基于“零信任”理念的云安全防护策略研究_零信任安全架构采用了强度较高的多因子

通信世界网消息（CWW）随着产业信息化进程不断加快，用户对云应用和数据的安全性提出了更高要求。云计算时代针对云上高价值数据的网络攻击也愈演愈烈，传统的网络安全模型和网络攻防策略多为被动防御，已难以应对当前挑战。

为此，业界需要采用更为积极的主动安全策略，其中基于“零信任”安全理念的研究便是方向之一。本文将深入探究“零信任”的两种实践方案，并结合安全事件，分析其在远程访问、安全上云、病毒攻击等场景中的应用价值。

公有云网络安全形势

公有云资源节点众多，业务具有多样性且规模巨大，传统的网络安全模型在应对新型云化业务时逐渐显现出安全能力不足、运维管理复杂、权限设计宽松等不足。一方面，公有云的分布式计算与存储、多层次服务模式、动态可扩展性、异构性、资源池化等，使得传统网络安全问题随着系统规模而扩大；另一方面，云平台中存放的海量数据、多种服务协议与标准以及前所未有的规模化与复杂性，对安全保障提出了更加广泛、严格的要求。

将“零信任”网络安全模型引入公有云，研究建立云计算环境下SDP（软件定义边界）安全解决方案，是适应行业发展形势和云计算内在安全需求的重要探索。从用户的角度来看，“零信任”网络安全在云服务中的实践，将进一步减少DDoS（分布式阻断服务）攻击、端口扫描、暴力破解、勒索病毒、挖矿病毒等安全事件的发生，用户可以获得可靠、高质量的云服务资源。从云服务提供商的角度来看，云平台架构向“零信任”的精进，将推动云服务提供商建立公正、可操作的用户信任体系，也将引入一套有效评估云服务安全风险的方法。

近年来，网络攻击随着产业数字化发展愈演愈烈，相关勒索事件层出不穷。例如2023年11月，工商银行在美全资子公司ICBCFS在官网发布声明称，由于遭勒索软件攻击，部分系统发生中断。笔者所在团队接触的云服务用户，近年也有大量被攻击的案例。例如2023年8月，内蒙古某银行云主机遭遇暴力破解且被成功登录，黑客加密了重要业务数据库，造成了严重损失。而技术服务团队事后复盘发现，该客户同样未对暴露在公网上的IP进行足够的安全防护。2024年1月，山东某公司云主机被植入勒索病毒，系统文件及日志皆被加密，经过排查，尽管用户购买了移动云安全产品但并未配置，云主机的21、4433、8090、1212、8001端口都暴露在公网上，未进行源IP限制或防护，黑客可以通过以上开放端口入侵。

从防御以勒索病毒为主的网络攻击的角度，笔者认为公有云服务商完全可以围绕“零信任”策略，借助SDP架构和“数据避风港”理论，打造更安全的云上环境，帮助上云企业拥有更好的数据保护能力，让用户能够牢牢把握数据保护的“主动权”。

“零信任”

自2010年“‘零信任’之父”John Kindervag首次提出“零信任”网络模型概念以来，“零信任”相关标准也逐渐“羽翼丰满”。“零信任”网络安全理念即“永不信任，始终校验”。它不是某类产品或服务，而是根据“显式验证、使用最低特权访问、假定数据泄露”等安全原则设计和实现的安全策略，具体有三个方面：一是始终根据所有可用的数据点进行身份验证和授权；二是利用实时和恰好足够的访问权限、基于风险的自适应策略，限制用户访问；三是最大限度地减少影响范围，并对访问进行分段，验证端对端加密并通过分析驱动威胁检测和改善防御。

如今，“零信任”模型在企业网络安全中的应用越来越广泛。它要求企业在访问网络资源时，必须对用户进行身份验证，并确保用户只能访问他们被授权访问的资源。这种模型还包括使用加密技术保护数据的安全性，以及监控和记录所有网络活动，以便在出现安全事件时及时发现和应对。

SDP

SDP是满足“零信任”理念的一种实现方案，SDP架构如图1所示。在该架构下，系统将建立信任的控制域与数据域分离；使用Deny-all防火墙（不是完全拒绝，允许例外）隐藏基础设施，丢弃未授权的数据包并将其用于记录分析流量；在访问受保护的服务前，通过单包授权（SPA）协议进行用户与设备的身份验证和授权。

SDP由三部分构成：SDP控制端、发起节点（Initiating Host，简称IH）、接收节点（Accept Host，简称AH）。SDP节点均可以发起连接或接收连接，相关操作通过安全控制通道与SDP控制端交互，以进行管理。系统可以扩展，所有组件都可以是多个实例。SDP架构的请求与验证过程如下。

1）SDP控制端上线并采用适当的可选验证和授权服务。例如，PKI（公钥基础设施）提供证书验证、设备验证、地理定位、SAML（安全断言标记语言）、OpenID（数字身份识别框架）、OAuth（开放授权协议）、LDAP（轻型目录访问协议）、Kerberos（计算机网络授权协议）、多因子身份验证等服务。

2）发起节点IH上线，与SDP控制端连接并进行身份验证，但不应答来自任何其他节点的通信，也不响应非预分配的请求。

3）认证后，SDP控制端开始计算该IH的授权列表。授权列表是一个IH和AH的对应表，换言之就是允许IH通过“哪些网关”访问“哪些服务”。

4）SDP控制端将授权列表发给AH，AH根据这个列表在后续IH访问时进行身份校验和流量转发。

5）SDP控制端将授权列表发给IH。

6）IH有了授权列表，就知道了AH的地址，此时就可以发起访问了。访问请求到了AH网关之后，AH按控制端的指示，开始对IH的访问流量进行验证。

SDP架构和传统网络安全架构的区别

与传统的基于网络的安全相比，SDP采用了不同的方法。SDP不是专注于保护网络，而是专注于保护用户、应用程序以及它们之间的连接。SDP技术体现了多个有别于传统网络安全的原则。

一是信任不再默认。传统的网络安全为用户提供了过度的信任，而在SDP架构中，用户必须赢得信任。SDP只向经过身份验证并特别授权使用该应用程序的用户授予应用程序访问权限，特别要强调的是，授权用户被授予对应用程序的访问权限，而不是对网络本身的访问权限。

二是无入站连接。与侦听入站连接的虚拟专用网络（VPN）不同，SDP不接收入站连接。SDP仅通过出站连接与授权用户建立通信，这意味着SDP不会主动在公网上暴露任何入站连接端点，避免受到来自公网的攻击。

三是应用程序分割，而不是网络分割。传统的网络安全方法通常侧重于网络分割，通过将网络划分为不同的安全区域（如VLANs、DMZs等）来限制用户和设备在网络中的移动和通信。这种方法虽然在一定程度上能够降低安全风险，但往往粒度不够细，难以精确控制每个用户或设备对特定资源的访问。SDP提供了本地应用程序细分，可以一对一地控制访问，从而实现更精细的划分，也更容易管理。从体系结构的角度来看，SDP与以网络为中心的传统解决方案有着根本的不同。SDP不仅减少了部署和管理设备的企业开销，采用SDP架构还可以减少对VPN、DDoS保护、全局负载均衡和防火墙设备的依赖，从而简化设备堆栈。

SDP架构的适用范围

SDP架构的适用范围主要基于其特点和优势。首先，它需要用户安装客户端，依靠客户端和网关联动，能产生更严密的防护效果，这对于需要高度安全的企业网络环境来说是非常有吸引力的。其次，SDP适用于第三方人员、分支机构等特定人群访问业务系统的场景。这些系统需要在互联网上开放，以便第三方人员访问，但同时又不能开放给所有人。SDP通过基于身份的访问控制和权限认证机制，可以精确地控制“谁可以访问哪些资源”，从而满足这种特定的安全需求。再次，SDP还适用于远程办公和移动办公场景。由于SDP可以隐藏所有资源，非法用户无法获取资源入口，而合法用户访问流量均通过加密方式传输，因此它可以有效地保护远程和移动办公中的数据安全。最后，SDP还适用于需要构建动态、灵活的网络访问控制的场景。由于SDP是基于软件定义的，因此它可以根据业务需求和网络环境的变化进行动态调整，以满足不断变化的安全需求。

总的来说，SDP架构的适用范围非常广泛，包括企业远程和移动办公、第三方人员和分支机构访问业务系统等场景。它的主要优势在于强大的终端安全控制、精确的访问控制和灵活的动态调整能力，这使其成为一种非常有效的安全解决方案。

引入云服务SDP解决方案后，使用者将屏蔽网络向云端业务系统发起的攻击，通过网关的网络隐身能力有效减少攻击面，只有通过了多因子可信认证的授权用户才能正常访问业务系统，实现基于认证、授权、加密防护的访问控制。

数据快速恢复

数据避风港

鉴于任何网络安全设施、系统或技术都可能面临潜在的漏洞、未知威胁或人为错误，具备数据快速恢复能力的Cyber Recovery也应运而生，该方案通过一系列技术和流程，确保在遭受网络攻击或数据丢失时，能够迅速、安全地恢复关键业务数据，以最小化业务中断时间和损失。

“数据避风港”相关概念最早由戴尔公司提出，旨在提供勒索软件等网络攻击发生后尽快恢复关键数据系统和IT基础设施访问和功能的能力。该架构的设计目标是在一个无间隙且不可变的数据副本中备份并运行业务，从而确保数据的完整性。在备份环境下同样采用了分层防御方法，属于实现“零信任”理念的数据保护解决方案。

Cyber Recovery架构如图2所示，该方案依赖不变性、隔离、智能保护数据。它的核心思路是要建立一个独立、安全的数据存储环境，用于存储任务关键性的商业数据及其相关技术配置，相当于一个“数据保险柜”。该环境与生产系统或网络物理隔离或虚拟隔离，以此确保数据的机密性和完整性。

为平衡数据的安全性与实时性，需要在有限的时间内完成同步。在特定的时间段内，生产系统的数据会被同步到“保险柜”中，而在其他时间段，该空间与生产系统网络保持隔离状态，以进一步降低潜在的安全风险。在生产环境中，采用数据加速复制流程，这一流程需要有效减少数据冗余，加速数据从生产环境到“保险柜”的复制过程。

“数据避风港”方案为企业提供了一个安全可靠的数据恢复与分析平台。通过物理或虚拟隔离、有限时间同步机制等措施，有效确保了数据的安全性、实时性和高效性。

“数据中心+数据保险柜”系统

理解相关原理后，公有云服务商同样可以搭建一套“数据中心+数据保险柜”系统，抓住以下基本面帮助用户实现关键数据的“零信任”安全，如图3所示。

在隔离数据面，弹性恢复软件和数据保护存储设备通过设置对应策略，将不受信任的区域与隐含的信任区域分隔开，基于预设的安全策略和规则，这些点会检查请求访问数据的实体的身份和权限，确保只有经过授权的用户或系统才能访问敏感数据。关键应用程序的数据会通过逻辑气隙（airgap）进行同步，由“保险柜”内的管理服务器解锁并复制到系统目标存储中，然后重新建立气隙。这确保了数据即使在传输过程中被拦截，攻击者也无法解密和使用这些数据。同时复制平面、控制平面和数据平面在“保险柜”中为相互隔离状态。

保留锁定是对数据采取的一种安全措施，用于防止数据被意外或故意删除、修改及篡改。这种锁定机制可以在数据保护策略中发挥重要作用，但需要注意的是，它并不等同于无懈可击的安全保障。不可变存储是指数据一旦被写入后，就不能被更改或删除的存储方式，这种存储方式在防止数据更改方面非常有效，特别是在正常操作过程中。在生产环境中，使用不可变存储可以增加一层额外的数据保护机制，确保数据的完整性和可信度。然而，它不应被视为“应对灾难性袭击的最后一道防线”。为了充分保护关键数据并应对复杂的网络攻击，不可更改性必须与隔离措施相结合。

制作副本是指用户需要自行设置合理的数据保留期，数据保留期是指备份数据保留多长时间后可以被删除或覆盖。设置较短的保留期（如1天）可以降低存储成本和管理复杂性，但可能无法覆盖所有潜在的攻击场景。更长的保留期（如一周或更长）提供了更大的历史数据窗口，以应对复杂的网络攻击，允许用户回到更早期的未受感染的数据副本。考虑攻击者的平均驻留时间（即攻击者从进入网络到被发现的时间）对于确定数据保留期的长度至关重要。保留足够长时间的数据副本，可以确保数据能够回到攻击发生之前的状态。

实时分析是系统内置的监控分析软件会对复制到系统中的数据（包括元数据和具体内容）进行完整的内容扫描，具备扫描非结构性文件、数据库和核心基础架构的能力。它通过确定“数据集是否有效和可用于恢复到99.5%的可信度”来发现问题，在遭受网络攻击后，必须迅速确定最后一个未受感图3“数据中心+数据保险柜系统染的数据副本，这可能需要通过日志分析、入侵检测系统（IDS）和入侵预防系统（IPS）的警报，以及与安全团队的协作来确认。

整套系统从备份、容灾以及关键数据保护入手，构建起一个完整的网络攻击防御和数据恢复体系。

总结

随着企业业务逐步迁移到云端，传统的基于边界的安全模型面临着越来越大的挑战。云计算的特性，如资源共享、动态分配和多租户环境，使得传统的网络安全手段越来越捉襟见肘，难以有效保护数据安全。因此，探索基于“零信任”安全模型的技术变得尤为重要。SDP技术架构是“零信任”原则的一个具体实践，它强调访问控制应基于身份和最小权限原则，而非仅仅依赖于网络边界，这种模型有效地减少了攻击面，提高了数据安全性，同时结合“数据避风港”，可以很好地应对各类网络攻击手段，保证用户的数据安全。

当然，“零信任”安全模型的实现还需要与公有云服务商已有的安全产品进行对接，形成统一的安全管理平台。这个平台应具备全面的安全监控、日志分析、威胁检测和响应能力，以确保企业能够在复杂的云环境中及时发现并应对安全威胁。“零信任”安全的实现并非一蹴而就，而是一个长期演进的过程，在这个过程中，公有云服务商需要与各类安全厂商、开源社区和行业组织紧密合作，共同推动“零信任”安全模型在复杂环境中的演进和应用。

*本文刊载于《通信世界》

总第942期 2024年4月25日 第8期