譯者 | 布加迪

審校 | 孫淑娟

零信任網(wǎng)絡(luò)訪問（TNA）是John Kindervag首創(chuàng)的零信任模型的演進(jìn)版。

零信任是知名調(diào)研公司Forrester的Kindervag在2010年杜撰的術(shù)語。2017年左右，Gartner分析師們在搗鼓一個相關(guān)但不同的概念：持續(xù)自適應(yīng)風(fēng)險和信任評估（CARTA）。CARTA與Kindervag的零信任有著同樣的用途：將隱式接受信任換成要求顯式證明信任。

Steve Riley是Gartner研究這個概念的分析師之一。當(dāng)時還出現(xiàn)了云安全聯(lián)盟（CSA）的“軟件定義邊界”和谷歌的BeyondCorp（最初是在2009年更早時候為響應(yīng)Operation Aurora而創(chuàng)建的）。這些與Gartner研究的“持續(xù)自適應(yīng)信任”有相似之處，“零”只是個起點。

到2019年，Riley準(zhǔn)備撰寫一份關(guān)于CARTA的Gartner市場報告，但說服了同事，讓他們相信零信任網(wǎng)絡(luò)訪問（ZTNA）是一個更具辨識度的主題名稱。他在2019年的市場報告可謂是開山鼻祖，是Kindervag首創(chuàng)的零信任概念，成為如今在網(wǎng)絡(luò)安全界最廣泛的應(yīng)用之一。

1.什么是零信任？  

“‘零信任’這個詞現(xiàn)在被用濫了，以至于它幾乎失去了意義，”Riley告訴SecurityWeek網(wǎng)站。

2017年，Gartner談到了一個名為“持續(xù)自適應(yīng)風(fēng)險和信任評估”的概念。Riley將這個概念應(yīng)用于零信任，在2019年杜撰了零信任網(wǎng)絡(luò)訪問（ZTNA）一詞?；叵肫饋恚琑iley希望自己使用零信任應(yīng)用程序訪問（ZTAA）一詞，但現(xiàn)在認(rèn)為改名稱為時已晚。相對零信任要求而言，底層網(wǎng)絡(luò)幾乎是次要的：要訪問網(wǎng)絡(luò)上運行的各個應(yīng)用程序，需要滿足這個要求——這是ZTNA的真正目的。

零信任一詞現(xiàn)在是個集體形容詞。如果沒有伴隨的名詞或名詞性短語，它本身沒有意義。全世界已從Kindervag革命性和有價值的什么都不信任概念（也許它本身源自最小特權(quán)這個安全原則）向前發(fā)展：現(xiàn)在是“如果沒有充分、持續(xù)的授權(quán)，什么都不信任”。

雖然零信任可以應(yīng)用于其他方面，比如零信任電子郵件訪問（ZTEA）或零信任數(shù)據(jù)訪問（ZTDA），但這可能是未來的事情。在這里，我們側(cè)重于ZTNA/ZTAA。按照Riley的定義，它包括持續(xù)自適應(yīng)風(fēng)險和信任評估，作為一種實用的折衷方案，在不影響可用性的情況下提供最大的安全性。

2.信任代理扮演的角色  

ZTNA的一個關(guān)鍵概念是信任代理（trust broker）角色。信任代理位于網(wǎng)絡(luò)外部，為經(jīng)過身份驗證的用戶提供合適的信任級別，以訪問特定的應(yīng)用程序。這種方法有眾多用途。

首先，它可以阻止來自經(jīng)過身份驗證的可信賴用戶以外的任何人的所有入站通信。應(yīng)用程序告訴代理誰可以通過身份驗證訪問哪些應(yīng)用程序。Riley表示，如果沒有這個外部代理，“攻擊者可以連接，不必費心提交身份驗證序列。他們可以隨心所欲地向服務(wù)發(fā)送任何請求，看看是否可以以不可預(yù)測但對攻擊者有利的方式讓其行為出現(xiàn)異常?！贝韺⒛Ｊ綇摹斑B接（到網(wǎng)絡(luò)），然后驗證身份”變成了“驗證身份，然后連接（到某個指定的應(yīng)用程序）”。

代理可以檢查設(shè)備的健康狀況、地理位置和用戶的其他行為生物特征。它生成信任分?jǐn)?shù)。如果信任分?jǐn)?shù)對于指定的應(yīng)用程序來說夠高，就通過代理向用戶授予權(quán)限。

這一點很關(guān)鍵——用戶只被允許訪問指定的應(yīng)用程序。任何用戶想要訪問不同應(yīng)用程序，都需要重新驗證身份才能訪問該應(yīng)用程序，身份驗證要求可能有所不同。這防止了網(wǎng)絡(luò)內(nèi)的橫向移動，無論實施者是員工還是攻擊者。

3.您能擁有真正的零信任嗎？  

理解零信任概念的困難之一是每個人都知道零信任和可用性水火不容。保證零信任的唯一方法是拔掉計算機(jī)電源，將其包裹在六英尺厚的鉛襯混凝土中，然后將其放入深海中。但這阻礙了可用性。

零信任是運用最小的信任，仍然確保實用的可用性。一方面增強(qiáng)，另一方面勢必會削弱。

在目前的方法中，訪問是基于信任分?jǐn)?shù)授予的。從理論上講，分?jǐn)?shù)可以被操縱——只需要適當(dāng)?shù)牟倏v，就可以將結(jié)果即分?jǐn)?shù)從“允許”以下提高到“拒絕”以上。

第二個潛在的弱點是代理。如果代理受到威脅，那么攻擊者就能訪問所選擇的應(yīng)用程序。這是Riley在他還在Gartner開始研究ZTNA概念時擔(dān)心的問題。他的結(jié)論是，代理仍然是外部訪問的最佳選擇。替代方案是依靠公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的防火墻（我們知道這不起作用），或者使用VPN。

Riley說：“VPN一頭在互聯(lián)網(wǎng)上，另一頭在公司網(wǎng)絡(luò)中。大多數(shù)VPN集中器都潛伏在地下室的一角，永遠(yuǎn)不會更新。沒法更新它，因為每個人都在不斷使用它?！?br>

信托代理方法的優(yōu)勢在于，它由一家全職的專業(yè)安全公司運營，其網(wǎng)絡(luò)安全技能遠(yuǎn)超普通商業(yè)客戶。他補(bǔ)充道：“但由于您依賴第三方服務(wù)來實現(xiàn)這種方法，因此確保服務(wù)本身能夠證明它是可以信任的至關(guān)重要?！?br>

4.零信任何去何從？  

請記住，零信任只是一個形容詞。沒有它描述的名詞是沒有意義的。我們在本文中分析了應(yīng)用程序訪問的零信任。這可能是零信任概念中最重要和最緊迫的方面。

但這不是唯一的潛在方面。零信任應(yīng)該有可能應(yīng)用于當(dāng)前遭受訪問濫用的任何方面。

現(xiàn)在，網(wǎng)絡(luò)安全的當(dāng)前方向之一是增加細(xì)粒度。一個很好的例子是當(dāng)前向“以數(shù)據(jù)為中心的安全”邁進(jìn)的趨勢。所有安全的主要目的是保護(hù)公司數(shù)據(jù)——所以問題是我們是否應(yīng)該期待未來會朝著零信任數(shù)據(jù)訪問（ZTDA）方向發(fā)展？

基本框架已經(jīng)存在。Riley說：“不妨以云端數(shù)據(jù)庫表為例。不是在Microsoft Azure中建立虛擬機(jī)，并在那里運行數(shù)據(jù)庫服務(wù)器，您只需使用SQL Azure，并將云端數(shù)據(jù)庫表配置成URL。有一些機(jī)制可以讓您針對單個字段或者整個表的行或列進(jìn)行訪問控制?！?br>

無論需要何種細(xì)粒度，訪問控制都可以成為有意設(shè)計的策略的一部分，旨在消除無處不在的隱式信任，始終要求對任何實體的任何形式的訪問進(jìn)行身份驗證和授權(quán)。

Riley說：“我喜歡把這些東西抽象化。我想消除每一層的隱式信任：網(wǎng)絡(luò)、應(yīng)用程序、虛擬機(jī)和數(shù)據(jù)對象。相反，我希望看到這種情形，即每次交互都得到調(diào)控，對該交互的信心水平由上下文和周圍的信號來衡量?！?br>

簡而言之，他補(bǔ)充道：“我認(rèn)為，最終，零信任將包括零信任數(shù)據(jù)訪問?！?br>

原文鏈接：https://www.securityweek.com/history-and-evolution-zero-trust