導(dǎo)語(yǔ)：

　　近兩年來(lái)，零信任（Zero Trust）和ATT&CK在安全圈著實(shí)火熱，特別是前者,，大廠搖旗吶喊,，小廠也擂鼓助威，都說(shuō)自己是零信任理念的先行者,， IAM相關(guān)廠商說(shuō)零信任架構(gòu)里面，身份是新邊界；NAC和防火墻廠商說(shuō)策略檢查點(diǎn)是零信任的關(guān)鍵部件,；VPN廠商說(shuō)他們除了加密也支持多因素認(rèn)證，符合零信任的特征,；數(shù)據(jù)安全公司說(shuō)他們保護(hù)的就是敏感數(shù)據(jù),，和零信任的目標(biāo)完全一致?？傊?，不扯上點(diǎn)關(guān)系都不好意思。

　　著名咨詢機(jī)構(gòu)Gartner曾在《零信任網(wǎng)絡(luò)訪問(wèn)市場(chǎng)指南》中預(yù)測(cè)2023年將有60%的組織采用ZTNA（SDP）取代VPN技術(shù),。VPN一直是遠(yuǎn)程接入的首選方式,，而本次新冠疫情催生的遠(yuǎn)程辦公的熱潮中，VPN資源消耗和“卡頓”問(wèn)題被成倍放大,，某國(guó)內(nèi)著名公司 SSL VPN 設(shè)備被曝存在漏洞,，被APT組織Darkhotel（APT-C-06）利用而發(fā)起針對(duì)我國(guó)多駐外機(jī)構(gòu)發(fā)起攻擊的事件也被爆出，VPN真如風(fēng)燭殘年的老人一般,，盡顯老態(tài)嗎,？有安全媒體甚至斷言：如果新冠疫情發(fā)展成持久戰(zhàn)，VPN與零信任架構(gòu)的“決勝局”勢(shì)必將提前上演,。

　　那么,，當(dāng)我們談零信任的時(shí)候，需要了解哪些主要東西呢,？本文將試圖提煉出要點(diǎn),。

　　一、零信任的起源

　　現(xiàn)有TCP/IP協(xié)議和互聯(lián)網(wǎng)是為互聯(lián)互通而設(shè)計(jì),，沒(méi)有考慮太多的安全控制,，任何主機(jī)之間可以相互通信，黑客可以探測(cè)互聯(lián)網(wǎng)絡(luò)中的任意目標(biāo)，而在現(xiàn)實(shí)中,，我們要約見相關(guān)的人或去某些單位不但要認(rèn)證身份,，甚至需要提前預(yù)約和審批。

　　即使有了防火墻將外網(wǎng)的攻擊進(jìn)行阻擋,，整個(gè)內(nèi)網(wǎng)的機(jī)器之間也是可以相互訪問(wèn),。

　　零信任的出現(xiàn)主要基于兩項(xiàng)原因：

　　●云大物移技術(shù)的發(fā)展和數(shù)字化轉(zhuǎn)型讓邊界更加模糊，傳統(tǒng)城堡式防御模型面臨巨大挑戰(zhàn),，甚至不再奏效,。

　　●內(nèi)部人員的威脅和APT攻擊讓內(nèi)網(wǎng)和互聯(lián)網(wǎng)一樣充滿風(fēng)險(xiǎn)，默認(rèn)和靜態(tài)的信任模型需要革新,。

　　零信任發(fā)展中有較大影響的機(jī)構(gòu)和歷程如下：

　　二,、主要流派

　　（一）Forrester

　　提到零信任,，首先需要提及的就是Forrester這家咨詢機(jī)構(gòu),。

　　但梳理零信任的發(fā)展歷史和主要流派可以看出，盡管最早提出Zero Trust一詞的是Forrester分析師約翰,。金德維格,，但零信任并不是憑空才出現(xiàn)的，很早就有了雛形,，包括美國(guó)國(guó)防部的黑核項(xiàng)目,，就是希望解決傳統(tǒng)默認(rèn)、靜態(tài)的網(wǎng)絡(luò)信任隱藏著巨大風(fēng)險(xiǎn)的問(wèn)題,。

　　金德維格認(rèn)為傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全架構(gòu)存在風(fēng)險(xiǎn),，可信的內(nèi)部網(wǎng)絡(luò)充滿威脅，信任是致命的風(fēng)險(xiǎn),。并提到了三個(gè)核心觀點(diǎn)：

　　●不再以一個(gè)清晰的邊界,，來(lái)劃分信任或不信任的設(shè)備；

　　●不再有信任或不信任的網(wǎng)絡(luò),；

　　●不再有信任或不信任的用戶,。

　　有意思的是，這哥們提完這個(gè)概念沒(méi)幾年,，就去Palo Alto Networks實(shí)踐去了,，直到另外一位分析師坎寧安繼續(xù)在Forrester扛起了零信任的大旗，他在Forrester的主頁(yè)上介紹自己是零信任的一個(gè)huge fans,，并于2018年提出ZTX（零信任擴(kuò)展）,，將零信任的范圍從網(wǎng)絡(luò)擴(kuò)展到設(shè)備,、用戶和工作負(fù)載,，將能力從微隔離擴(kuò)展到可視化與分析、自動(dòng)化與編排，并提出身份不僅僅針對(duì)用戶,，還包括IP地址,、MAC 地址、操作系統(tǒng)等,，也就是說(shuō)具有身份的任何實(shí)體包括用戶,、設(shè)備、云資產(chǎn),、網(wǎng)絡(luò)分段都必須在零信任架構(gòu)下進(jìn)行識(shí)別,、認(rèn)證和管理。

　　微分段是零信任的一個(gè)關(guān)鍵能力,，不僅僅包括網(wǎng)絡(luò),、用戶，還包括設(shè)備,、容器,、微服務(wù)、甚至進(jìn)程等,，可見零信任的概念和范疇已經(jīng)得到極大的延伸和擴(kuò)展,。（有空再專門介紹ZTX）

　　（二）Google

　　真正引起業(yè)界對(duì)零信任極大興趣的,，當(dāng)屬Google在2014年陸續(xù)發(fā)布6篇關(guān)于其自身實(shí)踐零信任的論文,。2011-2017年期間，Google Beyond Corp項(xiàng)目實(shí)施落地,，實(shí)現(xiàn)不區(qū)分內(nèi)外網(wǎng),，讓員工不借助VPN安全地在任何地方開展工作，將訪問(wèn)權(quán)限從網(wǎng)絡(luò)邊界轉(zhuǎn)移到設(shè)備,、用戶和應(yīng)用,。Beyond Corp的核心思想是組織不應(yīng)該信任任何實(shí)體，無(wú)論該實(shí)體是在邊界內(nèi)還是在邊界外,，應(yīng)該遵循“永不信任,，始終驗(yàn)證”的原則。有傳谷歌開展這個(gè)項(xiàng)目與2009年遭受極光行動(dòng)導(dǎo)致Gmail郵箱和源代碼被APT組織入侵有關(guān),，但沒(méi)有官方的說(shuō)法,。

　　關(guān)于Beyond Corp的介紹資料非常多，論文也可以找到,，就不再詳述,，這是谷歌員工從任何地方登陸訪問(wèn)內(nèi)部業(yè)務(wù)的界面：

　　最近Google也發(fā)布了 BeyondProd白皮書，詳細(xì)介紹了容器化的云原生安全模型,。該模型超越了傳統(tǒng)的基于邊界的安全模型,，而是利用代碼來(lái)源和服務(wù)身份標(biāo)識(shí)作為安全基石,。同時(shí)，Google還提供了一份可用于實(shí)現(xiàn)其安全模型的開源軟件列表,，解決容器,、微服務(wù)等云原生安全。

　?。ㄈ〨artner

　　作為安全規(guī)劃和咨詢領(lǐng)域最權(quán)威機(jī)構(gòu)的Gartner,，在2017年安全與風(fēng)險(xiǎn)管理峰會(huì)上發(fā)布CARTA模型并提出零信任是實(shí)現(xiàn)CARTA宏圖的初始步驟，后續(xù)又發(fā)布ZTNA市場(chǎng)指南（注：SDP被Gartner稱為ZTNA,，即零信任網(wǎng)絡(luò)訪問(wèn)）,。CARTA 是自適應(yīng)安全架構(gòu)的3.0版本，英文Continuous Adaptive Risk and Trust Assessment的縮寫,， 強(qiáng)調(diào)通過(guò)持續(xù)監(jiān)控和審計(jì)來(lái)判斷安全狀況,，沒(méi)有絕對(duì)的安全和100%的信任，尋求一種0和1之間的風(fēng)險(xiǎn)與信任的平衡,，并提出完整的保護(hù)=阻止+檢測(cè)與響應(yīng),、完整的訪問(wèn)保護(hù)=運(yùn)行訪問(wèn)+驗(yàn)證等觀點(diǎn)。

　　Gartner的CARTA模型將零信任和攻擊防護(hù)相結(jié)合,，形成了持續(xù)的風(fēng)險(xiǎn)和信任評(píng)估,，由于該模型比較龐大和復(fù)雜，在此就不詳述,。

　?。ㄋ模〤SA

　　國(guó)際云安全聯(lián)盟于2013年成立SDP（Software Defined Perimeter，軟件定義邊界）工作組,，由美國(guó)中央情報(bào)局（CIA） CTO Bob 擔(dān)任工作組組長(zhǎng),，并于2014年發(fā)布SPEC 1.0等多項(xiàng)研究成果。SDP作為新一代網(wǎng)絡(luò)安全解決理念,，其整個(gè)中心思想是通過(guò)軟件的方式,，在移動(dòng)和云化的時(shí)代，構(gòu)建一個(gè)虛擬的企業(yè)邊界,，利用基于身份的訪問(wèn)控制,，來(lái)應(yīng)對(duì)邊界模糊化帶來(lái)的粗粒度控制問(wèn)題，以此達(dá)到保護(hù)企業(yè)數(shù)據(jù)安全的目的,。經(jīng)過(guò)多年發(fā)展,，SDP技術(shù)越來(lái)越被廣泛應(yīng)用，成為零信任最成熟的商業(yè)解決方案,，Zscaler,、Akamai等國(guó)外著名云安全廠商和一些國(guó)內(nèi)公司如聯(lián)軟科技、云深互聯(lián)等都有相關(guān)產(chǎn)品和解決方案,。

　?。ㄎ澹㎞IST

　　熟悉網(wǎng)絡(luò)安全的都知道,，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST出臺(tái)了很多網(wǎng)絡(luò)安全相關(guān)的標(biāo)準(zhǔn)和規(guī)范，在網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化方面發(fā)揮著重要的作用,，如著名的SP800系列,。2020年2月,，NIST發(fā)布SP800-207:Zero Trust Architecture 草案第二版本,。

　　草案對(duì)零信任架構(gòu)ZTA的定義如下：利用零信任的企業(yè)網(wǎng)絡(luò)安全規(guī)劃，包括概念,、思路和組件關(guān)系的集合,、旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精準(zhǔn)訪問(wèn)策略的不確定性。

　　該標(biāo)準(zhǔn)強(qiáng)調(diào)安全防護(hù)應(yīng)該圍繞著資源（數(shù)據(jù),、負(fù)載,、應(yīng)用等），零信任適用于一個(gè)組織內(nèi)部或與合作伙伴協(xié)助完成的工作環(huán)境,，并非常詳細(xì)地描述了零信任架構(gòu)的邏輯組件,。

　　各主要部件的介紹如下：

　　策略引擎（Policy Engine）：該組件通過(guò)獲取多方數(shù)據(jù)（如CDM、威脅情報(bào)）來(lái)最終決定是否允許指定的主體可以對(duì)資源進(jìn)行訪問(wèn),。

　　策略管理器（Policy Administrator）：該組件負(fù)責(zé)建立或關(guān)閉主體與資源之間的連接,。它將生成客戶端用來(lái)訪問(wèn)企業(yè)資源的任何身份驗(yàn)證，令牌或憑據(jù),。它與策略引擎緊密相關(guān),，并依賴于策略引擎決定最終允許還是拒絕連接。

　　策略執(zhí)行點(diǎn)（Policy Enforcement Point）：此系統(tǒng)負(fù)責(zé)啟用,，監(jiān)視并最終終止主體與企業(yè)資源之間的連接,。這是ZTA中的單個(gè)邏輯組件，但可以分為兩個(gè)不同的組件：客戶端和資源端,。

　　持續(xù)性診斷和緩解（Continuous and Diagnostics and Mitigation）：該系統(tǒng)收集有關(guān)企業(yè)資產(chǎn)當(dāng)前狀態(tài)的信息,，常見的CDM如終端安全管理系統(tǒng)，可將訪問(wèn)終端的漏洞和補(bǔ)丁情況提供給策略引擎做決策,。

　　行業(yè)合規(guī)系統(tǒng)：此系統(tǒng)可確保企業(yè)遵守其可能受到的任何監(jiān)管制度（例如FISMA,，GDPR等），包括企業(yè)為確保合規(guī)性而開發(fā)的所有策略規(guī)則,。

　　威脅情報(bào)源：此系統(tǒng)從內(nèi)部或外部來(lái)源提供信息,，以幫助策略引擎做出訪問(wèn)決策。這些服務(wù)從內(nèi)部或多個(gè)外部源獲取有關(guān)新發(fā)現(xiàn)的攻擊或漏洞的信息,。

　　數(shù)據(jù)訪問(wèn)策略：這是訪問(wèn)企業(yè)資源的規(guī)則和策略的集合,。可以在策略引擎中實(shí)現(xiàn)錄入或動(dòng)態(tài)生成,，比如銷售人員只能訪問(wèn)CRM系統(tǒng)而不可以訪問(wèn)財(cái)務(wù)系統(tǒng)等,。

　　PKI系統(tǒng)：此系統(tǒng)負(fù)責(zé)生成和記錄企業(yè)頒發(fā)給資源,、主體和應(yīng)用程序的證書。

　　ID管理系統(tǒng)：此系統(tǒng)負(fù)責(zé)創(chuàng)建,，存儲(chǔ)和管理企業(yè)用戶帳戶和身份記錄（如LDAP,、4A、IAM）,。

　　安全事件和事件管理（SIEM）系統(tǒng)：該系統(tǒng)收集和分析各種系統(tǒng)產(chǎn)生的安全事件,、日志、流量,，這些數(shù)據(jù)將用于完善策略并警告可能對(duì)企業(yè)資產(chǎn)的攻擊,。

　　從上述組件可以看出，零信任架構(gòu)中的眾多組件并不是新的技術(shù)或產(chǎn)品,，而是按照零信任理念形成的一個(gè)面向用戶,、設(shè)備和應(yīng)用的完整端對(duì)端安全解決方案。

　　三,、真正價(jià)值

　　美國(guó)軍隊(duì)和政府一直通過(guò)一些列工程或行動(dòng)提升重要機(jī)構(gòu)網(wǎng)絡(luò)安全能力,，包括2006年開始的大型攻防演習(xí)“CyberStorm”、愛因斯坦工程（已多期）,、CDM（持續(xù)監(jiān)測(cè)與診斷計(jì)劃）等,，這些安全項(xiàng)目無(wú)窮無(wú)盡但并不能讓用戶知道方向在哪里，美國(guó)聯(lián)邦首席信息官Kent曾說(shuō)：“一直以來(lái),，我們希望有一個(gè)視角,，使得各個(gè)政府機(jī)構(gòu)在實(shí)施自己的安全計(jì)劃時(shí)，能夠考慮到一個(gè)長(zhǎng)期的愿景,。而現(xiàn)在達(dá)成的共識(shí)是：零信任正是這個(gè)愿景,。”

　　美國(guó)國(guó)防部2019年發(fā)布的《數(shù)字現(xiàn)代化戰(zhàn)略規(guī)劃》中明確提出將零信任實(shí)施列為最高優(yōu)先事項(xiàng),，足見美國(guó)政府和軍隊(duì)對(duì)零信任的重視,。

　　四、未來(lái)展望

　　可以看到,，近年來(lái)零信任的內(nèi)涵和外延在不斷發(fā)展,、快速演變中，作為一種理念和新架構(gòu),，ZTA能很好地指導(dǎo)我們進(jìn)行安全規(guī)劃和訪問(wèn)控制,，實(shí)現(xiàn)對(duì)重要數(shù)據(jù)和應(yīng)用的高強(qiáng)度安全保護(hù)。

　　開發(fā)能力強(qiáng)的一些甲方開始在新的業(yè)務(wù)場(chǎng)景和面向云的環(huán)境中開始實(shí)踐和落地零信任,，其中SDP成為零信任領(lǐng)域相對(duì)更成熟的商業(yè)解決方案,。本質(zhì)上，零信任是一種基于用戶,、設(shè)備,、用戶和數(shù)據(jù)的端對(duì)端的安全解決方案,，在這種模式下，網(wǎng)絡(luò)逐漸成為一個(gè)加密的通道,，端點(diǎn)和云端的重要性愈發(fā)凸顯,。

　　零信任是萬(wàn)能的嗎？答案是：安全沒(méi)有銀彈,，零信任并不能解決所有的安全問(wèn)題,，比如面向公眾互聯(lián)網(wǎng)匿名訪問(wèn)的場(chǎng)景就難以應(yīng)用零信任方案。另外,，新的解決方案一定會(huì)帶來(lái)新的安全問(wèn)題,，比如AI的污染問(wèn)題,，零信任架構(gòu)下,，網(wǎng)關(guān)或策略控制器成為架構(gòu)的核心，其自身可靠性,、擴(kuò)展性和安全性至關(guān)重要,，同時(shí)所有的部件也是軟件實(shí)現(xiàn)的，自身的漏洞和缺陷難以避免,。

　　既然零信任構(gòu)建的是基于身份的新邊界,，那么傳統(tǒng)邊界防御模型并不需要了嗎？答案也是否定的,，傳統(tǒng)防御手段和邊界防御模型依然有效,，身份只不過(guò)是在邊界模型基礎(chǔ)上構(gòu)建的更細(xì)粒度和動(dòng)態(tài)的邊界，是原有防御基礎(chǔ)上的一道新防線,。

　　另外,，可以看到，零信任是一個(gè)大的架構(gòu),，沒(méi)有一家公司可以提供完整的解決方案,，生態(tài)體系的建設(shè)非常重要，對(duì)用戶來(lái)講,，選擇零信任供應(yīng)商需要考慮很多因素（另文討論）,。每家希望實(shí)施零信任架構(gòu)的公司都處于發(fā)展的不同階段，零信任領(lǐng)域的一大玩家微軟最近宣布將推出零信任評(píng)估工具,，針對(duì)零信任的六個(gè)基本要素（即身份,、設(shè)備、應(yīng)用程序,、數(shù)據(jù),、基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)）幫助用戶判斷他們自己的位置，評(píng)估工具還能為組織提供有關(guān)如何進(jìn)入到下一階段的建議,。

　　Kent說(shuō)：在充滿挑戰(zhàn)的安全建設(shè)這條隧道的盡頭,，出現(xiàn)了一道眾所周知的亮光,，它把許多安全項(xiàng)目和工程整合在一起，給了人們希望,，零信任正是隧道盡頭的光明,。

　　當(dāng)然，也許是漫長(zhǎng)之路,。

　　村長(zhǎng)有話說(shuō)：

　　零信任這個(gè)詞匯翻譯成中文后比較抽象,，容易誤解，并不像計(jì)算機(jī)世界里的0和1那么簡(jiǎn)單,，如果是真正的零信任,，那么主體和客體之間的初始連接關(guān)系如何建立？零信任只是摒棄默認(rèn)的信任,，先認(rèn)證后連接,，基于最小權(quán)限原則而已。

　　同時(shí),，從前面分析可以看到,，零信任架構(gòu)中的眾多組件并不是新的技術(shù)或產(chǎn)品，但零信任是新的理念和安全規(guī)劃的方法,，隨著SP800-207等標(biāo)準(zhǔn)的出臺(tái),，零信任架構(gòu)將真正從概念走向工程化、標(biāo)準(zhǔn)化,。