主机的零信任安全实践

零信任安全（Zero Trust）是以身份为中心进行访问控制的安全概念，其核心观点是不自动信任何访问者或设备,任何访问都应该进行认证、授权或者访问控制，以避免内网渗透等安全风险。零信任代表未来安全架构的发展方向，在本文中，笔者主要从主机领域分析零信任框架的落地与实践。

思考：如果没有零信任，我们将面临怎样的安全威胁？

场景1：东西向移动

以近期被肆虐的勒索病毒为例，我们在回溯了多起勒索病毒事件的入侵轨迹后发现，黑客均是先攻击业务系统中安全防御能力较弱的主机，再利用业务系统中主机间的“信任”关系，东西向移动至核心系统，渗透成功后锁定核心业务、窃取数据或者勒索用户，也就说在“默认内网安全”的架构下，无论核心业务系统的安全防御能力多强，只要业务系统中还存在安全薄弱点，都一样可能遭受黑客入侵。

解决主机间东西向移动的零信任架构是微隔离技术，微隔离从2016年开始连续三年入选Gartner 10大安全技术，其本质是基于主机agent的分布式防火墙技术，目标是解决进入云计算时代后安全边界模糊导致的防火墙策略丢失，以应对云计算时代的东西向流量防护。

云锁将微隔离技术衍生为二个模块：流可视化、微隔离（东西向流量防护、南北向流量防护），以实现业务系统主机间的零信任安全框架。

流可视化

流可视化的功能分为两部分：1，业务资产可视化；2，业务资产间访问关系可视化。

下图中图标代表安装agent的主机资产，主机间的线代表访问关系，线的颜色代表访问绿色-合规流量；红色-违规流量（被拦截）；灰色-未设置规则流量；黄色-监控模式流量。

微隔离

微隔离采用白名单机制，可以细粒度控制主机、主机应用间的访问关系。分为两个部分：

1.东西向流量防护

可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。比如在一个安全域内允许A类主机（如web服务器）去访问B类主机（如数据库），其他类型的主机去访问B类主机将被禁止；或者A类主机的web应用可以去访问B类主机的数据库应用，A类主机的其他应用访问B类主机的数据库应用将被禁止。

2. 南北向流量防护

主要解决主机非法外连问题，可以定义主机允许访问的特定IP、IP段、域名，不在规则外的访问将被禁止。

在流可视化和微隔离的访问控制下，实现了主机间访问关系的零信任，内网主机再也无法成为黑客东西向横向移动的“跳板”。

场景2：应用漏洞利用

微隔离解决了主机与主机间的零信任问题，而主机内部应用间的零信任模型如何建立？应用漏洞利用是黑客常用的攻击手段，在主机内部应用之间的默认“信任”的前提下，利用存在漏洞的应用发起一系列攻击，最终获得服务器权限。

应对应用漏洞攻击的零信任架构，1，在内核层剥离应用过高权限；2，对在易受攻击应用中注入rasp应用运行时自我防护技术。

ASVE虚拟化安全域是云锁在内核层的应用权限控制技术，可以将web服务、数据库服务等高权限应用隔离在受限环境，实现主机内部应用“零信任”，可以有效抵御提权等利用应用漏洞的黑客攻击，如限制WEB服务器进程权限，禁止执行cmd.exe等；限制数据库进程权限，禁止创建可执行文件等。

Rasp应用运行时自我防护

Rasp(Runtime Application Self Protection)技术不再单纯关注应用漏洞本身，而是将监控与防护移至命令执行、脚本解析等攻击发起点，实现对应用系统的流量、上下文、行为的持续监控。

Rasp技术的核心思想是默认应用是不可被信任的，应用自身需要具备对抗黑客攻击的能力，解决了应用补丁的滞后性问题，缩短attack free攻击时间差，降低了0day漏洞的安全威胁。

结束语：

主机是信息安全的最后一道防线，主机安全也必将成为零信任安全框架落地的重要构成。