讀零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)01邊界安全模型.png

1. 現(xiàn)狀

1.1. 在網(wǎng)絡(luò)監(jiān)控?zé)o處不在的時(shí)代，很難確定誰是值得信任的

1.1.1. 既無法信任提供光纖租用的互聯(lián)網(wǎng)服務(wù)商

1.1.2. 也無法信任昨天在數(shù)據(jù)中心布線的合同工

1.2. 現(xiàn)代的網(wǎng)絡(luò)設(shè)計(jì)和應(yīng)用模式，已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡(luò)邊界的安全防護(hù)模式逐漸失去原有的價(jià)值

1.2.1. 網(wǎng)絡(luò)邊界的安全防護(hù)一旦被突破，即使只有一臺(tái)計(jì)算機(jī)被攻陷，攻擊者也能夠在“安全的”數(shù)據(jù)中心內(nèi)部自由移動(dòng)

1.3. 零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題

1.3.1. 零信任模型沒有基于網(wǎng)絡(luò)位置建立信任，而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機(jī)制的前提下，有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問

2. VPN

2.1. 在某種程度上，VPN是一種不會(huì)遭人懷疑的后門

2.2. VPN的作用是對(duì)用戶進(jìn)行身份認(rèn)證并分配IP地址，然后建立加密的傳輸隧道

2.2.1. 用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò)，然后進(jìn)行數(shù)據(jù)包的解封裝和路由

2.3. 如果基于網(wǎng)絡(luò)位置劃分區(qū)域的需求消失了，那么對(duì)VPN的需求也就消失了

2.4. 傳統(tǒng)的VPN用來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全訪問

2.4.1. 但是，這種安全能力在網(wǎng)絡(luò)流量到達(dá)VPN設(shè)備之后就會(huì)終止

3. NAC

3.1. NAC（網(wǎng)絡(luò)準(zhǔn)入控制）是一種邊界安全技術(shù)，某目的是在終端設(shè)備訪問敏感網(wǎng)絡(luò)時(shí)對(duì)其進(jìn)行強(qiáng)認(rèn)證

3.2. 802.1X和可信網(wǎng)絡(luò)連接（Trusted Network Connect, TNC）這類網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)關(guān)注的焦點(diǎn)是網(wǎng)絡(luò)的準(zhǔn)入而不是服務(wù)的準(zhǔn)入，因此不屬于零信任模型的范疇

3.2.1. 采用類似的機(jī)制在設(shè)備訪問服務(wù)時(shí)進(jìn)行強(qiáng)認(rèn)證

3.3. NAC技術(shù)仍然可以應(yīng)用于零信任網(wǎng)絡(luò)中，但它距離遠(yuǎn)程端點(diǎn)太遠(yuǎn)，并不能滿足零信任模型中設(shè)備強(qiáng)認(rèn)證的需求

4. NAT

4.1. 網(wǎng)絡(luò)地址轉(zhuǎn)換

4.2. 由于需要從內(nèi)部網(wǎng)絡(luò)訪問的互聯(lián)網(wǎng)資源數(shù)量快速增長(zhǎng)，因此，給內(nèi)部網(wǎng)絡(luò)資源賦予訪問互聯(lián)網(wǎng)的權(quán)限，要比為每個(gè)應(yīng)用維護(hù)代理主機(jī)更加容易

4.2.1. NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）能夠很好地解決這個(gè)問題

4.3. NAT設(shè)備能夠使私有網(wǎng)絡(luò)中的設(shè)備訪問任意的互聯(lián)網(wǎng)資源

4.4. NAT設(shè)備有一個(gè)很有趣的特性：因?yàn)镮P地址映射關(guān)系是多對(duì)一的，所以源自互聯(lián)網(wǎng)的連接無法訪問內(nèi)部的私有IP地址，除非事先在NAT設(shè)備上進(jìn)行專門的配置來處理這種特殊情況

4.5. 引入NAT原本的目的是使內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)能夠訪問互聯(lián)網(wǎng)，現(xiàn)在它卻變成了安全控制設(shè)備

4.6. NAT設(shè)備具有與狀態(tài)檢測(cè)防火墻相似的特性

4.6.1. 防火墻設(shè)備也很快開始集成NAT功能，這兩個(gè)功能合二為一，基本上無法區(qū)分

4.6.2. 這類設(shè)備既能支持網(wǎng)絡(luò)的連通功能，又能支持嚴(yán)格的安全控制，因此很快得到廣泛應(yīng)用，幾乎每個(gè)組織的網(wǎng)絡(luò)邊界上都部署了防火墻設(shè)備

5. 全球IP地址空間

5.1. 互聯(lián)網(wǎng)還沒有大規(guī)模普及，一個(gè)網(wǎng)絡(luò)可能是連接到互聯(lián)網(wǎng)，也可能是與其他業(yè)務(wù)部門、公司或是某個(gè)研究機(jī)構(gòu)的網(wǎng)絡(luò)相連

5.2. 如果正在連接的網(wǎng)絡(luò)恰好是互聯(lián)網(wǎng)，那么IP地址必須是全球唯一的

5.3. 20世紀(jì)80年代末和20世紀(jì)90年代初，隨著IP網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍越來越廣，隨意使用IP地址空間成為一個(gè)嚴(yán)重的問題

5.4. 1994年3月，RFC 1597宣布IANA為私有網(wǎng)絡(luò)保留3個(gè)IP地址范圍：10.0.0.0/8、172.16.0.0/12和192.168.0.0/16

5.4.1. 私有互聯(lián)網(wǎng)地址分配標(biāo)準(zhǔn)——RFC 1597誕生了，其目的是解決大量公共IP地址空間的浪費(fèi)問題

5.5. 私有IP地址空間的使用還產(chǎn)生了另外一個(gè)效果，而且直到今天仍然在發(fā)揮作用——使用私有地址空間的網(wǎng)絡(luò)更加安全，因?yàn)檫@些網(wǎng)絡(luò)無法連接到其他網(wǎng)絡(luò)，特別是連接到互聯(lián)網(wǎng)

5.5.1. 這些網(wǎng)絡(luò)在物理上通常位于一個(gè)組織的內(nèi)部，攻擊者很難接觸到

5.6. 互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)（Internet Assigned Numbers Authority, IANA）于1998年正式成立，直到今天IANA仍然是IP地址分配的協(xié)調(diào)機(jī)構(gòu)

6. 威脅形勢(shì)

6.1. 20世紀(jì)90年代末，世界上第一個(gè)（軟件）特洛伊木馬問世，并開始在互聯(lián)網(wǎng)上傳播

6.2. 一種保護(hù)互聯(lián)網(wǎng)主機(jī)的方法，而設(shè)置硬件防火墻就是極好的選擇

6.2.1. 那時(shí)候大多數(shù)操作系統(tǒng)還沒有基于主機(jī)的防火墻

6.2.2. 硬件防火墻能夠在網(wǎng)絡(luò)邊界處強(qiáng)制執(zhí)行安全策略，確保只允許列入白名單的“安全”的互聯(lián)網(wǎng)流量進(jìn)入內(nèi)部網(wǎng)絡(luò)

6.2.3. 如果管理員無意中安裝了向互聯(lián)網(wǎng)開放端口（就像特洛伊木馬一樣）的軟件，那么防火墻就可以阻斷訪問該端口的互聯(lián)網(wǎng)連接

6.2.4. 訪問互聯(lián)網(wǎng)主機(jī)的內(nèi)部網(wǎng)絡(luò)流量也同樣可以進(jìn)行控制，確保內(nèi)部用戶訪問互聯(lián)網(wǎng)主機(jī)的網(wǎng)絡(luò)流量可以通過，但反過來則不行

6.3. 雖然對(duì)隔離區(qū)的入站和出站網(wǎng)絡(luò)流量都進(jìn)行了嚴(yán)格的控制，從隔離區(qū)進(jìn)入內(nèi)部網(wǎng)絡(luò)的難度非常大，但由于可以從互聯(lián)網(wǎng)訪問到隔離區(qū)的主機(jī)，因此它們?nèi)匀皇枪舻闹饕繕?biāo)

6.4. 回連（Phoning Home）

6.4.1. 是現(xiàn)代網(wǎng)絡(luò)攻擊技術(shù)的重要組成部分

6.4.2. 惡意代碼可以從內(nèi)部網(wǎng)絡(luò)向互聯(lián)網(wǎng)上的主機(jī)發(fā)送消息

6.4.3. 其主要作用是從受保護(hù)的網(wǎng)絡(luò)中把數(shù)據(jù)慢慢地偷取出來

6.4.4. 由于TCP協(xié)議的雙向特性，使用回連技術(shù)也可以向受保護(hù)的網(wǎng)絡(luò)中注入數(shù)據(jù)

6.5. 出站安全

6.5.1. 出站安全是一種非常有效的對(duì)抗撥號(hào)回連攻擊的方法，可以檢測(cè)并阻止撥號(hào)器回連的出站網(wǎng)絡(luò)連接

6.5.2. 撥號(hào)器軟件經(jīng)常偽裝成常規(guī)的Web流量，或者其他看似無害的“正?！本W(wǎng)絡(luò)流量

6.5.3. 攻擊者首先攻陷內(nèi)部網(wǎng)絡(luò)中低級(jí)別安全域內(nèi)的某臺(tái)計(jì)算機(jī)，然后在網(wǎng)絡(luò)中橫向移動(dòng)，最終獲得更高級(jí)別安全域的訪問權(quán)限

6.6. 基于網(wǎng)絡(luò)區(qū)域定義安全策略，僅在網(wǎng)絡(luò)邊界處強(qiáng)制執(zhí)行，并且僅使用了源和目標(biāo)信息進(jìn)行安全決策

7. 邊界安全模型

7.1. 把不同的網(wǎng)絡(luò)（或者單個(gè)網(wǎng)絡(luò)的一部分）劃分為不同的區(qū)域，不同區(qū)域之間使用防火墻進(jìn)行隔離

7.1.1. 每個(gè)區(qū)域都被授予某種程度的信任，它決定了哪些網(wǎng)絡(luò)資源允許被訪問

7.1.2. “隔離區(qū)”, DMZ

7.1.2.1. 互聯(lián)網(wǎng)可訪問的Web服務(wù)器等高風(fēng)險(xiǎn)的網(wǎng)絡(luò)資源，被部署在特定的區(qū)域

7.1.2.2. 該區(qū)域的網(wǎng)絡(luò)流量被嚴(yán)密監(jiān)控和嚴(yán)格控制

7.2. 該模型的基本思想與物理世界中通過修建城墻來保護(hù)城堡一樣，是通過構(gòu)建層層防線來保護(hù)網(wǎng)絡(luò)中的敏感資源

7.2.1. 這種安全模型提供了非常強(qiáng)大的縱深防御能力

7.2.2. 邊界安全模型試圖把攻擊者阻擋在可信的內(nèi)部網(wǎng)絡(luò)之外

7.3. 入侵者必須穿透這些防線，才能夠訪問敏感資源

7.3.1. 在計(jì)算機(jī)網(wǎng)絡(luò)場(chǎng)景下存在根本性的缺陷，實(shí)質(zhì)上無法保證敏感資源的安全性

7.4. 傳統(tǒng)的網(wǎng)絡(luò)分區(qū)與隔離安全模型在過去發(fā)揮了積極作用，但是現(xiàn)在卻疲于應(yīng)對(duì)高級(jí)的網(wǎng)絡(luò)攻擊

7.5. 如果網(wǎng)絡(luò)的位置對(duì)于網(wǎng)絡(luò)安全失去價(jià)值，那么諸如VPN等網(wǎng)絡(luò)安全設(shè)備也會(huì)失去其原有的價(jià)值

7.5.1. 這也迫使我們把安全控制的實(shí)施點(diǎn)盡可能地前推到網(wǎng)絡(luò)邊緣，這同時(shí)也減輕了網(wǎng)絡(luò)核心設(shè)備的安全責(zé)任

7.6. 私有網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)

7.6.1. 電子郵件就是較早的互聯(lián)網(wǎng)應(yīng)用之一

7.6.2. 私有網(wǎng)絡(luò)中的郵件服務(wù)器一般情況下是唯一連接到互聯(lián)網(wǎng)的服務(wù)器，它通常有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)連接互聯(lián)網(wǎng)，一個(gè)連接內(nèi)部網(wǎng)絡(luò)

7.7. 現(xiàn)代邊界安全模型

7.7.1. 通過在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間部署防火墻/ NAT設(shè)備，能夠清晰地劃分安全區(qū)域，包括組織內(nèi)部的“安全”區(qū)、隔離區(qū)和不可信區(qū)域（互聯(lián)網(wǎng)）

7.7.2. 防火墻/NAT設(shè)備能夠在網(wǎng)絡(luò)邊界進(jìn)行嚴(yán)密的安全控制，極大地降低了安全風(fēng)險(xiǎn)

7.8. 缺點(diǎn)

7.8.1. 缺乏網(wǎng)絡(luò)內(nèi)部的流量檢查

7.8.2. 主機(jī)部署缺乏物理及邏輯上的靈活性

7.8.3. 存在單點(diǎn)故障

8. 邊界安全模型的缺陷

8.1. 邊界安全模型仍然是主流的網(wǎng)絡(luò)安全模型，但是該模型的缺陷也越來越明顯

8.1.1. 一個(gè)網(wǎng)絡(luò)即便采用了完善的邊界安全模型，也往往會(huì)被攻陷

8.1.2. 遠(yuǎn)程訪問工具（Remote Access Tool, RAT）投遞到內(nèi)部網(wǎng)絡(luò)中以獲得遠(yuǎn)程訪問權(quán)限

8.1.2.1. 然后開始在內(nèi)部網(wǎng)絡(luò)中橫向移動(dòng)

8.1.3. 邊界防火墻就像那些為了防止間諜入侵而在城市周邊修建的城墻一樣，作用越來越小

8.2. 不同安全區(qū)域之間的網(wǎng)絡(luò)流量就應(yīng)當(dāng)遵循既定的安全策略強(qiáng)制執(zhí)行檢查

8.3. 通用的安全規(guī)則總是存在例外，它們通常被稱為防火墻例外規(guī)則（Firewall Exception）

8.3.1. 可行的辦法是在防火墻上配置例外規(guī)則，允許某個(gè)IP地址訪問特定的服務(wù)器

8.4. 惡意軟件通過撥號(hào)器回連的方式可以輕松地穿透邊界安全設(shè)備，不同安全區(qū)域之間的防火墻在執(zhí)行安全策略時(shí)只使用了源和目的地址作為判別依據(jù)

8.5. 邊界安全模型是公認(rèn)的保護(hù)網(wǎng)絡(luò)安全的方法，但這并不意味著沒有更好的方案

8.6. 邊界安全模型的根本缺陷是缺乏全局性防護(hù)和安全策略強(qiáng)制執(zhí)行，就像用安全的外殼包裹著軟弱的軀體，我們真正想要的是知道如何認(rèn)證身份、如何防止溝通交流被竊聽的堅(jiān)硬的軀體

8.6.1. 擁有堅(jiān)硬的軀體也并不一定意味著不需要維持安全的外殼，尤其是在高度敏感的應(yīng)用場(chǎng)景下