在近日發(fā)布的《產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢（2021）》中，“零信任架構(gòu)邁入落地應用推廣期”被列為未來十大趨勢之一。該報告指出，伴隨著網(wǎng)絡防護從傳統(tǒng)邊界安全理念向零信任理念演進，零信任將成為數(shù)字安全時代的主流架構(gòu)。

　　所謂“零信任”，其實是Forrester分析師在2010年便提出的一種安全概念，它的核心思想是默認情況下不應該信任網(wǎng)絡內(nèi)部和外部的任何人/設備/系統(tǒng)，需要基于認證和授權(quán)重構(gòu)訪問控制的信任基礎。

　　簡單來說，“零信任”的策略就是不相信任何人。現(xiàn)有傳統(tǒng)的訪問驗證模型只需知道IP地址或者主機信息等即可，但在“零信任”模型中，需要更加明確的信息才可以，不知道用戶身份或者不清楚授權(quán)途徑的請求一律拒絕。

　　雖然零信任安全已經(jīng)提出許久，但實際上直到這兩年，它才在國內(nèi)網(wǎng)絡安全領域興起。2019年，在工信部發(fā)布的《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》中，零信任安全首次被列入網(wǎng)絡安全需要突破的關鍵技術(shù)；中國信息通信研究院發(fā)布的《中國網(wǎng)絡安全產(chǎn)業(yè)白皮書（2019年）》，也首次將零信任安全技術(shù)和5G、云安全等并列為我國網(wǎng)絡安全重點細分領域技術(shù)。

　　圍繞“零信任安全”話題，21世紀經(jīng)濟報道記者采訪了多位業(yè)內(nèi)專家，他們均表示，零信任安全強調(diào)的永不信任和始終驗證，是一個具有顛覆性的安全理念，它已經(jīng)成為網(wǎng)絡安全領域非常確定的一個趨勢性方向，未來，也會有越來越多的企業(yè)逐步采用零信任安全架構(gòu)。

　　云時代的安全架構(gòu)

　　2020年6月，在中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟標準專委會指導下，騰訊聯(lián)合國家互聯(lián)網(wǎng)應急中心、中國移動通信集團設計院、公安部第三研究所等16家機構(gòu)和企業(yè)，共同成立了國內(nèi)首個“零信任產(chǎn)業(yè)標準工作組”，以推動零信任產(chǎn)業(yè)需求挖掘、技術(shù)研發(fā)、技術(shù)標準研制以及推廣應用等工作。

　　騰訊安全總經(jīng)理程文杰向21世紀經(jīng)濟報道表示，騰訊最早在2016年就將零信任安全引入到騰訊的企業(yè)內(nèi)網(wǎng)，騰訊自研的零信任安全管理系統(tǒng)iOA目前已經(jīng)過騰訊超6萬名員工、10萬個服務桌面終端的實踐驗證。

　　在程文杰看來，零信任安全這兩年被熱捧，是因為隨著企業(yè)上云，傳統(tǒng)的網(wǎng)絡邊界正在逐漸消失，尤其是突如其來的疫情，更是讓幾乎所有企業(yè)都不得不進行遠程辦公，所以過去，很多企業(yè)可能還對零信任安全有所顧慮，但當風險逐漸擴大時，他們也開始選擇接受零信任安全架構(gòu)。

　　國信證券2020年發(fā)布的一份研究報告也指出，云和移動互聯(lián)網(wǎng)的興起，讓傳統(tǒng)邊界防御逐漸瓦解。這是因為傳統(tǒng)的安全哲學以邊界隔離為核心理念，通過防火墻、IPS 等設備，廣筑“圍墻”保護內(nèi)網(wǎng)，默認內(nèi)部是安全可信任的。

　　而云應用的興起，讓原企業(yè)“圍墻內(nèi)”的部分應用被搬到云上，同時，隨著移動辦公的普及，原先在企業(yè)內(nèi)部辦公的員工也逐步走到“圍墻外”。邊界安全被打破后，黑客可以通過多種手段滲透到企業(yè)內(nèi)部的設備，所以通過在邊界“筑墻”的方式，已經(jīng)越來越無力，“無邊界”時代迫切需要新的保護方法。

　　在接受21世紀經(jīng)濟報道的采訪時，360云安全研究院副院長魏小強用一個形象的比喻解釋了零信任安全與傳統(tǒng)安全的區(qū)別，他說，以前做的安全防御體系，是有邊界的，防火墻就像一個城堡的護城河，每個外面的人想進入城堡，都要通過城門的檢查，但進入以后，就會被默認是可信任的，可以在城堡內(nèi)隨意走動。

　　“這套體系在過去可行，但現(xiàn)在，企業(yè)員工的辦公場地可能是機場、網(wǎng)吧等任何地方，情況就變得十分復雜。”魏小強表示，而在零信任安全框架下，不管是城堡外的人還是城堡里的人，都不被信任，他們的訪問需求也都需要進行驗證。

　　根據(jù)Cybersecurity Insiders和Zscaler發(fā)布的《2019零信任安全市場普及行業(yè)報告》，對于當前最大的應用程序安全挑戰(zhàn)，62%的受訪者表示是確保對分布在數(shù)據(jù)中心和云環(huán)境中的私有應用程序的訪問安全。

　　而這也是零信任重點解決的問題。報告也說明，目前78%的IT安全團隊希望在未來實現(xiàn)零信任網(wǎng)絡訪問，其中15%的企業(yè)已經(jīng)實施了零信任。

　　以身份為基石

　　實際上，在過去十年中，零信任安全的理念也在不斷演進。網(wǎng)宿科技副總裁呂士表向21世紀經(jīng)濟報道表示，這個概念提出之初，主要專注于通過微隔離對網(wǎng)絡進行細粒度的訪問控制，以便限制攻擊者的橫向移動，后來則逐漸形成以身份為中心的架構(gòu)體系。

　　據(jù)呂士表介紹，零信任安全主要三個安全特性：首先是“網(wǎng)絡隱身，默認拒絕”，企業(yè)業(yè)務應用系統(tǒng)默認關閉所有端口，拒絕內(nèi)外部一切訪問，只對合法客戶端的IP定向動態(tài)開放端口，可直接避免任何非法掃描及攻擊。

　　其次是“持續(xù)驗證，按需授權(quán)”。零信任安全會持續(xù)對合法接入用戶的訪問行為進行驗證，動態(tài)、按需調(diào)整用戶的訪問權(quán)限。

　　最后是“微隔離，最小化訪問授權(quán)”。零信任安全遵循最小授權(quán)及應用微隔離原則，有效縮小橫向攻擊的攻擊面，最大程度避免攻擊傳染。

　　對此，魏小強也表示，零信任安全實際上是把安全從網(wǎng)絡上移開，不再依賴網(wǎng)絡，而是以身份為中心來架構(gòu)。其進一步指出，“任何安全都不是完美無缺的，漏洞也永遠不會被完全消除，但零信任遵循的最小授權(quán)原則，限定了最小的訪問權(quán)限，所以即便零信任安全防御體系被攻破，它造成的損失也會最小化，而不是像傳統(tǒng)安全網(wǎng)絡一旦被突破，可能會被一窩端。”

　　當然，如魏小強所言，零信任安全并非完美，它也存在一些弊端?！氨热缌阈湃伟踩恼J證和授權(quán)是分開的，而認證是一個決策過程，如果決策過程被攻擊，那整個體系也會崩塌?！蔽盒娬f。

　　在程文杰看來，零信任安全的弊端則包括成本的上升，以及安全架構(gòu)的重構(gòu)會對用戶的一些使用習慣帶來沖擊等。“比如現(xiàn)在一些金融類APP，每次打開都要驗證指紋，這個大家都比較習慣，但若所有的APP都要嚴格驗證，肯定會極大的影響用戶的接受度。因此也建議企業(yè)在導入零信任安全時務必要遵循最佳實踐，對用戶的每一次訪問和行為進行全面評估和更智能的判定，在降低安全風險的同時盡可能避免影響用戶的訪問體驗?！?/p>

　　但整體來說，零信任安全帶來的利要大于弊。程文杰稱，從騰訊目前自身的安全實踐和客戶反饋來看，零信任安全可以極大提高企業(yè)在數(shù)字化轉(zhuǎn)型過程中的抗安全風險能力，安全事件的數(shù)量也出現(xiàn)指數(shù)級下降。

　　呂士表向記者表示，企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變?；趶V泛覆蓋的零信任安全網(wǎng)絡更能夠滿足隨時隨地的安全訪問需求，并且從組網(wǎng)的方式取代了傳統(tǒng)VPN，簡化了企業(yè)IT部署，更適應未來辦公方式多樣化帶來的企業(yè)安全訪問需求。

　　從全球范圍來看，互聯(lián)網(wǎng)公司目前對零信任安全是最積極的引入者，除了上文提到的騰訊案例，Google也針對內(nèi)部應用安全訪問實施了BeyondCorp架構(gòu)，它可以實現(xiàn)員工隨時隨地訪問公司應用且不再需要 VPN。

　　不過需要指出的是，雖然零信任安全是網(wǎng)絡安全的未來發(fā)展趨勢，但它更像是一個終極目標。“現(xiàn)在要讓所有企業(yè)都摒棄傳統(tǒng)安全架構(gòu)替換成零信任安全體系也不現(xiàn)實，包括在同一個企業(yè)內(nèi)，不同的業(yè)務對零信任安全的適應程度也會不同，所以在未來很長一段時間內(nèi)，零信任安全和傳統(tǒng)安全會是一直并存的狀態(tài)。”魏小強說。