读零信任网络：在不可信网络中构建安全系统01边界安全模型.png

1. 现状

1.1. 在网络监控无处不在的时代，很难确定谁是值得信任的

1.1.1. 既无法信任提供光纤租用的互联网服务商

1.1.2. 也无法信任昨天在数据中心布线的合同工

1.2. 现代的网络设计和应用模式，已经使得传统的、基于网络边界的安全防护模式逐渐失去原有的价值

1.2.1. 网络边界的安全防护一旦被突破，即使只有一台计算机被攻陷，攻击者也能够在“安全的”数据中心内部自由移动

1.3. 零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题

1.3.1. 零信任模型没有基于网络位置建立信任，而是在不依赖网络传输层物理安全机制的前提下，有效地保护网络通信和业务访问

2. VPN

2.1. 在某种程度上，VPN是一种不会遭人怀疑的后门

2.2. VPN的作用是对用户进行身份认证并分配IP地址，然后建立加密的传输隧道

2.2.1. 用户的访问流量通过隧道传输到远程网络，然后进行数据包的解封装和路由

2.3. 如果基于网络位置划分区域的需求消失了，那么对VPN的需求也就消失了

2.4. 传统的VPN用来实现内部网络的安全访问

2.4.1. 但是，这种安全能力在网络流量到达VPN设备之后就会终止

3. NAC

3.1. NAC（网络准入控制）是一种边界安全技术，某目的是在终端设备访问敏感网络时对其进行强认证

3.2. 802.1X和可信网络连接（Trusted Network Connect, TNC）这类网络准入控制技术关注的焦点是网络的准入而不是服务的准入，因此不属于零信任模型的范畴

3.2.1. 采用类似的机制在设备访问服务时进行强认证

3.3. NAC技术仍然可以应用于零信任网络中，但它距离远程端点太远，并不能满足零信任模型中设备强认证的需求

4. NAT

4.1. 网络地址转换

4.2. 由于需要从内部网络访问的互联网资源数量快速增长，因此，给内部网络资源赋予访问互联网的权限，要比为每个应用维护代理主机更加容易

4.2.1. NAT（网络地址转换）能够很好地解决这个问题

4.3. NAT设备能够使私有网络中的设备访问任意的互联网资源

4.4. NAT设备有一个很有趣的特性：因为IP地址映射关系是多对一的，所以源自互联网的连接无法访问内部的私有IP地址，除非事先在NAT设备上进行专门的配置来处理这种特殊情况

4.5. 引入NAT原本的目的是使内部网络中的计算机能够访问互联网，现在它却变成了安全控制设备

4.6. NAT设备具有与状态检测防火墙相似的特性

4.6.1. 防火墙设备也很快开始集成NAT功能，这两个功能合二为一，基本上无法区分

4.6.2. 这类设备既能支持网络的连通功能，又能支持严格的安全控制，因此很快得到广泛应用，几乎每个组织的网络边界上都部署了防火墙设备

5. 全球IP地址空间

5.1. 互联网还没有大规模普及，一个网络可能是连接到互联网，也可能是与其他业务部门、公司或是某个研究机构的网络相连

5.2. 如果正在连接的网络恰好是互联网，那么IP地址必须是全球唯一的

5.3. 20世纪80年代末和20世纪90年代初，随着IP网络技术的应用范围越来越广，随意使用IP地址空间成为一个严重的问题

5.4. 1994年3月，RFC 1597宣布IANA为私有网络保留3个IP地址范围：10.0.0.0/8、172.16.0.0/12和192.168.0.0/16

5.4.1. 私有互联网地址分配标准——RFC 1597诞生了，其目的是解决大量公共IP地址空间的浪费问题

5.5. 私有IP地址空间的使用还产生了另外一个效果，而且直到今天仍然在发挥作用——使用私有地址空间的网络更加安全，因为这些网络无法连接到其他网络，特别是连接到互联网

5.5.1. 这些网络在物理上通常位于一个组织的内部，攻击者很难接触到

5.6. 互联网号码分配机构（Internet Assigned Numbers Authority, IANA）于1998年正式成立，直到今天IANA仍然是IP地址分配的协调机构

6. 威胁形势

6.1. 20世纪90年代末，世界上第一个（软件）特洛伊木马问世，并开始在互联网上传播

6.2. 一种保护互联网主机的方法，而设置硬件防火墙就是极好的选择

6.2.1. 那时候大多数操作系统还没有基于主机的防火墙

6.2.2. 硬件防火墙能够在网络边界处强制执行安全策略，确保只允许列入白名单的“安全”的互联网流量进入内部网络

6.2.3. 如果管理员无意中安装了向互联网开放端口（就像特洛伊木马一样）的软件，那么防火墙就可以阻断访问该端口的互联网连接

6.2.4. 访问互联网主机的内部网络流量也同样可以进行控制，确保内部用户访问互联网主机的网络流量可以通过，但反过来则不行

6.3. 虽然对隔离区的入站和出站网络流量都进行了严格的控制，从隔离区进入内部网络的难度非常大，但由于可以从互联网访问到隔离区的主机，因此它们仍然是攻击的主要目标

6.4. 回连（Phoning Home）

6.4.1. 是现代网络攻击技术的重要组成部分

6.4.2. 恶意代码可以从内部网络向互联网上的主机发送消息

6.4.3. 其主要作用是从受保护的网络中把数据慢慢地偷取出来

6.4.4. 由于TCP协议的双向特性，使用回连技术也可以向受保护的网络中注入数据

6.5. 出站安全

6.5.1. 出站安全是一种非常有效的对抗拨号回连攻击的方法，可以检测并阻止拨号器回连的出站网络连接

6.5.2. 拨号器软件经常伪装成常规的Web流量，或者其他看似无害的“正常”网络流量

6.5.3. 攻击者首先攻陷内部网络中低级别安全域内的某台计算机，然后在网络中横向移动，最终获得更高级别安全域的访问权限

6.6. 基于网络区域定义安全策略，仅在网络边界处强制执行，并且仅使用了源和目标信息进行安全决策

7. 边界安全模型

7.1. 把不同的网络（或者单个网络的一部分）划分为不同的区域，不同区域之间使用防火墙进行隔离

7.1.1. 每个区域都被授予某种程度的信任，它决定了哪些网络资源允许被访问

7.1.2. “隔离区”, DMZ

7.1.2.1. 互联网可访问的Web服务器等高风险的网络资源，被部署在特定的区域

7.1.2.2. 该区域的网络流量被严密监控和严格控制

7.2. 该模型的基本思想与物理世界中通过修建城墙来保护城堡一样，是通过构建层层防线来保护网络中的敏感资源

7.2.1. 这种安全模型提供了非常强大的纵深防御能力

7.2.2. 边界安全模型试图把攻击者阻挡在可信的内部网络之外

7.3. 入侵者必须穿透这些防线，才能够访问敏感资源

7.3.1. 在计算机网络场景下存在根本性的缺陷，实质上无法保证敏感资源的安全性

7.4. 传统的网络分区与隔离安全模型在过去发挥了积极作用，但是现在却疲于应对高级的网络攻击

7.5. 如果网络的位置对于网络安全失去价值，那么诸如VPN等网络安全设备也会失去其原有的价值

7.5.1. 这也迫使我们把安全控制的实施点尽可能地前推到网络边缘，这同时也减轻了网络核心设备的安全责任

7.6. 私有网络连接到公共网络

7.6.1. 电子邮件就是较早的互联网应用之一

7.6.2. 私有网络中的邮件服务器一般情况下是唯一连接到互联网的服务器，它通常有两个网络接口，一个连接互联网，一个连接内部网络

7.7. 现代边界安全模型

7.7.1. 通过在内部网络和互联网之间部署防火墙/ NAT设备，能够清晰地划分安全区域，包括组织内部的“安全”区、隔离区和不可信区域（互联网）

7.7.2. 防火墙/NAT设备能够在网络边界进行严密的安全控制，极大地降低了安全风险

7.8. 缺点

7.8.1. 缺乏网络内部的流量检查

7.8.2. 主机部署缺乏物理及逻辑上的灵活性

7.8.3. 存在单点故障

8. 边界安全模型的缺陷

8.1. 边界安全模型仍然是主流的网络安全模型，但是该模型的缺陷也越来越明显

8.1.1. 一个网络即便采用了完善的边界安全模型，也往往会被攻陷

8.1.2. 远程访问工具（Remote Access Tool, RAT）投递到内部网络中以获得远程访问权限

8.1.2.1. 然后开始在内部网络中横向移动

8.1.3. 边界防火墙就像那些为了防止间谍入侵而在城市周边修建的城墙一样，作用越来越小

8.2. 不同安全区域之间的网络流量就应当遵循既定的安全策略强制执行检查

8.3. 通用的安全规则总是存在例外，它们通常被称为防火墙例外规则（Firewall Exception）

8.3.1. 可行的办法是在防火墙上配置例外规则，允许某个IP地址访问特定的服务器

8.4. 恶意软件通过拨号器回连的方式可以轻松地穿透边界安全设备，不同安全区域之间的防火墙在执行安全策略时只使用了源和目的地址作为判别依据

8.5. 边界安全模型是公认的保护网络安全的方法，但这并不意味着没有更好的方案

8.6. 边界安全模型的根本缺陷是缺乏全局性防护和安全策略强制执行，就像用安全的外壳包裹着软弱的躯体，我们真正想要的是知道如何认证身份、如何防止沟通交流被窃听的坚硬的躯体

8.6.1. 拥有坚硬的躯体也并不一定意味着不需要维持安全的外壳，尤其是在高度敏感的应用场景下