Chapter 1. Zero Trust Fundamentals

在一个网络监控无处不在的时代，我们发现很难信任任何人，而定义信任本身也同样困难。我们能相信，我们的互联网流量将是安全的，不会被窃听吗？当然不是！那你租用光纤的供应商呢？或者是昨天在你的数据中心处理电缆的合同技术人员？像爱德华·斯诺登和马克·克莱因这样的告密者揭露了政府支持的间谍团伙的坚韧。全世界都对他们成功进入大型组织的数据中心的消息感到震惊。但是为什么呢？这不是在他们的位置上你会做的吗？特别是如果你知道那里的流量不会被加密了吗？

认为数据中心内的系统和流量可以是可信的假设是有缺陷的。现代网络和使用模式不再呼应那些多年前使周边防御有意义的模式。因此，一旦一个主机或链接被破坏，在“安全”基础设施中自由移动的进入障碍往往很低。你可能认为使用网络攻击作为武器破坏关键基础设施如核电站或电网是牵强的，但网络攻击殖民管道在美国和印度库丹库兰核电站作为一个鲜明的提醒，关键基础设施将继续是攻击者的高价值目标。那么，这两次袭击之间有什么共同之处呢？

在这两种情况下，安全措施都很糟糕。攻击者利用了这样一个事实，即VPN（虚拟专用网）连接到殖民地管网可以使用纯文本密码，而没有任何多因素身份验证（MFA）。在另一个例子中，在一名印度核电站员工的电脑上发现了恶意软件，该电脑连接到管理网络的互联网服务器。一旦攻击者获得了访问权限，他们就能够在网络内漫游，因为在网络内存在“信任”。

零信任旨在解决我们信任网络的固有问题。相反，可以如此有效地保护网络通信和访问，从而可以合理地忽略传输层的物理安全性。不用说，这是一个崇高的目标。好消息是，我们现在有了相当强大的密码算法，如果有正确的自动化系统，这个愿景实际上是可以实现的。

What Is a Zero Trust Network?

零信任网络建立在五个基本断言之上：

• 这个网络总是被认为是充满敌对精神的
• 网络上始终存在着外部和内部的威胁
• 网络局部性不足以决定网络的信任。
• 每个设备、用户和网络流都经过了身份验证和授权
• 策略必须是动态的，并从尽可能多的数据源中进行计算。

传统的网络安全体系结构将不同的网络（或单个网络的组成部分）分解为由一个或多个防火墙包含的区域。每个区域都被授予某种程度的信任，这决定了它被允许到达的网络资源。这个模型提供了非常强的防御深度。例如，被认为风险更大的资源，比如面对公共互联网的web服务器，被放置在一个禁区（通常被称为“DMZ”），在那里流量可以被严格监控和控制。这种方法产生了一种类似于您之前可能见过的一些体系结构，如图1-1所示。

图1-1.传统的网络安全体系结构

零信任模型会将此图从内部翻转出来。与过去的设计相比，在网络空白是向前迈出了坚实的一步，但在现代网络攻击领域中明显缺乏。有许多缺点：

• 缺乏区域内交通检查
• 主机放置缺乏灵活性（物理和逻辑）
• 单点故障

需要注意的是，如果网络位置要求被消除，对vpn的需求也被消除。虚拟专用网（VPN）允许用户进行身份验证，以便接收远程网络上的IP地址。然后，流量从设备通过隧道传输到远程网络，在那里它被分离和路由。这是从来没有人怀疑过的最大的后门。如果我们声明网络位置没有值，那么VPN就会突然和其他几个现代网络结构一起过时。当然，这一任务需要尽可能地推动执法走向网络边缘，但同时它也减轻了核心人员的这种责任。此外，有状态防火墙存在于所有主要操作系统中，交换和路由方面的进步为在边缘安装先进功能提供了机会。

所有这些成果结合在一起形成一个结论：是范式转变的时候了。通过利用分布式策略的强制执行和应用零信任原则，我们可以生成一个类似于图1-2中所示的设计

图1-2.零信任体系结构

引入零信任控制平面

支持系统被称为控制平面，而其他大多数系统都被称为数据平面，控制平面坐标和配置。对受保护资源的访问请求首先通过控制平面发出，其中设备和用户都必须进行身份验证和授权。细粒度策略可以应用于此层，这可能是基于组织中的角色、工作时间、地理位置或设备类型。访问更安全的资源还可以要求进行更强的身份验证。

一旦控制平面决定允许该请求，它将动态地配置数据平面以接受来自该客户端（以及仅限该客户端）的流量。此外，它还可以协调请求者和资源之间的加密隧道的详细信息。这可以包括临时的一次性凭据、密钥和临时端口号。

应该注意的是，允许一个请求的控制平面决定是有时限的，而不是永久性的。这意味着，如果和当导致控制平面决定首先允许请求的因素发生变化时，它可以与数据平面进行协调，以撤销所请求的对资源的访问。

虽然可以根据这些措施做出一些妥协，但其基本思想是，权威来源或可信的第三方具有基于各种输入的实时认证、授权和协调访问的能力。我们将在第二章中更多地讨论控制平面和数据平面。

the Perimeter Model的演化

在这本书中描述的传统建筑通常被称为周边模型，在物理安全中使用的城堡-墙方法之后。这种方法通过建立入侵者必须先进入的防线来保护敏感物品。不幸的是，这种方法在计算机网络中是有根本缺陷的，现在已经不再足够了。为了充分理解失败，回顾一下当前的模型是如何到达的是很有用的。

管理全局IP地址空间

导致周长模型的旅程始于地址分配。在互联网早期的时代，网络以越来越快的速度连接。如果一个网络没有被连接到互联网（记住，互联网在当时并不是无处不在的），它是被连接到另一个业务单位，另一个公司，或者可能是一个研究网络。当然，在任何给定的IP网络中，IP地址必须是唯一的，如果网络运营商不幸有重叠的范围，他们将有很多工作要做来改变所有的范围。如果您所连接的网络恰好是互联网，那么您的地址必须是全局唯一的。所以很明显，这里需要一些协调。

1998年正式成立的互联网号码分配局（IANA）是今天提供这种协调的机构。在IANA建立之前，这一责任由Jon Postel负责，他创建了图1-3所示的互联网地图。他是IP地址所有权记录的权威来源，如果您想保证您的IP地址是全球唯一的，您将向他注册。

此时，每个人都被鼓励注册IP地址空间，即使正在注册的网络不会连接到互联网。假设是，即使一个网络现在没有连接，它也可能在某个时候连接到另一个网络。

图1-3.乔恩·波斯特尔绘制的早期互联网地图，日期为1982年2月

私有IP地址空间的诞生

在20世纪80年代末和90年代初，随着知识产权采用的增长，对地址空间的无聊使用成为了一个严重的问题。许多具有大IP地址空间需求的真正孤立的网络的案例开始出现。连接大型机场的自动取款机和到达/离开显示器的网络被吹捧为典型的例子。由于各种原因，这些网络被认为是真正孤立的。一些设备可能会被隔离，以满足安全或隐私要求（例如，用于自动取款机的网络）。

有些可能是孤立的，因为它们的功能范围非常有限，拥有更广泛的网络访问被视为极不可能（例如，机场到达和离开显示）。RFC 1597，专用互联网的地址分配，旨在解决这个浪费的公共地址空间问题。1994年3月，RFC 1597宣布，IANA保留了三个IP网络范围，一般用于专用网络： 10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。

通过确保大型专用网络的地址空间永远不会超过这些分配，从而减缓了地址消耗的速度。它还使网络运营商能够在他们认为合适的地方使用非语言唯一的地址。它还有另一个有趣的影响，但今天仍在我们身边徘徊：使用私人地址的网络更安全，因为它们根本无法加入其他网络，特别是互联网。

当时，很少有组织（相对而言）有互联网连接或存在，因此，内部网络经常用保留的范围进行编号。此外，安全措施薄弱到不存在，因为这些网络通常受到单一组织的限制。

专用网络连接到公共网络

互联网上有趣的东西的数量增长得相当快，很快，大多数组织都希望至少有某种形式的存在。电子邮件是这其中最早的例子之一。人们希望能够发送和接收电子邮件，但这意味着他们需要一个公共可访问的邮件服务器，这当然意味着他们需要以某种方式连接到互联网。在建立了专用网络的情况下，这个邮件服务器通常是唯一一个有互联网连接的服务器。

它将有一个面向互联网的网络接口，另一个是面向内部网络的。这样，内部专用网络上的系统和人员就可以通过他们连接的邮件服务器发送和接收互联网电子邮件

人们很快意识到，这些服务器已经为它们原本安全的私人网络开辟了一条物理互联网路径。如果被攻击，攻击者可能可以进入专用网络，因为那里的主机可以与专用网络通信。这一认识促使了对这些主机及其网络连接的严格审查。

网络运营商在其两侧设置了防火墙，以限制通信，并阻止潜在的攻击者试图从互联网访问内部系统，如图1-4所示。通过这一步，周长模型就诞生了。内部网络变成了“安全”网络，外部主机所在的严格控制的口袋变成了非军事区，即非军事区。

图1-4。互联网和私有资源都可以访问非军事区中的主机；但是，私有资源无法超出非军事区，因此无法直接访问互联网

Birth of NAT

从内部网络访问的互联网资源的数量正在迅速增长，并且很快，授予内部资源的一般互联网访问比为每个想要的应用程序维护中间主机更容易。NAT，或称网络地址转换，很好地解决了这个问题。

RFC 1631，即IP网络地址转换器，定义了一个能够在组织边界上执行IP地址转换的网络设备的标准。通过维护一个将公共ip和端口映射到私有端口的表，它使私有网络上的设备能够访问任意的互联网资源。这种轻量级的映射是与应用程序无关的，这意味着网络运营商不再需要支持特定应用程序的互联网连接；他们只需要支持一般的互联网连接。

这些NAT设备有一个有趣的特性：因为IP映射是多对一的，所以如果没有专门配置NAT来处理这种特殊情况，从互联网传入的连接就不可能访问内部私有IP。通过这种方式，这些设备显示出与有状态防火墙相同的属性。实际的防火墙几乎瞬间开始整合NAT特性，两者成为单一功能，很大程度上无法区分。同时支持网络兼容性和严格的安全控制意味着，您最终可以在几乎每个组织边界上找到这些设备之一，如图1-5所示。

图1-5.典型（和简化）周边防火墙设计

现代的 Perimeter Model

在内部网络和互联网之间有一个防火墙/NAT设备，安全区域正在明显地形成。有内部的“安全”区域，非军事区（非军事区）和不可信区域（又名互联网）。如果在未来的某个时刻，这个组织需要与另一个组织互连，那么一个设备将以类似的方式被放置在该边界上。邻近的组织可能会成为一个新的安全区域，有关于流量从一个到另一个的特殊规则，就像非军事区或安全区域一样。

回顾过去，我们看到了这个进展。我们从只有一两个主机可以通过互联网接入的离线/私有网络发展到周边设有安全设备的高度互联的网络。这并不难理解：网络运营商不能牺牲他们的离线网络的完美安全，因为他们不得不为各种商业目的打开大门。每扇门严密的安全控制将风险降至最低。

威胁景观的演变

甚至在公共互联网出现之前，与远程计算机系统进行通信就是非常可取的。这通常是通过公共电话系统来完成的。用户和计算机系统可以拨号，并通过将数据编码成可听到的音调，获得连接到远程机器。这些拨号蛋白接口是当时最常见的攻击载体，因为获取物理访问要困难得多。

一旦组织有了联网的主机，攻击就会从通过电话网络发生转变为通过拨号互联网启动。这引发了大多数攻击动态的变化。对拨入接口的来电捆绑了一条电话线，与来自互联网的TCP连接相比，这是一个显著的事件。在IP网络上进行隐蔽存在要比在需要拨号的系统上容易得多。剥削和暴力的尝试可以在很长时间内进行，而不会引起太多的怀疑……尽管这种转变产生了一种额外的、更有影响力的能力：恶意代码可以监听互联网流量。

到20世纪90年代末，世界上第一批（软件）特洛伊木马开始传播。通常情况下，用户会被骗去安装恶意软件，然后再打开一个端口，等待传入的连接。然后，攻击者可以连接到打开的端口，并远程控制目标机器。

不久之后，人们就意识到保护那些面向互联网的主机将是一个好主意。硬件防火墙是最好的操作方法（当时大多数操作系统都没有基于主机的防火墙的概念）。他们提供政策执行，确保只允许白名单/分配名单的“安全”流量。如果管理员无意中安装了暴露了打开端口的东西（如特洛伊木马），防火墙将在物理上阻止到该端口的连接，直到明确配置为允许它。同样地，从网络内部到面向互联网的服务器的流量也可以得到控制，以确保内部用户可以与他们交谈，但反之亦然。这有助于防止潜在受损的DMZ主机进入内部网络。

DMZ主机当然是一个主要目标（由于它们的连通性），尽管对入站和出站流量的严格控制使得通过DMZ很难到达内部网络。攻击者首先必须破坏防火墙服务器，然后滥用应用程序，使其可以用于秘密通信（毕竟，他们需要从网络中获取数据）。如果确定要访问内部网络，拨号接口仍然是最小的结果。

这就是事情发生有趣的地方。NAT被引入，以授予内部网络上的客户互联网接入。部分由于NAT机制，也部分由于真正的安全问题，对入站流量仍然有严格的控制，尽管希望消耗外部资源的内部资源可以自由地这样做。当考虑一个有NAT互联网接入的网络和一个没有它的网络时，有一个重要的区别：前者有一个宽松的（如果有的话）出站网络策略。

这大大改变了网络安全模型。“受信任”内部网络上的主机可以直接与不受信任的互联网主机进行通信，而不受信任的主机突然会滥用试图与它对话的客户端。更糟糕的是，恶意代码可能会从内部网络中向互联网主机发送信息。今天，我们知道这是“打电话回家”。

打电话回家是大多数现代攻击的关键组成部分。它允许数据从其他受保护的网络中渗透出来；但更重要的是，由于TCP是双向的，它也允许注入数据。一个典型的攻击包括几个步骤，如图1-6所示。首先，攻击者会在用户访问特定页面时，利用用户的浏览器，例如通过利用某些本地软件的附件，向他们发送电子邮件，从而破坏内部网络上的单台计算机。该漏洞携带了一个非常小的有效负载，只有足够的代码来连接到一个远程互联网主机，并执行它在响应中接收到的代码。这个有效载荷有时被称为拨号器

拨号器下载并安装真正的恶意软件，它通常会试图建立一个额外的连接到一个由攻击者控制的远程互联网主机。攻击者将使用此连接向恶意软件发送命令，泄露敏感数据，甚至获得交互式会话。这个“零号病人”可以作为一个垫脚石，给攻击者一个内部网络上的主机，并从中发起额外的攻击。

图1-6.客户端启动所有与攻击相关的连接，轻松通过出站安全的外围防火墙

出站安全

出站网络安全是针对基于拨号器的攻击的一种非常有效的缓解措施，因为电话家庭可以被检测和/或屏蔽。然而，通常情况下，电话家庭会被伪装成正常的网络流量，甚至可能是那些看似良性或“正常”的网络。出站安全严密足以阻止这些攻击，通常会削弱用户的网络可用性。这是后台办公系统的一个更现实的前景。

从内部网络内的主机发起攻击的能力是一种非常强大的能力。这些主机几乎可以肯定，其他主机可以与同一安全区域内（横向移动）对话，甚至可以与比它们自己更安全的区域内的主机对话。为此，通过首先破坏内部网络上的低安全区域，攻击者可以通过网络移动，最终获得对高安全区域的访问权。

退后一步，可以看出，这种模式非常有效地破坏了周边安全模型。支持攻击进程的关键缺陷是微妙的，但也很清楚：安全策略由网络区域定义，仅在区域边界上强制执行，只使用源和目标详细信息。

多年来，随着世界变得越来越普遍，其他威胁也在增加。如今，由于使用自己的设备（BYOD）的流行，公司除了允许公司提供的设备外，还可以使用自己的设备来工作。因此，员工可以提高工作效率，因为他们比以往任何时候都更能在家工作。在COVID-19期间，我们发现了当员工长期无法进入工作场所时的优势。

然而，攻击表面积已经增长，因为用最新的安全修复程序修补许多设备要比修补单个设备要困难得多。其中一种攻击类型是零点击攻击，它甚至不需要用户交互（更多相关信息请参见下面的说明）。攻击者故意寻找那些没有更新其安全补丁的设备，以便利用漏洞并获得未经授权的访问权限。在第5章中，我们将讨论安全补丁的作用，以及如何自动化它们以提高设备的信任度。

零击攻击

零点击攻击是一种高度复杂的攻击，它会感染用户的设备，而没有用户的参与。零点击攻击经常利用未打补丁的任意代码执行和缓冲区溢出的安全漏洞。因为这些攻击是在没有用户交互的情况下进行的，所以它们可以非常有效。据报道，像WhatsApp和苹果的iMessage等流行应用程序很容易受到零点击攻击。2021年，谷歌对iMessage零点击漏洞进行了全面调查，描述了这次攻击的深远后果。始终修补所有能够访问公司资源和服务的设备是至关重要的。

Perimeter 缺陷

尽管外围安全模型仍然是迄今为止最普遍的模型，但越来越明显的是，我们依赖它的方式是有缺陷的。每天都会发生针对周边非常安全的网络的复杂（和成功的）攻击。攻击者通过多种方法中的一种将远程访问工具（或RAT）滴放到您的网络中，获得远程访问，并开始横向移动。周边防火墙已经成为在城市周围建造一堵墙来防止间谍的功能。

当将安全区域构建网络本身时，问题就出现了。想象一下以下场景：你经营着一家小型电子商务公司。你有一些员工，一些内部系统（工资、库存等），还有一些服务器可以为你的网站供电。开始分类这些组可能需要的访问的类型是很自然的：员工需要访问内部系统，web服务器需要访问数据库服务器，数据库服务器不需要互联网访问，但员工需要，等等。传统的网络安全会将这些组编码为区域，然后定义哪个区域可以访问什么，如图1-7所示。当然，您需要实际执行这些策略；而且，由于它们是按区域定义的，因此在一个区域可以将流量传送到另一个区域的地方，强制执行它们是有意义的。

你可以想象，这些广义规则总是有例外的……事实上，它们是俗称的防火墙例外。这些例外通常是尽可能严格的范围的。例如，您的web开发人员可能希望SSH访问生产web服务器，或者您的人力资源代表可能需要访问HR软件的数据库来执行审计。在这些情况下，一种可接受的方法是配置一个防火墙异常，允许从该个人的IP地址到该特定服务器的流量。

现在，让我们想象一下，你的宿敌已经雇佣了一个黑客团队。他们想看看你的库存和销售数字。黑客将电子邮件发送到他们能在互联网上找到的所有员工的电子邮件地址，伪装成办公室附近一家餐厅的折扣代码。果然，其中一个人点击了这个链接，允许攻击者安装恶意软件。

该恶意软件打电话回家，让攻击者在该员工的机器上进行会话。幸运的是，这只是一个实习生，而且他们获得的访问水平是有限的。

图1-7.企业网络与生产网络的交互关系

他们开始搜索网络，发现该公司在其网络上使用文件共享软件。在网络上的所有员工计算机中，没有一台是最新版本的，而且很容易受到最近公开的攻击。

黑客一个接一个地开始搜索一台访问权限的计算机（当然，如果攻击者有高级知识，这个过程会更有针对性）。最终，他们会遇到你的web开发人员的机器。他们在那里安装的一个键盘记录器可以恢复登录到web服务器的凭据。他们使用收集到的凭据将SSH连接到服务器，并使用web开发人员的sudo权限，从磁盘中读取数据库密码并连接到数据库。它们转储数据库的内容，下载它，并删除所有的日志文件。如果你幸运的话，你可能会发现这个漏洞发生了。他们完成了他们的任务，如图1-8所示。

等等，什么？正如您所看到的，许多级别上的失败导致了这个漏洞，虽然您可能认为这是一个特别人为的案例，但像这样的成功攻击是非常常见的。然而，最令人惊讶的部分往往被忽视了：所有的网络安全发生了什么？防火墙被精心放置，政策和例外的范围非常严格，非常有限，从网络安全的角度来看，一切都是正确的。那么，是什么给出的呢？

图1-8.攻击者进入公司网络，随后生产进入网络

经过仔细检查，非常明显，这种网络安全模型是不够的。绕过周边安全对于恶意软件来说是微不足道的，而在做出执行决策时，区域之间的防火墙只考虑源和目的地。虽然边界仍然可以在网络安全方面提供一些价值，但它们作为定义网络安全立场的主要机制的作用需要重新考虑。

攻击进展示例

1.通过钓鱼邮件攻击的员工

2.公司机器损坏，铲铲
3.通过企业网络的横向移动

4.特权工作站的定位

5.工作站上的本地特权升级-已安装键盘记录器

6.开发人员密码被盗
7.来自特权工作站的损坏的程序应用程序主机
8.用于提升在prod应用程序主机上的权限的开发者密码

9.数据库凭据从应用程序中被盗
10.数据库内容通过损坏的应用程序主机泄露

当然，第一步是寻找现有的解决方案。当然，周长模型是公认的网络保护方法，但这并不意味着我们在其他地方没有学到更好的知识。在网络安全方面，最糟糕的情况是什么？事实证明，这个问题实际上有一定程度的绝对性，而它的关键在于信任。

Where the Trust Lies

当考虑周长模型之外的选项时，必须明确了解什么是值得信任的，什么是不值得信任的。信任级别定义了所需安全协议的健壮性的下限。不幸的是，健壮性很少超过所需的范围，所以尽可能少的信任是明智的。一旦信任内置到系统中，就很难删除。

一个零信任的网络就像它听起来一样。这是一个完全不受信任的网络。幸运的是，我们经常与这样一个网络互动：互联网。互联网教了我们一些宝贵的安全经验。当然，运营商对面向互联网的服务器的保护与对本地可访问的服务器的保护非常不同。为什么会这样？如果与这种僵硬相关的疼痛得到治愈（甚至只是减轻），这种安全牺牲还值得吗？

零信任模型规定，所有主机都被视为面对互联网。他们所居住的网络必须被认为是妥协的和敌对的。只有考虑到这一点，您才能开始构建安全的通信。由于过去大多数运营商过去都在构建或维护联网系统，我们至少知道如何以一种难以拦截或篡改的方式保护IP（当然，还有如何保护这些主机）。自动化使我们能够将这种级别的安全性扩展到我们的基础设施中的所有系统。

自动化作为一个推动者

零信任网络不需要新的协议或新的库。然而，他们确实以新颖的方式使用了现有的技术。自动化系统是什么允许一个零信任网络的建立和操作。控制平面和数据平面之间的交互是需要自动化的最关键的点。如果不能动态更新策略执行，则无法实现零信任；因此，这个过程的自动和快速是至关重要的。

有许多方法可以实现这种自动化。专门构建的系统是最理想的，尽管更普通的系统，如传统的配置管理，也可以适用于这里。配置管理的广泛采用是零信任网络的一个重要垫脚板，因为这些系统经常维护设备库存，并且能够在数据平面上自动化网络强制配置。

由于现代配置管理系统既可以维护设备库存，又可以自动化数据平面配置，因此它们可以成为迈向成熟的零信任网络的第一步。

Perimeter VS Zero Trust

周界信任模型和零信任模型从本质上彼此不同。周界模型试图在受信任和不受信任的资源（即本地网络和互联网）之间建立一堵墙。另一方面，零信任模式基本上放弃了毛巾，并接受了“坏人”无处不在的现实。它不是建墙来保护里面的软体，而是把整个人口变成了民兵。

目前使用周边网络的方法为受保护的网络分配了一定程度的信任。这个概念违反了零信任模型，并导致了一些不良行为。当网络是“值得信任”的（他们是人类的）时，运营商往往会放松警惕。共享信任区域的主机很少受到保护。毕竟，共享一个信任区似乎意味着他们也同样受到信任。随着时间的推移，我们逐渐了解到这种假设是错误的，它不仅需要保护您的主机不受外部的伤害，而且有必要保护它们不受彼此的伤害。

由于零信任模型假设网络已完全受到损害，因此您还必须假设攻击者可以使用任何任意IP地址进行通信。因此，通过使用IP地址或物理位置作为标识符来保护资源是不够的。所有的主机，即使是那些共享“信任区域”的主机，都必须提供适当的标识。不过，攻击者并不局限于主动攻击。他们仍然可以执行被动攻击，即他们嗅探你的流量以获取敏感信息。在这种情况下，即使是主机识别也不够的——还需要强加密。

在零信任网络中有三个关键组件：用户/应用程序身份验证和授权、设备身份验证和授权，以及信任。第一个组件中具有一些二元性，因为并不是所有的操作都是由用户采取的。因此，在自动化操作的情况下（例如，在数据中心内部），我们以与通常查看用户质量相同的方式查看应用程序的质量。

对用户/应用程序来说，身份验证和授权设备同样重要。这是在受外围网络保护的服务和资源中很少看到的一个特性。它通常使用VPN或NAC技术进行部署，特别是在更成熟的网络中，但在端点之间（而不是网络中介）发现它是不常见的。

NAC作为一种 PERIMETER技术

NAC，或称网络访问控制，代表了一组被设计用来强认证设备以获得访问敏感网络的技术。这些技术，包括802.1X和信任网络连接（TNC）系列协议，关注接入网络而不是服务，因此独立于零信任模型。一种更符合零信任模型的方法将涉及到尽可能靠近被访问的服务的类似的检查（TNC可以解决这个问题——第5章中的更多内容）。虽然NAC仍然可以在零信任网络中使用，但由于它与远程端点的距离，它不能满足零信任设备的认证要求。

最后，计算一个“信任分数”，并将应用程序、设备和分数绑定起来，形成一个代理。然后，对代理应用策略，以授权该请求。代理中包含的丰富信息允许非常灵活但细粒度的访问控制，它可以通过在策略中包含分数组件来适应不同的条件。

如果请求被授权，则控制平面向数据平面发出信号以接收传入的请求。此操作还可以配置加密细节。加密可以在设备级别、应用程序级别或两者都进行应用。至少需要一个是保密的。

有了这些身份验证/授权组件，并借助控制平面协调加密通道，我们可以断言网络上的每个流都是经过身份验证和预期的。主机和网络设备丢弃没有应用所有这些组件的流量，确保敏感数据永远不会泄漏。此外，通过记录每个控制平面事件和操作，可以轻松地按流流或按请求流来审计网络流量。

外围网络可以发现具有类似的能力，尽管这些能力仅在外围强制执行。众所周知，VPN试图提供这些质量，以确保访问内部网络，但一旦您的流量到达VPN集中器，安全性就会结束。很明显，运营商知道互联网强度的安全应该是什么样子的；他们只是没有全程实施这些强有力的措施。

如果人们能想象一个网络能够均匀地应用这些措施，那么一个简短的思维实验就可以为这个新范式提供很多线索。身份可以通过加密方式进行证明，这意味着任何给定的连接来自什么IP地址不再重要（在技术上，您仍然可以将风险与它关联起来——稍后会详细讨论）。随着自动化消除了技术障碍，VPN基本上已经过时了。“私人”网络不再意味着任何特别的东西：那里的主机和互联网上的主机一样坚固。批判性地思考NAT和私有地址空间，也许零信任使它更明显地表明，它的安全参数是无效的。

最终，周边模型的缺陷是它缺乏普遍的保护和执行。用软体固定细胞。我们真正在寻找的是坚硬的身体，那些知道如何检查id并以一种不会被人听到的方式说话的身体。拥有坚硬的身体并不一定会妨碍你同时维护安全单元。在非常敏感的安装中，这仍然会受到鼓励。然而，它确实将安全门槛提高到足够高，因此减少或移除这些单元格并非不合理。结合大部分零信任函数可以对最终用户透明完成，该模型几乎违反了安全性/方便的权衡：更强的安全性，更方便。也许便利性的问题（或缺乏便利性）已经被推到了运营商身上.

在云中应用

在将基础设施部署到云中方面存在许多挑战，其中一个更大的挑战是安全性。零信任非常适合云部署，原因很明显：您不能信任公共云中的网络！在不依赖IP地址或连接它们的网络安全的情况下进行认证和安全通信的能力意味着计算资源几乎可以被商品化。由于零信任主张每个数据包都被加密，即使是在同一个数据中心内，运营商不需要担心哪些数据包会穿越互联网，哪些不需要。这种优势往往被低估了。与何时、何地以及如何加密流量相关的认知负荷可能相当大，特别是对于那些可能没有完全理解底层系统的开发人员来说。通过消除特殊情况，我们还可以消除与它们相关的人为错误。

有些人可能会认为，数据中心内加密是过度的，即使认知负荷减少。历史证明并非如此。在像AWS这样的大型云提供商中，一个“区域”由许多数据中心组成，它们之间有光纤连接。对于最终用户来说，这种微妙之处往往是模糊的。美国国家安全局的目标正是像图1-9所示的房间中的这些链接。

图1-9.641A室-旧金山AT&T数据中心内的国家安全局拦截设施

在提供商本身的网络实现中，还存在其他风险。我们并非不可能认为，可能存在一个漏洞，邻居可以看到你的流量。一个更有可能的情况是网络运营商在故障排除时检查流量。也许操作员是诚实的，但是几个小时后偷走你的磁盘上的笔记本电脑的人呢？不幸的现实是，我们不能再假设我们的流量在数据中心中受到保护，不被窥探或修改。

零信任在国家网络安全中的作用

2021年，美国白宫发布了行政命令（EO）14028，指出迫切有必要改善国家网络安全。这种EO的背景是多年来越来越复杂的网络攻击，主要是来自外国对手，将国家安全置于危险之中。EO 14028特别指出，迈向零信任架构是改善国家网络安全的关键步骤：

联邦政府必须采取安全最佳实践；向零信任体系结构迈进；……。

采用零信任并不仅仅是美国政府独有的任何方式。全球各国政府都在接受它，以改善安全姿态。另一个例子是英国的国家网络安全中心零信任架构设计原则。

在后面的章节中，我们将涵盖各种政府和非政府组织，如国家标准和技术研究所（NIST）、网络安全和基础设施安全局（CISA）、开放集团等，在发布零信任架构、原则和指导原则方面的努力。

Summary

本章探讨了引导我们走向零信任模型的高级概念。零信任模型消除了周界模型，它试图确保坏人远离受信任的内部网络。相反，零信任系统认识到这种方法注定要失败，因此，从假设恶意行为者位于内部网络内开始，并建立安全机制来防范这种威胁。

为了更好地理解为什么周长模型会让我们失败，我们回顾了周长模型是如何形成的。在互联网的初期，网络是完全可路由的。随着系统的发展，一些用户确定了网络中没有可信的理由在互联网上路由的区域，因此私有网络的概念诞生了。随着时间的推移，这个想法流行了，组织围绕保护可信的专用网络来建模他们的安全。不幸的是，这些专用网络并不像原来的专用网络那样被孤立。最终的结果是一个非常多孔的周边，这在经常的安全事件中经常被破坏。

通过对周边网络的共同理解，我们能够将该设计与零信任设计进行对比。零信任模型仔细地管理着在系统中的信任。这些类型的网络依赖于自动化来实际地管理安全控制系统，从而允许我们创建一个更动态和更坚固的系统。我们介绍了一些关键概念，如用户、设备和应用程序的身份验证，以及这些组件组合的授权。我们将在本书的其余部分中更详细地讨论这些概念

最后，我们讨论了向公共云环境的转变以及互联网连接的普及如何从根本上改变了威胁格局。“内部”网络现在越来越多地共享，并且足够抽象，终端用户无法清楚地理解他们的数据何时传输更脆弱的长途网络链路。这种变化的最终结果是，在构建新系统时，数据安全比以往任何时候都更重要。下一章将讨论为了构建能够安全地管理信任的系统而需要理解的高级概念。