零信任实战白皮书.pdf

零信任实战白皮书序序推荐序随着远程办公等应用的爆发，零信任安全理念得到迅速发展。中国产业互联网发展联盟零信任产业标准工作组集结业界优势机构，基于实战经验和研究积累，研制和推出本白皮书，希望能为零信任产业发展带来新动能。中国产业互联网发展联盟秘书长 雷晓斌本白皮书基于产业实践，给出了详细的技术实现和应用案例，为安全从业者提供了很好的借鉴。随着零信任理念在国内的快速普及和落地，相关产品和解决方案要更加重视合规要求，这是安全管理的需要也是能被市场认可的基础。公安部第三研究所(国家网络与信息系统安全产品质量监督检验中心)副主任 顾健零信任实战白皮书的发布，期待能为企业安全管理者、技术研发和运维等人员提供有价值的参考。腾讯基于超大型企业网络安全建设实战和诸多客户环境部署经验，贡献了架构方案、技术实现和大量应用场景案例。基于实战，面向未来。腾讯企业IT部副总经理 黄李明网络安全是没有硝烟的战场，攻防无异于一场场战斗。而现实的战争模式一直在进化，从一战的堑壕战到二战的立体化运动战，跟不上进化节奏的一方将会一败涂地，如同二战初期，贯彻运动战思想的德军横扫还抱着堑壕战思想的法军。类比一下，传统的划分区域的安全防护模式就如同堑壕战，想依赖几条防线来挡住各种层出不穷的攻击形式已经力不从心了，而基于零信任原则的安全防御则相当于立体化运动战、机动防御，这样才能在越来越复杂的网络攻击形势下建立起稳固的安全阵地。 腾讯游戏CROS助理总经理 刘栖铜、陈冬零信任产业标准工作组成立后，短时间就推出白皮书这一工作成果。我相信，白皮书能够促进产业界各方交流，指导相关产品研发。我期待，对企业客户，白皮书能够普及零信任安全理念，加快零信任应用实践，从而在整体上提升企业安全等级。绿盟科技副总裁 李晨网络安全攻防的发展是拉锯式的，双方的成败都是在此消彼长之间，因此不存在“绝对的安全”，也不存在“无法防御的威胁”，网络安全从业者在不断的实践中找寻解决方案，希望能够为有价值的目标提供持续动态的防护。天融信高级副总裁 杨斌零信任实战白皮书 序零信任产业标准工作组编制组自序零信任产业标准工作组（以下称“工作组”）作为国内率先提出将零信任产业化与标准化相结合发展的专业组织（截止本白皮书发布时间，成员单位已包含国内22家零信任产学研用的权威机构），工作组的使命和目标是：以标准化为纽带促进零信任产业规模化发展，为用户提供标准、可信赖的零信任产品和服务。零信任实战白皮书作为工作组第一项正式发布的研究成果，以国内产业界的工程实践和依托零信任架构开展的真实攻防实战经验为基础，全面且详细地介绍了零信任理念、零信任与传统边界安全理念的关系、零信任参考架构、零信任实现方案、零信任应用场景、零信任落地指引、行业客户案例、探索和展望等方面的内容，供所有对零信任感兴趣的读者交流和参考。由于零信任理念在业界处于快速普及和发展的阶段，本书内容仅代表编制组专家们的理解和实践经验。大部分编制组专家平时专注于技术研究和产品研发，并非专业的“写手”，专家们牺牲了大量个人休息时间对白皮书内容进行研制和讨论，希望尽可能准确和完整的呈现基于实战的零信任理念全貌。即便如此，由于时间仓促，编制过程中也难免存在理解不准确或者文字表达谬误之处，欢迎读者们多提宝贵意见。零信任实战白皮书序零信任产业标准工作组本白皮书版权属于零信任产业标准工作组，并受法律保护。转载、摘编或利用任何其他方式使用白皮书文字或观点的，均应注明“来源：零信任产业标准工作组”。违反以上声明者，工作组将保留追究其相关法律责任的权利。编制单位腾讯科技（深圳）有限公司、完美世界控股集团有限公司、北京天融信网络安全技术有限公司、公安部第三研究所、绿盟科技集团股份有限公司、北京蔷薇灵动科技有限公司、中国移动通信集团设计院有限公司、任子行网络技术股份有限公司、上海观安信息技术股份有限公司、中孚信息股份有限公司、深圳市网安计算机安全检测技术有限公司、国家计算机网络应急技术处理协调中心、北京芯盾时代科技有限公司、腾讯云计算(北京)有限责任公司。蔡东赟、何艺、龙凡、刘治平、陈妍、刘弘利、李小鹏、杜雪涛、张晨、赵蓓、王先高、谢江、王卫峰、洪跃腾、程建明、赵芸伟、李凯、黄超、刘海涛、翟尤、曹静、孙少波、谢仪頔。编制人员版权声明零信任实战白皮书 版权声明零信任产业标准工作组零信任概述1.1 产生背景1.2 零信任原则1.3 标准化进展零信任与传统边界安全理念的比较2.1 传统边界安全理念2.2 零信任理念2.3 零信任与传统安全产品/设备的关系零信任参考架构3.1 SDP架构概述3.2 NIST零信任架构概述3.3 通用参考架构零信任实现方案4.1 用户对资源访问模式实现4.2 服务之间调用模式实现零信任应用场景5.1 办公安全5.2 数据中心内部访问5.3 大数据5.4 物联网5.5 多云安全访问和混合云服务器运维5.6 私有机房对外访问入口的安全防护零信任落地指引6.1 实施概述6.2 全新建设实施指引6.3 已有网络架构升级实施指引目录010513173852零信任实战白皮书目录零信任产业标准工作组行业客户案例7.1 某全球综合性互联网公司案例（腾讯）7.2 某大型多分支游戏公司案例（完美世界）7.3 某大型互联网金融企业数据中心案例（蔷薇灵动）7.4 某政务应用案例（天融信）7.5 某集团多级分支机构案例（天融信）7.6 某大型央企数据中心内攻防演练中的应用案例（蔷薇灵动）7.7 某政府单位案例（绿盟）7.8 某保险金融集团案例（腾讯）7.9 某公安实战平台案例（任子行）7.10 BeyondCorp案例（谷歌）零信任探索和展望8.1 合规性探索讨论8.2 5G应用场景探索讨论8.3 展望附录768156零信任实战白皮书 目录零信任产业标准工作组01零信任概述零信任实战白皮书零信任概述1.1 产生背景对于资源的访问保护，传统方式是划分安全区域，不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界，在网络边界处部署边界安全设备，包括防火墙、IPS、防毒墙、WAF等，对来自边界外部的各种攻击进行防范，以此构建企业网络安全体系，这种传统方式可称为边界安全理念。在边界安全理念中网络位置决定了信任程度，在安全区域边界外的用户默认是不可信的（不安全的），没有较多访问权限，边界外用户想要接入边界内的网络需要通过防火墙、VPN等安全机制；安全区域内的用户默认都是可信的（安全的），对边界内用户的操作不再做过多的行为监测，但是这就在每个安全区域内部存在过度信任（认为是安全的，给予的权限过大）的问题。同时由于边界安全设备部署在网络边界上，缺少来自终端侧、资源侧的数据，且相互之间缺乏联动，对威胁的安全分析是不够全面的，因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分了企业内网和外网（互联网），这种风险就更为明显。另外，随着云计算、物联网以及移动办公等新技术新应用的兴起，企业的业务架构和网络环境也随之发生了重大的变化，这给传统边界安全理念带来了新的挑战。比如云计算技术的普及带来了物理安全边界模糊的挑战，远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险，各种设备（BYOD、合作伙伴设备）、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险，高级威胁攻击（钓鱼攻击、水坑攻击、0day漏洞利用等）带来了边界安全防护机制被突破的风险，这些都对传统的边界安全理念和防护手段，如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了挑战，亟需有更好的安全防护理念和解决思路。传统边界安全理念先天能力存在不足，新技术新应用又带来了全新的安全挑战，在这样的背景下，零信任的最早雏形源于2004年成立的耶利哥论坛（Jericho Forum ），其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案，提出要限制基于网络位置的隐式信任；美国国防信息系统局（DISA）为了解决GIG（全球信息栅格，是美军信息化作战规划中极其重要且宏大的基础设施）中，如何实时、动态地对网络进行规划和重构的问题，发起了BlackCore项目，将基于边界的安全模型转换为基于单个事物安全性的模型，并提出了SDP（Software Dened Perimeter）的概念，该概念后来被云安全联盟（Cloud Security Alliance）采纳。2010年，由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任（Zero Trust）的概念，并由Google在BeyondCorp项目中率先得到了应用，很好的解决了边界安全理念难以应对的安全问题。零信任代表了新一代的网络安全防护理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。在零信任理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认1.2 零信任原则证，并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。我们总结了零信任理念的基本假设、基本原则如下：1）零信任理念的基本假设a) 内部威胁不可避免；b) 从空间上，资源访问的过程中涉及到的所有对象（用户、终端设备、应用、网络、资源等）默认都不信任，其安全不再由网络位置决定；c) 从时间上，每个对象的安全性是动态变化的（非全时段不变的）。2）零信任的基本原则a）任何访问主体（人/设备/应用等），在访问被允许之前，都必须要经过身份认证和授权，避免过度的信任；b）访问主体对资源的访问权限是动态的（非静止不变的）；c）分配访问权限时应遵循最小权限原则；d）尽可能减少资源非必要的网络暴露，以减少攻击面；e）尽可能确保所有的访问主体、资源、通信链路处于最安全状态；f）尽可能多的和及时的获取可能影响授权的所有信息，并根据这些信息进行持续的信任评估和安全响应。零信任在所有需要对资源访问进行安全防护的场景都可以使用，但是否采用，应根据企业可接受的安全风险水平和投入综合考虑决定。零信任概述零信任实战白皮书零信任产业标准工作组2014年，国际云安全联盟CSA的SDP工作组发布了SDP Specication 1.0（SDP标准规范1.0），描述了SDP协议架构、工作流、协议实现、SDP应用等内容。2019年，由中国云安全联盟(C-CSA)秘书处组织CSA大中华区SDP工作组专家进行了中文版本翻译。2019年7月，腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构，发起CCSA零信任安全技术参考框架行业标准立项，率先推进国内的零信任标准研制工作，该标准主要解决零信任网络安全技术的标准化、规范化等问题，帮助用户基于标准化的方式来评估其安全态势，重构网络与安全应用。2019年9月，在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上，由腾讯、CNCERT、中国移动设计院主导的“服务访问过程持续保护参考框架”国际标准成功立项。该框架提供有零信任代表了新一代的网络安全防护理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。在零信任理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认1.3 标准化进展证，并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。我们总结了零信任理念的基本假设、基本原则如下：1）零信任理念的基本假设a) 内部威胁不可避免；b) 从空间上，资源访问的过程中涉及到的所有对象（用户、终端设备、应用、网络、资源等）默认都不信任，其安全不再由网络位置决定；c) 从时间上，每个对象的安全性是动态变化的（非全时段不变的）。2）零信任的基本原则a）任何访问主体（人/设备/应用等），在访问被允许之前，都必须要经过身份认证和授权，避免过度的信任；b）访问主体对资源的访问权限是动态的（非静止不变的）；c）分配访问权限时应遵循最小权限原则；d）尽可能减少资源非必要的网络暴露，以减少攻击面；e）尽可能确保所有的访问主体、资源、通信链路处于最安全状态；f）尽可能多的和及时的获取可能影响授权的所有信息，并根据这些信息进行持续的信任评估和安全响应。零信任在所有需要对资源访问进行安全防护的场景都可以使用，但是否采用，应根据企业可接受的安全风险水平和投入综合考虑决定。关持续身份安全和访问控制管理的标准化指导，成为国际标准组织中首个零信任安全相关的技术标准，对推动零信任安全技术在全球范围规模商用的进程，加快零信任技术和服务快速发展与普及具有重要深远的意义。2020年3月，“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T，也在SG17安全研究组全体会议中得到普遍认可并获继续推进。2019年9月，美国国家标准技术研究所（NIST）发布了零信任架构草案（NIST.SP.800-207-draft-Zero Trust Architecture）；2020年2月，NIST对零信任架构的草案进行了修订；8月11日，标准正式发布。该标准介绍了零信任的基本概念、体系架构的逻辑组件、部署场景、零信任与与现有联邦指南的可能交互等内容。2020年，奇安信公司牵头在全国信息安全技术标准化委员（TC260）申请的信息安全技术 零信任参考体系架构标准在WG4工作组立项，该标准主要致力于提出可信的零信任架构，从概念模型开始，确定零信任原则和技术框架，包括零信任架构的体系、组件和基本工作流程等内容。可以看出，2019年可谓是零信任标准化研制工作爆发的元年，这也侧面说明了零信任理念经过十余年的发展，相关技术和产品已逐步成熟。可以预见，未来将会有更多零信任相关的标准出台，这对我国零信任产业的规模化发展打下了良好基础。零信任实战白皮书零信任概述零信任产业标准工作组2014年，国际云安全联盟CSA的SDP工作组发布了SDP Specication 1.0（SDP标准规范1.0），描述了SDP协议架构、工作流、协议实现、SDP应用等内容。2019年，由中国云安全联盟(C-CSA)秘书处组织CSA大中华区SDP工作组专家进行了中文版本翻译。2019年7月，腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构，发起CCSA零信任安全技术参考框架行业标准立项，率先推进国内的零信任标准研制工作，该标准主要解决零信任网络安全技术的标准化、规范化等问题，帮助用户基于标准化的方式来评估其安全态势，重构网络与安全应用。2019年9月，在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上，由腾讯、CNCERT、中国移动设计院主导的“服务访问过程持续保护参考框架”国际标准成功立项。该框架提供有关持续身份安全和访问控制管理的标准化指导，成为国际标准组织中首个零信任安全相关的技术标准，对推动零信任安全技术在全球范围规模商用的进程，加快零信任技术和服务快速发展与普及具有重要深远的意义。2020年3月，“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T，也在SG17安全研究组全体会议中得到普遍认可并获继续推进。2019年9月，美国国家标准技术研究所（NIST）发布了零信任架构草案（NIST.SP.800-207-draft-Zero Trust Architecture）；2020年2月，NIST对零信任架构的草案进行了修订；8月11日，标准正式发布。该标准介绍了零信任的基本概念、体系架构的逻辑组件、部署场景、零信任与与现有联邦指南的可能交互等内容。2020年，奇安信公司牵头在全国信息安全技术标准化委员（TC260）申请的信息安全技术 零信任参考体系架构标准在WG4工作组立项，该标准主要致力于提出可信的零信任架构，从概念模型开始，确定零信任原则和技术框架，包括零信任架构的体系、组件和基本工作流程等内容。可以看出，2019年可谓是零信任标准化研制工作爆发的元年，这也侧面说明了零信任理念经过十余年的发展，相关技术和产品已逐步成熟。可以预见，未来将会有更多零信任相关的标准出台，这对我国零信任产业的规模化发展打下了良好基础。零信任概述零信任实战白皮书零信任产业标准工作组