“零信任”的概念可以追溯到2010年。因為受信任的內(nèi)部網(wǎng)絡(luò)和不受信任的外部網(wǎng)絡(luò)已經(jīng)逐漸不再真實，而導(dǎo)致傳統(tǒng)邊界安全模型無法提供足夠的防護(hù)。這個解決方案的目的就是改變信任模型，使得沒有用戶可以自動被信任。

如今，零信任訪問(Zero Trust Access, ZTA)已經(jīng)成為行業(yè)的流行用語，許多廠商都表示他們提供ZTA解決方案。在最新的總統(tǒng)行政令中，拜登都要求強制推行零信任方案。雖然說這個名詞處處可見，但是具體落地依然在拖延。落地緩慢的一個巨大原因在于人們依然對ZTA有太多的不解與困惑，比如它到底意味著什么，以及從哪開始著手。

這里有五個企業(yè)可以如何有效落地ZTA的信息。

[[419801]]

1. ZTA拋棄了間接信任

ZTA的關(guān)鍵在于知道和控制哪些人、哪些東西在自己的網(wǎng)絡(luò)上。CISO們可以以此減少因員工帶來的風(fēng)險，并且移除基于間接信任運作的系統(tǒng)來更有效地管理組織的網(wǎng)絡(luò)。

通過對用戶的接入進(jìn)行限制，同時啟用進(jìn)一步的身份認(rèn)證，ZTA可以減少隱患，從而只有合法用戶才能接入與他們身份相關(guān)的系統(tǒng)——至少是“需要知曉”等級的接入權(quán)限。

2. ZTA和ZTNA不同

ZTA考慮的不僅僅是誰在網(wǎng)絡(luò)上，還有“什么”在網(wǎng)絡(luò)上。大量增加的網(wǎng)絡(luò)連接設(shè)備可能包括從打印機到加熱通風(fēng)設(shè)備、門禁系統(tǒng)等物聯(lián)網(wǎng)設(shè)備。這些無用戶界面的設(shè)備沒有用戶名和口令來識別它們自己以及它們的角色。對于這些設(shè)備，網(wǎng)絡(luò)準(zhǔn)入控制解決方案可以發(fā)現(xiàn)和控制接入。通過使用網(wǎng)絡(luò)準(zhǔn)入控制策略，零信任最小接入原則可以應(yīng)用到物聯(lián)網(wǎng)設(shè)備，確保這些設(shè)備有足夠的網(wǎng)絡(luò)接入權(quán)限進(jìn)行他們的工作，并且不超出它們所需的權(quán)限。

零信任網(wǎng)絡(luò)接入(Zero Trust Network Access, ZTNA)是ZTA的一個組件，用于控制應(yīng)用的接入，無論應(yīng)用的用戶或者應(yīng)用本身在哪。用戶可能在一個企業(yè)網(wǎng)絡(luò)上、可能在家工作、或者其他某個地方。應(yīng)用可能存在于企業(yè)的數(shù)據(jù)中心、在私有云、或者在公共網(wǎng)絡(luò)上。ZTNA將零信任模型從網(wǎng)絡(luò)側(cè)繼續(xù)延展，通過將應(yīng)用從互聯(lián)網(wǎng)上隱藏減少攻擊面。

3. 網(wǎng)絡(luò)準(zhǔn)入控制是ZTA的起點

如果要落地ZTA，首先要知道網(wǎng)絡(luò)上所有的設(shè)備。一個網(wǎng)絡(luò)準(zhǔn)入控制解決方案可以準(zhǔn)確發(fā)現(xiàn)和識別每個在網(wǎng)絡(luò)上或者試圖接入網(wǎng)絡(luò)的設(shè)備，對其進(jìn)行掃描以確保設(shè)備并沒有已經(jīng)遭到攻擊，然后為該設(shè)備建立角色和權(quán)限。

網(wǎng)絡(luò)準(zhǔn)入控制會記錄所有設(shè)備，從用戶電話和筆記本電腦，到網(wǎng)絡(luò)服務(wù)器、打印機、以及如HVAC控制器或者安全讀卡器等無界面物聯(lián)網(wǎng)設(shè)備。

4. 微隔離是關(guān)鍵

一旦知道了網(wǎng)絡(luò)上有些什么，就可以用網(wǎng)絡(luò)準(zhǔn)入控制的動態(tài)網(wǎng)絡(luò)微隔離將每個設(shè)備分配到適合的網(wǎng)絡(luò)區(qū)域。決定哪個是正確的區(qū)域會基于一系列的因素，包括設(shè)備類型、功能、網(wǎng)絡(luò)上的目的等。

網(wǎng)絡(luò)準(zhǔn)入控制同樣可以支持基于目的隔離，可以通過下一代防火墻平臺智能化分隔設(shè)備。分隔區(qū)可以基于業(yè)務(wù)目標(biāo)，比如GDPR隱私法律的合規(guī)要求，或者PCI-DSS的交易保護(hù)。在有基于目的的分區(qū)情況下，無論在網(wǎng)絡(luò)何處的資產(chǎn)，都會基于其標(biāo)簽符合合規(guī)需求，從而減少滿足合規(guī)需要的時間和成本。

5. ZTA需要終端軟件

為了解決離線設(shè)備接入客戶端或者云的解決方案，需要在終端上運行相關(guān)軟件。這個軟件必須在終端提供持續(xù)的防護(hù)以及基于行為的檢測，防止設(shè)備淪陷，無論用戶是否在線。

這類軟件同樣需要能夠通過虛擬專用網(wǎng)連接、流量掃描、URL過濾和沙箱能力確保遠(yuǎn)程接入安全。共享終端的安全狀態(tài)是認(rèn)證和授權(quán)流程的一部分，包括對終端進(jìn)行遙測，收集終端的操作系統(tǒng)和應(yīng)用、已知漏洞和補丁，以及安全狀態(tài)，從而準(zhǔn)確賦予設(shè)備接入規(guī)則。

ZTA很重要，不只是一個時髦詞

在當(dāng)下這個環(huán)境，遠(yuǎn)程辦公以及大量員工設(shè)備已經(jīng)成為常態(tài)。ZTA已然成為了網(wǎng)絡(luò)安全的一個關(guān)鍵方面。組織有機會轉(zhuǎn)向ZTA框架，以識別、分隔、持續(xù)監(jiān)控所有設(shè)備。ZTA確保數(shù)據(jù)、應(yīng)用和知識產(chǎn)權(quán)等內(nèi)部資源始終安全。

除了簡化整體網(wǎng)絡(luò)以及安全管理，零信任方案同樣能增加組織中的可視化以及控制能力，包括離線的設(shè)備。ZTA應(yīng)成為任何一個有效安全策略的基礎(chǔ)。只要零信任正確落地，它會只允許正確的人或者實體快速接入完成他們工作所需要的資源，同時減少因未授權(quán)接入產(chǎn)生的風(fēng)險和下線時間。

點評

從本文的建議中不難發(fā)現(xiàn)，零信任訪問的關(guān)鍵之一在于網(wǎng)絡(luò)準(zhǔn)入控制——或者說零信任訪問是現(xiàn)有網(wǎng)絡(luò)準(zhǔn)入控制的未來形態(tài)。不僅是從技術(shù)層面，從邏輯層面也需要對企業(yè)的網(wǎng)絡(luò)進(jìn)行改變。零信任理念的擴展必然會讓網(wǎng)絡(luò)控制準(zhǔn)入解決方案廠商開辟新的市場。