2010年，約翰·金德瓦格正式提出了零信任安全模型。作為弗雷斯特研究公司安全和風險團隊的副總裁和首席分析師，他花了數(shù)年時間進行初步研究，結(jié)果創(chuàng)造了這種新的信任模型、新的網(wǎng)絡(luò)安全方法和旨在阻止不斷增長的數(shù)據(jù)泄露的安全策略。

　　在過去的幾年中，零信任獲得了許多追隨者和支持者，這是因為移動設(shè)備、自帶設(shè)備、物聯(lián)網(wǎng)、云計算、遠程工作（以及遠程訪問公司資源）的廣泛應(yīng)用使企業(yè)范圍的單一邊界成為過去，并大大擴大了企業(yè)的受攻擊面。因此，企業(yè)防御必須集中在用戶、資產(chǎn)和資源上。

　　零信任有用嗎？

　　正如比爾·哈羅德（美孚國際石油公司的首席技術(shù)官）近期總結(jié)說：“零信任模型強制要求，只有在適當?shù)沫h(huán)境下，合適的人員或資源才有權(quán)從合適的設(shè)備訪問合適的數(shù)據(jù)和服務(wù)?！?/p>

　　在上個月，黑客通過獲取企業(yè)建筑安全初創(chuàng)公司Verkada的攝像頭管理權(quán)限，很可能已經(jīng)進入了軟件供應(yīng)商Cloudflare 的CEO的企業(yè)電腦和網(wǎng)絡(luò)，雖然該公司的CTO（首席技術(shù)官）很快否認了這一消息。

　　約翰·金德瓦格解釋道：“……我們不信任我們的企業(yè)網(wǎng)絡(luò)；我們使用如‘Cloudflare訪問’類似的產(chǎn)品，來控制訪問權(quán)限。攻擊者入侵公司網(wǎng)絡(luò)中的任意一臺機器和入侵公司W(wǎng)iFi網(wǎng)絡(luò)，能得到的信息是幾乎沒有差別的。所以網(wǎng)絡(luò)不重要，重要的是控制訪問的途徑?！?/p>

　　約翰·金德瓦格補充說：“當然，如果我們一直沿用舊的”城堡護城河式“的企業(yè)網(wǎng)絡(luò)（在這種網(wǎng)絡(luò)中，企業(yè)網(wǎng)絡(luò)中的任何東西和任何人都是天生可信的），結(jié)果可能會非常糟糕。這就是零信任如此強大的原因。因為新冠疫情的發(fā)展，我們所有人都可能在家辦公，這意味著進入辦公室網(wǎng)絡(luò)的攻擊者再也無法得逞了?！?/p>

　　零信任模式在廣泛應(yīng)用中得到了進一步證明。零信任戰(zhàn)略被廣泛部署在世界上一些最安全的網(wǎng)絡(luò)環(huán)境中。這也是美國國家安全局最近開始提供零信任技術(shù)指導(dǎo)的原因。這并不是說零信任戰(zhàn)略只對最為重要的的大型機構(gòu)有所幫助。他說：“無論企業(yè)和機構(gòu)的規(guī)模大小都可以使用該技術(shù)，以抵御當今最可怕的網(wǎng)絡(luò)災(zāi)難：勒索軟件攻擊和數(shù)據(jù)泄露。”

　　“因為零信任關(guān)注的是受保護的內(nèi)容，所以它會阻止不在吉卜林方法（Kipling Method指定范圍內(nèi)的流量。這意味著到C&C節(jié)點的出站流量將被自動停止，這就是軟件和數(shù)據(jù)過濾的工作原理。當惡意軟件試圖ping互聯(lián)網(wǎng)上的C&C節(jié)點時，控制系統(tǒng)中沒有設(shè)置允許該會話的規(guī)則。因此，將不會泄露數(shù)據(jù)，軟件也不能交換密鑰?！彼忉尩?。

　　實現(xiàn)零信任

　　作為現(xiàn)任ON2IT網(wǎng)絡(luò)安全戰(zhàn)略的高級副總裁，金德瓦格致力于讓各種規(guī)模的機構(gòu)更容易獲得和使用零信任技術(shù)，他建議通過以下五個步驟來部署零信任網(wǎng)絡(luò)：

　　1.定義您的保護面：需要保護什么？

　　2.制定工作流程：系統(tǒng)如何協(xié)同工作？

　　3.設(shè)計工作環(huán)境：將控件放置在盡可能靠近需要的保護面，以便您可以定義微周長（micro-perimeter）

      4.創(chuàng)建零信任策略：使用吉卜林方法，即確定您網(wǎng)絡(luò)和政策中的人員、事件、時間、地點、原因和方式。

　　5.監(jiān)控和維護環(huán)境：收集遙測數(shù)據(jù)，執(zhí)行機器學(xué)習和分析，并自動執(zhí)行響應(yīng)策略。

　　“自從我創(chuàng)造了最初的模型以來，零信任的戰(zhàn)略目標始終沒有改變，我只是完善了一些相關(guān)概念?！彼a充說道，“我曾經(jīng)說過，五步部署模式的第一步是‘定義您的數(shù)據(jù)’，但現(xiàn)在我說第一步是‘定義您的保護面’。我對保護表面的想法集中在這樣一個理解上，即攻擊表面是巨大的，并且總是在增長和擴展，這使得處理攻擊成為一個無法解決的問題。我顛倒了攻擊面的概念來創(chuàng)建保護面，保護面要小幾個數(shù)量級，并且很容易確定?！?/p>

　　他指出，選擇零信任技術(shù)的機構(gòu)應(yīng)該努力避免以下兩個陷阱：認為零信任是二元的（要么一切都是零信任，要么都不是），以及部署沒有策略的產(chǎn)品（從而產(chǎn)生虛假的安全感）。

　　他解釋道：“零信任是漸進的。它是一次可以建立一個保護面，因此可以通過不中斷的迭代的方式發(fā)展?！?/p>

　　他還建議首先在最不敏感和最不重要的保護面之上創(chuàng)建零信任網(wǎng)絡(luò)，通過學(xué)習、實踐和減少破壞性錯誤，然后慢慢為更多和更為關(guān)鍵的保護面實施零信任保護。

　　他補充說，在設(shè)計零信任網(wǎng)絡(luò)時，組織應(yīng)該關(guān)注業(yè)務(wù)成果，確保從內(nèi)向外的設(shè)計模式，并正確確定是誰需要訪問資源，檢查和記錄第7層的所有流量，以便定義第7層策略聲明。

　　消除誤解

　　金德瓦格急于消除的誤解之一是：零信任使系統(tǒng)“可信”。零信任系統(tǒng)只是針對身份和多因素認證（multi-factor authentication，MFA）。

　　他說，“零信任”消除了數(shù)字系統(tǒng)中的信任，因為信任是一個可以被利用的漏洞。零信任消耗第7層策略中用MFA驗證的身份屬性。如果零信任等于MFA（正如許多供應(yīng)商聲稱的），那么斯諾登和曼寧的違規(guī)行為都不可能發(fā)生。他們有非常強大的MFA和身份解決方案，但沒有人在事件發(fā)生之后查看他們的數(shù)據(jù)包。

　　最后，他強調(diào)，盡管許多供應(yīng)商已經(jīng)重新定義了零信任的含義，以突破他們產(chǎn)品的限制，但這些都不是真正的“零信任”。雖然有些產(chǎn)品在零信任環(huán)境下運行良好，但如果一個供應(yīng)商進來向你銷售他們的‘零信任’產(chǎn)品，這足以表明他們不理解這個概念，“他指出，”如果您想聘請托管服務(wù)提供商來幫助您實施零信任系統(tǒng)，請詢問他們?nèi)绾味x零信任：‘這是一種產(chǎn)品還是一種策略？’然后確保他們問您的第一個問題是‘你想保護什么？’”