企业数据网络安全边界管理

企业的信息安全

的边界在哪里？如何管理企业网络安全的边界，保护企业网络安全，防止企业网络安全事件的发生。从下面几点了解一下。

一、零信任网络

零信任网络是近几年才火起来的一个安全概念，实际上这个概念从出现到今天差不多有十年。2010年，佛瑞斯特研究所的一个分析师就指出，传统的基于边界的网络安全架构存在缺陷，通常被认为可信的内部网络实际上是充满威胁的，现在被过度滥用的信任是安全的致命弱点。

基于这样的判断，该分析师提出了零信任的概念，并对安全架构思路提出了一个新的建议：在默认的情况下，不应该相信网络内部和外部的任何设备系统和应用，而是应该基于认证和授权来重构访问控制的信任基础，并且这种授权和信任不是静态的，需要基于对访问实体的风险度量进行动态的调整。

这位分析师提出零信任概念后的几年时间里，实际上这个概念并没有得到大家的关注。但是在2015年前后，随着全球信息安全形势不断恶化，很多企业安全人员都在寻找能够更好地解决信息安全问题的方案。正是在这个时候，零信任网络的概念才逐渐引起人们的注意。

2022年，谷歌宣布基于零信任网络的新一代企业网络安全架构BeyondCorp项目成功完成，并通过论文的形式将其实现方式公之于众，在这个时候，零信任网络真正地进入了大众的视野，并迅速成为信息安全圈的一个热点。

1、零信任网络是个啥？

我觉得零信任网络实际上是一个理念，也可以说是一种架构。零信任网络是架构层面的，而不是操作层面的，所以它不是一个具体的产品，也不是一种具体的技术，是在一种更高的维度上表达客体对主体安全访问的一种模型。它针对的是目前普遍存在的具有网络位置和区域的默认信任模式。比如内网是可信的，互联网是不可信的；同一个区域内的服务器是可信的，跨区域是不可信的。

2、实体是什么，客体是什么？

在零信任网络中，实体一般理解为发起网络访问的一方，客体是被访问的一方。实体可以是用户、主机、设备、系统等，客体也可以是主机、系统、网络服务接口，甚至是数据等。在零信任网络的术语里面，理论上并没有限制实体和客体的形态，所以只要是在实际的架构中或者实际的运用中，能够进行定义描述和识别的，都可以作为实体和客体。

3、有什么新的技术吗？

个人认为真没有。现在网络使用的基本都是已有的技术，零信任网络并没有发明什么新的技术，只是把已有的技术如身份认证、加密、PKI、大数据等整合到一起，形成了一个全新的、完整的安全架构。

4、能解决什么问题？

零信任网络解决了一个核心的问题是非许可的访问。企业现在面临的问题根源，其实就是因为很多非许可的访问导致了大量的安全问题。零信任网络解决的问题按照谷歌的说法，能够访问什么服务，取决于我们对你和你的设备知道多少，而所有的访问都是应该得到认证、授权和加密。即首先是要认证，要确定主体的身份，只有是被认可的主体才可以继续访问；其次是授权，即确定这个主体是否具有访问指定客体的权限。从这个角度来看，认证是很关键的一个概念，认证是一道看不到的边界，这个边界与传统的基于网络区域的隔离边界完全不是一回事，它更偏向于应用系统层面，甚至包含了一点业务逻辑的味道。

5、现有的安全机制是什么关系？

零信任网络的初衷是以一种身份因素，重新定义一下安全的边界，增强外部对内部访问的安全性，实际上它和现有的各种安全机制是不冲突的，没有相互取代关系。 传统的安全机制和架构，如纵深防御、区域隔离、权限最小化原则等，仍然是信息安全的基础性、成熟的架构，对于保护企业内部的各种资源仍是必须的。零信任网络基于身份认证的思路，只是进一步用来加强对网络资源的保护。

6、对信息安全还有什么价值？

按照《零信任网络》一书序言中的说法，零信任网络对信息安全的价值体现在：第一，在传统网络安全边界失效、攻击面难以穷尽的情况下，零信任引导人员更加关注保护面，而不是攻击面，由于有可信网关的存在，资源全是躲在网关后面的，攻击者并不能直接访问到后台的资源。反过来，只有通过网关识别、配置和保护的资源才会被前端间接访问到。第二，在实践机制上拥抱灰度哲学，以安全与易用性平衡的持续认证改进固化的一次强认证（弹性认证），以基于风险和信任持续度量的动态授权机制替代简单的二元判定的静态授权，以开放智能的身份治理优化封闭僵化的身份管理。。

 7、听着不错，马上干起来？

听起来确实很美很好，但真要干的话还得考虑，关键的是看目标是什么？如果照着谷歌或者书中描述的场景一套全干起来，我觉得一时半会基本没戏。第一，零信任是一个架构，不是单一的产品或者技术，要进行推广势必要对it技术架构和应用系统进行大的调整和改造。投入大，见效慢，如果没有来自高层领导的鼎力支持，几乎是推不动的。第二，目前有一部分企业的it的能力还保持在“能用”这样一个水平，标准化程度不高能否进行改造本身就是一个比较大的问题。 第三，零信任网络是一个理念，要落地必须跟企业的实际结合起来，但目前比较难买到很适合的成套的产品。当然企业也可以自己开发，但一般安全团队的工程化能力不一定能够把开发工作真正做起。

8、有什么建议？

完全复制别人的模式有难度，但可以吸收零信任的精华，从基础做起。个人认为零信任网络整体的框架重有两点非常重要：一是建立身份管理中心，二是设立支持身份识别的网关。身份管理是零信任网络的必备的条件，如果没有统一的身份管理中心，身份认证根本无从谈起。我们还要保护好身份管理中心，确保这个系统不会被攻破。

设立网关的目的在于将原先能直连的主体和客体断开，让他们不能直接互通，同时利用网关支持身份识别的特性可以进行授权。做到这两点就可以算是一个轻量级的、局部的零信任网络的实践了。有了这样的基础，我们以后再逐渐增加新的组件，添加新的功能，不断积累和完善零信任网络。

9、身边的零信任

 实际上大部分安全人员应该都实际过零信任网络，并且可能做的还不错，举两个例子。第一是运维堡垒机。堡垒机中都会有用户管理，不管他是自己建的账号，还是说跟外部的数据源对接，其实都可以理解为一种身份管理。堡垒机事实上起到一个作用，即阻断了运维人员的终端和运维目标的直接连接，用户必须通过堡垒机才能对运营目标进行维护，因此我们可以认为堡垒机是一种支持身份识别、应用协议识别和访问授权的网关。

第二是上网行为管理设备。现在大部分公司员工从内网访问互联网时都要通过上网行为管理设备，不管它串接的网关，还是代理的，上网行为管理设备都起到了一个作用，内网的电脑不能直接跟互联网相连。我们访问一个外面的网站，肯定要经过上网行为管理设备的转接，并且上网行为管理设备一般都具有身份识别的能力，还可以配用户的访问的权限。

上网行为管理设备与堡垒机不同的是，一般情况下上网行为管理设备采用的黑名单机制，默认允许访问各种外部资源，但会屏蔽掉一些不适合的。假如把上网行为管理设备部在内网，采用白名单机制，用户能够访问哪个内部资源要在上网行为管理设备上进行授权，这就跟零信任网络比较像了。

10、控制平面和数据平面

前面在介绍典型的架构图时讲到零信任网络将整体的架构分为控制平面和数据平面。我个人认为这个提法非常好，控制平面的职责是用来控制和指挥数据平面，数据平面实际上是暴露在边界上的，控制平面是隐藏在内部的。这种方式和网络管理中常用的带外管理有非常大的相似之处，但这样的一个提法适用性会更广泛一些。从安全的角度来看，我觉得现在很多信息化过程中的对象，如数据中心、网络，一台主机或者一个系统，其实都是可以按照这种逻辑来进行相应的切分。

二、设备边界安全 

零信任网络其实有考虑接入设备自身的安全性，但认为要持续地评估接入设备的完全状态，并且在有问题的情况下要立刻进行调整。但从目前零信任网络所涉及的情形来看，并没有涉及到如何防止数据在接入设备上被泄露。

在远程办公的模式下，企业网络的边界已经延伸至远程办公的接入设备上，所以企业在远程办公时，一定要考虑接入设备的边界，否则很可能引起像数据泄露等相关安全问题。

在接入设备上设立边界，我个人认为有以下几种可能性：一是对设备进行完全的控制，如规定它只能跟企业的网络进行交互；二是对设备进行部分控制，他可以在不同的区域内同时跟企业网络和其他网络交互；三是对设备完全不做控制。

对设备进行完全控制应该不是一个特别好的方案，哪怕设备是企业所有的，也一定会遭到用户的反对。反过来，对设备不做任何的控制，估计咱们安全人员都不太好意思把方案交上去。所以我比较推荐第二种方式，对接入设备进行部分控制，

那么企业在实践中该如何做呢？我也只能根据自身的经历给一些个人建议。

对于移动设备来说，按照现在市场上能够提供的技术，推荐使用沙箱或者沙盒的技术，在移动设备上划出一块虚拟空间，用来处理和存放跟企业有关的数据，虚拟空间与设备本身的自身空间在逻辑上是保持隔离的，就是说它虽然存在设备自身，但它是一个独立的存在，从外面是没办法去访问到这个虚拟空间里面的信息。

和移动设备相对应的，针对电脑设备，我个人首选是虚拟化，简单粗暴，安全效果好，不过投入比较大，要舍得花钱。当然目前国内也有公司在桌面操作系统做沙箱产品，也是一个不错的、值得跟踪的思路。如果桌面操作系统能够把沙箱的产品做得非常好，达到和移动设备相同的水平，我觉得这样的解决方案应该会更轻盈，也更有效。

安全是个系统性的一种架构，企业安全性的强弱，取决于最短的那个木条