零触碰与零信任

零触碰与零信任作者：李军胡效赫来源：中兴通讯技术2021年第03期竺首图1网始自劫化系统的逻辑架构弟路氧排的按叫度术构成链路断流更新网络模型配蓍、命令、送测0 网络营脸网络没岳系统圈3 Google的零触碰网络架构1,1缱骤蜿箱十EZZ3 M4XJH迥ASH爆盟科技的零信任期络霓全架构皿疏目录位、壬推攻|狂三发行 用尸与电 觥率旬件与由A图5 Google的零信任企业安全131摘要：随着网络规模持续增加、应用日益复杂以及动态性不断增强，网络自动化的需求愈 发迫切。网络转发呈现零触碰的趋势，以实现策略编排的自动化为目标。网络安全呈现零信任 的趋势，以实现身份访问的自动化为目标。从基本理念、核心组成以及工业实践的角度对零触 碰和零信任进行分析，阐述网络自动化的必要性与发展情形。关键词：网络自动化；网络转发；零触碰；网络安全；零信任Abstract : With the increasing scale of networks, complexity of applications， and dynamics of scenarios， there has been an urgent demand of network automation. Network forwarding is becoming zero touch， automating the policy orchestration. Network security is becoming zero trust， automating the identity and access management. Zero touch and zero trust networks are analyzed in three aspects, i.e., basic concept, core components, and industrial practice, and the necessity and development of network automation are described.Keywords : network automation ； network forwarding ； zero touch ； network security ； zero trust在学术研究中，研究者有时会把网络的转发与安全“正交化”，即把网络转发与网络安全 “解耦”开来，以便简化问题、“分而治之”。按照这个原则设计出来的系统架构和解决方案，符 合实际管理体系中的人员分工，自然也就比较容易落地应用。然而，网络的转发与安全事实上 是高度相关、密不可分的。不发生网络转发的行为，就不存在网络安全的问题。而没有网络安 全的保障，网络转发就容易受到攻击。网络转发协议、拓扑和流量的变化，必定会引发网络安 全的机制设计、技术构成和实现方式的改变。而网络安全的完备性和有效性，又是与网络转发 的私密性、完整性和可靠性交织在一起的。通常所说的网络，主要是指交换和路由机制对网包的操作。伴随着网络规模和流速的指数 增长，协议和应用的日趋纷繁，以及人类生活对网络依赖性的不断加剧，通过人工配置来管理 网络的方法经常捉襟见肘、状况百出。网络管理人员难以应对复杂大系统”。网络自动化成为 日益迫切的需求。在这样的背景下，零触碰网络应运而生。同时，随着网络虚拟化和动态化的不断增强，不但以工作环境为网络物理边界的安全防护 早已无法满足移动办公和居家办公的普及要求，大量企业信息系统云化”对逻辑边界的安全需 求，以及企业核心资产面临的巨大数据安全挑战，也使得原有的一次认证、一路畅通”的信任 模式不再可靠。因此，我们需要建立零信任网络。或者说，对用户或终端的信任只能建立在持 续的认证、鉴权、“健康体检”和行为监测控制的基础之上。无论是零触碰还是零信任，本质上都是对网络自动化迫切需求的反映。1网络转发与零触碰网络转发主要依靠路由器和交换机来完成，而这些物理资源并不是随时随地更换或增减的 （至少变化频率不会很高）。此外，它们在运行软件时所遵从的协议，相对而言也是静态” 的，不会频繁切换或升级、卸载。网络转发设备或虚拟设备相互连接构成的网络拓扑及其承载 的具体功能，主要是由策略（涵盖配置和规则等说法）编排决定的。严格来说，这些策略也是程序的一部分，但不是在硬编码和预编译（机器语言，即二进制 代码）之后才被绑定到物理设备或逻辑设备中的，而是在运行期间甚至运行时，依据网络设计 目标和资源情形“动态”注入的。通常这些策略也会需要预编译，以紧凑的数据结构来满足性能 要求。传统上，策略编排是由网络管理员来完成的。他们运用特定的网络连线和设备配置来完成 网络设计目标。Google研究报告显示，超过7成的网络故障发生在网络管理操作过程中1。 在网络的规模、复杂性和动态性远超过人工能力范畴的情况下，策略编排需要新的范式来保障 网络设计的效率和稳定性。零触碰的宗旨是最小化网络管理生命周期中的人工介入，并最大化程序与工具在网络管理 中的占比。其中的关键在于实现自动化的策略编排：管理员只需要关注网络设计的目标是什 么”，无须考虑连线与配置“怎么做”。零触碰网络的实现可以参照计算机程序编译和芯片设计 的电子设计自动化（EDA）Z具。网络自动化和程序设计都是把高级语义映射为机器代码的过 程，而芯片设计面对的布局布线约束与网元资源及其连接的约束也有相似之处。零触碰网络的提出不仅源自云计算和网络代际升级带来的管理挑战，遢得益于软件定义网 络（SDN）为网络开放创新打下的基础。在SDN的理念下，零触碰进一步融入闭环控制、软 件验证、编程语言等多领域机制。这也充分说明计算机网络是信息科学中典型的交叉融合应用 场景。零触碰网络依托于一整套网络自动化系统和一系列策略编排核心技术。这主要体现在： （1）在系统设计方面，零触碰网络遵循抽象化原则，通过管理闭环来保障网络稳定性；（2） 在管理员接口设计方面，零触碰网络遵循声明式编程范式，以提高系统易用性；（3）在模块 实现方面，零触碰网络通过算法优化来应对规模增长带来的效率问题。从网络自动化架构来看（如图1所示），零触碰分别体现在3个层面上。最上层是意图驱动网络（IBN）重点关注的，也是零触碰的关键。该层将管理平面用户或 应用的意图，映射为逻辑集中的控制平面可以理解的策略。这使网络管理员从庞杂细碎的手工 配置中抽出身来，以便他们把主要精力聚焦在网络设计目标的确定和达成上。这里涉及的主要 是策略语言，它包括策略描述的定义和编译（也称综合）。网络策略通常被分为转发策略和其 他网络服务策略，而服务策略主要包括安全策略。中间层是SDN关注的核心以控制器的能力来支撑零触碰。基于网络拓扑与协议，同时 根据网络策略和状态，该层可求解策略部署方案，并验证策略的一致性。其中，策略和状态组 成闭环控制的整体。零触碰根据特定的网络状态部署相应的策略以实现管理员意图。细化来 看，策略部署的正确性也需要一个下发和校验的闭环来保障，状态获取的针对性也同样需要一 个配置和监测的闭环来支撑。最下层是分布的数据平面。该层完成网络流量的策略匹配与状态监测，并执行相应的网络 功能。图2展示了策略编排在网络自动化系统架构中对应的核心技术构成。策略语言中定义和编译环节的关键在于意图基元的设计。这种设计背后反映的是对网络流量、协议和拓扑的描述， 以及对生成、修复等不同管理操作的构建。在策略实施中，策略部署的关键在于求解给定网络 约束下策略分配和部署网元（或节点）选取的优化问题，策略校验的关键在于对拓扑和网元的 建模以及适应性算法的设计。策略匹配的关键在于软件算法优化和硬件平台加速。整体来看， 当前的策略编排技术能够针对具体的网元和拓扑需求抽象出特定模型，并能应用特定算法。但 从系统性的角度看，实现零触碰的统一化和插件化还有很多工作要做。图1网婚自动化系统的逻辑架构.用 F Y E5M用尸r应用图3弟路氧排的按心度术电成零触碰网络的理念来源于Google在2016年发表的学术论文1。欧洲电信标准化协会 （ETSI）后续成立了面向5G的零触碰网络与服务管理工作组。与零触碰相类似的理念包括 2016年Juniper公司提出的自动驾驶网络（SelfDN）和2017年Gartner公司提出的IBN。这些 理念的共性都是要实现自动化的策略编排，减少网络基础设施的交付时间，并降低网络故障的 发生频次。在零触碰方面上，走在业界前沿的是Google、Microsofts阿里云等大型云计算厂商。零触 碰网络的业界实践可参考Google的设计方案（如图3所示）。该方案在系统架构上与图1所 描述的网络自动化架构相似。阿里云在2019年发表了针对骨干网接入控制的策略编排，定义 并实现了特定领域的意图。拥有面向云数据中心和混合云场景的网络自动化方案的代表性厂商 有Apstra、Intentionet等。在零触碰产品的市场认可和推广方面，向下需要扩充对底层网元功 能和协议类型的适配广度，向上需要丰富典型业务场景的操作意图参考设计，以满足网络连通 到网络安全等多样需求，实现系统的“能观”与“能控”。2网络安全与零信任信任是人际交往和交易中影响效率的重要因素，因此网络访问或网络交互也必然依赖于信 任的建立。关于零信任，业界流传着这样一句话：“永远不要信任，始终进行验证，实施最小 权限。”其实，不是“永远不要信任”，而是“不要永远信任”。也就是说，应将传统的一次性认 证改为经常性查验，而且不是严格意义上的不间断地“始终进行验证”。通常，人们还是采用定 期采样或事件触发的验证，并给予一定期限和条件的授权。零信任的实现，不仅需要引入新技术或新设备，还需要借助微隔雕（MSG）以及细粒度 的边界策略。在虚拟网络特别是云场景中，相对于传统模式来说，规模和复杂性增加很多，因 而工程实现的难度也将增加。在解决新问题、引进新能力的同时，零信任的实施也牵涉更多的 人力和物力资源。适度的信任和自动化，是在特定安全等级下降低成本、提升效率的良好途 径。当然，面对自带设备（BYOD）和5G带来的接入多样化，应用与系统的日趋云化，以及 社会组织、网络安全的态势改变，信任和风险总是相互关联的。零信任的前提是实施最小特权，而零信任的基础是实践动态认证。不同应用场景下的零信 任系统，会因地制宜地选择和融合多种网络安全和数据安全技术。但身份认证和边界控制是所 有零信任实践的核心。最小特权也称最小授权，是信息安全的基本模型之一。最小特权的概念最早源于容错理 论。它涉及特权分离和完全仲裁等一系列原则。在网络安全实战中，它可以减少应用的公共可 见性，从而显著减小攻击面。一般情况下，传统网络物理边界的失效，并不意味着无边界”。 网络不同安全区域之间的逻辑边界是实施安全分级（等级保护）治理的前提条件。普通用户对 网络边界无感并不意味着完全没有边界。零信任恰恰是在软件定义边界（SDP）和云访问安全 代理（CASB）等技术体系的基础上整合出来的解决方案。当然，边界的极致就是终端。零信 任也可以在终端侧部署，以解决传统边界防护在端到端远程访问场景下的诸多问题。动态认证则是身份权限管理（IAM）中身份验证和鉴权的延伸。从最简单的“五元组”接入 控制表（ACL），到基于角色的接入控制（RBAC），再到基于属性的接入控制（ABAC）， 都是网络安全中身份认证不断精细化的体现。然而，除了简单的定期复检（超时）夕卜，它们大 多不会“与时俱进”，反映即时的变化。而对用户、设备、网络“身份”的识别和认证，以及对网 络安全相关状态、流量、行为甚至“全息”数据的掌控，则是安全身份判定逐步动态化的体现。 实际上，这和大数据技术中常用的“用户画像”概念十分类似，它们都通过精准定位来服务对 象，以达到提供精准服务的目的。零信任正是通过精细化、动态化的风险评估，才实现了相应 的接入或准入控制，在空间和时间上为网络提供最大程度的防御。最上层是意图驱动网络（IBN）重点关注的，也是零触碰的关键。该层将管理平面用户或 应用的意图，映射为逻辑集中的控制平面可以理解的策略。这使网络管理员从庞杂细碎的手工 配置中抽出身来，以便他们把主要精力聚焦在网络设计目标的确定和达成上。这里涉及的主要 是策略语言，它包括策略描述的定义和编译（也称综合）。网络策略通常被分为转发策略和其 他网络服务策略，而服务策略主要包括安全策略。中间层是SDN关注的核心以控制器的能力来支撑零触碰。基于网络拓扑与协议，同时 根据网络策略和状态，该层可求解策略部署方案，并验证策略的一致性。其中，策略和状态组 成闭环控制的整体。零触碰根据特定的网络状态部署相应的策略以实现管理员意图。细化来 看，策略部署的正确性也需要一个下发和校验的闭环来保障，状态获取的针对性也同样需要一 个配置和监测的闭环来支撑。最下层是分布的数据平面。该层完成网络流量的策略匹配与状态监测，并执行相应的网络 功能。图2展示了策略编排在网络自动化系统架构中对应的核心技术构成。策略语言中定义和编 译环节的关键在于意图基元的设计。这种设计背后反映的是对网络流量、协议和拓扑的描述， 以及对生成、修复等不同管理操作的构建。在策略实施中，策略部署的关键在于求解给定网络 约束下策略分配和部署网元（或节点）选取的优化问题，策略校验的关键在于对拓扑和网元的 建模以及适应性算法的设计。策略匹配的关键在于软件算法优化和硬件平台加速。整体来看， 当前的策略编排技术能够针对具体的网元和拓扑需求抽象出特定模型，并能应用特定算法。但 从系统性的角度看，实现零触碰的统一化和插件化还有很多工作要做。图1网婚自动化系统的逻辑架构.用 F Y E5M用尸r应用图3弟路氧排的按心度术电成零触碰网络的理念来源于Google在2016年发表的学术论文1。欧洲电信标准化协会 （ETSI）后续成立了面向5G的零触碰网络与服务管理工作组。与零触碰相类似的理念包括 2016年Juniper公司提出的自动驾驶网络（SelfDN）和2017年Gartner公司提出的IBN。这些 理念的共性都是要实现自动化的策略编排，减少网络基础设施的交付时间，并降低网络故障的 发生频次。在零触碰方面上，走在业界前沿的是Google、Microsofts阿里云等大型云计算厂商。零触 碰网络的业界实践可参考Google的设计方案（如图3所示）。该方案在系统架构上与图1所 描述的网络自动化架构相似。阿里云在2019年发表了针对骨干网接入控制的策略编排，定义 并实现了特定领域的意图。拥有面向云数据中心和混合云场景的网络自动化方案的代表性厂商 有Apstra、Intentionet等。在零触碰产品的市场认可和推广方面，向下需要扩充对底层网元功 能和协议类型的适配广度，向上需要丰富典型业务场景的操作意图参考设计，以满足网络连通 到网络安全等多样需求，实现系统的“能观”与“能控”。2网络安全与零信任信任是人际交往和交易中影响效率的重要因素，因此网络访问或网络交互也必然依赖于信 任的建立。关于零信任，业界流传着这样一句话：“永远不要信任，始终进行验证，实施最小 权限。”其实，不是“永远不要信任”，而是“不要永远信任”。也就是说，应将传统的一次性认 证改为经常性查验，而且不是严格意义上的不间断地“始终进行验证”。通常，人们还是采用定 期采样或事件触发的验证，并给予一定期限和条件的授权。零信任的实现，不仅需要引入新技术或新设备，还需要借助微隔离（MSG）以及细粒度 的边界策略。在虚拟网络特别是云场景中，相对于传统模式来说，规模和复杂性增加很多，因 而工程实现的难度也将增加。在解决新问题、引进新能力的同时，零信任的实施也牵涉更多的 人力和物力资源。适度的信任和自动化，是在特定安全等级下降低成本、提升效率的良好途 径。当然，面对自带设备（BYOD）和5G带来的接入多样化，应用与系统的日趋云化，以及 社会组织、网络安全的态势改变，信任和风险总是相互关联的。零信任的前提是实施最小特权，而零信任的基础是实践动态认证。不同应用场景下的零信 任系统，会因地制宜地选择和融合多种网络安全和数据安全技术。但身份认和边界控制是所 有零信任实践的核心。最小特权也称最小授权，是信息安全的基本模型之一。最小特权的概念最早源于容错理 论。它涉及特权分离和完全仲裁等一系列原则。在网络安全实战中，它可以减少应用的公共可 见性，从而显著减小攻击面。一般情况下，传统网络物理边界的失效，并不意味着无边界”。 网络不同安全区域之间的逻辑边界是实施安全分级（等级保护）治理的前提条件。普通用户对 网络边界无感并不意味着完全没有边界。零信任恰恰是在软件定义边界（SDP）和云访问安全 代理（CASB）等技术体系的基础上整合出来的解决方案。当然，边界的极致就是终端。零信 任也可以在终端侧部署，以解决传统边界防护在端到端远程访问场景下的诸多问题。动态认证则是身份权限管理（IAM）中身份验证和鉴权的延伸。从最简单的“五元组”接入 控制表（ACL），到基于角色的接入控制（RBAC），再到基于属性的接入控制（ABAC）, 都是网络安全中身份认证不断精细化的体现。然而，除了简单的定期复检（超时）夕卜，它们大 多不会“与时俱进”，反映即时的变化。而对用户、设备、网络“身份”的识别和认证，以及对网 络安全相关状态、流量、行为甚至“全息”数据的掌控，则是安全身份判定逐步动态化的体现。 实际上，这和大数据技术中常用的“用户画像”概念十分类似，它们都通过精准定位来服务对 象，以达到提供精准服务的目的。零信任正是通过精细化、动态化的风险评估，才实现了相应 的接入或准入控制，在空间和时间上为网络提供最大程度的防御。