現(xiàn)在對(duì)零信任的定義滿天飛，總能聽到各種像原理、支柱、基礎(chǔ)、要點(diǎn)之類的詞。雖然說對(duì)零信任的定義暫時(shí)來看并不絕對(duì)，但是必然還是需要一個(gè)共同能理解的概念。因此，NIST發(fā)布了NIST SP 800-27零信任結(jié)構(gòu)，描述了零信任的七個(gè)要點(diǎn)。

1. 所有數(shù)據(jù)來源和計(jì)算服務(wù)都必須被認(rèn)為是資源

現(xiàn)在已經(jīng)不是只把終端用戶設(shè)備或者服務(wù)器認(rèn)為是資源的時(shí)代了。如今的網(wǎng)絡(luò)由各種動(dòng)態(tài)的設(shè)備組成，包括從傳統(tǒng)的服務(wù)器以及端點(diǎn)，到像功能即服務(wù)(function-as-a-service, FaaS)這類能在特定許可下對(duì)環(huán)境中其他資源進(jìn)行操作的動(dòng)態(tài)云計(jì)算服務(wù)。

對(duì)于所有在自身環(huán)境中的數(shù)據(jù)以及計(jì)算資源，資源擁有者必須確保自己有最基本的高級(jí)認(rèn)證控制，以及最低許可的接入控制。同時(shí)為了滿足之后的要點(diǎn)，所有的資源必須在一定程度上能夠進(jìn)行相互之間的交互，提供關(guān)聯(lián)信號(hào)，協(xié)助零信任中的一些結(jié)構(gòu)組件進(jìn)行決策。

2. 無論網(wǎng)絡(luò)位置在哪都需要確保所有通信安全

在零信任環(huán)境中，會(huì)落實(shí)零信任網(wǎng)絡(luò)訪問(zero trust network access, ZTNA)概念。這和傳統(tǒng)的通過虛擬專用網(wǎng)進(jìn)行遠(yuǎn)程接入相比有所不同。

在ZTNA環(huán)境，接入策略是默認(rèn)拒絕的。接入必須對(duì)特定資源進(jìn)行明確的許可。另外，在ZTNA中的用戶不應(yīng)該對(duì)這類許可有所感知。一般而言，很難改變自己感知不到的東西。

由于受疫情影響，如今地理位置分散的工作環(huán)境使得這第二點(diǎn)對(duì)組織更為重要。因?yàn)樗麄冇写罅康膯T工從許多位置和設(shè)備接入內(nèi)部資源。

3. 對(duì)每個(gè)企業(yè)資源的接入需要基于會(huì)話進(jìn)行許可

“人就和季節(jié)一樣，會(huì)變化。”這個(gè)說法在數(shù)字身份時(shí)代更為可信。在分布式計(jì)算環(huán)境的動(dòng)態(tài)環(huán)境下，云原生結(jié)構(gòu)和分布的員工會(huì)暴露大量的威脅。信任的概念不能超過一個(gè)單獨(dú)的會(huì)話窗口。

這意味著就算在之前的會(huì)話信任某個(gè)設(shè)備或者身份，也不代表著會(huì)自然地在之后的會(huì)話中對(duì)其信任。每個(gè)會(huì)話都應(yīng)該以相同嚴(yán)格的標(biāo)準(zhǔn)來評(píng)估其從設(shè)備和身份而來的，對(duì)自身環(huán)境的威脅。和用戶相關(guān)的不正常行為，或者設(shè)備安全狀態(tài)的改變，都是可能會(huì)發(fā)生的問題，并且可能會(huì)發(fā)生的事情;并且這些事情都應(yīng)該和每個(gè)會(huì)話相關(guān)聯(lián)，對(duì)是否允許接入，以及接入的權(quán)限范圍進(jìn)行評(píng)估。

4. 接入由動(dòng)態(tài)策略決定——包括對(duì)客戶端身份、應(yīng)用/服務(wù)以及請(qǐng)求資產(chǎn)的可觀察狀態(tài)，也可能包括其他行為和環(huán)境的屬性

現(xiàn)代計(jì)算環(huán)境很復(fù)雜，會(huì)延展到遠(yuǎn)遠(yuǎn)超過組織傳統(tǒng)邊界以外的地方。一種解決這個(gè)情況的方式，是運(yùn)用一種“信號(hào)”的方式，對(duì)自身環(huán)境進(jìn)行接入控制決策。

通過微軟的 Conditional Access圖表進(jìn)行可視化是個(gè)不錯(cuò)的方法。接入和許可的決策必須將信號(hào)放入考量之中。這些因素可以是用戶和位置、設(shè)備以及其相關(guān)安全狀態(tài)、實(shí)時(shí)風(fēng)險(xiǎn)和應(yīng)用關(guān)聯(lián)等。這些信號(hào)應(yīng)該為許可完全接入、限制性接入或者不能接入的決策提供支持。企業(yè)還能基于這些信號(hào)進(jìn)行額外的評(píng)估來要求更高等級(jí)的認(rèn)證確保，比如進(jìn)行多因子驗(yàn)證或者限制這些信號(hào)相關(guān)的接入等級(jí)。

5. 企業(yè)需要監(jiān)控和評(píng)估所有擁有和相關(guān)資產(chǎn)的完整性與安全狀態(tài)

在零信任模型中，沒有設(shè)備或者資產(chǎn)是天然被信任的。每個(gè)資源的請(qǐng)求都必須觸發(fā)一個(gè)安全狀態(tài)評(píng)估。這包括了對(duì)接入環(huán)境的企業(yè)資產(chǎn)進(jìn)行持續(xù)性狀態(tài)監(jiān)測，無論這些資產(chǎn)是企業(yè)自身擁有的，還是和其他實(shí)體相關(guān)聯(lián)的——只要他們接入內(nèi)部資源就都需要被監(jiān)測到。同樣，這還包括基于持續(xù)監(jiān)測和報(bào)告的快速進(jìn)行補(bǔ)丁修復(fù)?；氐街盎跁?huì)話獲得許可的例子上，這些設(shè)備的狀態(tài)可以被檢查，以確保它們沒有高危漏洞，或者缺少重要的安全補(bǔ)丁。

通過這類動(dòng)態(tài)對(duì)所有以及關(guān)聯(lián)資產(chǎn)的完整性與安全狀態(tài)的了解和監(jiān)測，可以基于對(duì)許可的接入權(quán)限進(jìn)行策略與決策的設(shè)定。

6. 所有資源的認(rèn)證與授權(quán)都是動(dòng)態(tài)的，并且在接入被許可前都要嚴(yán)格執(zhí)行

就跟之前討論過的例子一樣，接入許可與信任的概念是在一個(gè)動(dòng)態(tài)持續(xù)的狀態(tài)下進(jìn)行的。這是一個(gè)持續(xù)動(dòng)態(tài)的流程，并不會(huì)因?yàn)橛脩粢驗(yàn)殛P(guān)聯(lián)的接入許可創(chuàng)建了一個(gè)賬號(hào)而停止。這是一個(gè)反復(fù)的流程，隨著多種因素，貫徹策略的執(zhí)行。

7. 企業(yè)需要盡可能多地收集當(dāng)前的資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的狀態(tài)信息，并且將其用于改善自己的安全態(tài)勢。

技術(shù)環(huán)境受到大量威脅的影響，因此企業(yè)必須保持連續(xù)監(jiān)控，以確保能感知到自身環(huán)境內(nèi)發(fā)生的事件。零信任架構(gòu)由NIST 800-207中提到的三個(gè)關(guān)鍵組件組成：

• 策略引擎
• 策略管理
• 策略執(zhí)行點(diǎn)

在現(xiàn)有狀態(tài)中獲得的資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信信息可以被這些組件用于提升決策能力，并且確保會(huì)形成風(fēng)險(xiǎn)的決策能避免出現(xiàn)。

零信任不只是一次旅途

許多組織都會(huì)犯的一個(gè)錯(cuò)誤在于認(rèn)為零信任是一個(gè)需要到達(dá)的目的地;他們認(rèn)為只要他們買了正確的工具，就能在自己的環(huán)境中實(shí)現(xiàn)零信任。這顯然不是零信任生效的方式。當(dāng)然，工具可以幫助零信任的落地，使組織更接近零信任結(jié)構(gòu)，但這并非是萬靈藥。就跟大部分IT和網(wǎng)絡(luò)安全一樣，它由人、流程和技術(shù)組成。

就像NSA發(fā)布的《擁抱零信任安全模型》文中那樣，最重要的建議是從一個(gè)成熟的方式實(shí)踐零信任，包括了最初的準(zhǔn)備，以及基礎(chǔ)、進(jìn)階和高級(jí)階段的成熟度變化。

這就意味著，第一步是進(jìn)行準(zhǔn)備：知道自己現(xiàn)在的位置、需要填補(bǔ)和缺陷、當(dāng)前架構(gòu)、實(shí)踐和流程如何能和上述零信任的關(guān)鍵要點(diǎn)相匹配。然后，設(shè)定一個(gè)如何解決這些問題的計(jì)劃。最重要的是，要知道這些都是需要時(shí)間來檢驗(yàn)的。

點(diǎn)評(píng)

零信任的概念從去年才開始在國內(nèi)逐漸受到重視。但是，零信任的落地并非一蹴而就的，除了技術(shù)之外，不僅需要制度和方法上的支持，也需要時(shí)間慢慢等待效果的出現(xiàn)。