早在2010年，當時還是Forrester Research首席分析師的約翰·金德維格(John Kindervag)就率先提出了針對企業(yè)安全的“零信任”方法。

[[245942]]

如今，經歷了近10年的時間，這種方法在具體實施方面仍然存在問題。企業(yè)想要有效地實施這種方法就必須清楚地了解其所帶來的變化，及其將會對客戶體驗造成的影響。

該零信任安全模式是將單一的邊界保護轉移到公司內的每個端點和用戶。其中心思想是企業(yè)不應自動信任內部或外部的任何人/事/物，且必須在授權前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。

簡單來說，零信任的策略就是不信任任何人/事/物。除非網絡明確接入者的身份，否則任誰也無法進入。這種方法建立在身份驗證、設備驗證、可信端點、網絡隔離、訪問控制以及用戶和系統(tǒng)信息的基礎之上，是保護和管理應用程序及數據免受新型和高危風險侵害的關鍵。

零信任是關于如何創(chuàng)建組織的網絡安全態(tài)勢的思考過程和方法，其基本上打破了舊式的“網絡邊界防護”思維。在舊式思維中，專注點主要集中在網絡防御邊界，其假定已經在邊界內的任何事物都不會造成威脅，因此邊界內部事物基本暢通無阻，全都擁有訪問權限。而就零信任模型而言，其對邊界內部或外部的網絡統(tǒng)統(tǒng)采取不信任的態(tài)度，必須經過驗證才能完成授權，實現訪問操作。

推動零信任模型日漸流行的現實因素有很多，例如：

1. 黑客和惡意威脅

事實證明，很多規(guī)模龐大的數據泄露事件都是由于黑客在繞過公司防火墻后，幾乎可以暢通無阻地訪問內部系統(tǒng)造成的。

2. 工作流的移動化和云端化

如今，可以說網絡邊界已經根本不存在了。單純由內部系統(tǒng)組成的企業(yè)數據中心不再存在，企業(yè)應用一部分在辦公樓里，一部分在云端，分布各地的員工、合作伙伴和客戶都可以通過各種設備遠程訪問云端應用。

面對這樣的新形勢，我們應該如何保護自身安全成為了一個重要命題，而零信任模型也由此應運而生并流行開來。

然而，實施零信任模型并不是一件容易的事情，它更像是一場重視過程的修行，而不是為了實現而實現的目的地。但是很顯然，并不是所有人都能明白這一道理。如今，供應商們都在爭先恐后、全力以赴地實施零信任模型，將其作為下一階段最重要的一件大事，以便能夠將“零信任”作為最新宣傳噱頭來推廣自身的安全產品和平臺。

事實上，實現零信任模型所涉及的許多內容都是無聊且繁瑣的工作，比如創(chuàng)建并維護有關數據訪問的策略，以及授權訪問讀取和寫入數據的應用程序等等。在實現零信任模型的過程中不存在一勞永逸的方法，也沒有什么“萬能靈丹”，繁瑣枯燥的工作只能依靠熟知企業(yè)業(yè)務啟動因素和核心資產的內部團隊。

以下是安全專家總結的有關企業(yè)在實現零信任的道路上必須采取的一些關鍵步驟：

1. 定義零信任

安全專家表示，啟動零信任模型的第一步，就是將您的團隊聚在一起，就零信任的定義達成共識。然而，根據達成的具體共識來制定實施目標，以及實現這些目標的路線圖。需要注意的是，這并不意味著要拋棄目前所部署的保護邊界的技術。但是，在保護您的核心資產方面，企業(yè)必須愿意采取不同的思維方式并進行組織變革。

如今，部分企業(yè)的IT部門已經實現了零信任的很多方面。他們通常已經部署了多因素身份驗證、IAM以及權限管理等技術。然而，建立零信任環(huán)境不僅僅是實現這些單個技術，而是應用這些技術來實現“無法證明可被信任即無法獲取權限”的理念。企業(yè)必須清楚地了解零信任在您的環(huán)境中意味著什么，再去考慮如何實現零信任以及確定哪些技術有助于實現這一理念。

與其病急亂投醫(yī)地花冤枉錢，不如先了解清楚問題再出去購買適合自己的零信任產品，如此才能真正地發(fā)揮其效用，當然，這也是實現零信任模型并不容易的體現之一。除此之外，在實施零信任的過程中，獲取高層領導的明確承諾和理解也是關鍵所在。

2.了解用戶體驗

在規(guī)劃零信任方法時，還需要考慮該模型將對用戶體驗造成的影響。遵循“永不信任且始終驗證”原則的零信任方法會改變用戶與您的系統(tǒng)和數據交互的方式。因為，在零信任模式下，您需要知道您的用戶是誰，他們正在訪問哪些應用程序，他們是如何連接到您的應用程序的，以及您為保護訪問權限所需采取的控制措施等。

在啟動零信任模型進行組織變革之前，請確保您已經了解了未來的用戶體驗?？紤]清楚您將采取何種計劃在所有應用程序和所有用戶之間實現零信任，以及您希望采取何種機制來以細粒度和一致性的方式控制訪問?

除此之外，還要問問自己是否需要分布式控制，例如，讓應用程序所有者定義自己的安全策略。或者，通過集中式IT或安全小組門戶策略是否會產生更好的效果?您還需要考慮如何確保并保持對安全數據訪問要求的遵從性等內容。

一旦組織確定了他們希望用戶與其系統(tǒng)進行交互的方式，他們就必須接受這種轉變不可能在一夕之間實現的現實。首先，他們需要進行小范圍“踩點試驗”，針對最危險的用例實現零信任模型，并花時間不斷完善并正確實施該模型。隨著時間的推移，小范圍的“踩點”勝利將最終融合成一個完整的轉型。記住，這一過程是每一次勝利累積的質變結果，并非一蹴而就之功。

3. 選擇正確的架構

不存在任何一種單一的方法和技術能夠實現零信任模型。在最基本的層面上，零信任是通過確保只有經過安全驗證的用戶和設備才能夠訪問您的系統(tǒng)，以此來保護您的應用程序和數據安全。您在網絡上的位置(邊界內部還是外部)無關乎身份驗證和設備驗證的結果。

事實上，在各種各樣的現有技術和監(jiān)管過程支撐之下，零信任方法才得以完成保護企業(yè)IT環(huán)境的使命。據安全專家介紹，目前，市場上主要存在3種最具競爭力的方法可用于實現零信任模型——微分段(microsegmentation)、軟件定義邊界(SDP)以及零信任代理。

在基本網絡用語中，“分段”是指將以太網劃分為子網絡(也就是子網)，以管理并控制網絡流量，而不是將所有數據包發(fā)送給所有節(jié)點。網絡分段提供了基礎工具，提升了網絡性能，并在傳統(tǒng)靜態(tài)網絡中引入了安全性。

微分段基于這一基本理念，抽象出新的虛擬化及控制層。使用微分段，數據中心被劃分為邏輯單元，這些邏輯單元往往是工作負載或應用。這樣IT能夠針對每個邏輯單元制定獨特的安全策略與規(guī)則。一旦周邊被滲透，微分段能夠顯著減少惡意行為的攻擊面，并限制攻擊的橫向(東西)移動。因為，傳統(tǒng)防火墻能夠實現常見的南北向防護，但微分段明顯地限制了企業(yè)內工作負載之間不必要的東西向通信。

這種零信任方式顯著改變了網絡攻擊模式：攻擊者進行邊界滲透并監(jiān)視網絡活動等待時機到來，注入惡意軟件并控制核心系統(tǒng)，最終剽竊有價值的數據或者破壞業(yè)務活動。

雖然具備種種優(yōu)點，但是在軟件定義技術出現之前，采用微分段需要依賴傳統(tǒng)的物理防火墻以及VLAN。手工配置時需要針對橫向(東西)流量控制配置內部防火墻——并隨著時間的變化對配置進行維護——這一過程除了非常難實現之外，代價也十分大。

安全技術在發(fā)展初期，對于邊界的安全防范主要是在網絡出口布置硬件防火墻，隨著IT架構的變化，邊界越來越模糊，云的租戶不滿足共用防火墻，希望得到更個性化的服務。軟件定義邊界(SDP)方案應運而生。

通過SDP，組織可以基于可信簽名構建每個終端的“VPN隧道”，形成零信任網絡，拒絕一切外部攻擊威脅。不同于傳統(tǒng)的VPN隧道，SDP的隧道是按照業(yè)務需求來生成的，也就是說這是一種單包和單業(yè)務的訪問控制，SDP控制器建立的訪問規(guī)則只對被授權的用戶和服務開放，密鑰和策略也是動態(tài)和僅供單次使用的。通過這種類似“白名單”的訪問控制形式，網絡中未被授權的陌生訪問在TCP鏈接建立階段就是完全被屏蔽和拒絕的。

但是，正如微分段技術一樣，SDP也存在其弊端——即一旦隧道建立，SDP幾乎無法再確保交易的安全性和完整性。

第三種方法——也是Akamai公司已經采取的一種方式，就是使用零信任代理來建立經過身份驗證的用戶和應用程序之間的按需邊界(on-demand perimeter)，以及內聯行為(in-line behavioral)和有效負載分析?？傮w而言，零信任代理能夠有效地將前兩種技術的最佳功能和有效負載分析，結合到一個可以逐步部署的可管理系統(tǒng)之中。

4. 實施強大的措施來驗證用戶和設備

零信任模型需要組織重新思考如何保護每個應用程序、端點、基礎設施及用戶。零信任最大的改變在于將執(zhí)行機制從單一的網絡邊界轉移到每個目標系統(tǒng)和應用程序。其重點是驗證用戶的身份以及他們所使用的設備，而不是基于某人是否從受信或不受信的網絡中訪問企業(yè)資源的安全策略。

用戶方面需要使用多因素身份驗證(MFA)來增強密碼強度，并使用其他驗證步驟來確定授權的訪問級別。無論用戶類型(終端用戶、特權用戶、外包IT、合作伙伴或客戶)或訪問的資源如何，都需要應用零信任原則。除此之外，您的訪問決策還需要具有適應性和動態(tài)性(即隨變化而變)。

通過了零信任模型也就意味著系統(tǒng)能夠信任試圖訪問您資產的設備，因為畢竟只有經過驗證的設備/人才能授權訪問您的系統(tǒng)。這也就是說，我們必須采取措施來確保已通過驗證的用戶注冊其設備，以便在未來的驗證過程中能夠有效地識別它們。如果用戶通過他們每天都會使用的注冊設備來獲取訪問權限，他們就會擁有一定程度的信任。而一旦他們試圖從網吧的工作站訪問服務，或是使用之前從未使用過的設備獲取權限，這種信任窗口就會自動關閉。

設備驗證還涉及為條目設置最低限度的安全要求，并確保只有滿足該閥值的設備才能夠訪問網絡。設備是否進行過“越獄”操作?設備設置是否符合公司政策，如硬盤加密、病毒防護以及最新補丁?這些都是必須考慮在內的問題。

5. 為迎接挑戰(zhàn)做好準備

不要低估實施零信任框架所涉及的工作量，尤其是在大型組織中實施零信任模型。無論您處于網絡上的哪個位置(邊界內/外)，想要從的單一的邊界保護轉移到允許對每個應用程序和設備進行身份驗證和授權訪問的模型都不是易事。對于許多組織來說，定義并開發(fā)一個在整個企業(yè)范圍內一致的數據訪問策略需要花費大量時間，且極具挑戰(zhàn)性。除此之外，實現和管理統(tǒng)一授權和訪問控制系統(tǒng)，并識別所有提供關鍵數據訪問的應用程序也是一項重大且艱巨的任務。

尋找到限制用戶訪問和特權的方法是另一項重大挑戰(zhàn)。組織需要做出的最大改變是為用戶提供他們完成工作所需的足夠權限，并在不會對用戶體驗造成不必要影響的情況下，提示其使用多因素身份驗證(MFA)機制。他們需要確保授予使用的任何權限都是臨時的、有時間限制且會自動撤銷的。

舉例來說，對于Akamai公司而言，其零信任過程中最大的實施障礙在于其非Web應用程序，因為其中許多非Web應用程序都無法支持MFA等功能。該公司花費了大量時間來構建處理此類應用程序的功能，并最終構建了一個輕量級代理，允許非Web應用程序更好地使用零信任代理。該公司目前正在部署這種輕量級的客戶端應用程序隧道，為現今企業(yè)中分布的非Web應用程序提供認證訪問服務。

究其本質，零信任意味著確保用戶身份安全，以及保護應用程序。這一過程可以通過提供“由內向外連接(inside-out connectivity)，精確訪問，零信任加密等方式來實現。這也就是說，如果我們能夠確保用戶的身份安全，了解他們所使用的應用程序，并確保這些應用程序安全，那么端點設備和網絡就會變得無關緊要，無論設備或位置如何，用戶都會是安全的。這是一個巨大的轉變。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文