前言

零信任正成為云安全的一種日益重要的模型，特別是在 Azure 云環(huán)境中。隨著越來越多的企業(yè)遷移到云，確保安全的云環(huán)境已經(jīng)成為當(dāng)務(wù)之急?！傲阈湃文Ｐ汀闭杆俪蔀閷?shí)現(xiàn)這種安全性的主要方法。要在Azure云中實(shí)現(xiàn)零信任模型，需要仔細(xì)的規(guī)劃和執(zhí)行。本文將討論 Azure Cloud Zero Trust 的高層和低層設(shè)計(jì)，并給出在其云環(huán)境中使用Zero Trust的真實(shí)公司的例子。

一、零信任安全模型的概念以及背景介紹

零信任安全模型（英語：Zero trust security model），也稱零信任架構(gòu)、零信任網(wǎng)絡(luò)架構(gòu)、ZTA 、ZTNA 等，還有時(shí)稱為無邊界安全（perimeterless security），此概念描述了一種 IT 系統(tǒng)設(shè)計(jì)與實(shí)施的方法。零信任安全模型的主要概念是“從不信任，總是驗(yàn)證” ，即不應(yīng)默認(rèn)信任設(shè)備，即使設(shè)備已經(jīng)連接到經(jīng)許可的網(wǎng)絡(luò)（例如公司局域網(wǎng)）并且之前已通過驗(yàn)證。大多數(shù)現(xiàn)代企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，包含眾多相互連接的區(qū)域、云服務(wù)以及基礎(chǔ)設(shè)施，以及與遠(yuǎn)程和移動(dòng)環(huán)境的連接、非常規(guī) IT 連接（例如物聯(lián)網(wǎng)設(shè)備）。零信任原則是因傳統(tǒng)的方法（如在名義上的“企業(yè)邊界”內(nèi)信任設(shè)備，或者設(shè)備通過 VPN 進(jìn)行連接）不切合企業(yè)網(wǎng)絡(luò)的環(huán)境復(fù)雜性。零信任提倡相互認(rèn)證，包括在不考慮位置的前提下檢查設(shè)備身份和完整性，以及基于設(shè)備身份和設(shè)備狀況的置信度來結(jié)合用戶身份驗(yàn)證，提供對(duì)應(yīng)用程序和服務(wù)的訪問許可。

1994年4月，Stephen Paul Marsh 在其斯特靈大學(xué)計(jì)算機(jī)安全專業(yè)的博士論文中提出了“零信任（zero trust）”一詞。Marsh的研究將“信任”視作可以用數(shù)學(xué)描述的有限事物，斷言“信任”的概念超越了道德、倫理、合法性、正義和判斷等人為因素。

2003年的 Jericho Forum 強(qiáng)調(diào)了為組織 IT 系統(tǒng)定義邊界的挑戰(zhàn)性，討論了當(dāng)時(shí)稱為“去邊界化”的趨勢。2009年，Google 實(shí)施了一種名為BeyondCorp 的零信任架構(gòu)。Forrester Research的分析師 John Kindervag 在2010年使用術(shù)語“零信任模型”表示更嚴(yán)格的公司內(nèi)部網(wǎng)絡(luò)安全計(jì)劃和訪問控制。

講真的，Google 公司毫無疑問為軟件業(yè)甚至其他行業(yè)做了巨大貢獻(xiàn)，比如現(xiàn)在火爆的 ChatGPT， Google 發(fā)布論文《Attention is all you need》，提出 Transformer 模型，為 GPT 鋪就了前提。
而零信任模型基本現(xiàn)在也被各大云廠商所應(yīng)用，并作為云架構(gòu)安全基礎(chǔ)依據(jù)。

二、傳統(tǒng)安全模型（邊界模型）

傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)通過防火墻、WAF、IPS 等邊界安全產(chǎn)品/方案對(duì)企業(yè)網(wǎng)絡(luò)邊界進(jìn)行重重防護(hù)。它的核心思想是分區(qū)、分層（縱深防御）。邊界模型專注防御邊界，將壞人擋在外面，假定已經(jīng)在邊界內(nèi)的任何事物都不會(huì)造成威脅，因而邊界內(nèi)部基本暢通無阻。

幾乎所有網(wǎng)絡(luò)安全事故的調(diào)查都指出，黑客在完成攻擊之前，甚至之后，曾長期潛伏在企業(yè)內(nèi)網(wǎng)，利用內(nèi)部系統(tǒng)漏洞和管理缺陷逐步獲得高級(jí)權(quán)限；另一方面，內(nèi)部人員的誤操作和惡意破壞一直是企業(yè)安全的巨大挑戰(zhàn)，長期以來都沒有好的解決方案。也就是說，認(rèn)為企業(yè)內(nèi)網(wǎng)是可信區(qū)域的傳統(tǒng)看法是站不住腳的。

除了外部威脅和內(nèi)部威脅導(dǎo)致基于邊界的安全體系失效，移動(dòng)辦公和云服務(wù)的增長，也令很多公司企業(yè)難以確立起網(wǎng)絡(luò)邊界。傳統(tǒng)筑起邊界長城守護(hù)內(nèi)部資源的做法，隨著企業(yè)數(shù)據(jù)的分散化和數(shù)據(jù)訪問方式的多樣化而不再有效?，F(xiàn)實(shí)情況是，企業(yè)應(yīng)用一部分在辦公樓里，一部分在云端——分布各地的雇員、合作伙伴和客戶通過各種各樣的設(shè)備訪問云端應(yīng)用。

零信任安全就是在這樣的背景下誕生的，其目的是基于身份和訪問控制從0構(gòu)建企業(yè)新的邏輯邊界。

三、零信任模型（現(xiàn)階段主流云廠商策略）

默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。諸如IP地址、主機(jī)、地理位置、所處網(wǎng)絡(luò)等均不能作為可信的憑證。零信任對(duì)訪問控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”，其本質(zhì)訴求是以身份為中心進(jìn)行訪問控制。

在 Evan Gilman《零信任網(wǎng)絡(luò)》一書中，零信任網(wǎng)絡(luò)被描述為建立在以下五個(gè)基本斷言上：

1. 應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅。

2. 外部和內(nèi)部威脅每時(shí)每刻都充斥著網(wǎng)絡(luò)。

3. 不能僅僅依靠網(wǎng)絡(luò)位置來建立信任關(guān)系。

4. 所有設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證和授權(quán)。

5. 訪問控制策略應(yīng)該是動(dòng)態(tài)的基于盡量多的數(shù)據(jù)源進(jìn)行計(jì)算和評(píng)估。

由此可以看出，零信任的理念，已經(jīng)從邊界模型“信任但驗(yàn)證”轉(zhuǎn)換到“從不信任，始終驗(yàn)證”的模式。（注意重點(diǎn)，此處可能會(huì)在考試中出現(xiàn)判斷類的題目或者面試被問到，我覺得這是起碼的知識(shí)點(diǎn)，你要知道的）

根據(jù)以上五個(gè)斷言，零信任模型被認(rèn)為遵守以下4個(gè)基本原則：

1. 驗(yàn)證用戶：基于位置、設(shè)備和行為來評(píng)估用戶安全情況，確定用戶是否是其所聲稱的身份。采取恰當(dāng)?shù)拇胧ū热缍嘁蜃由矸蒡?yàn)證）來確保用戶真實(shí)性。

2. 驗(yàn)證設(shè)備：無論是公司設(shè)備、BYOD還是公共主機(jī)、筆記本電腦或移動(dòng)設(shè)備，基于設(shè)備身份和安全情況實(shí)施訪問控制策略。只允許受信終端訪問公司的資源。

3. 限制訪問與權(quán)限：如果用戶和設(shè)備通過了驗(yàn)證，對(duì)資源實(shí)施基于角色的訪問控制模型，賦予其僅供完成當(dāng)次工作的最小權(quán)限。

4. 自適應(yīng)：各類源（比如用戶、其設(shè)備、與之相關(guān)的所有活動(dòng)）總在不斷產(chǎn)生信息。利用機(jī)器學(xué)習(xí)來設(shè)置上下文相關(guān)訪問策略，自動(dòng)調(diào)整并適應(yīng)策略。

四、Azure 中的零信任體系結(jié)構(gòu)（本文重點(diǎn)）

4.1 基礎(chǔ)知識(shí)點(diǎn)（必須了解）

（一）Azure 中零信任的指導(dǎo)原則

Microsoft 強(qiáng)烈建議使用零信任安全模型，該模型基于以下指導(dǎo)原則：

• 顯式驗(yàn)證 - 始終根據(jù)所有可用的數(shù)據(jù)點(diǎn)進(jìn)行身份驗(yàn)證和授權(quán)。
• 使用最低訪問權(quán)限 - 使用實(shí)時(shí)和恰好足夠的訪問權(quán)限 (JIT/JEA)、基于風(fēng)險(xiǎn)的自適應(yīng)策略和數(shù)據(jù)保護(hù)，來限制用戶訪問。
• 假設(shè)出現(xiàn)信息泄露 - 最大限度地減少影響范圍，并對(duì)訪問進(jìn)行分段。 驗(yàn)證端對(duì)端加密并使用分析來獲取可見性、驅(qū)動(dòng)威脅檢測并改善防御。

注意這里博主總結(jié)一段話，方便記憶，請(qǐng)一定要記住 Azure 中的指導(dǎo)原則：基于顯示驗(yàn)證，應(yīng)用最小特權(quán)訪問和始終假設(shè)違規(guī)的原則。

（二）Azure 中調(diào)整為零信任

傳統(tǒng)上，公司網(wǎng)絡(luò)受到限制、保護(hù)并且通常被認(rèn)為是安全的。 只有被管理的計(jì)算機(jī)可以加入網(wǎng)絡(luò)，VPN 訪問受到嚴(yán)格控制，并且個(gè)人設(shè)備經(jīng)常受到限制或阻止。

零信任模型不會(huì)假設(shè)因?yàn)樵O(shè)備在公司網(wǎng)絡(luò)內(nèi)，它就是安全的，而是要求每個(gè)人都進(jìn)行身份驗(yàn)證。 然后基于身份驗(yàn)證而不是位置授予訪問權(quán)限。

4.2 Azure 中的零信任體系結(jié)構(gòu)（六層防御）

注意：如果你是想備考初級(jí)認(rèn)證比如說 az-900，此部分可以略過，如果你是企業(yè)云管理員或者云架構(gòu)師，建議了解一下。

零信任基于顯示驗(yàn)證，應(yīng)用最小特權(quán)訪問和始終假設(shè)違規(guī)的原則，建立了跨越多個(gè)防御層的全面控制平面：

• 身份（Identity）
  Azure Active Directory 為你的人員，用于應(yīng)用程序和進(jìn)程的服務(wù)帳戶以及你的設(shè)備分配身份和條件訪問控制。

• 設(shè)備（也稱為終結(jié)點(diǎn)，Endpoints）
  Microsoft Endpoint Manager 確保設(shè)備及其安裝的應(yīng)用程序滿足你的安全性和合規(guī)性策略要求

• 應(yīng)用領(lǐng)域（Applications）
  Microsoft Endpoint Manager 可用于配置和實(shí)施策略管理。 Microsoft Cloud App Security 可以發(fā)現(xiàn)和管理正在使用的 Shadow IT 服務(wù)。

• 網(wǎng)絡(luò)（Network）
  獲取許多控件，包括網(wǎng)絡(luò)分段，威脅防護(hù)和加密。

• 基礎(chǔ)設(shè)施（Infrastructure）
  Azure 著陸區(qū)，藍(lán)圖和策略可以確保新部署的基礎(chǔ)架構(gòu)滿足云資源的合規(guī)性要求。 Azure 安全中心和 Log Analytics 幫助提供針對(duì)本地，跨云和跨平臺(tái)基礎(chǔ)結(jié)構(gòu)的配置和軟件更新管理。

• 數(shù)據(jù)（Data）
  將數(shù)據(jù)訪問限制為僅需要它的人員和流程。

下圖提供了構(gòu)成零信任的主要元素的表示形式。

在圖中可以看出：

• 安全策略強(qiáng)制實(shí)施是零信任體系結(jié)構(gòu)的核心。 這包括具有條件訪問的多重身份驗(yàn)證，其中考慮到用戶帳戶風(fēng)險(xiǎn)、設(shè)備狀態(tài)以及你設(shè)置的其他條件和策略。
• 六層防護(hù)：標(biāo)識(shí)、設(shè)備（也稱為終結(jié)點(diǎn)）、數(shù)據(jù)、應(yīng)用程序、網(wǎng)絡(luò)和其他基礎(chǔ)結(jié)構(gòu)組件都配置了適當(dāng)?shù)陌踩浴?為每個(gè)組件配置的策略與整體零信任策略相協(xié)調(diào)。 例如，設(shè)備策略確定正常運(yùn)行設(shè)備的條件，條件訪問策略需要正常運(yùn)行的設(shè)備才能訪問特定應(yīng)用和數(shù)據(jù)。
• 威脅防護(hù)和智能監(jiān)視環(huán)境、發(fā)現(xiàn)當(dāng)前風(fēng)險(xiǎn)，并采取自動(dòng)化操作來補(bǔ)救攻擊。

4.3 Azure Cloud Zero Trust 的高層設(shè)計(jì)和低層級(jí)設(shè)計(jì)

做架構(gòu)必須了解，如果考試初級(jí)，可以跳過

（一）高層級(jí)設(shè)計(jì)

在高層上，Azure Cloud Zero Trust 旨在圍繞云環(huán)境構(gòu)建一個(gè)安全邊界。一般多層保護(hù)（例如身份和訪問管理、數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)安全和威脅保護(hù)）用于保持此邊界。個(gè)人感覺這種設(shè)計(jì)類似于傳統(tǒng)的隔離設(shè)計(jì)。Azure 云為高層設(shè)計(jì)提供了幾個(gè)關(guān)鍵組件，包括:

• 身份與訪問管理：Azure 云使用 Azure Active Directory (AAD) 進(jìn)行身份管理。AAD 提供多因素認(rèn)證（MFA）和條件訪問策略，確保只有授權(quán)用戶才能訪問云環(huán)境。

• 數(shù)據(jù)保護(hù)：Azure 云提供加密、數(shù)據(jù)防丟失和信息權(quán)限管理，保護(hù)靜止和傳輸中的數(shù)據(jù)。這個(gè)比較好理解，在數(shù)據(jù)庫層次，這些都有加密手段，我說的是在 Azure 中，如果安全級(jí)別較高，可以選用是否加密進(jìn)行保護(hù)等。

• 網(wǎng)絡(luò)安全：Azure 云提供虛擬網(wǎng)絡(luò)隔離、分布式拒絕服務(wù)（DDoS）保護(hù)和網(wǎng)絡(luò)安全組，以防止基于網(wǎng)絡(luò)的攻擊。

• 威脅防護(hù)：Azure 云提供先進(jìn)的威脅分析、安全信息和事件管理（SIEM）以及安全自動(dòng)化和編排，以檢測和減輕實(shí)時(shí)威脅。

（二）低層級(jí)設(shè)計(jì)

Azure Cloud Zero Trust 的低層級(jí)設(shè)計(jì)涉及通過詳細(xì)配置和策略實(shí)現(xiàn)安全邊界。低層級(jí)設(shè)計(jì)的一些關(guān)鍵組成部分包括:

• 網(wǎng)絡(luò)分割：將云環(huán)境劃分為多個(gè)子網(wǎng)，每個(gè)子網(wǎng)代表不同的信任級(jí)別。網(wǎng)絡(luò)安全組用于在每個(gè)子網(wǎng)上實(shí)施網(wǎng)絡(luò)流量策略。

• 身份和訪問管理策略：創(chuàng)建條件訪問策略，確保只有授權(quán)用戶才能訪問云環(huán)境?；诮巧脑L問控制(Role-based access control, RBAC)實(shí)現(xiàn)最小特權(quán)原則。

• 數(shù)據(jù)保護(hù)策略：對(duì)數(shù)據(jù)進(jìn)行分類、加密、防止數(shù)據(jù)丟失，實(shí)現(xiàn)數(shù)據(jù)在靜止和傳輸過程中的保護(hù)。

• 威脅保護(hù)策略：SIEM、高級(jí)威脅分析以及安全自動(dòng)化和編排用于實(shí)時(shí)檢測和減輕威脅。

（三）真實(shí)公司案例

這里舉一個(gè) 對(duì) Azure IaaS 基礎(chǔ)設(shè)施應(yīng)用零信任原則的架構(gòu)圖，方便了解學(xué)習(xí)：

可口可樂是另一個(gè)實(shí)現(xiàn)零信任模型以保護(hù)其云環(huán)境安全的公司。公司使用 Azure Active Directory 進(jìn)行身份和訪問管理，使用 Azure Security Center 進(jìn)行威脅防護(hù)，這里只是舉例說明，另外下面的架構(gòu)圖并不是可口可樂公司，只是參照而已。

該架構(gòu)圖包含四大區(qū)域以及相應(yīng)的解釋如下：

1. Azure Storage Services
2. Virtual machines
3. Spoke VNets
4. Hub VNets

多個(gè) IaaS 組件和元素，包括從不同網(wǎng)站訪問應(yīng)用程序的不同類型的用戶和 IT 消費(fèi)者。比如 Azure、互聯(lián)網(wǎng)、本地辦公和分支機(jī)構(gòu)。

常見的三層應(yīng)用程序，包括前端層、應(yīng)用層和數(shù)據(jù)層。所有層都運(yùn)行在名為 SPOKE 的 VNet 中的虛擬機(jī)上。對(duì)應(yīng)用程序的訪問受到另一個(gè)名為 HUB 的 VNet 的保護(hù)，該 VNet 包含額外的安全服務(wù)。

Azure 上支持 IaaS 應(yīng)用程序的一些最常用的 PaaS 服務(wù)，包括基于角色的訪問控制（RBAC）和 Azure 活動(dòng)目錄（Azure AD）。這些有助于零信任安全方法。

存儲(chǔ)塊（Storage blob）和存儲(chǔ)文件（Storage file）為應(yīng)用程序和用戶共享的文件提供對(duì)象存儲(chǔ)。

文末總結(jié)

在 Azure 云中實(shí)現(xiàn)零信任需要仔細(xì)的計(jì)劃和執(zhí)行。高層和低層設(shè)計(jì)提供了一個(gè)構(gòu)建安全云環(huán)境的框架。現(xiàn)實(shí)生活中的例子表明，零信任是云環(huán)境安全的一個(gè)理論概念和實(shí)際解決方案。通過遵循本文中概述的最佳實(shí)踐，組織可以實(shí)現(xiàn)零信任模型，為其 Azure 云環(huán)境提供強(qiáng)大的安全性。

參考文獻(xiàn)

https://learn.microsoft.com/en-us/azure/security/fundamentals/zero-trust

https://learn.microsoft.com/en-us/security/zero-trust/azure-infrastructure-overview

https://www.youtube.com/watch?v=LE52xoYlFvs&ab

https://learn.microsoft.com/zh-cn/security/zero-trust/deploy/overview文章來源地址http://www.zghlxwxcb.cn/news/detail-497192.html

到了這里，關(guān)于構(gòu)建安全架構(gòu)的 Azure 云：深入了解零信任體系結(jié)構(gòu)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！