零信任+：边界信任模型，零信任模型与零信任+浅谈

边界信任及其弱点

边界信任是现代网络中最常见的传统信任模型。所谓边界信任就是明确什么是可信任的设备或网络环境，什么是不可信任的设备或网络环境，并在这两者之间建立“城墙”，从而保证不可信任的设备或网络环境无法在携带威胁信息的情况下，访问到可信任的设备或网络环境的信息。

在企业应用层面最常见的例子是将公司内的网络认为是可信任的网络环境，将公司外的网络认为是不可信任的网络环境，再在这两者之前建立防火墙服务，从而防止带有威胁的外部请求获取到公司的敏感信息。

典型的边界信任模型架构图，其中认为Internet为不可信任的区域，DMZ区域是类似防火墙的区域，而Trusted与Privileged为信任区域，其中Privileged是特权管理账号，从信任模型的角度来说，一台可信设备是否是Privileged，不影响对这台设备是否“完全信任”其安全性。

随着防火墙技术的发展，越来越多的威胁信息都可以被防火墙直接拦截，这使得边界信任模型看起来完美无缺。但是，边界信任模型存在一些致命弱点。

 1) 如今的网络攻击的花样层出不穷，攻击方式变化非常快。然而，由于将所有的“防护”都孤注一掷地依赖于防火墙，一旦有新的威胁形式超出防火墙的防护范围，那么防火墙就形同虚设
 2) 如果攻击者使用了某些方法绕过了防火墙，比如，利用恶意邮件，直接进入内网
 3) 无法识别可信设备对其他可信设备进行攻击的行为

零信任介绍

从边界信任模型中存在的致命弱点中不难发现，所有的弱点，归根到底都是对可信任设备与网络环境的“过度信任”造成的。这种“过度信任”体现在以下两个方面：

 1)  模型假设所有的可信设备的可信度都是相同的，即所有设备无论功能和状态，只要认为是可信的，就都是“完全信任”其安全性。
 2)  模型假设对所有可信设备的信任是永久的，全时段的。

显然这种“过度信任”是非常危险的，是一种对信任的滥用。基于对边界信任的致命弱点的研究，“零信任”模型横空出世。

相比于边界信任模型中对信任设备及网络区域的“过度信任”，“零信任”模型提出：在考虑敏感信息时，默认情况下不应该信任网络中的任何设备和区域，而是应该通过基于认证和授权重构访问控制的信任体系，对访问进行“信任授权”，并且这种授权和信任应当是动态的，即“信任授权”应当基于访问实时地进行评估与变换。

在构建“零信任”模型的体系时，网络专家们对该模型做了以下假设：

 1) 网络始终是暴露在危险之中
 2)  无论外网或者内网，危险始终存在
 3)  不存在可信任的网络区域，网络区域不能作为判断网络可信的决定因素
 4)  所有设备，用户和网络流量在访问时都应经过认证和授权
 5)  认证和授权的策略必须是基于所有可能数据，并加以计算得到的

原文如下：

根据“零信任”模型的理念和假设，网络专家们进一步的给出了典型的“零信任”模型的架构。

在架构中，支持“零信任”模型能正常运行的核心是一个被称为Control Plane，即控制平台的组件，在“零信任”模型中，所有访问敏感信息的请求都应该先经过控制平台，由控制平台对访问进行评估，决定此次访问需要提供什么等级的认证信息，再校验访问所携带的认证信息是否达到标准，从而实现认证，当认证成功后，再对访问进行授权，若认证失败，则拒绝访问。

从模型设计上来探究边界信任模型与“零信任”模型的区别时，我们不难发现，“零信任”模型是一种“信任细化”的设计，即摒弃了边界信任模型“过度信任”的一刀切做法，采用对信任在访问维度，设备维度和时间维度的细化处理，再加上认证和授权体系的动态化，使得权限授权也是被细化处理的。

在如今社会，网络攻击的手段层出不穷的大背景下，“信任细化”是一种比较符合当前安全防范需求的理念，也正是因为这样，“零信任”模型是当今与网络访问相关的产品推荐使用的安全模型。

派拉软件可信数字身份管理平台已经全面实现了“零信任”模型的标准，并在该标准上进行了自主创新，提出了授权等级的概念，为更好的服务于有身份管理和访问控制需求的客户和合作伙伴，我们在“零信任”的基础上，提出了“零信任+”的安全理念。

零信任+浅谈：算法与“零信任”模型结合的“智能信任”

虽然“零信任”模型在现代网络安全中有着很高的应用价值，但是“零信任”模型也不是十全十美的。我们认为，“零信任”模型设计有以下不足：

 1) “零信任”模型虽然提出了对信任的细化，但是缺乏对这种细化的颗粒度的定义，这样又反过来导致另一种极端，即对所有访问都进行评估，认证和授权，这样使得在实施“零信任”模型时往往会对访问的信任授权“过于严格”。
 2) 前文也提到，在“零信任”模型下的访问都先经过控制平台，对访问进行评估，认证和授权，但模型缺乏对访问后的用户行为进行监控的机制，从另一个角度来看，模型对控制平台“过度信任”。
 3) “零信任”模型只对访问本身做评估，认证和授权，那么如果黑客或攻击者通过某些特殊方法通过了该评估，认证和授权，有没有可能再对访问的风险进行实时评估，从而杜绝或至少减少敏感信息的泄露？
 4) 对于一些高级的黑客攻击，比如低频渗透，“零信任”模型可能失效，怎么去防范这类安全问题呢？
 5) 等等其他问题

为了在“零信任”模型的基础上，做出更好的，更加完善的身份管理与访问控制产品，我们提出“零信任+”的概念，即算法与“零信任”模型结合的“智能信任”。

去年的时候，我们在公司产品的单点登录模块率先推出了SSO-IDA模块（IDA: Intelligence Driven Authentication）,该模块基于用户的登录统计信息，经过计算后，智能判断了用户使用单点登录时的风险情况，在低风险时可实现一键自动登录，而在高风险时需要用户提供诸如人脸识别或指纹验证的生物认证才可完成单点登录。

SSO-IDA只能视作是对“零信任”模型中控制平台的加强，之后我们会推出针对“零信任”模型不足点的智能算法模块，意在解决（3）和（4）的情况，使得我们的身份管理与访问控制，真正做到强于“零信任”模型的“零信任+”标准。

当然，所有模型和算法都是基于前人的研究成果的。在网络安全领域，使用统计，机器学习甚至深度学习的研究已经持续了至少30年，而最近10年以来，由于数据分析技术和大数据技术的发展，以及硬件性能的提升，网络安全领域的相关算法研究进入了高速增长的时代。

我们只希望将这些前人和专家的理论研究成果真正的结合到自己的产品中，提供安全，高效，极致体验的身份安全产品与服务。当然，如果有幸在某些子领域对行业有所贡献，那将是我们的荣幸。

参考资料

 Evan Gilman, Doug Barth – Zero Trust Networks, Ch1 – 2017 

*本文作者：派拉软件 张毅俊， 转载请注明来自FreeBuf.COM