户端（SDP连接发起主机（IH））来访，以及对应的授权策略。

⑥SDP控制器告知客户端有权限的SDP连接接受主机（网关）以及授权的资源策略。

⑦零信任客户端（SDP连接发起主机（IH））向SDP连接接受主机（网关）执行单包授权过程，与SDP连接接受主机（网关）建立TLS加密连接。

⑧SDP连接接受主机（网关）基于SDP控制器告知的授权资源策略，控制零信任客户端（SDP连接发起主机（IH））的访问过程。

SDP基于先认证再连接的方式规避TCP/IP本身漏洞，通过单包认证机制形成网络隐身以实现业务资产规避各类陌生攻击威胁行为。

2.3.3 零信任SDP架构设计

图5 南北向零信任SDP架构设计

南北向防御体系以零信任SDP为核心，由零信任编排中心、环境感知、数据隔离、密钥安全、合规策略库、威胁情报、数据访问策略、身份ID管理以及实时审计日志、可信网关、数据与资源群整体联动组成。

（1）零信任编排中心是系统核心，负责各模块间的联动与控制，处理协商各类认证与策略的动态评估。

（2）环境感知对访问终端环境各种威胁、漏洞、安全防御情况进行综合评估并向安全编排中心反馈评估结果，通过实时感知环境变化，进一步评估当前环境威胁风险系数，并通过与信任中心评判机制联动提升动态感知灵敏度。

（3）数据隔离负责实现终端使用时数据访问过程数据安全，借助DLP、云桌面、终端数据隔离（终端沙箱）、远程浏览器隔离（RBI）等辅助能力综合实现数据使用过程安全，以终端数据安全状态为准入条件，执行零信任访问控制。

（4）密钥安全负责对来访终端的密钥生产、存储、分发、注册与更新过程的安全可信与可控；
通过管控涉及密钥的各个环节，进一步保障零信任SDP系统总体安全，防止密钥在零信任SDP使用过程中因某环节防护不当导致零信任SDP体系被破坏。

（5）通过合规策略库建立面向合法用户所处环境、网络、终端特征等的综合约束，比如是否部署安全软件、是否完成安全加固、是否运行风险程序等，严格要求终端必须符合合规策略要求，否则无法建立合法授权，保障合法终端处在一个可接受的安全水平线上。

（6）威胁情报作为第三方输入源，从不同的业务系统、不同的安全系统、不同网络态势等获知到的多维度威胁情报，通过接口输入到零信任中心，旨在为零信任中心提供更高层级的动态策略评估参考，优化动态策略的准确度。

（7）数据访问策略定义来访者、来访终端、可接入访问的权限范围、访问过程动态策略变更时有效实施方式，确保用户、通道、应用三者的映射关系动态、准确、有效。

（8）身份ID管理：用于管理零信任SDP体系中的用户身份，可在本地建立身份体系，或将认证信息转发到第三方认证授权服务，该过程中结合多因素增强过程安全性。

（9）实时审计日志：记录所有经过零信任系统的访问行为，保证访问过程审计能力完善，保障业务溯源可精准找到攻击源或者错误源。

（10）可信网关：控制用户访问过程的权限缩放，与客户端建立加密通信并以用户身份为中心动态授权访问的资源并实现转发，保障访问过程动态控制。

（11）数据与资源群：目标业务群，包括数据、接口API、Web等不同形态资源群。

2.4 内部东西向微隔离防御

微隔离Micro Segmentation是业务内部创建最小化安全域的一种方法，其目标是实现更细粒度的网络安全，旨在解决传统“串葫芦式”安全防护手段无法解决的横向流量防护及云虚拟环境安全防护的问题。

2.4.1 内网流向可视化感知

内网服务器-服务器之间流量缺乏总览式监视与管理，服务器或应用之间互访流量是否合规，以及服务器主动访问哪些流量、开放哪些监听端口，无法对数据中心流量、流向情况进行可视化管控。

图6 微隔离流量可视化

采用微隔离技术可以对企业DMZ或数据中心的横向流量、流向进行可视化管理，通过集中统一运算、分析，可绘制内网服务器之间可视化拓扑，便于运维管理人员实时了解企业内部流量态势。

2.4.2 基于AI异常流量检测

通过机器学习对服务器间的监听端口、流向进行管理，可对内网产生异常流量或访问行为等特征进行实时运算与分析，快速定位内部异常流量或异常的互访行为，通过可视化、告警方式及时反馈，第一时间发现企业内部运行异常状况，便于做出快速响应与决策。

2.4.3 自适应微隔离策略

基于服务器通信流向的AI分析与学习，实现自适应安全隔离策略计算与策略下发，以自动化、自适应方式对网络进行最小化隔离，避免大量人工分析与操作，简单、高效地实现网内“东西向”安全管理。通过自适应微隔离实现业务自动最小化隔离防御。

图7 微隔离可视化拓扑

2.5 身份识别与访问管理

身份访问管理技术（Identity and Access Manager，IAM），能够将网络环境中的应用系统、数据库、主机、网络设备和安全设备等资源的账号、认证、访问控制、审计工作进行集中化整合，通过在零信任体系中打造高级IAM能力，对所有基于账号的管理、认证、授权、审计进行集中的统一权限管理[9]，提升身份识别与访问管理精细化控制。

图8 IAM体系

基于上文分析，零信任防御体系的打造，应覆盖终端、通道、业务等云-管-边-端一体化防御联动体系，可借助南北向边界安全的SDP模型、趋向于精细化身份管控的IAM、业务侧微隔离防御，甚至包括将架构能力推向云化的SASE（安全访问服务边缘）等问题，帮助企业快速解决某些迫切安全需求。但若是割裂式建设部署，不同的技术体系均有不足，比如零信任SDP能解决访问者到业务的控制问题，但无法深入解决业务机器群内部横向安全问题，业务侧隔离防御则无法解决内外部协同的安全威胁问题，终端安全及身份体系独立建设无法达到安全管控的效果。

为满足云网融合的业务、网络、数据的综合防御需求，需分析实际业务模型及需求，组合不同维度的零信任方案，形成满足运营商多维需求的纵深防御方案，包括：①全面贯彻零信任理念，可分期规划逐步建设，采取新建系统先行，老旧系统逐步改造的原则，由点及面扩展防御范围。②不可割裂式建设，需在综合联动各项基本能力的基础上发挥零信任架构优势；
应深入覆盖用户，实现终端、访问通道、动态更新、业务群内部等多维一体化。③零信任不仅是技术建设，同时包含人员思想建设、企业IT规范建设以及坚定的执行方针。■