通過網絡搭建零信任架構的方法

簡而言之，零信任度要求驗證每個試圖訪問網絡的用戶和設備，并執行嚴格的訪問控制和身份管理機制，以限制授權用戶僅訪問完成工作所需的那部分資源。

零信任是一種架構，因此市面上有許多潛在的解決方案，不過本文介紹的是適用于網絡領域的解決方案。

最低權限

零信任的一個廣泛原則是最低權限，即授予個人訪問數量剛好的資源以執行工作的權限，數量不多也不少。做到這一點的一種方法是網絡分段，它基于身份驗證、信任、用戶角色和拓撲結構，將網絡分解成不連接的部分。如果實施得當，網絡分段可以隔離某個網段上的主機，并最大程度地減少橫向或東西向通信，從而在主機受到損害時限制附帶損害的“影響范圍”。由于主機和應用程序只能訪問它們有權訪問的有限資源，因此網絡分段可以防止攻擊者趁機進入網絡的其余部分。

可以根據上下文將訪問權限授予實體，允許實體訪問資源：上下文是指個人是誰？使用什么設備訪問網絡？設備所在位置？如何聯系以及為何需要訪問等。

還有執行網絡分段的其他方法。最古老的方法之一是物理隔離，即針對不同的安全級別搭建物理上分離的網絡，這些網絡有各自的專用服務器、電纜和網絡設備。雖然這是一種久經考驗的方法，但針對每個用戶的信任級別和角色構建完全獨立的環境可能非常費錢。

第二層分段

另一種方法是第二層分段，即最終用戶及其設備通過設備和訪問交換機之間的內聯安全過濾機制來加以隔離。但是在每個用戶和交換機之間安裝防火墻可能非常燒錢。另一種方法是基于端口的網絡訪問控制，該方法基于身份驗證或請求方證書授予訪問權限，并將每個節點分配給第三層虛擬局域網（VLAN）。

這些類型的方法常常通過802.1x標準和可擴展身份驗證協議在有線和無線訪問網絡上使用。然而，企業可能沒有充分利用供應商的全套最終用戶角色、身份驗證登錄信息、設備配置文件和高級流量過濾，根據用戶的可信度級別對用戶進行細分。如果需要，用戶可以提高安全性。

第三層分段

創建應用程序隔離區的一種常用方法是，將訪問電纜和端口分隔成第三層子網（VLAN），并執行內聯過濾機制。過濾機制可以由路由器之類的網絡設備來執行，也可以由對用戶身份和角色有所感知的狀態性防火墻或代理服務器來執行。一個典型的例子是標準的三層Web應用程序架構，其中Web服務器、應用程序服務器和數據庫服務器都在單獨的子網中。

采取相似思路的是網絡切片，這是一種軟件定義網絡方法，即網絡在邏輯上分為多個切片，類似虛擬路由和轉發上下文。

這方面的一種現代方法是，為每臺服務器分配其自己的IPv4子網或IPv6/64前綴，并讓它向網絡路由器通告其子網。該服務器子網內的所有流量都是該服務器內的本地流量，其他滲入的流量根本不會在該主機內的這個虛擬網絡上傳輸。

將流量封裝在IP網絡上面運行的覆蓋隧道中同樣可以起到分隔網段的效果，這可以通過多種方式來完成，包括虛擬可擴展LAN、使用通用路由封裝的網絡虛擬化、通用網絡虛擬化封裝、無狀態傳輸隧道和TCP分段卸載。

數據包標記（使用內部標識符標記數據包）可用于在接口之間建立信任關系，因而根據最終用戶設備的身份和授權來隔離來自這些設備的數據包?？梢杂帽姸鄥f議來標記，包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec。分段路由是一種現代的方法，在IPv6數據包中使用特殊的路由報頭來控制MPLS或IPv6網絡上的通信路徑。

NIST的建議

美國國家標準技術研究所（NIST）列舉了零信任架構的邏輯組件，并提供了一些部署樣式的定義。這包括基于策略決策點和策略執行點來驗證和認證用戶。這類似云安全聯盟最初對于軟件定義邊界（SDP）的設想。

該方法需要用到SDP控制器，該控制器負責驗證用戶的身份，然后通知SDP網關根據用戶的角色和授權允許訪問特定的應用程序。這個過程可能使用老式的用戶名和密碼或新式的多因子驗證（MFA）方法，新方法結合使用一次性密碼、軟件令牌、硬令牌、移動應用程序或文本消息。另一種方法名為單數據包授權或端口碰撞，使用客戶端瀏覽器或應用程序將一組數據包發送到SDP控制器，SDP控制器負責識別用戶及其設備。

市面上有眾多的微分段、主機隔離和零信任網絡方法。一些實施在網絡設備中、服務器本身中、身份訪問控制系統中或者中間設備（比如代理服務器和防火墻）中。零信任方法種類繁多，可以實施在主機操作系統中、軟件容器虛擬網絡中、虛擬機管理程序中或者擁有SDP或IAP的虛擬云基礎架構中。

許多零信任方法還涉及最終用戶節點上的軟件代理以及X.509證書、相互TLS（mTLS）、單數據包身份驗證（SPA）和MFA。并非所有這些方法都可以由網絡管理員、服務器管理員或安全管理員完全自行實施。為了實現穩健的零信任網絡架構，可以通過與跨部門的IT團隊合作來實施這些技術。
責編AJX