零信任面臨的一些問題包括許多實際的和認知方面障礙，以及需要仔細協(xié)調(diào)才能實現(xiàn)承諾的一系列復雜產(chǎn)品。其結果是：零信任不會很快成為解決日益嚴重的網(wǎng)絡安全問題的靈丹妙藥。

零信任最早是由John Kindervag在2010年擔任Forrester Research公司分析師時提出的。它的工作方式是，企業(yè)必須確保網(wǎng)絡上的每個文件請求、數(shù)據(jù)庫查詢或其他操作都來自具有正確權限的用戶。新設備必須在訪問每個網(wǎng)絡應用程序之前進行注冊和驗證，并且每個試圖登錄的用戶都被認為是惡意的，除非得到證明可信。如果操作得當，它承諾將用戶從更主流的網(wǎng)絡安全方法的許多限制中解放出來，提高安全防御能力。

自從Kindervag提出這個想法以來，他創(chuàng)建了一家管理服務公司，該公司提供了他創(chuàng)建的數(shù)十種解決方案之一。如今，幾乎所有主要的安全提供商都有一種服務或產(chǎn)品將零信任作為其產(chǎn)品名稱的一部分，思科系統(tǒng)股份有限公司等一些公司最近也發(fā)布了新產(chǎn)品公告，將其定位在零信任領域。

但在實踐中，盡管推出這些產(chǎn)品，零信任解決方案在很大程度上仍然是不完整的，在某些情況下甚至沒有使用。Gartner公司分析師John Watts在該公司去年12月的年度預測備忘錄中寫道，“在零信任的情況下從理論轉向實踐是一項挑戰(zhàn)，目前只有不到1%的大型企業(yè)真正在使用它?！?/p>

此外，Watts預測，“到2025年，60%以上的企業(yè)將把零信任作為安全的起點，但超過一半的企業(yè)將無法意識到其好處?！迸c此同時，麻省理工學院林肯實驗室的Nathan Parde在去年5月發(fā)表的一份報告中估計，典型的零信任部署將需要三到五年的時間。當然，這是一個令人沮喪的消息。

這些結果與其他供應商的調(diào)查結果大相徑庭。Okta公司的《2022年8月零信任安全狀況》報告發(fā)現(xiàn)，在接受調(diào)查的700家企業(yè)中，幾乎所有企業(yè)都已經(jīng)啟動了零信任計劃，或者有在未來幾個月啟動零信任倡議的明確計劃。

但這些結果多少有一些誤導。首先，從開始到完成零信任的推出可能需要數(shù)年時間。其次，說和做是截然不同的兩件事，而在這項調(diào)查中也表明有一些是零信任的有效執(zhí)行者。

網(wǎng)絡安全的簡史

隔離網(wǎng)絡基礎設施以更好地保護各種資源的想法始于20世紀90年代中期出現(xiàn)的第一批網(wǎng)絡防火墻和虛擬專用網(wǎng)絡(VPN)。早在2008年，DarkReading公司就對許多可以被稱為防火墻發(fā)明者的作者進行了研究。大多數(shù)分析人士會說，最早將防火墻商業(yè)化的是CheckPoint軟件技術有限公司，該公司至今仍在銷售防火墻。至于全球第一個VPN協(xié)議，大多數(shù)人都認為是由微軟公司在1996年創(chuàng)建的，然后在本世紀初開始流行，思科、瞻博網(wǎng)絡和其他公司仍在出售網(wǎng)絡防火墻和VPN。

防火墻和VPN的作用是通過制定各種策略來隔離網(wǎng)絡：來自內(nèi)部營銷數(shù)據(jù)庫的網(wǎng)絡流量將被允許進入這部分網(wǎng)絡，而來自內(nèi)部人事數(shù)據(jù)庫的網(wǎng)絡流量則不允許?；蛘咴试S來自外部網(wǎng)絡的查詢訪問企業(yè)的web服務器，但不允許訪問其他任何數(shù)據(jù)。如何構建這些策略是這兩款產(chǎn)品的秘密，網(wǎng)絡安全專家經(jīng)過培訓和實踐才能弄清楚這一切。

在那個網(wǎng)絡邊界嚴格且定義明確的時代，這沒什么問題。但隨著網(wǎng)絡應用程序分散在網(wǎng)絡上，邊界不再是一個可行的想法，也不可能強制執(zhí)行。隨著企業(yè)使用更復雜的軟件供應鏈，它們變得依賴于那些應用程序編程接口，并且對各種軟件和組件如何組合在一起了解較少。

網(wǎng)絡攻擊者知道他們最終可以找到進入網(wǎng)絡的方法。VPN和防火墻成為新的安全隱患，尤其是隨著越來越多不受信任的遠程設備已經(jīng)加入企業(yè)網(wǎng)絡。

進入零信任

這就是Kindervag提出零信任理念的由來。Kindervag表示，不能相信任何人或任何應用程序，必須審查每次互動，這是一些安全專業(yè)人士所說的“最低特權”。它開啟了一個自適應身份驗證的時代，用戶和應用程序最初并沒有獲得100%的訪問權限，但企業(yè)會根據(jù)具體情況逐步批準。

例如，如果人們向銀行查詢當前余額，必須證明自己擁有合法的賬戶。如果想轉移資金，則必須做更多的事情，如果想把資金轉移到一個新的海外賬戶，還必須做更多的事情。

如今的零信任創(chuàng)造了“信任經(jīng)紀人”的概念，即交易雙方都信任的調(diào)解人或中立的第三方。設置這些機制并不容易，特別是在雙方不一定直接了解或信任對方的情況下，特別是在不同的情況、應用程序和用戶類型需要不同代理的情況下。

這種復雜性就是當今的零信任實現(xiàn)所處的位置。OpenText公司旗下的NetIQ公司在其“企業(yè)零信任狀態(tài)”報告中說，“當大量數(shù)據(jù)和工作負載現(xiàn)在生活在傳統(tǒng)網(wǎng)絡之外時，將企業(yè)系統(tǒng)、應用程序和數(shù)據(jù)放在一個位置，并依靠多層安全工具和控制來將攻擊者拒之門外已經(jīng)不夠了。零信任不是一個單一的軟件，而是一個戰(zhàn)略框架?！睂⑵淇梢暬囊环N方法是Gartner公司如何將其架構圖顯示為一系列相互連接的部分，例如處理用戶身份、威脅情報和應用程序。

人們需要了解“戰(zhàn)略”和“框架”，以及它們對零信任實現(xiàn)的意義?！皯?zhàn)略”意味著，在任何可靠的網(wǎng)絡安全計劃的核心，都需要盡可能地實現(xiàn)零信任。這正是美國總統(tǒng)拜登在兩年前發(fā)布的《改善國家網(wǎng)絡安全行政命令》所試圖推動的目標，其目標是讓美國政府機構實施零信任安全。

盡管這是值得稱贊的，但仍遠未實現(xiàn)。即使是采用行政命令也無法通過法令實現(xiàn)零信任，盡管最近，美國聯(lián)邦機構被告知要取消對VPN和路由器等各種網(wǎng)絡設備的互聯(lián)網(wǎng)訪問，這對任何信息技術管理者來說都應該是顯而易見的。

去年發(fā)布在《安全周刊》的一篇文章指出，“保證零信任的唯一方法就是眾所周知的拔掉電腦的插頭，把它包裹在六英尺厚的混凝土里，然后把它扔進深海?！钡@阻礙了可用性。因此，其訣竅在于從這種極端和不可行的位置轉向能夠提供安全性和業(yè)務利益并且實際上也有用的東西。這就是框架部分需要考慮的地方。

身份驗證提供商Nok Nok Labs公司的首席執(zhí)行官Phil Dunkelberger表示，“實現(xiàn)零信任框架沒有對錯之分，但它基本上是一個很好的結構。細節(jié)決定成敗，由于沒有一刀切的用戶和用例，因此很難部署。”

他的觀點是，在制定零信任實施計劃時，IT和安全管理人員提出了錯誤的問題。他說：“零信任能帶來更好的業(yè)務成果嗎?我們會有更安全的應用程序，或者提高這些基礎設施投資的回報嗎?”

重新思考信任

也許很多人對零信任的理解是錯誤的。信任用戶或應用程序需要一個連續(xù)的過程，就像自適應身份驗證一樣。企業(yè)開始時要采取一些步驟來實現(xiàn)完全信任，每次提供一點。從全有或全無的方式來看，這種模式更適合當今世界。

零信任概念化的一種方法是考慮采用微分段來隔離應用程序，本質上是將防火墻抽象到特定的工作負載和用戶。Gartner公司的Watts表示，這意味著“首先實施零信任，改善最關鍵資產(chǎn)的風險緩解，因為這將產(chǎn)生最大的風險緩解回報?！?/p>

Gartner公司使用了五個考慮因素來定義零信任：交付平臺是什么，如何安全地實現(xiàn)遠程工作，如何管理各種信任策略，如何保護任何地方的數(shù)據(jù)，以及與第三方產(chǎn)品的集成情況。對于一個框架或一系列產(chǎn)品來說，這都是需要實現(xiàn)的許多接觸點。

Watts在他的預測報告中說:“零信任可以作為一種思維方式、范式、戰(zhàn)略或特定架構和技術的實施。”他提出了一些建議，以幫助企業(yè)更成功地實施，包括在項目開始時定義零信任控制的適當范圍和復雜程度，限制對設備和應用程序的訪問，以及應用持續(xù)的基于風險的訪問策略。

他說：“從根本上說，零信任意味著消除構成許多安全計劃基礎的隱性信任(以及信任的代理)，建立基于身份和場景的信任。這需要改變安全程序和控制目標的設置方式，尤其是改變對訪問級別的期望?！?/p>

亞馬遜網(wǎng)絡服務公司(AWS)最近在加利福尼亞州阿納海姆舉辦的re:Inforce會議展示了這將如何運作的例子。AWS公司網(wǎng)絡防火墻總經(jīng)理Jess Szmajda展示了現(xiàn)有的零信任服務(例如驗證訪問和VPC Lattice)將如何與一系列新的零信任服務協(xié)同工作，從而使AWS更加安全。它們包括經(jīng)過驗證的權限和GuardDuty威脅監(jiān)控工具的擴展功能，以增加更好的安全策略粒度和更多的預防性控制。AWS公司稱之為“無處不在的身份驗證”。

其結果是，企業(yè)應該為零信任的實施做好漫長而曲折的準備。特別是如果他們能展示出直接的商業(yè)效益，那么邁出第一步是值得的。