零信任是什么，為什么是網(wǎng)絡(luò)安全的熱門(mén)詞？

如果童話(huà)故事里的小紅帽懂“零信任”，還會(huì)被大灰狼吃掉嗎？

假設(shè)童話(huà)故事里有“零信任”，一切都將不同。首先，小紅帽在路上遇到大灰狼的時(shí)候，“零信任”會(huì)在關(guān)鍵時(shí)期，給小紅帽預(yù)警風(fēng)險(xiǎn)，同時(shí)會(huì)加固外婆的房子，如增加圍欄、鎖、防盜門(mén)等，不會(huì)讓大灰狼那么容易進(jìn)入房子。其次，“零信任”可以通過(guò)各種技術(shù)手段，幫助小紅帽識(shí)破偽裝成外婆的大灰狼。

A

零信任是何許人也？

童話(huà)故事里的“零信任”是假設(shè)，在現(xiàn)實(shí)中則是站在移動(dòng)互聯(lián)網(wǎng)基礎(chǔ)新形勢(shì)下的新安全理念。零信任將成為未來(lái)網(wǎng)絡(luò)安全的主流架構(gòu)，企業(yè) IT 安全建設(shè)的必然選擇。

網(wǎng)絡(luò)安全發(fā)展幾十年，人們說(shuō)到網(wǎng)絡(luò)安全，想到的是VPN、防火墻、殺毒軟件、漏洞掃描和網(wǎng)絡(luò)入侵檢測(cè)等等。而零信任到底是什么？怎么就成了網(wǎng)絡(luò)安全的熱門(mén)詞？我們以三只小豬的童話(huà)故事來(lái)解答以上問(wèn)題。

大灰狼看到三只小豬，就像黑產(chǎn)看到了企業(yè)可竊取的巨大利益，大灰狼（黑產(chǎn)）通過(guò)各種手段來(lái)攻破房子（企業(yè)業(yè)務(wù)系統(tǒng)），進(jìn)而吃掉三只小豬（竊取利益）。三只小豬的房子堅(jiān)固度，就像是企業(yè)的安全防護(hù)手段。現(xiàn)實(shí)中，企業(yè)會(huì)在房子外面增加圍欄、門(mén)鎖、防盜門(mén)等措施加固房子，防止房子被物理破壞。而黑產(chǎn)可以通過(guò)收買(mǎi)“壞豬”來(lái)打開(kāi)房門(mén)，還可以偽裝成“豬媽媽”進(jìn)入房子。

如果三只小豬懂“零信任”，他們可以通過(guò)判斷誰(shuí)是“壞豬”、識(shí)破冒牌“豬媽媽”來(lái)保護(hù)自己，防止大灰狼進(jìn)入房子；當(dāng)然即便大灰狼經(jīng)過(guò)很好的偽裝進(jìn)入了房子，也可以通過(guò)不間斷分析監(jiān)督，在不同的風(fēng)險(xiǎn)程度時(shí)，采取不同的處置手段，若風(fēng)險(xiǎn)程度較高，便可直接驅(qū)逐來(lái)斷絕風(fēng)險(xiǎn)。

由此可以看出，零信任不是單一的產(chǎn)品、技術(shù)能夠?qū)崿F(xiàn)的，企業(yè)也不可能通過(guò)單一的產(chǎn)品和技術(shù)一步到位的將原業(yè)務(wù)系統(tǒng)改為零信任架構(gòu)。

市場(chǎng)上主流的零信任理念觀點(diǎn)

在介紹目前市場(chǎng)上主流的零信任之前，先科普下邊界概念是什么？邊界即執(zhí)行安全控制的載體。在三只小豬故事里，房子是他們的安全邊界，攻破了房子就會(huì)被吃掉。數(shù)字時(shí)代下的云計(jì)算、物聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展，企業(yè)傳統(tǒng)的以網(wǎng)絡(luò)作為邊界安全的架構(gòu)正在逐漸失效，而不以邊界為信任條件，以“人”為核心的零信任安全更符合當(dāng)下企業(yè)的業(yè)務(wù)安全需求。

從2004年耶利哥論壇提出去邊界化安全理念，到2010年“零信任之父”John Kindervag提出零信任網(wǎng)絡(luò)模型概念，至2020年零信任方案在多行業(yè)落地，并陸續(xù)推出零信任相關(guān)標(biāo)準(zhǔn)，零信任安全正在快速普及應(yīng)用，將成為企業(yè) IT 安全建設(shè)的必然選擇。

零信任即永不信任，始終驗(yàn)證。默認(rèn)情況下不信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。

谷歌：讓每位谷歌員工都可以在不借助VPN的情況下通過(guò)不受信任的網(wǎng)絡(luò)順利開(kāi)展工作

谷歌BeyondCorp計(jì)劃的目標(biāo)是提高員工和設(shè)備訪問(wèn)內(nèi)部應(yīng)用程序的安全性。谷歌認(rèn)為傳統(tǒng)防火墻的保護(hù)效果變得不明顯，不如破除內(nèi)外網(wǎng)實(shí)行統(tǒng)一，將所有應(yīng)用部署在公網(wǎng)上，用戶(hù)不再需要通過(guò)VPN連接到內(nèi)網(wǎng)，而是通過(guò)與設(shè)備為中心的認(rèn)證、授權(quán)工作流，實(shí)現(xiàn)員工任何地點(diǎn)對(duì)資源的訪問(wèn)。Google平等對(duì)待位于外部公共網(wǎng)絡(luò)和本地網(wǎng)絡(luò)的設(shè)備，默認(rèn)均不會(huì)授予任何特權(quán)，準(zhǔn)確識(shí)別設(shè)備、用戶(hù)，移除對(duì)網(wǎng)絡(luò)的信任，實(shí)現(xiàn)基于已知設(shè)備和用戶(hù)的訪問(wèn)控制，并動(dòng)態(tài)更新設(shè)備和用戶(hù)信息，從而保證用戶(hù)獲得流暢的資源訪問(wèn)體驗(yàn)。

Gartner：取代VPN，零信任不意味邊界的消失

Gartner將零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）定義為產(chǎn)品和服務(wù)，它創(chuàng)建一個(gè)基于身份和上下文的邏輯訪問(wèn)邊界，包括一個(gè)用戶(hù)和一個(gè)應(yīng)用或一組應(yīng)用程序。Gartner分析師認(rèn)為，ZTNA增強(qiáng)了傳統(tǒng)VPN技術(shù)應(yīng)用程序訪問(wèn)能力，減少員工和合作伙伴之間需要的訪問(wèn)信任。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人應(yīng)試點(diǎn)ZTNA項(xiàng)目，或迅速擴(kuò)大遠(yuǎn)程訪問(wèn)。

微軟：致力于搭建身份作為新的安全邊界

微軟通過(guò)強(qiáng)調(diào)身份驅(qū)動(dòng)型安全解決方案，并專(zhuān)注于通過(guò)強(qiáng)身份驗(yàn)證，消除密碼、檢驗(yàn)設(shè)備健康狀態(tài)以及安全訪問(wèn)公司資源來(lái)保護(hù)用戶(hù)身份。

NIST：零信任（ZT）&零信任架構(gòu)（ZTA）

零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下，當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問(wèn)請(qǐng)求時(shí)，降低其決策準(zhǔn)確度的不確定性。零信任架構(gòu)（ZTA）則是一種企業(yè)網(wǎng)絡(luò)安全的規(guī)劃，它基于零信任理念，圍繞其組件關(guān)系、工作流規(guī)劃與訪問(wèn)策略構(gòu)建而成。

零信任安全帶來(lái)的實(shí)際社會(huì)價(jià)值

通過(guò)零信任安全體系架構(gòu)的建設(shè)，以人工智能、大數(shù)據(jù)等技術(shù)與業(yè)務(wù)高度融合，能夠?yàn)槠髽I(yè)提供多方面的實(shí)際社會(huì)價(jià)值有：

第一方面：能發(fā)現(xiàn)并解決由于身份信息泄露、冒用、盜用、特權(quán)賬號(hào)、賬號(hào)共享等等的身份欺詐風(fēng)險(xiǎn)。

第二方面：能發(fā)現(xiàn)并解決各類(lèi)移動(dòng)終端的安全風(fēng)險(xiǎn)，能解決網(wǎng)絡(luò)設(shè)備、服務(wù)器、wifi、vpn等等設(shè)備的二次認(rèn)證，從而避免了各類(lèi)型設(shè)備的欺詐風(fēng)險(xiǎn)。

第三方面：基于人工智能技術(shù)，通過(guò)連續(xù)認(rèn)證實(shí)現(xiàn)動(dòng)態(tài)行為監(jiān)控，通過(guò)規(guī)則引擎來(lái)實(shí)現(xiàn)動(dòng)態(tài)授權(quán)，通過(guò)機(jī)器學(xué)習(xí)引擎來(lái)發(fā)現(xiàn)新的風(fēng)險(xiǎn)，從而能夠?qū)崟r(shí)的發(fā)現(xiàn)并解決用戶(hù)的行為風(fēng)險(xiǎn)。

第四方面：兼容移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等等新興應(yīng)用場(chǎng)景，為企業(yè)的新時(shí)期信息化建設(shè)或信息化數(shù)字轉(zhuǎn)型提供有效的安全保障。

需以“人”為核心實(shí)現(xiàn)零信任安全

芯盾時(shí)代認(rèn)為，零信任體系的目標(biāo)是建立一個(gè)不依賴(lài)于城墻和壕溝的防御體系，基于用戶(hù)身份、位置，相關(guān)業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)等各種信息的相互關(guān)系，場(chǎng)景匹配等各種微分化的情況來(lái)判斷、確定以及響應(yīng)訪問(wèn)的合法性。在移動(dòng)互聯(lián)網(wǎng)時(shí)代，應(yīng)從設(shè)備、身份和行為等維度入手，持續(xù)驗(yàn)證“人”是否可信，并根據(jù)狀態(tài)進(jìn)行及時(shí)處置，實(shí)現(xiàn)身份/設(shè)備管控、持續(xù)認(rèn)證、動(dòng)態(tài)授權(quán)、威脅發(fā)現(xiàn)與動(dòng)態(tài)處理的閉環(huán)操作，保障企業(yè)業(yè)務(wù)場(chǎng)景的動(dòng)態(tài)安全。

零信任安全是在網(wǎng)絡(luò)發(fā)展的歷程中由需求逐步產(chǎn)生的，它的出現(xiàn)重構(gòu)了以身份為信任的安全防護(hù)機(jī)制，對(duì)數(shù)字時(shí)代的發(fā)展浪潮中網(wǎng)絡(luò)核心價(jià)值點(diǎn)-“人”進(jìn)行全方位的安全防護(hù)。

原文標(biāo)題：童話(huà)故事里的“零信任”

文章出處：【微信公眾號(hào)：芯盾時(shí)代】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

責(zé)任編輯：haq