作為一種新興安全理念和技術(shù)，零信任經(jīng)過近十年的發(fā)展，正在從實踐邁向落地應(yīng)用。隨著零信任從理念架構(gòu)到落地實踐的不斷突破，如何加速構(gòu)建零信任安全體系，用零信任解決方案保障千行百業(yè)的數(shù)字化轉(zhuǎn)型成為目前行業(yè)普遍關(guān)注的焦點，在安全牛近期的研究中，我們也就此進行了觀察與思考。

圖1 零信任技術(shù)的應(yīng)用發(fā)展

從零信任國際發(fā)展歷程中看到，2017年前零信任還是歷經(jīng)了一段長時間的慢跑;2017年后陸續(xù)提出了一系列的技術(shù)標準和架構(gòu)，其節(jié)奏逐漸變快;從2021年開始，零信任相關(guān)技術(shù)的成熟度明顯提升。

1. 零信任的實踐與應(yīng)用

Google BeyondCorp是零信任的一個早期實踐，其是基于理念從零開始設(shè)計和構(gòu)建零信任模型，歷經(jīng)了數(shù)年的探索和實踐。其實踐的基本思想是將訪問主體、客體、及訪問權(quán)限進行了細粒度關(guān)聯(lián)和控制，核心組件包括設(shè)備、用戶、應(yīng)用和工作流、網(wǎng)絡(luò)。其中，將網(wǎng)絡(luò)劃分了特權(quán)網(wǎng)絡(luò)和非特權(quán)網(wǎng)絡(luò)，在非特權(quán)網(wǎng)絡(luò)主要通過訪問代理(GFE)提供集中化的粗粒度的策略強制執(zhí)行機制，陸續(xù)對GFE能力進行擴展，包括認證、授權(quán)、審計等。

相比BeyondCorp，DISA(美國國防信息系統(tǒng)局)零信任戰(zhàn)略實踐的環(huán)境更復(fù)雜，其目標是從分散的各部門獨立的安全建設(shè)向統(tǒng)一安全防護架構(gòu)改造。根據(jù)最新消息，DISA戰(zhàn)略于2022年1月份開始啟動，啟動前用一年多的時間進行方案評估和架構(gòu)規(guī)劃。其過程從時間軸上如圖2所示：

圖2 DISA零信任戰(zhàn)略推進的路線

2020年10月，零信任參考框架在DISA的JITC(聯(lián)合互操作性測試指令)實驗室進行構(gòu)建并測試，其目標是開發(fā)出一個不受供應(yīng)商限制的解決方案。這一驗證也為后續(xù)的戰(zhàn)略計劃和方案建設(shè)奠定了信心和基礎(chǔ)。該驗證之前， NIST下屬的 NCCoE(國家網(wǎng)絡(luò)安全卓越中心)在2020年03月發(fā)布過《實現(xiàn)零信任架構(gòu)》項目說明書(草案),也是旨在通過商用產(chǎn)品構(gòu)建零信任架構(gòu)。

在架構(gòu)設(shè)計中，定義了零信任架構(gòu)的7個支柱性性元素，分別是：用戶、設(shè)備、網(wǎng)絡(luò)/環(huán)境、應(yīng)用/工作負載、數(shù)據(jù)、可視化/分析、自動化與編排，并對這些元素匹配了具體的能力和關(guān)鍵技術(shù)。2021年10月份基于零信任架構(gòu)進一步提出了構(gòu)建方案—Thunderdome，確定通過SASE重構(gòu)來實施零信任戰(zhàn)略。最后，根據(jù)確定的方案制定出項目具體的實施計劃。

圖3 美國零信任實踐到應(yīng)用發(fā)展的五個階段

Thunderdome方案實施的同時，美國管理和預(yù)算辦公室(OMB)也發(fā)布了《聯(lián)邦政府零信任戰(zhàn)略》正式版，明確了美國“民用機構(gòu)”零信任架構(gòu)的五個核心支柱，進一步從管理、技術(shù)、架構(gòu)、基礎(chǔ)設(shè)施選用維度提出了具體要求。OMB與DISA零信任戰(zhàn)略規(guī)劃的過程看上去非常相似，但OMB的建設(shè)速度相對DISA又加快了很多。而DISA從互操作驗證到項目落地實施每個階段都保留了一段過渡時間，整個過程看上去更謹慎些。

總結(jié)美國從實踐到DISA重構(gòu)轉(zhuǎn)型的過程，其中經(jīng)歷了技術(shù)實踐、互操作性驗證、架構(gòu)規(guī)劃、技術(shù)方案、實施計劃5個階段。如果說早期BeyondCorp是實踐，那么今天DISA和OMB的零信任戰(zhàn)略則承載了重要安全任務(wù)并且有技術(shù)標準、有架構(gòu)驗證、有全局規(guī)劃及妥善計劃的落地應(yīng)用。這在一定程度上標志著零信任從實踐走向了應(yīng)用。

2. 我國零信任應(yīng)用的觀察

在國內(nèi)，“替代VPN”一度被認為是零信任的重要使命之一。但VPN最初的使命是為遠程訪問建立專用網(wǎng)絡(luò)，而零信任的初衷是數(shù)據(jù)保護的一種安全范式，旨在防止數(shù)據(jù)泄露和限制內(nèi)部橫向移動。用VPN應(yīng)對云時代海量遠程接入的安全訪問需求原本也很牽強，但VPN持續(xù)暴露的安全風險，確實是助力零信任發(fā)展的重要力量之一，并且推動SDP網(wǎng)關(guān)成為替代企業(yè)遠程辦公的重要解決方案。

我們看到，保障零信任行業(yè)應(yīng)用的相關(guān)配套標準已經(jīng)開始出現(xiàn)。中國電子標準化協(xié)會主導(dǎo)的《零信任技術(shù)規(guī)范》、中國城市軌道交通協(xié)會主導(dǎo)的《城市軌道交通云平臺網(wǎng)絡(luò)安全技術(shù)規(guī)范》，均給出了采用零信任理念時強訪問控制的技術(shù)要求及可參考的邏輯架構(gòu)，強調(diào)不管是人、設(shè)備、應(yīng)用還是數(shù)據(jù)都要進行身份標識、訪問認證和動態(tài)授權(quán)。同時，商密行業(yè)為進一步增強了證書體系的安全性也在踐行零信任，在重要的訪問控制環(huán)節(jié)結(jié)合零信任理念對傳統(tǒng)數(shù)字證書的分發(fā)、授權(quán)進行改造。

零信任理念對傳統(tǒng)安全產(chǎn)品的賦能也再進一步加強：

(1)在用戶識別能力方面，零信任賦能了IAM為代表的身份與訪問安全技術(shù)，對用戶認證的需求又驅(qū)動了權(quán)限管理和特權(quán)管理成為更加重要的能力單元。

(2)在網(wǎng)絡(luò)與通信安全方面，以SDP為中心的訪問控制方案已成為網(wǎng)絡(luò)遠程接入安全的重要組成，但目前企業(yè)方面還是處于嘗試狀態(tài)，如何更好地進行持續(xù)風險評估，以及是否可以完全無特權(quán)訪問還待驗證。

(3)在終端安全方面，除了網(wǎng)絡(luò)接入側(cè)強驗證，零信任也進一步推進了安全引擎、沙盒、虛擬空間等技術(shù)在終端安全上的應(yīng)用，擴展了終端基線檢測、入侵檢測/防護、審計等安全管理能力。這不僅對大量的、分散部署的終端風險管理的助力很大，也將幫助XDR提高快速檢測-響應(yīng)能力。

(4)在數(shù)據(jù)安全方面，零信任理念整合了傳統(tǒng)數(shù)據(jù)安全的訪問和管控能力，能很好應(yīng)對云平臺上大數(shù)據(jù)的碎片化管理問題;對移動和遠程終端上的數(shù)據(jù)泄露問題，通過終端的虛擬空間技術(shù)也得到了很好的擴展;另外，對數(shù)據(jù)中心的數(shù)據(jù)安全問題，在網(wǎng)絡(luò)側(cè)進行數(shù)據(jù)管控會更適合，但從訪問控制和部署角度看，其方案與遠程辦公的零信任方案又有異途同歸之處。

(5)在零信任理念的影響下，應(yīng)用交付、WEB VPN類設(shè)備相比傳統(tǒng)的應(yīng)用交付也做了很多改進：部署方案上訪問控制和策略管理在逐漸分離，產(chǎn)品設(shè)計上在增強多因素認證以改進權(quán)限管理策略，特別是在應(yīng)對API訪問泛在化的安全風險中涌現(xiàn)了一波專業(yè)API安全防護能力，提升了運行時應(yīng)用自我防護能力。

零信任理念讓用戶、終端、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用五個方面安全能力都有了諸多改變，但是從系統(tǒng)化的建設(shè)角度看，國內(nèi)目前的應(yīng)用還很有限：

(1)零信任架構(gòu)是一種集成了諸多安全能力的綜合性解決方案，對組件的依賴性大。但需求側(cè)，企業(yè)在零信任方案采購中更愿意選擇不受供應(yīng)商限制的解決方案。

(2)從供給側(cè)來看，目前階段零信任方案還多由廠商主導(dǎo)，多以其擅長領(lǐng)域的能力提供為主，支撐企業(yè)進行零信任全局戰(zhàn)略規(guī)劃的難度較大。

(3)目前行業(yè)缺乏零信任方案組合的互操作性評估。同時對行業(yè)現(xiàn)有的零信任構(gòu)建框架，需要更多的實踐去驗證。