Zero trust network security： from theory to practice

doi:10.11772/j.issn.1001-9081.2023111617

Abstract

Abstract:

As an emerging cybersecurity concept， Zero Trust （ZT） aims at changing the traditional “trust but verify” mode to achieve stricter access control and security defense in networks. The ZT architectures are based on the fundamental premise of not trusting any user， device， or network， and requiring user identity verification and fine-grained authorization control for every access request. First， an elaboration on the concept and core principles of ZT was carried out. Then， the main application scenarios and components of the ZT architectures were introduced， as well as the working principles of these architectures. At the same time， the existing ZT architectures were compared and analyzed， for understanding the specific implementation methods of the ZT concept and providing valuable references for constructing ZT architectures. Finally， the limitations of the ZT architectures were summarized， thereby providing directions for optimizing the application of ZT.

Key words: Zero Trust (ZT), authentication, permission verification, BeyondCorp, VMware NSX, Software-Defined Perimeter (SDP), 7-layer zero-trust scheme

摘要：

零信任（ZT）是一种新兴的网络安全理念，旨在改变传统的“信任但验证”模式，从而在网络中实现更严格的访问控制和安全防御。ZT架构基于一个基本前提，即不信任任何用户、设备或网络，要求在每次访问时都验证用户身份，并对访问请求进行细粒度的授权控制。首先，阐述ZT的概念及核心原则。其次，介绍ZT架构的主要应用场景及其主要组成部分，以及这些架构的工作原理。同时，比较分析现有的ZT架构，从而为掌握ZT理念的具体实现方式并构建ZT架构提供重要的借鉴和参考。最后，总结ZT架构的局限性，从而为优化ZT的应用提供思路。

关键词: 零信任, 身份认证, 权限检验, BeyondCorp, VMware NSX, SDP, 7层零信任方案

CLC Number:

TP393.0

Zhiyang FANG, Leyan FANG, Xiang YANG. Zero trust network security： from theory to practice[J]. Journal of Computer Applications, 0, (): 88-94.

方智阳, 方玏彦, 杨湘. 零信任网络安全：从理论到实践[J]. 《计算机应用》唯一官方网站, 0, (): 88-94.

Figures/Tables 10

References 38

1	MILLER K W， VOAS J， HURLBURT G F. BYOD： security and privacy considerations［J］. IT Professional， 2012， 14（5）： 53-55.
2	MOHAMAD NOOR M B， HASSAN W H. Current research on Internet of Things （IoT） security： a survey［J］. Computer Networks， 2019， 148： 283-294.
3	SINGH K K V V， GUPTA H. A new approach for the security of VPN［C］// Proceedings of the 2nd International Conference on Information and Communication Technology for Competitive Strategies. New York： ACM， 2016： No.13.
4	MEHRAJ S， BANDAY M T. Establishing a zero trust strategy in cloud computing environment［C］// Proceedings of the 2020 International Conference on Computer Communication and Informatics. Piscataway： IEEE， 2020： 1-6.
5	ROSE S， BORCHERT O， MITCHELL S， et al. Zero trust architecture NIST special publication 800-207［EB/OL］. ［2023-11-12］. .
6	STAFFORD V A. Zero trust architecture［J］. NIST Special Publication， 2020， 800： 207.
7	YAVATKAR R， PENDARAKIS D， GUERIN R. A framework for policy-based admission control： RFC 2753 ［S］. Reston， VA： Internet Society， 2000-01.
8	SYED N F， SHAH S W， SHAGHAGHI A， et al. Zero Trust Architecture （ZTA）： a comprehensive survey［J］. IEEE Access， 2022， 10： 57143-57179.
9	BUCK C， OLENBERGER C， SCHWEIZER A， et al. Never trust， always verify： a multivocal literature review on current knowledge and research gaps of zero-trust［J］. Computers and Security， 2021， 110： No.102436.
10	KINDERVAG J. Build security into your network’s DNA： the zero trust network architecture［EB/OL］. ［2023-11-13］. .
11	李璇. Gartner发布2022-2023年八大网络安全趋势预测［EB/OL］. ［2023-11-12］. .
12	BAU J， MITCHELL J C. Security modeling and analysis［J］. IEEE Security and Privacy， 2011， 9（3）： 18-25.
13	LI S， IQBAL M， SAXENA N. Future industry internet of things with zero-trust security［J/OL］. Information Systems Frontiers（2022-03-10）［2024-05-01］. .
14	YAN X， WANG H. Survey on zero-trust network security［C］// Proceedings of the 2020 International Conference on Artificial Intelligence and Security， CCIS 1252. Singapore： Springer， 2020： 50-60.
15	YAO Q， WANG Q， ZHANG X， et al. Dynamic access control and authorization system based on zero-trust architecture［C］// Proceedings of the 1st International Conference on Control， Robotics and Intelligent System. New York： ACM， 2020： 123-127.
16	SOMANI G， GAUR M S， SANGHI D， et al. DDoS attacks in cloud computing： issues， taxonomy， and future directions［J］. Computer Communications， 2017， 107： 30-48.
17	方滨兴，崔翔，王威. 僵尸网络综述［J］. 计算机研究与发展， 2011， 48（8）： 1315-1331.
18	DENNING D E R. Cryptography and data security［M］. Boston： Addison-Wesley， 1982.
19	BOURKE J， WESSELY S. Confidentiality［J］. BMJ， 2008， 336： 888-891.
20	HE Y， HUANG D， CHEN L， et al. A survey on zero trust architecture： challenges and future trends［J］. Wireless Communications and Mobile Computing， 2022， 2022： No.6476274.
21	McFALL L. Integrity［J］. Ethics， 1987， 98（1）： 5-20.
22	ALEVIZOS L， TA V T， HASHEM EIZA M. Augmenting zero trust architecture to endpoints using blockchain： a state-of-the-art review［J］. Security and Privacy， 2022， 5（1）： No.e191.
23	郭雪，吴倩琳，孔松. 零信任的行业应用场景分析研究［J］. 中国信息安全， 2022（2）： 36-38.
24	CHUAN T， LV Y， QI Z， et al. An implementation method of zero-trust architecture［J］. Journal of Physics： Conference Series， 2020， 1651： No.012010.
25	苗功勋，蔡力兵，魏敬伟. 基于零信任的企业安全上云融合解决方案研究［J］. 保密科学技术， 2021（8）： 24-32.
26	张刘天，陈丹伟. 基于零信任的动态访问控制模型研究［J］. 信息安全研究， 2022， 8（10）： 1008-1017.
27	ALPEROVITCH D. Revealed： operation Shady RAT［R/OL］. ［2023-11-09］. .
28	WARD R， BEYER B. BeyondCorp： a new approach to enterprise security［J］. ；login：， 2014， 39（6）： 6-11.
29	PETTIT J， PFAFF B， STRINGER J， et al. Bringing platform harmony to VMware NSX［J］. ACM SIGOPS Operating Systems Review， 2018， 52（1）： 123-128.
30	KEERIYATTIL S. Microsegmentation and zero trust： introduction［M］// Zero trust networks with VMware NSX： build highly secure network architectures for your data centers. Berkely： Apress， 2019： 17-31.
31	MOUBAYED A， REFAEY A， SHAMI A. Software-Defined Perimeter （SDP）： state of the art secure solution for modern networks［J］. IEEE Network， 2019， 33（5）： 226-233.
32	CONDE D. Software-defined perimeters： an architectural view of SDP［J/OL］. IEEE Softwarization ［2024-05-02］. .
33	SALLAM A， REFAEY A， SHAMI A. On the security of SDN： a completed secure and scalable framework using the software-defined perimeter［J］. IEEE Access， 2019， 7： 146577-146587.
34	王斯梁，冯暄，蔡友保，等. 零信任安全模型解析及应用研究［J］. 信息安全研究， 2020， 6（11）： 966-971.
35	李聪聪，纪寿文，范修斌，等. 认证体制综述［J］. 信息安全研究， 2016， 2（7）： 649-659.
36	赵军. 路由劫持故障及类似故障处理［J］. 和田师范专科学校学报， 2010， 29（6）： 246-246.
37	MILLER J F. Supply chain attack framework and attack patterns： MTR140021［R/OL］. ［2023-11-13］. .
38	TEERAKANOK S， UEHARA T， INOMATA A. Migrating to zero trust architecture： reviews and challenges［J］. Security and Communication Networks， 2021， 2021： No.9947347.

解决方案	认证和授权机制	访问控制	应用范围	集成和部署	安全性和性能
BeyondCorp	多层次身份验证和授权	细粒度访问控制和动态策略调整	移动办公、远程访问等	相对复杂，需要基础设施改造	高安全性，对网络性能影响较小
VMware NSX	可自定义的认证机制	细粒度网络隔离和安全控制	虚拟化网络环境，容器环境	需要与VMware 环境集成	高安全性，可根据应用需求调整
SDP	TLS加密、多因素身份验证	应用层访问控制	云环境、远程访问等	相对灵活，可以与现有基础设施集成	高安全性，可动态调整访问权限
百度7层零信任方案	Web应用防火墙、身份认证等	综合的应用层安全防护	Web应用程序、网络环境等	相对灵活，可与百度服务集成	高安全性，可提供全面的安全防护

解决方案	认证和授权机制	访问控制	应用范围	集成和部署	安全性和性能
BeyondCorp	多层次身份验证和授权	细粒度访问控制和动态策略调整	移动办公、远程访问等	相对复杂，需要基础设施改造	高安全性，对网络性能影响较小
VMware NSX	可自定义的认证机制	细粒度网络隔离和安全控制	虚拟化网络环境，容器环境	需要与VMware 环境集成	高安全性，可根据应用需求调整
SDP	TLS加密、多因素身份验证	应用层访问控制	云环境、远程访问等	相对灵活，可以与现有基础设施集成	高安全性，可动态调整访问权限
百度7层零信任方案	Web应用防火墙、身份认证等	综合的应用层安全防护	Web应用程序、网络环境等	相对灵活，可与百度服务集成	高安全性，可提供全面的安全防护

[1]	Zuoguang WANG, Chao LI, Li ZHAO. Framework and implementation of network data security protection based on zero trust [J]. Journal of Computer Applications, 2025, 45(4): 1232-1240.
[2]	Deyuan LIU, Jingquan ZHANG, Xing ZHANG, Wunan WAN, Shibin ZHANG, Zhi QIN. Cross-chain identity authentication scheme based on certificate-less signcryption [J]. Journal of Computer Applications, 2024, 44(12): 3731-3740.
[3]	Qun WANG, Quan YUAN, Fujuan LI, Lingling XIA. Review of zero trust network and its key technologies [J]. Journal of Computer Applications, 2023, 43(4): 1142-1150.
[4]	Hongliang TIAN, Jiayue WANG, Chenxi LI. Data storage scheme based on hybrid algorithm blockchain and node identity authentication [J]. Journal of Computer Applications, 2022, 42(8): 2481-2486.
[5]	DU Xinyu, WANG Huaqun. Dynamic group based effective identity authentication and key agreement scheme in LTE-A networks [J]. Journal of Computer Applications, 2021, 41(6): 1715-1722.
[6]	ZHANG Xinglan, ZHAO Yijing. Two-way synchronous quantum identity authentication protocol based on single photon [J]. Journal of Computer Applications, 2020, 40(9): 2634-2638.
[7]	JIANG Zetao, XU Juanjuan. Heterogenous cross-domain identity authentication scheme based on signcryption in cloud environment [J]. Journal of Computer Applications, 2020, 40(3): 740-746.
[8]	LIU Wei, WANG Yang, ZHENG Jianbin, ZHAN Enqi. Chinese signature authentication based on accelerometer [J]. Journal of Computer Applications, 2017, 37(4): 1004-1007.
[9]	HU Zhenyu, LI Zhihua, CHEN Chaoqun. Authentication scheme for mobile terminals based on user society relation [J]. Journal of Computer Applications, 2016, 36(6): 1552-1557.
[10]	WANG Kang, LI Qingbao. File hiding based on capacity disguise and double file system [J]. Journal of Computer Applications, 2016, 36(4): 979-984.
[11]	PANG Yongchun, SUN Ziwen, WANG Yao. Authentication algorithm of multi-touch based on mobile touch sensor [J]. Journal of Computer Applications, 2015, 35(6): 1780-1784.
[12]	XUE Feng, WANG Ding, CAO Pinjun, LI Yong. Cryptanalysis of two anonymous user authentication schemes for wireless sensor networks [J]. Journal of Computer Applications, 2015, 35(12): 3424-3428.
[13]	LIU Chao GENG Huantong LIU Wenjie. Secure quantum communication protocol based on symmetric W state and identity authentication [J]. Journal of Computer Applications, 2014, 34(2): 438-441.
[14]	DAI Yong ZHANG Weijing SUN Guangwu. Password multimodality method in financial transactions [J]. Journal of Computer Applications, 2013, 33(01): 135-137.
[15]	XUE Feng WANG Ding WANG Li-ping MA Chun-guang. Cryptanalysis of two smartcard-based remote user password authentication protocols [J]. Journal of Computer Applications, 2012, 32(07): 2007-2009.