“零信任”自從2010年被Forrester分析師約翰·金德維格正式提出到現(xiàn)在已有十年的歷史，在這十年中“零信任”一直都是安全圈內(nèi)眾人不斷爭議和討論的對象，有人說它將是網(wǎng)絡(luò)安全發(fā)展的必然產(chǎn)物，也有人說這種理念難以實(shí)現(xiàn)。無論“零信任”如何飽受爭議，但事實(shí)證明隨著相關(guān)技術(shù)的發(fā)展它都已然成為當(dāng)下企業(yè)最好的選擇。

　　研究人員說： “我們估計，這份報告中披露的戰(zhàn)役是伊朗迄今所揭示的最連續(xù)，最全面的戰(zhàn)役之一?！?，“揭露的戰(zhàn)役被用作偵察基礎(chǔ)設(shè)施；但是，研究人員將攻擊活動與威脅小組APT33，APT34和APT39捆綁在一起，使用開放源代碼和自行開發(fā)的工具進(jìn)行了混合，從而促進(jìn)了小組竊取敏感信息并利用供應(yīng)鏈攻擊來針對其他組織，說過。

　　2019年，在工信部公開征求對《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》的意見中，”零信任安全“首次被列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù)。同年，國家首次將零信任安全技術(shù)和5G、云安全等并列列為我國網(wǎng)絡(luò)安全重點(diǎn)細(xì)分領(lǐng)域技術(shù)。由此可見，零信任安全同樣引起了國家相關(guān)部門和業(yè)界的高度重視。

　　陳本峰認(rèn)為：”想要實(shí)現(xiàn)零信任，就需要重新思考我們應(yīng)該如何利用現(xiàn)有的基礎(chǔ)設(shè)施，以更簡單、更高效的方式設(shè)計具體實(shí)施方案，同時保證整個過程中不受任何阻礙?！搬槍α阈湃渭軜?gòu)的3種具體實(shí)現(xiàn)方案，陳本峰為我們帶來了詳細(xì)的解讀。

　　零信任架構(gòu)

　　零信任架構(gòu)就是在不可信的網(wǎng)絡(luò)環(huán)境下重建信任，利用零信任概念和包含組件關(guān)系，制定工作流程規(guī)劃和訪問策略。零信任架構(gòu)是基于零信任的企業(yè)網(wǎng)絡(luò)安全策略原則，其目的是防止數(shù)據(jù)泄漏并限制內(nèi)部橫向移動。零信任架構(gòu)的技術(shù)的本質(zhì)是構(gòu)建以身份為基石的業(yè)務(wù)動態(tài)可信訪問控制機(jī)制。企業(yè)決定采用零信任作為網(wǎng)絡(luò)安全基礎(chǔ)，并基于零信任原則制定開發(fā)計劃，然后部署此計劃形成一個零信任環(huán)境供企業(yè)使用。

　　企業(yè)可以通過多種方式為工作流程制定ZTA。這些方法在使用組件和組織的策略規(guī)則的主要來源方面有所不同。每個方法都實(shí)現(xiàn)了零信任的7大原則（零信任安全十周年峰會|陳本峰受邀出席并解讀《NIST零信任架構(gòu)》），但可以使用一個或兩個作為策略的主要驅(qū)動力。這些方法包括通過下一代防火墻增強(qiáng)身份治理驅(qū)動的邏輯微分段，以及基于網(wǎng)絡(luò)的細(xì)分。

　　針對不同的用例可以選擇不同的方法，很多組織為企業(yè)開發(fā)零信任產(chǎn)品時可能會發(fā)現(xiàn)其選擇的用例和現(xiàn)有策略指向，某種方法會優(yōu)勝于其他方法。這并不意味著其他方法無效，而是在具體的過程中其他方法難以實(shí)施，可能需要更基本的方法來更改企業(yè)當(dāng)前業(yè)務(wù)流程的方式。

　　零信任架構(gòu)（ZTA）的三大技術(shù)：”SIM“

　　2019年，美國國家標(biāo)準(zhǔn)委員會NIST對外正式發(fā)布了《零信任架構(gòu)ZTA》白皮書，強(qiáng)調(diào)了零信任的安全理念，并介紹了實(shí)現(xiàn)零信任架構(gòu)的三大技術(shù)”SIM“：

　　1）SDP，軟件定義邊界；

　　2）IAM，身份權(quán)限管理；

　　3）MSG，微隔離。

　　零信任架構(gòu)的三大技術(shù)

　　圖： 零信任架構(gòu)的三大技術(shù)

　　SDP 軟件定義邊界：

　　SDP即”軟件定義邊界“，是國際云安全聯(lián)盟CSA于2014年提出的基于零信任（Zero Trust）理念的新一代網(wǎng)絡(luò)安全模型。SDP 旨在使應(yīng)用程序所有者能夠在需要時部署安全邊界，以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開來。SDP 將物理設(shè)備替換為在應(yīng)用程序所有者控制下運(yùn)行的邏輯組件。SDP 僅在設(shè)備驗(yàn)證和身份驗(yàn)證后才允許訪問企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。

　　SDP 的體系結(jié)構(gòu)由兩部分組成：SDP 主機(jī)和 SDP 控制器。SDP 主機(jī)可以發(fā)起連接或接受連接。這些操作通過安全控制通道與 SDP 控制器交互來管理（請參見下圖）。因此，在 SDP 中，控制平面與數(shù)據(jù)平面分離以實(shí)現(xiàn)完全可擴(kuò)展的系統(tǒng)。此外，為便于擴(kuò)展與保證正常使用，所有組件都可以是多個實(shí)例的。

　　圖：SDP架構(gòu)及特性

　　在使用中，每個服務(wù)器都隱藏在遠(yuǎn)程訪問網(wǎng)關(guān)設(shè)備后面，在授權(quán)服務(wù)可見且允許訪問之前用戶必須對其進(jìn)行身份驗(yàn)證。 SDP 采用分類網(wǎng)絡(luò)中使用的邏輯模型，并將該模型整合到標(biāo)準(zhǔn)工作流程中。

　　SDP的安全優(yōu)勢：

　　1、SDP最小化攻擊面降低安全風(fēng)險；

　　2、SDP通過分離訪問控制和數(shù)據(jù)信道，保護(hù)關(guān)鍵資產(chǎn)和基礎(chǔ)架構(gòu)，從而阻止?jié)撛诘幕诰W(wǎng)絡(luò)的攻擊；

　　3、SDP提供了整個集成的安全體系結(jié)構(gòu)，這一體系結(jié)構(gòu)是現(xiàn)有的安全設(shè)備難以實(shí)現(xiàn)的；

　　4、SDP提供了基于連接的安全架構(gòu)，而不是基于IP的替代方案。因?yàn)檎麄€IT環(huán)境爆炸式的增長，云環(huán)境中的邊界缺失使得基于IP的安全性變得脆弱。

　　5、SDP允許預(yù)先審查控制所有連接，從哪些設(shè)備、哪些服務(wù)、哪些設(shè)施可以進(jìn)行連接，所以它整個的安全性方面是比傳統(tǒng)的架構(gòu)是更有優(yōu)勢的。

　　IAM（增強(qiáng)的身份管理）

　　身份管理是大多數(shù)組織實(shí)現(xiàn)安全和IT運(yùn)營策略的核心。它使企業(yè)可以自動訪問越來越多的技術(shù)資產(chǎn)，同時管理潛在的安全和合規(guī)風(fēng)險。身份管理為所有用戶，應(yīng)用程序和數(shù)據(jù)啟用并保護(hù)數(shù)字身份。

　　開發(fā)ZTA的增強(qiáng)的身份管理方法將參與者的身份用作策略創(chuàng)建的關(guān)鍵組成部分。企業(yè)資源訪問的主要要求基于授予給定主體的訪問特權(quán)。通常使用開放式網(wǎng)絡(luò)模型或具有訪問者訪問權(quán)限或網(wǎng)絡(luò)上頻繁使用非企業(yè)設(shè)備的企業(yè)網(wǎng)絡(luò)找到針對企業(yè)的基于身份治理的增強(qiáng)方法。最初，所有具有資源訪問權(quán)限的資產(chǎn)都將獲得網(wǎng)絡(luò)訪問權(quán)限，這些權(quán)限僅限于具有適當(dāng)訪問權(quán)限的身份。自發(fā)布NIST SP 800-207（第二草稿）零信任架構(gòu)以來，身份驅(qū)動的方法與資源門戶網(wǎng)站模型配合的很好。身份和狀態(tài)提供輔助支持?jǐn)?shù)據(jù)以訪問決策。其他模型也可以使用，具體取決于現(xiàn)有的策略。

　　身份管理可以幫助組織有效地解決復(fù)雜業(yè)務(wù)帶來的挑戰(zhàn)，并平衡四個關(guān)鍵目標(biāo)：

　　加強(qiáng)安全性并降低風(fēng)險。

　　改善合規(guī)性和審計績效。

　　提供快速，有效的業(yè)務(wù)訪問。

　　降低運(yùn)營成本。

　　圖： 零信任身份與訪問管理

　　MSG（微隔離）

　　微隔離是一種網(wǎng)絡(luò)安全技術(shù)，它可以將數(shù)據(jù)中心在邏輯上劃分為各個工作負(fù)載級別的不同安全段，然后定義安全控制并為每個唯一段提供服務(wù)。微隔離使IT人員可以使用網(wǎng)絡(luò)虛擬化技術(shù)在數(shù)據(jù)中心內(nèi)部部署靈活的安全策略，而不必安裝多個物理防火墻。此外，微隔離可用于保護(hù)每個虛擬機(jī)（VM）在具有策略驅(qū)動的應(yīng)用程序級安全控制的企業(yè)網(wǎng)絡(luò)中。微隔離技術(shù)可以大大增強(qiáng)企業(yè)的抵御能力。

　　圖： 微隔離

　　微隔離是一種在數(shù)據(jù)中心和云部署中創(chuàng)建安全區(qū)域的方法，該方法使企業(yè)組織可以分離工作負(fù)載并分別保護(hù)它們，使網(wǎng)絡(luò)安全性更加精細(xì)，從而更加有效。如下為微隔離的幾個好處：

　　1，減少攻擊面

　　2.改善橫向運(yùn)動的安全性

　　3.安全關(guān)鍵應(yīng)用

　　4.改善法規(guī)遵從性狀況

　　寫在最后：

　　網(wǎng)絡(luò)安全多年來已經(jīng)成為人們口中經(jīng)久不衰的話題，從單一防護(hù)到零信任的發(fā)展，安全防御方式正在進(jìn)一步提升。隨著技術(shù)的不斷發(fā)展，零信任理念也正在逐步將公共和私人網(wǎng)絡(luò)的邊界消除。不過，并非每個企業(yè)都擁有實(shí)施零信任網(wǎng)絡(luò)的IT基礎(chǔ)架構(gòu)的知識、資源和時間。企業(yè)必須擁有大量的預(yù)算和人力來開發(fā)，構(gòu)建和維護(hù)因地適宜的零信任架構(gòu)。對于資源不足的小型企業(yè)來說，這也將成為一項(xiàng)重大的挑戰(zhàn)。