1.1 零信任網絡是什么

零信任網絡中存在如下5個基本斷言：

● 網絡無時無刻不在危險之中；

● 網絡始終面臨著內部和外部威脅；

● 僅根據網絡位置不足以確定是否可信；

● 所有設備、用戶和網絡流都必須經過認證和授權；

● 安全策略必須是動態的，并根據盡可能多的數據源來確定。

傳統的網絡安全架構將不同的網絡（或單一網絡的不同部分）劃分為不同的區域，并使用防火墻來隔離不同的區域。每個區域都被賦予不同的信任等級，而信任等級決定了可訪問的網絡資源。這種模型提供了極其強大的縱深防御能力，例如，對于風險較高的資源，如面向公共網絡的Web服務器，將其放在隔離區（DMZ），并對進出該區域的流量加以嚴密的監視和控制。這種做法催生了一種類似于圖1-1所示的架構（你以前可能見過）。

為了改善這種傳統的網絡安全架構，存在很多權宜之計，但面對現今的網絡攻擊形勢，這些措施收效甚微。傳統的網絡安全架構存在如下缺點：

● 不檢查區域內部的流量；

● 在主機部署位置方面缺乏靈活性（物理和邏輯方面也是如此）；

● 存在單點故障。

必須指出的是，如果不再根據網絡位置來確定可信度，VPN也就沒有存在的必要。VPN讓用戶能夠進行認證，以獲取位于遠程網絡中的IP地址；再通過隧道技術將流量傳輸到遠程網絡，流量到達遠程網絡后被解封裝并路由。這是一個嚴重的安全后門，但未曾被人懷疑。如果宣稱網絡位置對確定可信度毫無價值，諸如VPN等多種現代網絡通信方式將慘遭淘汰。當然，這意味著必須將安全措施實施點盡可能前推到網絡邊緣，同時意味著網絡核心無須再承擔這種職責。另外，所有主流操作系統都提供了有狀態防火墻，交換和路由技術也取得了長足進展，這讓人能夠在網絡邊緣部署高級功能。考慮到所有這些因素，可得出如下結論：轉變網絡安全范式正當其時。通過分散地執行安全策略并遵循零信任原則，可構建出類似于圖1-2所示的網絡安全架構。

零信任模型中的控制平面

在零信任模型中，支持系統被稱為控制平面。除控制平面以外的其他部分都屬于數據平面，由控制平面進行協調和配置。針對受保護資源的訪問請求，將先由控制平面進行處理，對設備和用戶進行認證和授權。這一層將應用細粒度的控制策略，可能考慮如下因素：在組織中的角色、在一天中的什么時間訪問、地理位置和設備類型。如果要訪問的是安全等級較高的資源，可能需要強制進行更高強度的認證。

確定請求得到許可后，控制平面動態地配置數據平面，使其接收來自該客戶端（也僅限該客戶端）的流量。另外，控制平面還可能進行協調，以確定要在請求者和資源之間建立的加密隧道的細節，這可能包括一次性的憑證、密鑰和臨時端口號。

需要指出的是，控制平面對于請求的許可決策是有時間限制的，而不是永久性的。這意味著，如果最初促使控制平面做出許可決策的因素發生變化，控制平面可以與數據平面進行協調，進而撤銷資源訪問權限。

對于上述措施，在嚴格程度上可以做出一些妥協，但基本理念是不變的，那就是由權威方或可信的第三方根據各種輸入實時認證、授權和協調訪問。第2章將更詳細地討論控制平面和數據平面。