零信任的出現(xiàn)將網(wǎng)絡(luò)防御范圍從廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到單個或小組資源，同時它也代表新一代的網(wǎng)絡(luò)安全防護理念，打破默認的“信任”，秉持“持續(xù)驗證，永不信任”原則，即默認不信任網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認證和授權(quán)，重新構(gòu)建訪問控制的信任基礎(chǔ)，確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信。本文從零信任起源、發(fā)展以及零信任架構(gòu)的三大技術(shù)等內(nèi)容，以便幫助大家更好地理解。

[[397283]]

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)，企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時，首先尋找安全邊界，把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、DMZ區(qū)等不同的區(qū)域，然后在邊界上部署防火墻、入侵檢測、WAF等產(chǎn)品。

這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認了內(nèi)網(wǎng)比外網(wǎng)更安全，在某種程度上預(yù)設(shè)了對內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任，忽視加強內(nèi)網(wǎng)安全措施。不法分子一旦突破企業(yè)的邊界安全防護進入內(nèi)網(wǎng)，會像進入無人之境，將帶來嚴重的后果。

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動辦公等新技術(shù)與業(yè)務(wù)的深度融合，網(wǎng)絡(luò)安全邊界也逐漸變得更加模糊，傳統(tǒng)邊界安全防護理念面臨巨大挑戰(zhàn)。在這樣的背景下，零信任架構(gòu)(Zero Trust Architecture, ZTA)應(yīng)運而生。它打破傳統(tǒng)的認證，即信任、邊界防護、靜態(tài)訪問控制、以網(wǎng)絡(luò)為中心等防護思路，建立起一套以身份為中心，以識別、持續(xù)認證、動態(tài)訪問控制、授權(quán)、審計以及監(jiān)測為鏈條，以最小化實時授權(quán)為核心，以多維信任算法為基礎(chǔ)，認證達末端的動態(tài)安全架構(gòu)。

一、一覽零信任發(fā)展史

2004年

零信任的最早雛形源于2004年成立的耶利哥論壇，其成立的使命正是為了定義無邊界趨勢下的網(wǎng)絡(luò)安全問題并尋求解決方案，提出要限制基于網(wǎng)絡(luò)位置的隱式信任，并且不能依賴靜態(tài)防御。

美國國防信息系統(tǒng)局(Defense Information Systems Agency, DISA)為了解決全球信息柵格(Global Information Grid, GIG)中如何實時、動態(tài)地對網(wǎng)絡(luò)進行規(guī)劃和重構(gòu)的問題，發(fā)起了BlackCore項目，將基于邊界的安全模型轉(zhuǎn)換為基于單個事物安全性的模型，并提出了軟件定義邊界(Software Defined Perimeter, SDP)的概念，該概念后來被云安全聯(lián)盟(Cloud Security Alliance, CSA)采納。

2010年

著名研究機構(gòu)Forrester的首席分析師John正式提出了零信任這個術(shù)語，明確了零信任架構(gòu)的理念，該模型改進了耶利哥論壇上討論的去邊界化的概念，并提出三個核心的觀點：

• 不再以一個清晰的邊界來劃分信任或不信任的設(shè)備;
• 不再有信任或不信任的網(wǎng)絡(luò);
• 不再有信任或不信任的用戶。

2013年

國際云安全聯(lián)盟成立軟件定義邊界(SDP)工作組。SDP作為新一代網(wǎng)絡(luò)安全解決理念，其整個中心思想是通過軟件的方式，在移動和云化的時代，構(gòu)建一個虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應(yīng)對邊界模糊化帶來的粗粒度控制問題，以此達到保護企業(yè)數(shù)據(jù)安全的目的。

2014年

谷歌基于其內(nèi)部項目BeyondCorp的研究成果并陸續(xù)發(fā)布6篇相關(guān)論文，介紹零信任落地實踐。Beyond Corp安全訪問方法作為一種完全不信任網(wǎng)絡(luò)，采用了零信任模型安全機構(gòu)，設(shè)計理念如下：

• 所有網(wǎng)絡(luò)都不可信;
• 以合法用戶、受控設(shè)備訪問為主;
• 所有服務(wù)訪問都要進行身份驗證、授權(quán)加密處理。

2017年

Gartner在安全與風(fēng)險管理峰會上發(fā)布持續(xù)自適應(yīng)風(fēng)險與信任評估(Continuous Adaptive Risk and Trust Assessment, CARTA)模型，并提出零信任是實現(xiàn)CARTA宏圖的初始步驟，后續(xù)兩年又發(fā)布了零信任網(wǎng)絡(luò)訪問(Zero-Trust Network Access, ZTNA)市場指南(注：SDP被Gartner稱為ZTNA)。

CARTA是自適應(yīng)安全架構(gòu)的3.0版本，將零信任和攻擊防護相結(jié)合，強調(diào)通過持續(xù)風(fēng)險和信任評估來判斷安全狀況，沒有絕對的安全和100%的信任，尋求一種0和1之間的風(fēng)險與信任的平衡。

2018年

Forrester提出零信任拓展生態(tài)系統(tǒng)(Zero Trust eXtended, ZTX)研究報告，將視角從網(wǎng)絡(luò)擴展到用戶、設(shè)備和工作負載，將能力從微隔離擴展到可視化、分析、自動化編排，并提出身份不僅僅針對用戶，還包括IP地址、MAC 地址、操作系統(tǒng)等。簡言之，具有身份的任何實體包括用戶、設(shè)備、云資產(chǎn)、網(wǎng)絡(luò)分段都必須在零信任架構(gòu)下進行識別、認證和管理。

2020年

NIST發(fā)布的《SP800-207:Zero Trust Architecture》標準對零信任架構(gòu)ZTA的定義如下：利用零信任的企業(yè)網(wǎng)絡(luò)安全規(guī)劃，包括概念、思路和組件關(guān)系的集合，旨在消除在信息系統(tǒng)和服務(wù)中實施精準訪問策略的不確定性。該標準強調(diào)零信任架構(gòu)中的眾多組件并不是新的技術(shù)或產(chǎn)品，而是按照零信任理念形成的一個面向用戶、設(shè)備和應(yīng)用的完整安全解決方案。

二、新網(wǎng)絡(luò)安全規(guī)劃方法——零信任架構(gòu)(ZTA)

隨著“云、大、物、移”等新興技術(shù)的興起，網(wǎng)絡(luò)現(xiàn)狀變得愈加復(fù)雜，基于邊界的傳統(tǒng)網(wǎng)絡(luò)安全規(guī)劃方法已無法滿足政企客戶的網(wǎng)絡(luò)安全需求。于是，通過將零信任概念同政企客戶網(wǎng)絡(luò)及其業(yè)務(wù)現(xiàn)狀相結(jié)合，誕生了新的網(wǎng)絡(luò)安全規(guī)劃方法——零信任架構(gòu)(ZTA)。

零信任架構(gòu)作為一種企業(yè)網(wǎng)絡(luò)安全規(guī)劃，利用了零信任概念，囊括其組件關(guān)系、工作流規(guī)劃與訪問策略，聚焦數(shù)據(jù)保護，橫向擴展到所有政企網(wǎng)絡(luò)中的資產(chǎn)。它不是單一的網(wǎng)絡(luò)架構(gòu)，而是一套網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)計和運行的指導(dǎo)原則，可以用來改善敏感級別的安全態(tài)勢。

與邊界模型的“信任但驗證”不同，零信任的核心原則是“從不信任、始終驗證”。傳統(tǒng)網(wǎng)絡(luò)安全都專注于邊界防御，授權(quán)主體可廣泛訪問內(nèi)網(wǎng)資源，而根據(jù)Evan Gilman《Zero Trust Networks》書中所述，零信任網(wǎng)絡(luò)建立在五個假設(shè)前提之下：

• 應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅;
• 外部和內(nèi)部威脅每時每刻都充斥著網(wǎng)絡(luò);
• 不能僅僅依靠網(wǎng)絡(luò)位置來確認信任關(guān)系;
• 所有設(shè)備、用戶、網(wǎng)絡(luò)流量都應(yīng)該被認證和授權(quán);
• 訪問控制策略應(yīng)該動態(tài)地基于盡量多的數(shù)據(jù)源進行計算和評估。

三、零信任架構(gòu)的三大技術(shù)“SIM”

NIST標準的發(fā)布，首次提出了零信任的官方標準定義以及實踐技術(shù)架構(gòu),強調(diào)零信任是個安全理念而非技術(shù),并指出目前實現(xiàn)零信任架構(gòu)的三大技術(shù)“SIM”，即軟件定義邊界(SDP)、身份識別與訪問管理(IAM)、微隔離(MSG)。

軟件定義邊界(SDP)

SDP旨在使應(yīng)用程序所有者能夠在需要時部署安全邊界,以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開。SDP將物理設(shè)備替換為在應(yīng)用程序所有者控制下運行的邏輯組件，僅在設(shè)備驗證和身份驗證后才允許訪問企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。從架構(gòu)上講，基于SDP的系統(tǒng)通常會實施控制層與數(shù)據(jù)層的分離，即控制流階段，用戶及其設(shè)備進行預(yù)認證來獲取豐富的屬性憑據(jù)作為身份主體，以此結(jié)合基于屬性的預(yù)授權(quán)策略，映射得到僅供目標訪問的特定設(shè)備和服務(wù)，從而可以直接建立相應(yīng)安全連接。

身份識別與訪問管理(IAM)

零信任強調(diào)基于身份的信任鏈條，即該身份在可信終端，該身份擁有權(quán)限才可對資源進行請求。傳統(tǒng)的IAM系統(tǒng)可以協(xié)助解決身份唯一標識、身份屬性、身份全生命周期管理的功能問題。通過IAM將身份信息(身份吊銷離職、身份過期、身份異常等)傳遞給零信任系統(tǒng)后，零信任系統(tǒng)可以通過IAM系統(tǒng)的身份信息來分配相應(yīng)權(quán)限，而通過IAM系統(tǒng)對身份的唯一標識，可有利于零信任系統(tǒng)確認用戶可信，通過唯一標識對用戶身份建立起終端、資源的信任關(guān)系，并在發(fā)現(xiàn)風(fēng)險時實施針對關(guān)鍵用戶相關(guān)的訪問連接進行阻斷等控制。

微隔離(MSG)

微隔離本質(zhì)上是一種網(wǎng)絡(luò)安全隔離技術(shù)，能夠在邏輯上將數(shù)據(jù)中心劃分為不同的安全段，一直到各個工作負載級別，然后為每個獨立的安全段定義訪問控制策略。它主要聚焦在云平臺東西向流量的隔離，一是區(qū)別傳統(tǒng)物理防火墻的隔離作用，二是更加貼近云計算環(huán)境中的真實需求。微隔離將網(wǎng)絡(luò)邊界安全理念發(fā)揮到極致，將網(wǎng)絡(luò)邊界分割到盡可能的小，能夠很好的緩解傳統(tǒng)邊界安全理念下的邊界過度信任帶來的安全風(fēng)險。

零信任安全模型之所以一直受到行業(yè)廣泛關(guān)注，是因為在傳統(tǒng)安全架構(gòu)設(shè)計中，邊界防護無法確保內(nèi)部系統(tǒng)的安全性能。尤其是隨著5G、云計算等新興技術(shù)的融入，加劇了邊界模糊化、訪問路徑多樣化，造成傳統(tǒng)邊界防護無從入手。

面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，風(fēng)險持續(xù)預(yù)測、動態(tài)授權(quán)、最小化原則的“零信任”創(chuàng)新性安全思維契合數(shù)字基建新技術(shù)特點，借助云、網(wǎng)絡(luò)、安全、AI、大數(shù)據(jù)的技術(shù)發(fā)展，著力提升信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性，成為網(wǎng)絡(luò)安全保障體系升級的中流砥柱，推動了零信任安全架構(gòu)時代的到來。