全面建设零信任需要哪些关键技术？

从体系化安全防护的视角，统揽用户访问的上下文全局，对全面建设零信任所需 的关键技术进行梳理，主要包含 4 类技术：

1.可信身份与认证

零信任理念下，基于数字身份实现用户和受控设备的可信识别，包括用户身份认证和 单点登录，以及受控设备的设备指纹、设备认证和安全基线管理，并基于身份属性和行为 特征对用户进行信任评估，以动态应对风险并调整访问权限。

（1）可信用户身份 。用户数字身份由用户属性、行为、生物特征等标签共同组成，用户的可信正建立在对 数字身份认证的基础之上，用户通过动态口令、人脸识别、指纹识别以及认证令牌等方式 完成身份认证。零信任架构中的身份认证是一个持续验证的过程，首先在建立连接之前先 执行身份认证，只有经过验证的最终用户才能访问资源；其次，在访问的整个生命周期中 持续进行身份验证，以确定每个访问请求的身份和安全状况；同时，访问控制引擎结合用 户行为、地址位置、访问时间等进行风险分析与判断，并实时做出访问权限调整；最后，授 予对资源的最小访问权限。零信任通过自适应的、基于风险的评估来识别潜在威胁，做到 精细化的权限控制，减少因身份凭证被盗或泄露所带来的潜在威胁，该评估机制会贯穿整 个用户生命周期。

（2）可信设备身份。 数字设备身份由客户端设备信息、访问时间、入网位置等标签共同组成。零信任架构 中，设备的可信主要通过对设备的安全性进行持续检查和发现来实现。一方面，根据预先 收集的设备信息对设备的访问行为赋予初始权限策略；另一方面持续监控设备行为，对于偏离既定策略的设备进行告警。首先，信任评估引擎将对所有登录的设备进行注册，收集、 记录设备详细信息，并生成设备指纹，初始化客户端证书。再次登录时，信任评估引擎根据 存储的信息校验登录设备信息以及证书有效性，判断是否为可信设备；其次，可信设备管 理将持续、自动化地识别、记录和跟踪组织内不同类型设备资产及对应属性，为设备动态 访问控制提供前置条件；然后，信任评估引擎基于ABAC、RBAC等模型持续评估设备主体 属性及上下文环境，完成对设备的动态认证与授权；最后，零信任架构将持续对所有接入 设备进行威胁检测与响应，同时，信任评估引擎将持续验证设备相关配置策略，并针对不 符合配置基线的设备执行修复操作。可信设备的重点在于持续对每个访问企业资源的设 备进行监控，并采取相对应的安全防护和控制性措施。

（3）可信认证方式。 零信任架构默认不信任访问主体的身份，在单次会话全生命周期中持续验证访问主 体的身份，并根据风险等级提供额外的认证因子，自适应SSO和MFA可在不影响用户体验 的同时增加访问安全性。SSO单点登录允许用户通过一组登录凭证访问多个相关的应用程 序和服务。为了降低多个应用程序依赖于同一组登录凭证的风险，通常需要对SSO使用自 适应认证。如果用户在尝试通过SSO登录时或在其SSO认证会话期间表现出异常行为，如 通过无法识别的VPN进行连接、访问用户会话认证令牌未涵盖的应用程序或数据等，SSO 会要求他们提供额外的认证因子。MFA认证通过用户提供的多种非密码认证因子，降低密 码泄露带来的潜在安全隐患。

2.数据隔离保护

（1）终端沙箱隔离。 数据沙箱可以为员工提供可信的终端工作环境，如图4所示，支持多域多安全级别的 安全工作空间，提升企业数据安全性。一是将BYOD私人环境与企业办公环境分隔，安全工作空间与宿主机之间保持数据、网络、应用、进程和通信全隔离，工作空间内数据强加密并 且数据流转受控，企业员工只能在安全工作域内访问业务资源；二是工作空间全生命周 期管理，访问控制引擎负责维护并下发各工作空间的安全策略，并对工作空间内所有操作 持续检测、分析上报日志，如发现异常行为，可自动强制清空工作空间，降低数据泄露和攻 击风险；三是对端侧环境风险、业务系统异常访问、用户异常行为及时检测识别，身份、流 量、环境的实时检测与安全工作空间基于策略控制的有机结合，可以最大程度保障端的安 全。

数据沙箱使用内存映射技术，为每个进程创造一个单独的地址空间，用以隔离多个进 程的代码和数据，通过内核空间和用户空间不同的特权级来隔离操作系统和用户进程的 代码和数据。关键隔离技术包括：文件隔离⸺隔离宿主机与空间文件系统；剪切板隔离 ⸺隔离剪切板的数据通道；网络隔离⸺隔离应用访问通道；注册表隔离⸺隔离应用系 统配置；进程通信隔离⸺隔离进程避免数据逃逸。

（2）网络微隔离。 微隔离技术主要实现工作负载间的安全隔离，按逻辑将数据中心网络划分为不同安 全段，阻断各分段间异常东西向流量，提升企业网络安全性。一是细化策略管控力度，微隔 离可以将细粒度的安全策略应用于工作负载，单个机器、用户或应用程序，这些策略可以 根据真实世界的构造定义，例如用户组、访问组和网络组，并且可以跨多个应用程序或设 备应用；二是微隔离访问主体拥有唯一身份标识，无论是服务器、应用程序或用户，基于 其身份权限提供访问控制；三是网络流量高可见性，微隔离通过安插网络流量探针，可以 为安全团队提供全网流量视图和上下文，便于快速定位问题。

（3）访问会话隔离。 远程浏览器隔离（RBI）是一种访问会话隔离技术，将浏览器执行从用户设备转移到云 中安全环境。用户使用本地浏览器连接到一个远程服务器上，用服务器上的“远程浏览器” 上网，全程数据只落在远程服务器上，不落在本地。当用户访问网页时，RBI 服务器首先需 要对连接到它的用户进行身份验证，然后 RBI 服务器上会创建一个远程浏览器会话，本地 的交互操作同步到远程浏览器。打开的网页代码在远程浏览器中加载，传给用户本地的只 有“影像”，网页内容不实际下载到本地，防止任何基于 Web 的攻击进行恶意软件感染的 尝试。

3.动态访问控制

（1）访问控制。 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方 法，其目的在于限制访问主体的行为和操作。当前应用比较广泛的访问控制技术包括基于 角色的访问控制（RBAC）和基于属性的访问控制（ABAC），同时也存在两者结合的授权方 式，既基于策略的访问控制（PBAC）和基于任务的策略访问控制（TBAC），PBAC 方式兼顾RBAC 的简单、明确的特性，也具备 ABAC 的灵活性，实现了基于主体属性、客体属性、 环境风险等因素的动态授权，TBAC 重在基于完成一项任务所需要访问的资源，对任务参 与者进行权限分配。 动态访问控制权限判定的依据是身份库、权限库和信任库，其中身份库提供访问主体 的身份属性，权限库提供基础的权限基线，信任库提供访问主体历史信任评估等级。信任 评估引擎基于大数据和人工智能技术，对访问行为进行持续分析，对信任等级进行持续评 估，对访问主体身份进行持续画像，最终为访问控制引擎提供决策依据。

（2）持续信任评估。 信任评估引擎是零信任架构中实现持续信任评估能力的核心组件，持续信任评估是 访问控制的重要输入，以身份为中心，对访问主体进行持续地信任评估，以业 务安全为目标，授予最小化权限，并根据访问主体行为进行持续评估，以实现访问权限的 动态调整。

通过信任评估模型和算法，实现基于身份的持续信任评估，信任评估包含：一是对受控设备进行基于环境因素的风险评估，利用环境感知技术，获取终端环境的信任评分， 为动态访问控制提供有效输入；二是对访问主体访问上下文行为分析的评估，结合访问 主体身份属性信息，对访问的上下文进行风险判定，识别异常访问行为。持续地对信任评 估结果进行调整，覆盖“运行态”访问安全。

（3）策略统一编排 。策略统一编排实现网络安全设备内部安全策略可视化编排和可视化监控运行，借助 可视化的安全策略链编排框架，定义统一的安全策略描述模板，解决传统网络安全产品中 安全策略管理分散、策略执行过程不可见等运维难题，极大提高安全运维的效率。 统一的安全策略描述，可以实现所有安全策略规范化描述，安全策略描述模板包含如 下属性字段：策略类型、策略编号、策略规则、策略优先级、策略动作和策略关联关系等。 其中，策略规则用于描述策略匹配的具体条件；策略优先级用于定义策略执行的先后顺 序；策略动作标识满足策略规则之后所采取的动作。 安全策略按优先级从高至低链接形成策略链，可实现安全策略的自动化控制。通常， 根据业务流程可以将安全策略分成认证策略和访问策略两类。认证策略包括：首登改密， 强密码策略，密码超期策略，管理员白名单策略，登录并发数限制策略，长时间未登录策 略，防暴力破解策略等。访问策略包括：入向报文过滤策略，应用访问策略，出向报文过 滤策略等。通过策略链，安全运维人员可更便捷地查看安全策略配置以及安全策略的执 行情况。

4.自动响应与可视化

（1）自动化响应与处置 。零信任架构下，基于风险驱动和上下文感知的自动化安全响应能够识别行为的不一 致性，如登录时间、登录位置等，并基于风险分析结果自动做出处置动作，包括二次认证、拒绝访问请求、强制退出、禁用账户等操作。同时，通过与其他安全产品对接，实现联动安 全响应与处置。安全编排是将企业不同安全技术按照一定的逻辑关系组合到一起，以实现 安全响应与处置流程的自动化，在此过程中，企业需要简化安全堆栈，消除不必要与重复 技术，以及使系统维护与管理复杂化的技术，令编排过程变得更简单、更模块化，消除管理 难题，显著减少运营开销。

（2）审计与可视化分析。 零信任架构需要支持最新的外部合规审计要求，结合自身行业、业务特点制定信息安 全管理体系，对用户操作行为进行审计，并将审计信息上传至零信任控制中心，零信任控 制中心通过对信息进行统计分析，得出用户安全访问基线、设备安全访问基线和服务间流 量安全基线。 零信任控制中心将监视、记录、关联分析网络中的每个活动，对可疑行为展开时空线 索分析，展现特定用户、特定设备时空访问行为，通过可视化技术将访问路径、访问流量、 用户异常访问行为直观展示，帮助安全运营人员更直观、全面地了解访问主体的安全状态 和行为，从而更快速、更精准的找到风险点。