零信任是什么，為什么是網(wǎng)絡安全的熱門詞？

如果童話故事里的小紅帽懂“零信任”，還會被大灰狼吃掉嗎？

假設童話故事里有“零信任”，一切都將不同。首先，小紅帽在路上遇到大灰狼的時候，“零信任”會在關鍵時期，給小紅帽預警風險，同時會加固外婆的房子，如增加圍欄、鎖、防盜門等，不會讓大灰狼那么容易進入房子。其次，“零信任”可以通過各種技術手段，幫助小紅帽識破偽裝成外婆的大灰狼。

A

零信任是何許人也？

童話故事里的“零信任”是假設，在現(xiàn)實中則是站在移動互聯(lián)網(wǎng)基礎新形勢下的新安全理念。零信任將成為未來網(wǎng)絡安全的主流架構，企業(yè) IT 安全建設的必然選擇。

網(wǎng)絡安全發(fā)展幾十年，人們說到網(wǎng)絡安全，想到的是VPN、防火墻、殺毒軟件、漏洞掃描和網(wǎng)絡入侵檢測等等。而零信任到底是什么？怎么就成了網(wǎng)絡安全的熱門詞？我們以三只小豬的童話故事來解答以上問題。

大灰狼看到三只小豬，就像黑產(chǎn)看到了企業(yè)可竊取的巨大利益，大灰狼（黑產(chǎn)）通過各種手段來攻破房子（企業(yè)業(yè)務系統(tǒng)），進而吃掉三只小豬（竊取利益）。三只小豬的房子堅固度，就像是企業(yè)的安全防護手段?，F(xiàn)實中，企業(yè)會在房子外面增加圍欄、門鎖、防盜門等措施加固房子，防止房子被物理破壞。而黑產(chǎn)可以通過收買“壞豬”來打開房門，還可以偽裝成“豬媽媽”進入房子。

如果三只小豬懂“零信任”，他們可以通過判斷誰是“壞豬”、識破冒牌“豬媽媽”來保護自己，防止大灰狼進入房子；當然即便大灰狼經(jīng)過很好的偽裝進入了房子，也可以通過不間斷分析監(jiān)督，在不同的風險程度時，采取不同的處置手段，若風險程度較高，便可直接驅逐來斷絕風險。

由此可以看出，零信任不是單一的產(chǎn)品、技術能夠實現(xiàn)的，企業(yè)也不可能通過單一的產(chǎn)品和技術一步到位的將原業(yè)務系統(tǒng)改為零信任架構。

市場上主流的零信任理念觀點

在介紹目前市場上主流的零信任之前，先科普下邊界概念是什么？邊界即執(zhí)行安全控制的載體。在三只小豬故事里，房子是他們的安全邊界，攻破了房子就會被吃掉。數(shù)字時代下的云計算、物聯(lián)網(wǎng)等新興技術的快速發(fā)展，企業(yè)傳統(tǒng)的以網(wǎng)絡作為邊界安全的架構正在逐漸失效，而不以邊界為信任條件，以“人”為核心的零信任安全更符合當下企業(yè)的業(yè)務安全需求。

從2004年耶利哥論壇提出去邊界化安全理念，到2010年“零信任之父”John Kindervag提出零信任網(wǎng)絡模型概念，至2020年零信任方案在多行業(yè)落地，并陸續(xù)推出零信任相關標準，零信任安全正在快速普及應用，將成為企業(yè) IT 安全建設的必然選擇。

零信任即永不信任，始終驗證。默認情況下不信任網(wǎng)絡內部和外部的任何人/設備/系統(tǒng)，需要基于認證和授權重構訪問控制的信任基礎。

谷歌：讓每位谷歌員工都可以在不借助VPN的情況下通過不受信任的網(wǎng)絡順利開展工作

谷歌BeyondCorp計劃的目標是提高員工和設備訪問內部應用程序的安全性。谷歌認為傳統(tǒng)防火墻的保護效果變得不明顯，不如破除內外網(wǎng)實行統(tǒng)一，將所有應用部署在公網(wǎng)上，用戶不再需要通過VPN連接到內網(wǎng)，而是通過與設備為中心的認證、授權工作流，實現(xiàn)員工任何地點對資源的訪問。Google平等對待位于外部公共網(wǎng)絡和本地網(wǎng)絡的設備，默認均不會授予任何特權，準確識別設備、用戶，移除對網(wǎng)絡的信任，實現(xiàn)基于已知設備和用戶的訪問控制，并動態(tài)更新設備和用戶信息，從而保證用戶獲得流暢的資源訪問體驗。

Gartner：取代VPN，零信任不意味邊界的消失

Gartner將零信任網(wǎng)絡訪問（ZTNA）定義為產(chǎn)品和服務，它創(chuàng)建一個基于身份和上下文的邏輯訪問邊界，包括一個用戶和一個應用或一組應用程序。Gartner分析師認為，ZTNA增強了傳統(tǒng)VPN技術應用程序訪問能力，減少員工和合作伙伴之間需要的訪問信任。安全和風險管理領導人應試點ZTNA項目，或迅速擴大遠程訪問。

微軟：致力于搭建身份作為新的安全邊界

微軟通過強調身份驅動型安全解決方案，并專注于通過強身份驗證，消除密碼、檢驗設備健康狀態(tài)以及安全訪問公司資源來保護用戶身份。

NIST：零信任（ZT）&零信任架構（ZTA）

零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡環(huán)境已經(jīng)被攻陷的前提下，當執(zhí)行信息系統(tǒng)和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構（ZTA）則是一種企業(yè)網(wǎng)絡安全的規(guī)劃，它基于零信任理念，圍繞其組件關系、工作流規(guī)劃與訪問策略構建而成。

零信任安全帶來的實際社會價值

通過零信任安全體系架構的建設，以人工智能、大數(shù)據(jù)等技術與業(yè)務高度融合，能夠為企業(yè)提供多方面的實際社會價值有：

第一方面：能發(fā)現(xiàn)并解決由于身份信息泄露、冒用、盜用、特權賬號、賬號共享等等的身份欺詐風險。

第二方面：能發(fā)現(xiàn)并解決各類移動終端的安全風險，能解決網(wǎng)絡設備、服務器、wifi、vpn等等設備的二次認證，從而避免了各類型設備的欺詐風險。

第三方面：基于人工智能技術，通過連續(xù)認證實現(xiàn)動態(tài)行為監(jiān)控，通過規(guī)則引擎來實現(xiàn)動態(tài)授權，通過機器學習引擎來發(fā)現(xiàn)新的風險，從而能夠實時的發(fā)現(xiàn)并解決用戶的行為風險。

第四方面：兼容移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等等新興應用場景，為企業(yè)的新時期信息化建設或信息化數(shù)字轉型提供有效的安全保障。

需以“人”為核心實現(xiàn)零信任安全

芯盾時代認為，零信任體系的目標是建立一個不依賴于城墻和壕溝的防御體系，基于用戶身份、位置，相關業(yè)務數(shù)據(jù)、管理數(shù)據(jù)等各種信息的相互關系，場景匹配等各種微分化的情況來判斷、確定以及響應訪問的合法性。在移動互聯(lián)網(wǎng)時代，應從設備、身份和行為等維度入手，持續(xù)驗證“人”是否可信，并根據(jù)狀態(tài)進行及時處置，實現(xiàn)身份/設備管控、持續(xù)認證、動態(tài)授權、威脅發(fā)現(xiàn)與動態(tài)處理的閉環(huán)操作，保障企業(yè)業(yè)務場景的動態(tài)安全。

零信任安全是在網(wǎng)絡發(fā)展的歷程中由需求逐步產(chǎn)生的，它的出現(xiàn)重構了以身份為信任的安全防護機制，對數(shù)字時代的發(fā)展浪潮中網(wǎng)絡核心價值點-“人”進行全方位的安全防護。

原文標題：童話故事里的“零信任”

文章出處：【微信公眾號：芯盾時代】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq