[发明专利]一种零信任模型实现系统

说明书

本发明公开了一种零信任模型实现系统，涉及网络完全技术领域。该系统包括零信节点安全卡、物理机和安全管理端，通过使用在每个物理机上都配置零信节点安全卡，并在每个零信节点安全卡上都设置具有实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视图展现功能的板载CPU计算模块，以及具有通信功能的网络接口，并通过安全管理端对零信节点安全卡进行统一配置和管理安全策略及规则，实现了以物理机为单元的、基于零信节点安全卡的硬件和软件结合的双重防护，而且本实施例中，由于零信节点安全卡中设置有板载CPU计算模块，其防护功能和数据计算处理过程与物理机的资源是相互独立的，所以零信节点安全卡不会依赖物理机的运算，也不会受到物理机被恶意程序破坏造成的影响。

技术领域

本发明涉及网络完全技术领域，尤其涉及一种零信任模型实现系统。

背景技术

传统的网络安全解决方案聚焦在对边界信息系统和网络的脆弱性处理、配置建设和系统强化上，这种安全方案部署模式，将网络人为的分为内部和外部，内部的可信程度高于外部。

但是，这种网络安全方式已经显示出安全防护的多种问题和缺口。比较构成影响力的安全事件，基本都是由于内部网络造成的，而很多攻击或者恶意程序，恰恰是利用了内外网的这种结构，专门针对内网进行破坏。例如，发生在2017年的WannaCry勒索病毒就是一个典型的案例，WannaCry是一种“蠕虫式”的勒索病毒软件，由不法分子利用NSA(NationalSecurity Agency，美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。此次病毒事件，影响最大的是具有较大内网的行业或机构，病毒在内网肆意传播，因为普遍的情况是，在互联网工作的电脑可以在最短时间进行病毒的补丁升级，进行安全策略的升级，而工作在内网的电脑，则需要更长的时间。除了僵木蠕在内网具有更强的传染性和破坏性外，很多恶意的破坏也往往来自于内部，利用社会工程学的恶意程序，或者蓄意破坏的内部危险分子，成为目前网络安全的最主要的安全事件来源。事实上自网络安全发展初期，内部风险和安全事件就占据整个安全事件的70％以上，而随着外部网络安全建设的不断升级，这个比例也越来越高。

另外，以虚拟化和云计算为代表的新型计算环境的兴起，也使得云上的计算安全成为重点，但是，在虚拟机和云计算环境中，进行内外网的划分很难，所以，传统的网络安全解决方案很难解决在虚拟机环境下的安全问题。

虚拟化的大量应用，使得微隔离技术作为唯一可以在虚拟环境中进行保护的技术被大规模应用，微隔离技术的基础是采用特定的硬件单元和软件配合，实现每个计算单元，甚至是每台虚拟机之间的数据的安全防护和隔离。微隔离技术的发展使得零信任安全(zero trust security)模型被普遍认可。零信任安全模型是一种强化个体的安全模型，在零信任的物理实施环境下，数据流通过一个集中的带外管控系统管控。零信任安全是一种安全模式，在这种模式下，任何用户、接口或应用程序在默认情况下都不可信。需要个体都具有完整的安全防护能力，可以进行全功能防护。在零信任模型下，访问对象和被访问对象都称为独立的个体，每个被访问对象认为每次访问都是不可信的，需要进行完整的防护，对于访问对象来说，被访问对象也是不可信的，需要进行验证确认。

目前，零信任模型的实现方法主要包括以下三种：Google的BeyondCorp、VMware的NSX防火墙虚拟化隔离产品、以及PaloAltoNetworks的下一代安全平台。其中，BeyondCorp侧重于用户的接入访问权限控制；NSX侧重于虚拟机内部的东西向逻辑隔离；PaloAlto的产品侧重于以边界防护为核心的交换体系。