科技与创新┃Science and Technology & Innovation 2021 年 第 09 期

文章编号：2095-6835（2021）09-0072-02

基于
“零信任”模型的安全网络构建
孙梅梅，朱彦斐，刘 刚
（山东电子职业技术学院，山东 济南 250200）

摘 要：对“零信任”模型的概念进行了介绍，提出传统的基于区域的安全模型存在的风险，并对“零信任”安全模型
面临的机遇和挑战进行了分析。
“零信任”模型目前饱受争议，但不可否认的是随着“零信任”的支撑技术逐渐发展，
从前只存在于理论上的“安全最优解”正逐步成为现实。
关键词：“零信任”；网络安全模型；安全风险；安全防护模型
中图分类号：TP393.08 文献标志码：A DOI ： 10.15913/j.cnki.kjycx.2021.09.032

近年来，互联网技术的飞速发展打破了常规的时空限 块。这种分段将用户、设备、服务和应用程序定义到不同的
制，其尝试把现实社会发生的一切变得数字化和数据化，伴 信任域中，在给定区域内，用户、计算机和服务器可以自由
随着人工智能的兴起，在大量黑客面前，任何细微漏洞都可 地相互通话。因为传统的防火墙和入侵检测系统 （IDS） 主
以被捕获，导致安全风险被无限放大。这使人们不得不对传 要是针对网络外部发起的攻击，而对来自内部的网络攻击是
统的网络安全架构进行升级和改造，由传统的模型转变为新 无效的。而事实上，60％～80％的网络滥用事件来自内部网
的安全防护模型，即“零信任”模型。 络。基于企业区域的常见安全模型如图 2 所示。
1 “零信任”模型是什么
“零信任”即企业网络不自动信任任何内部或者外部节
点，对任何试图进入企业网络的人、事、物都要进行验证，
简言之，“零信任”的策略就是不相信任何人。随着网络的
安全性越来越受到关注，防火墙的引入是为了在互联网内部
以及公共和私人网络之间建立边界，然后在企业内部添加额
外的防火墙以进一步分割网络，“零信任”模型是将分段一
直进行到网络边缘上的每个用户、设备、服务和应用程序。
用户、设备或应用程序创建的每个会话在允许通信之前必须
经过身份验证、授权和账户认证，这也是“零信任”原则的
体现，即“Trust no-one.Verify everything”。“零信任”网络
在网络边缘强制实施安全策略，并在源头遏制恶意流量。 图1 零信任网络架构

在 《零信任网络：在不可信网络中构建安全系统》一书
中，零信任网络被描述为建立在以下 5 个断言上：①网络无
时无刻不处于危险的环境中；②网络中始终存在着外部或内
部的威胁；③网络位置不足以决定其可信程度；④所有的用
户、设备和网络流量都应当经过认证和授权；⑤安全策略必
须是动态，并给予尽可能多的数据源计算而来的。
以上断言很好地阐述了“零信任”的理念，也总结了
“零信任”的几个原则：验证用户、验证设备、合理的访问
规则与权限控制，以及配套的动态机制。零信任网络架构如
图 1 所示。
2 传统的基于区域的安全模型
“零信任”模型与传统的基于区域的安全模型是不同
的。基于区域的安全模型就是将网络分解为不同的段或模
防火墙用于控制网络流量的南北方向移动，并允许段内
的任何通信。从图 2 的左上角开始，一旦经过身份验证，用
户和设备就可以进入受信任的网络。在此方案中，允许用户
进入受信任的客户端网络段或区域内的任何位置。在图 2 的
左下部分，不受信任的用户必须使用虚拟专用网络 （VPN）
并通过身份验证、授权和帐户认证 （AAA，以下 AAA 皆代
表此含义） 进程以获取私有 IP 地址，然后允许他们进入网
络。而且用户只可以进入演示和语音、视频区域，不能再进
一步访问其他应用。
传统的基于区域的安全模型存在诸多缺陷：①在同一网段
内的设备或服务器之间可以无障碍进行通信。因此，如果一个
数据库服务器受到攻击，黑客可以对该区域内的其他数据库服
务器发起攻击，而不会受到防火墙的检测或干扰。②允许所有

窑72窑
 2021 年 第 09 期
服务器访问管理区域。因此，如果管理区域受到了威胁，就
相当于给攻击者在服务器中开了“后门”。考虑到这些限制，
图2 基于企业区域的常见安全模型
3 “零信任”模型的机遇和挑战
“零信任”模型的发展面临两个方面的机遇：①随着互
联网技术的发展，网络已经把世界上的每一个人都联系在一
起，突破了时间和空间的限制，网络边界变得越来越模糊，
实际上已经不存在安全的网络。因此，以账户为基础的安全
体系无以为继，需要把账户转变为身份才可以在这种网络中
安全生存。②现实生活中涉及巨大价值或公共利益时，往往
通过“零信任”体系而不是通过可信任体系来解决。数据的
价值今非昔比，数据的托管性和多面性总会涉及众多的公共
利益，参照现实模型，
“零信任”安全体系可以作为最恰当的
数据安全体系架构。
“零信任”网络还有很
按目前“零信任”网络的发展来看，
多不足。比如 BGP、身份和访问管理 （IAM） 服务等路由协
议之间缺乏集成。路由如果足够智能，可以将具有子 IP 地
址的源设备存储在一个子 IP 网络中，并通过 IP 地址和应用
程序将数据包发送到目标子 IP 网络。此外，虽然现在 IAM
可以用于网络，但它并不用于确定数据包是如何路由的。
“零信任”网络正在将路由器的路由表与目录的 AAA 策略结
合起来，以允许或拒绝一个包从源到目的地的转发。与目前
的二进制规则相比，更精细的规则可以应用到路由中，可以
提高网络性能和安全控制。
为了使 IP 路由与目录一起工作并实施“零信任”网络
策略，网络必须能够保持状态。尽管防火墙和其他安全设备
可保持状态，但迄今为止的 IP 网络是无状态的。原本路由
器无状态是为了保持简单和快速，但现在通过在路由器中添
加状态，可以添加额外的服务，使路由器更加动态、智能和
安全。
多年来网络流量增长迅速，让路由器不堪重负，所以创
建能够快速处理数据包的路由器尤为重要。现在的网络需要
基于边缘、分布和核心的体系结构，其中路由是在分发层进
行的，交换在边缘和核心中完成。随着路由器从专用设备转
向在网络边缘运行的软件，在路由中增加额外安全和智能的
Science and Technology & Innovation┃科技与创新
应该重新审视基于区域的网络安全架构并添加微分段技术，
特别是在公共云托管环境以及私有数据中心。
限制或可被解除。
“零信任”模型并不以用户
与传统的边界安全模型不同，
的物理登录地点或者来源网络作为访问服务的判定标准，而
是将访问策略建立在设备信息、状态以及关联用户的基础
上，更偏向于对用户行为、设备状态的分析。任何用户必须
使用由公司提供且持续管理的终端设备，通过身份认证，并
且符合访问控制引擎中的策略要求，才能通过专门的访问代
理访问特定的公司内部资源。相应的，为了保证用户获得流
畅的资源访问体验，“零信任”模型的访问控制必须能够准
确识别设备及用户、移除对网络的信任、通过面向互联网的
访问代理提供内部应用和工作流，以此实现基于已知设备和
用户的访问控制，并动态更新设备和用户信息。
4 结语
安全方案不再是应用层面或网络层面的单一解法，随着
虚拟化技术的突破，
“零信任”的理念也让人们看到公共和私
人网络的边界将逐步消除，网络功能和上层应用也将机动组
合，用户、设备、服务、应用和数据标识细粒度映射到网络
会话，可以灵活地应用底层设备以应对更为丰富的防护策
略。无论是物联网设备的急剧增长，还是黑客行为的增加，
势必将推动企业考虑采用“零信任”等方式升级网络。
参考文献：
［1］ 张睿.基于零信任的身份安全，
ISC 互联网安全大会［EB/OL］.
［2018-09-07］.https://baijiahao.baidu.com/s id=16109604
51669642519&wfr=spider&for=pc.
［2］ 王秀波.零信任架构网络安全解决方案［J］.智能建筑，
2019（3）：63-67.
——
——
————
——
————
—
作者简介：孙梅梅 （1983—），女，山东潍坊人，理学硕士，
副教授，信息安全与管理专业主任，研究方向为计算机网络
与信息安全。
〔编辑：张思楠〕
窑73窑