根據(jù)定義，零信任安全模型提倡創(chuàng)建區(qū)域和分段來控制敏感的IT資源。這還需要部署技術來監(jiān)視和管理區(qū)域之間的數(shù)據(jù)，更重要的是，一個區(qū)域內(nèi)用戶之間的交互。

　　零信任安全模型重新定義了公司范圍內(nèi)的可信網(wǎng)絡的體系結構。這件事情至關重要，因為像云、DevOps和IoT這樣的技術和過程已經(jīng)模糊或完全移除傳統(tǒng)邊界的概念。

　　區(qū)域本身可以通過使用向下到主機或數(shù)據(jù)層的微分段來委托，以實施零信任模型。這意味著一個資源，比如一個服務器，甚至一個數(shù)據(jù)庫，可以有多個區(qū)域來支持實現(xiàn)零信任所需的數(shù)據(jù)收集和監(jiān)視。

　　零信任本質上建立了信任、驗證和持續(xù)評估信任的模型，用于進一步訪問和橫向移動。

　　雖然零信任已經(jīng)成為IT界的流行語，但在實踐中，這種模式通常是不切實際的，或者說是不現(xiàn)實的。

　　本文將回顧零信任模型的實際缺點和局限性，并給出更好的解決方案。

　　01  零信任模式的成功之處

　　Forrester為成功實施零信任勾勒出了一個路線圖。以下是Forrester的五步模型：

　　1、識別存儲和傳輸中的敏感數(shù)據(jù)

　　執(zhí)行數(shù)據(jù)發(fā)現(xiàn)和分類

　　根據(jù)數(shù)據(jù)分類對網(wǎng)絡進行分段和分區(qū)

　　2、繪制敏感數(shù)據(jù)流入和流出的可接受路線圖

　　對電子交換敏感數(shù)據(jù)所涉及的所有資源進行分類評估數(shù)據(jù)工作流程，必要時重新設計

　　驗證現(xiàn)有的工作流程，如PCI架構，并驗證設計

       3、構造零信任的微邊界

　　圍繞敏感數(shù)據(jù)確定微邊界、區(qū)域和分段

　　使用物理和虛擬安全控件實施分段

　　基于這些控制和微邊界設計建立訪問

　　自動化規(guī)則和訪問策略基線

　　審核并記錄所有訪問和更改控制

　　4、使用安全分析詳細監(jiān)控零信任環(huán)境

　　利用和確定組織內(nèi)現(xiàn)有的安全分析解決方案

　　確定安全分析工具的邏輯架構和最佳位置

　　如果需要新的解決方案，請確定一個供應商，該供應商正在向與您的組織相同的安全方向發(fā)展，并且可以為您的其他安全解決方案提供分析

5、支持安全自動化和自適應響應

　　將業(yè)務流程轉化為技術自動化

　　記錄、評估和測試安全運營中心的政策和程序，以提高有效性和響應能力將政策和程序與安全分析自動化相關聯(lián)，并確定可以從手動流程中提升哪些內(nèi)容在您的環(huán)境和當前解決方案中驗證自動化的安全性和實現(xiàn)02

　　實現(xiàn)零信任的四大障礙

　　雖然許多建議的方法都有優(yōu)點，而且似乎合乎邏輯，但由于幾乎每個組織都面臨以下問題，許多方法在實踐中難以實現(xiàn)：

　　1. 技術兼容困難

　　如果您的組織開發(fā)自己的軟件以供使用，并且應用程序已經(jīng)使用了幾年以上，那么將會出現(xiàn)技術兼容問題。

　　重新設計、重新編碼和重新部署內(nèi)部應用程序可能代價高昂，而且可能會造成服務中斷。需要有一個正式的采取這些類型舉措的業(yè)務需求。向現(xiàn)有應用程序添加安全參數(shù)來實現(xiàn)零信任感知并不總是可行的。很有可能您現(xiàn)有的應用程序無法實施零信任。

　　因此，這取決于自身系統(tǒng)對自定義應用程序的依賴程度，這將決定是否能夠采用零信任，并確定所需的工作量和成本。當應用程序與微邊界不兼容，或者缺少支持所需自動化的應用程序編程接口時，這種情況尤為明顯。

　　2. 遺留系統(tǒng)問題

　　遺留應用程序、基礎設施和操作系統(tǒng)肯定無法通過零信任感知。它們沒有最小權限或橫向移動的概念，也沒有動態(tài)允許基于上下文使用進行修改的身份驗證模型。

　　任何零信任實現(xiàn)都需要分層或包裝方法來啟用這些系統(tǒng)。然而，分層方法需要包裝對資源的外部訪問，并且很少能夠與系統(tǒng)本身交互。這違背了零信任的前提。您無法使用不兼容應用程序來實施監(jiān)測。您可以篩選抓取、按鍵記錄、監(jiān)控日志和網(wǎng)絡流量以查找潛在的惡意行為，但其帶來的反饋是有限的。因此只能將遺留應用程序的外部交互限制為用戶或其他資源，而非響應本身。這限制了零信任的覆蓋范圍，并且基于遺留應用程序的特性，組織可能會發(fā)現(xiàn)，由于包括TLS 1.3在內(nèi)的大量加密要求，甚至監(jiān)視網(wǎng)絡流量都是不可行的。

　　3.點對點技術違反零信任原則

　　如果您認為您的組織不使用點對點（P2P）網(wǎng)絡技術，那么您可能不知道Windows 10中的默認設置。

　　從2015年開始，Windows 10啟用了點對點技術，在對等系統(tǒng)之間共享Windows更新，以節(jié)省互聯(lián)網(wǎng)帶寬。當一些組織關閉它時，其他組織甚至不知道它的存在。這代表了系統(tǒng)之間的特權橫向運動，而這種運動基本上是不受控制的。雖然此功能沒有出現(xiàn)任何漏洞和攻擊，但它確實提供了違反零信任模型的通信。即使在指定的微邊界內(nèi)也不應出現(xiàn)未經(jīng)授權的橫向移動。

　　此外，如果您使用ZigBee或其他網(wǎng)絡技術協(xié)議，您會發(fā)現(xiàn)它們的操作完全與零信任背道而馳。它們需要點對點通信來操作，信任模型嚴格基于密鑰或密碼，沒有用于身份驗證修改的動態(tài)模型。

　　因此，如果你決定接受零信任，請調(diào)查你的組織是否有點對點或mesh網(wǎng)絡技術，即使是無線網(wǎng)絡。這些都是實現(xiàn)零信任所需的訪問和微邊界控制的巨大障礙。

　　4.數(shù)字化轉型帶來的考驗

　　即使對于那些有能力建立一個新的數(shù)據(jù)中心、實現(xiàn)基于角色的訪問模型并100%接受零信任的組織來說，數(shù)字化轉型的考慮也會使零信任理論難以被接受。

　　云計算、DevOps和IoT推動的數(shù)字化轉型本身并不支持零信任模型，因為它需要額外的技術來細分和實施這一概念。對于大型部署，這可能會導致成本高昂，甚至可能影響解決方案與多用戶訪問進行正確交互的能力。如果您對此表示懷疑，請僅考慮記錄每個事件以動態(tài)訪問項目范圍內(nèi)所有資源的存儲要求和許可證成本。

　　一些人可能對云確實包含分段和零信任模型表示不贊同，但這都取決于如何使用云。將基礎架構直接遷移到云端并不意味著零信任。如果您在云中開發(fā)一個新的應用程序作為一項服務，那么它肯定可以接受零信任。

　　然而，作為數(shù)字化轉型的一部分，僅僅轉移到云并不意味著直接能享受到零信任模型的益處。如果您決定接受零信任并將其納入您的計劃，那么在本文前面討論的所有原因的分層處理之后，它可能無法按照理想狀態(tài)實施工作。

　　03  當考慮使用零信任時應該怎么做

　　零信任唯一能夠成功實現(xiàn)的方法就是，無論是市場營銷還是實際應用，都要從一開始就實施零信任。當然，這不是所有人都能做到的，除非他們開始一個全新的計劃。

　　特權訪問管理 （PAM）

　　遠程訪問

　　漏洞管理

　　簡單地說，如果您的組織還沒有接受特權訪問和最小特權的概念，并且仍然在維護共享的訪問帳戶，那么零信任將不起作用。

　　當一些PAM供應商在推銷“零信任”解決方案時，這實際上只是一個零信任的開端。他們其實并沒有提供一個包含的零信任的解決方案來解決整個問題，這是一項龐大的任務，通常需要從一開始就以零信任作為驅動安全原則來構建正確的IT架構。

　　不過，公平地說，接受零信任的第一步是接受PAM。

　　PAM的主要功能有刪除管理權限、管理帳戶和密碼、刪除共享帳戶、合并會話記錄、強制網(wǎng)絡通信等。只有在正確實現(xiàn)的前提下，才能將其擴展到零信任，并且組織的其他部門在自動化、微邊界訪問控制、數(shù)據(jù)發(fā)現(xiàn)和安全分析方面都支持零信任。

　　并非所有的特權訪問都發(fā)生在傳統(tǒng)的公司范圍內(nèi)。零信任要求對資源進行嚴格控制，以實施微邊界模型。

　　無論是剛起步的初創(chuàng)企業(yè)還是成熟的企業(yè)，對特權資源的零信任都無法管理不在范圍內(nèi)的內(nèi)容。零信任要求對所有請求訪問的內(nèi)容進行完全控制，但當它位于外部時，它可能會產(chǎn)生變化。用戶（遠程員工、承包商等）和應用程序訪問需要有特權的遠程訪問才能建立安全連接并管理來自非托管系統(tǒng)的威脅。

　　零信任模型對于確保人員和承包商在微邊界以外的遠程訪問的便利性非常有限（如果有的話）。請考慮基于連接源及其憑據(jù)、上下文和權限的總體安全性對微邊界的所有訪問。

　　零信任專注于用戶訪問、基于角色的訪問、橫向移動、微邊界、用戶分析和行為。對于一個成熟的公司來說，零信任基于現(xiàn)有安全程序部署，但卻忽略了一個最基本的流程：漏洞和補丁管理。

　　如果用戶訪問的資源容易受到其他類型的網(wǎng)絡安全風險和漏洞攻擊，那么控制用戶是毫無意義的。因此不應授予易受攻擊的應用程序管理權限。

　　橫向移動和權限利用只能從兩個攻擊媒介中發(fā)生：

　　特權攻擊媒介（由于帳戶和密碼管理不善）

　　漏洞和攻擊組合

　　要使零信任有效，不僅需要考慮用戶，還需要考慮資源本身的風險。如果資產(chǎn)具有可遠程利用的關鍵缺陷，則永遠不會在零信任模型中授予訪問權限。零信任忽略了資源風險，而過分關注訪問控制。

　　零信任模型已經(jīng)并不新奇。像PCI這樣的監(jiān)管標準已經(jīng)出臺了很多年，包含了概念，分析和自動化。基本原理沒有什么問題，但不考慮堆棧中的現(xiàn)有技術、戰(zhàn)略方向以及用于遠程訪問和漏洞管理的技術的話，它就只是一種解釋概念的理論方法，而不是一種可以購買的可對現(xiàn)有系統(tǒng)進行改造的解決方案。