【新要闻】继续聊聊“零信任”——零信任和企业网络结构改造

上一篇 文章中我们聊到零信任在“永不信任，总是验证”这个原则下的主要改变——在时间上和空间上缩短授权的时间长度，让鉴权变得更加频密。 我们在这一篇文章中将进一步阐述零信任的另外一个背景： 网络改造 。

让我们先从传统的场景开始回顾一下零信任。

(资料图片仅供参考)

最开始的时候一个企业只有一个办公场所，所有的设备都在一个物理空间内。这个时候，员工必须物理身在办公室内才可以办公，因此一个路由器就解决了问题：网线一插就连接到了企业网络。同时，企业网络内的数据发送、接收也没有加密（例如裸HTTP连接或者telnet连接、开放在3306端口的MySQL数据库等等。

这种插网线的场景叫做“城堡—— 护城河”模型 ：路由器及连接到路由器上的设备共同构成一个城堡，要想进入城堡，就必须拿一根网线在护城河上搭一座桥。搭桥的方法多种多样——接入一个Wi-Fi接入点，就可以无线搭桥；接入一个VPN网关，就可以远程搭桥。

我们当然需要对进入网络的人进行鉴权和授权（确认他有资格跨过护城河）。在有线路由器的场景下，鉴权授权通过发放网线完成；在Wi-Fi下通过预共享密钥（Pre Shared Key）完成；在VPN（或者企业认证Wi-Fi）下通过帐号密码体系完成。

不过，无论用户是采用什么手段接入城堡，城堡内的信息安全都不太靠谱——C（保密性）近乎没有（文件对公司同事是透明的）、I（完整性）（内容传着传着可能有意无意就被改了）和A（可用性）（内容可能传着传着被掐断）自然也无从谈起。

零信任的第一个目的就是解决这个问题。通过为具体的业务系统加入单独的身份鉴权、授权和保密机制，即使在城堡里面使用业务系统也要经过额外的身份验证。这么做的话好处是显而易见的——即使网络攻击者进入了城堡，也无法访问具体的业务。

零信任在这个角度来看解决了企业内的信息安全问题。不过，在企业的IT实践中，还发现了另外一个问题。

我们刚刚提到，一个企业就是一座城堡；因此，城堡从小到大的过程，也是企业网络不断扩大的过程。在这个过程中，企业不可避免地要建立分支机构——也就是对城堡建立分身。例如，一家航空公司有四个基地，那四个基地总得都有一个城堡。

为了在城堡之间建立联系，往往需要建设专线。但是，专线有两个问题：第一个问题是专线的建设随着企业的扩大而愈发复杂——如果采用可靠性好的结构的话，两个城堡之间一条专线，三个城堡之间三条，四个城堡之间六条……这个成本是阶乘级别的复杂度。而如果采用简单的结构（即以总部为中心，所有分支仅建设一条到总部的专线）的话，虽然成本是线性级别（两个城堡一条，三个城堡两条），但是一旦总部瘫痪，公司业务也就停摆了。

同时，专线严格而言也缺乏互联网那样的灵活性和灾备能力。由于互联网的规模远大于企业专线网络，因此主干网络的冗余程度也大于企业专线——例如，同样是从西安到上海，企业专线可能只有一条路由模式，但是互联网可以选择多种不同的方式路由。

理论上而言，拥有服务质量保证（QoS）的互联网确实比专线有着更好的性能。但是，之前制约企业使用这一技术的原因在于传统的城堡——护城河——桥的模式：出于访问控制的角度，桥上不能承载别的网络流量。

但是，零信任及其配套的加密机制使得甲方和乙方都想到了一个问题：如果我在互联网上传输的数据的保密性（通过TLS所带的RSA、AES或者国密算法等加密算法满足）、完整性（通过TLS所带的散列算法满足）和可用性（通过运营商QoS满足）都符合要求的话，为什么我还要建设一层企业内部专网呢？

这就产生了零信任的第二个场景—— 简化企业网络拓扑 。

OSI模型定义了五层（传统七层架构中的会话层和表示层已经被弃用合并）。

我们假设一个简单的通过网页访问的业务系统。这个业务系统在应用层上使用HTTP，但其下的各层可以自行配置。这个系统的演变可能是这样的：

1. 最开始的时候，由有线以太网负责底层网络，接入后使用内网IP访问。此时，数据传输使用明文的TCP协议。接入Wi-Fi之后，底层网络部分改为无线Wi-Fi承载，由无线接入点负责Wi-Fi和以太网之间的转换；接入VPN之后；底层网络部分改为由L2TP（或其他VPN协议）承载，由VPN网关负责VPN协议和以太网之间的转换。

2. 使用明文TCP协议的最大问题是用户凭据会在内网中泄露（需要明文传输密码），因此零信任提出的第一重改进是用带有加密功能的TLS协议传输数据（也就是从HTTP升级到HTTPS）。此时，底层网络可以保持不变——仍然是经过以太网、Wi-Fi或者VPN，通过内网IP访问。这一层就是“在同等的成本下实现更高的安全性”：在不改变既有的网络拓扑（不降低成本）的前提下，提高企业网络对抗攻击者的能力。

3. 我们可以发现的是，如果服务器本身的配置是安全的（例如在传输过程中使用强TLS加密、仅仅开放了HTTPS一个端口、并且使用公钥智能卡等复杂认证机制），那么让这个服务器暴露在公网上并不会增加额外的安全风险。此时，零信任的第二重改进就是通过改用公网传输的形式简化网络拓扑，避免使用昂贵的VPN或者专线。这一层就是“在同等的安全性下实现更低的成本”：在不改变企业网络对抗攻击者的能力的前提下，降低企业网络拓扑的实施成本。

因此，零信任并非一套标准化的“术”，而更像是一套哲学式的“道”。换言之，企业IT管理者需要谨慎地根据企业自身实际情况，决定三个问题：企业内是否需要实施零信任？需要实施到什么程度？如何实施？

关于我们 > > > >

原名“航旅IT圈”，成立于2015年。由航空旅游行业数智化领域资深人士创办，专注研究航旅业的数字化解决方案、培养航旅业数字化人才，致力成为航旅企业与数字化服务企业的专业桥梁，成为航旅数智专业人才的摇篮。

专家观点 前沿资讯 解决方案

· 趋势分析、热点评论、知识分享

· 航旅生态圈数字化人才培养园地

观点没有对错，欢迎随时切磋

投稿与联络： christiegmat( 微信 ) | christieliuyue@yahoo.com.tw