近日，美國管理和預(yù)算辦公室（OMB）和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了關(guān)于零信任戰(zhàn)略新的指導(dǎo)意見。美國聯(lián)邦政府正在大力推動(dòng)各機(jī)構(gòu)采用零信任的網(wǎng)絡(luò)安全架構(gòu)，政府機(jī)構(gòu)擬在2024財(cái)年結(jié)束前部署新型網(wǎng)絡(luò)安全架構(gòu)。這一路線圖的發(fā)布，再次讓零信任方法成為安全社區(qū)關(guān)注的熱點(diǎn)。零信任采取了一種“始終驗(yàn)證，從不信任”的網(wǎng)絡(luò)安全方法，意味著每一個(gè)用戶和設(shè)備都會(huì)被驗(yàn)證，無論他們之前是否被授予訪問權(quán)限。零信任本質(zhì)上是一種安全理念，一種策略，它用徹底的身份驗(yàn)證和授權(quán)策略取代了對(duì)用戶和設(shè)備的過度隱式信任。其本身不是一項(xiàng)技術(shù)。零信任的概念源自于Stephen Paul Marsh于1994年4月在斯特林大學(xué)發(fā)布的計(jì)算安全博士論文。Marsh對(duì)信任的深入研究認(rèn)為，信任是一種有限的東西，可以用數(shù)學(xué)結(jié)構(gòu)來描述，而不是簡單的對(duì)抗或純粹的人類現(xiàn)象。他還斷言，信任的概念超越了道德、倫理、合法性、正義和判斷等人為因素，在保護(hù)計(jì)算系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)安全方面，零信任（zero trust）勝過（surpass）不信任（distrust）。

　　美國政府規(guī)劃了三年時(shí)間落地，大概率是不夠的。因此，善于跟風(fēng)、熱炒概念的貴圈需要慢下腳步，冷靜冷靜。

　　零信任的好處包括增強(qiáng)安全性、適應(yīng)遠(yuǎn)程工作環(huán)境、適應(yīng)云環(huán)境以及簡化組織的安全架構(gòu)。同樣零信任方法面臨諸多現(xiàn)實(shí)的挑戰(zhàn)，零信任計(jì)劃的范圍，對(duì)強(qiáng)大身份系統(tǒng)的需求，持續(xù)的管理，對(duì)現(xiàn)有業(yè)務(wù)流程的影響 ，對(duì)軟件硬件的需求，等等。零信任并非萬無一失的策略，但它無疑將成為未來網(wǎng)絡(luò)安全的發(fā)展方向。

　　零信任的優(yōu)勢

　　一是增強(qiáng)的安全性；采用零信任安全模型最明顯的好處是改進(jìn)了安全態(tài)勢。這在一定程度上是因?yàn)檗D(zhuǎn)向零信任模式意味著獲取并努力使用先進(jìn)的安全工具和平臺(tái)。例如，這些工具和平臺(tái)可以包括IAM（identity and access management）、MFA （multi-factor authentication）和XDR （extended detection and response）。因此，一些組織已經(jīng)以某種形式向零信任轉(zhuǎn)變，事件報(bào)告提高了安全運(yùn)營中心（SOC）的效率。更具體地說，根據(jù)ESG研究報(bào)告，43%的北美組織在實(shí)施零信任舉措后，SOC效率得到了提高（來源：ESG研究報(bào)告，《零信任安全戰(zhàn)略狀態(tài)》，2021年4月）。SOC變得更加高效，因?yàn)樗鼈兪褂玫男掳踩ぞ撸ㄈ鏧DR）在檢測和報(bào)告安全事件方面具有更多的自動(dòng)化功能。自動(dòng)化接管了SOC團(tuán)隊(duì)耗時(shí)的任務(wù)。

　　二是簡化安全架構(gòu)，提升用戶體驗(yàn)；采用高級(jí)安全工具的額外好處包括簡化組織的安全體系結(jié)構(gòu)。如果成功地做到了這一點(diǎn)，安全團(tuán)隊(duì)可以更容易地響應(yīng)安全事件，甚至可以主動(dòng)地保護(hù)組織的IT環(huán)境。強(qiáng)化終端用戶的接入也有額外好處。不管（員工）在哪里，不管他們使用什么設(shè)備，他們都可以使用完成工作所需的東西。當(dāng)你看到零信任網(wǎng)絡(luò)訪問（ZTNA）并將其范圍擴(kuò)大到包括所有類型的訪問時(shí)，就會(huì)發(fā)現(xiàn)零信任是可行的。

　　三是適應(yīng)遠(yuǎn)程工作和云計(jì)算；在COVID-19大流行期間，世界經(jīng)歷了前所未有的居家辦公轉(zhuǎn)變。遠(yuǎn)程工作將員工從組織的網(wǎng)絡(luò)邊界中拉出來，迫使組織考慮另一種方式來保護(hù)員工的聯(lián)系。先前在網(wǎng)絡(luò)范圍內(nèi)獲得批準(zhǔn)的實(shí)體被隱式信任的安全模型已經(jīng)過時(shí)了。然而，許多組織最終被迫放棄它，采用一種新的分散的安全模型。一些組織采取的一種方法是擴(kuò)大他們的VPN基礎(chǔ)設(shè)施，以滿足網(wǎng)絡(luò)外圍的大量員工的訪問需求。然而，這種做法代價(jià)昂貴的。去中心化模型的零信任方法引入了安全工具，這些安全工具并不隱含地信任任何實(shí)體，無論其聲譽(yù)或可信度如何。

　　支持零信任模型的安全工具對(duì)訪問組織網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用程序和資源的人員進(jìn)行徹底的身份驗(yàn)證，然后繼續(xù)驗(yàn)證身份。使用加密連接的員工可以訪問他們工作所需的應(yīng)用程序和數(shù)據(jù)，從而降低了對(duì)組織的危害風(fēng)險(xiǎn)。公有云的使用在組織中變得越來越普遍。零信任的方法可以確保任何試圖連接到組織云基礎(chǔ)設(shè)施的行為都是合法的。

　　以私有數(shù)據(jù)中心為中心的零信任模型與以云為中心的零信任模型之間的主要區(qū)別在于傳輸?shù)姆较蚝桶踩ぞ叩拇娣盼恢?。在最理想的場景中，流向組織私有數(shù)據(jù)中心的流量不會(huì)先流向云，然后再返回到數(shù)據(jù)中心。因此，如果員工的大部分流量都流向了私人數(shù)據(jù)中心，那么安全工具也很可能存放在那里。如果大部分流量都流向云，那么安全工具駐留在云上就更有意義了。雖然如果一個(gè)組織使用基于云的安全服務(wù)來支持其零信任狀態(tài)，但流量更有可能通過云，而不是將服務(wù)駐留在私有數(shù)據(jù)中心。在多云的用例中，很難讓一個(gè)提供商的云中的安全服務(wù)與另一個(gè)提供商的云中的安全服務(wù)進(jìn)行互操作。

　　然而，零信任也帶來了一系列挑戰(zhàn)，理解這些挑戰(zhàn)對(duì)于確保有效實(shí)施非常重要。

　　零信任的主要挑戰(zhàn)

　　一是零信任安全并不是一個(gè)萬能的解決方案；實(shí)現(xiàn)零信任安全并不意味著部署單一的技術(shù)或解決方案。相反，它是對(duì)企業(yè)網(wǎng)絡(luò)安全方法的重新構(gòu)建。為了實(shí)現(xiàn)零信任的環(huán)境，需要采取全面的方法并從頭開始。這里最大的障礙是，可能會(huì)在組織保護(hù)中留下隱藏的漏洞——特別是如果組織正在替換遺留的安全解決方案。

　　如果鎖定組織的網(wǎng)絡(luò)就像打開一個(gè)零信任安全開關(guān)一樣簡單，那就太棒了。但現(xiàn)實(shí)是，需要引入一種新的安全模型。這意味著識(shí)別用戶和設(shè)備、部署監(jiān)控工具、設(shè)置訪問控制等等措施的落實(shí)。除此之外，還需要安全的硬件和軟件，以確保部署和管理工作的安全。

　　二是零信任計(jì)劃的范圍；零信任網(wǎng)絡(luò)訪問（zero -trust network access, ZTNA）是支持零信任的比較知名的技術(shù)之一。顧名思義，ZTNA的安全部門以網(wǎng)絡(luò)為重點(diǎn)。關(guān)注網(wǎng)絡(luò)是有意義的，因?yàn)檫^度的隱式信任歷來是基于邊界的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)不是一個(gè)組織的IT環(huán)境和系統(tǒng)的全部。組織還需要考慮它們的應(yīng)用程序和生成的相關(guān)數(shù)據(jù)。在組織的其他領(lǐng)域中也有應(yīng)用程序開發(fā)來支持其業(yè)務(wù)。這是一個(gè)非常大的范圍，也是為什么要花幾年時(shí)間才能完全實(shí)現(xiàn)零信任。這也是為什么組織傾向于從一個(gè)用例開始，比如遠(yuǎn)程工作，然后系統(tǒng)地通過業(yè)務(wù)的不同領(lǐng)域移動(dòng)。

　　Gartner的分析師強(qiáng)調(diào)，需要優(yōu)先考慮組織開始部署零信任的地方，以避免被必須確保的一切范圍所壓倒。ESG表示，“不管目前的零信任狀態(tài)如何，40%的受訪者表示，他們的組織在過去的某個(gè)時(shí)候暫停或放棄了一個(gè)項(xiàng)目?！盓SG的報(bào)告顯示，37%的零信任項(xiàng)目因?yàn)轫?xiàng)目變得太復(fù)雜而被暫?；蚍艞?。

　　三是需要一個(gè)強(qiáng)大的身份系統(tǒng)；對(duì)于零信任的安全態(tài)勢來說，最關(guān)鍵的安全技術(shù)之一是身份系統(tǒng)。這些系統(tǒng)通常是IAM工具的一部分。身份系統(tǒng)是對(duì)用戶或設(shè)備進(jìn)行身份驗(yàn)證，并向安全工具套件的其余部分證明實(shí)體就是它所聲稱的那樣。安全工具使用用戶或設(shè)備的標(biāo)識(shí)作為策略的參考點(diǎn)，這些策略確定實(shí)體在IT環(huán)境中具有多少訪問權(quán)限以及它可以訪問什么資源。身份會(huì)受到攻擊，比如在SolarWinds事件中，當(dāng)壞人進(jìn)入時(shí)，他們會(huì)攻擊身份系統(tǒng)。如果將這種自適應(yīng)信任模型轉(zhuǎn)變?yōu)橐陨矸轂橹行模敲磯娜司蜁?huì)開始攻擊身份。

　　四是部署零信任模型后的剩余安全風(fēng)險(xiǎn)；“零信任”這個(gè)詞其實(shí)有點(diǎn)誤導(dǎo)人。它并不是不要信任。如果一個(gè)組織擁有絕對(duì)的零信任，那么用戶和非用戶設(shè)備將無法訪問任何資源、應(yīng)用程序或數(shù)據(jù)。在某一點(diǎn)上，實(shí)體被授予一定程度的信任，相信它們是誰或它們所說的東西，并且實(shí)體不會(huì)受到損害。即使這樣，這種信任仍然可能被背叛。風(fēng)險(xiǎn)總是存在的，但是在保持IT系統(tǒng)安全方面，零信任模型比任何形式的隱式信任要有效得多。內(nèi)部威脅仍然是零信任安全應(yīng)用之后中的一個(gè)挑戰(zhàn)。

　　五是零信任安全需要持續(xù)的管理；由于零信任安全是一種方法（或者可以稱之為一種思維方式），因此需要持續(xù)的管理來確保持續(xù)的保護(hù)。盡管它確實(shí)在分布式網(wǎng)絡(luò)上提供了強(qiáng)化的安全性，但零信任安全性不是一種“設(shè)置它就忘記它”的方法。許多安全專業(yè)人員還是低估了實(shí)現(xiàn)零信任環(huán)境所需的時(shí)間和精力。業(yè)務(wù)從內(nèi)到外都在不斷變化，無論是員工獲得不同的職責(zé)，還是添加新的站點(diǎn)、員工和客戶帳戶。網(wǎng)絡(luò)安全需要持續(xù)的管理，以確保所有這些活動(dòng)都是安全的。假設(shè)最近采用了零信任模型，但最新的部署包括帶有過時(shí)和易受攻擊固件的硬件?；蛘?，組織的一位客戶遭遇了數(shù)據(jù)泄露，突然需要保護(hù)他們的賬戶不受黑客攻擊。在零信任的情況下，需要確保你的設(shè)備被正確地打了補(bǔ)丁并且是安全的，需要有監(jiān)控工具來捕獲惡意活動(dòng)。

　　六是平衡對(duì)生產(chǎn)效率的影響；零信任安全的另一個(gè)挑戰(zhàn)是潛在的生產(chǎn)力損失。在某種程度上，這個(gè)障礙與需要持續(xù)管理的挑戰(zhàn)同時(shí)出現(xiàn)。因?yàn)榱阈湃螢榇蠖鄶?shù)工作流程增加了額外的安全層，所以它有時(shí)會(huì)成為生產(chǎn)率的障礙。安全策略只有在支持和保護(hù)企業(yè)的工作時(shí)才有效，否則它們就會(huì)成為員工試圖繞過的障礙。在保持強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢的同時(shí)，還必須保持生產(chǎn)力，而找到這種平衡是零信任方法的核心原則。避免生產(chǎn)率缺陷的最簡單方法是采用由零信任和遺留系統(tǒng)組成的混合安全環(huán)境，直到完全過渡到零信任。溝通和敏捷性對(duì)于零信任的實(shí)現(xiàn)至關(guān)重要。采用這些新的安全實(shí)踐和工具將影響到每個(gè)人，因此您的團(tuán)隊(duì)?wèi)?yīng)該與流程中每一步的預(yù)期保持一致。

　　七是零信任安全要求硬件安全；許多專用設(shè)備都帶有某種形式的內(nèi)置保護(hù)措施。然而，實(shí)現(xiàn)零信任安全框架的一部分涉及保護(hù)硬件。這意味著修補(bǔ)和更新你現(xiàn)有的設(shè)備，或者完全部署新的設(shè)備。如果不鎖定組織的資產(chǎn)，包括組成基礎(chǔ)設(shè)施的物理設(shè)備，那么組織將繼續(xù)受到攻擊。部署硬件時(shí)，可能在運(yùn)輸過程中丟失或被盜。一旦安裝和設(shè)置好，攻擊也可能來自現(xiàn)場，通過額外的硬件/軟件集成，或通過組織的網(wǎng)絡(luò)。通過選擇具有可信CPU的硬件來對(duì)抗這些漏洞，以期維護(hù)系統(tǒng)的完整性。這意味著安全引導(dǎo)、簽名操作系統(tǒng)和受信任平臺(tái)模塊等功能可以在最低級(jí)別保護(hù)組織。

　　八是零信任安全需要靈活的軟件；隨著安全解決方案在組織的網(wǎng)絡(luò)中擴(kuò)展，管理所有可能出現(xiàn)的問題時(shí)必然遇到各種挑戰(zhàn)。每個(gè)供應(yīng)商都有自己獨(dú)特的工具和UI，并且在特性、功能和集成方面都有不同的限制。全面的管理軟件讓組織在控制某些解決方案方面大有作為。還需要靈活的軟件，能夠在一個(gè)簡化的UI下將所有內(nèi)容組合在一起?？紤]組織需要管理的所有內(nèi)容，如用戶角色、訪問權(quán)限、防火墻設(shè)置、設(shè)備固件等。零信任安全是一種包羅萬象的方法，它為您提供了更多的保護(hù)，但也需要付出更多的努力。這就是為什么使用靈活的、能夠適應(yīng)第三方解決方案的軟件是很重要的，不管廠商是什么。無論組織網(wǎng)絡(luò)上部署了哪種供應(yīng)商解決方案，獨(dú)立于供應(yīng)商的云平臺(tái)都可以為組織提供對(duì)解決方案層和基礎(chǔ)設(shè)施層的安全遠(yuǎn)程訪問。

　　零信任的落地探索之路才剛剛開始，其面臨的挑戰(zhàn)遠(yuǎn)遠(yuǎn)不止上述八個(gè)方面。從技術(shù)演進(jìn)層面看，既然它與信任和云密切相關(guān)，那信任的級(jí)別、信任算法、資源的分類、廠商的鎖定、互操作性等等問題都將成為障礙?；蛟S更大的挑戰(zhàn)不是零信任解決方案有多先進(jìn)，而是組織現(xiàn)有的技術(shù)、流程、人員、文化轉(zhuǎn)變認(rèn)知和思維方式的難度有多大。千人千面，不可能有標(biāo)準(zhǔn)化的解決方案。這也決定了零信任理念和方法的落地，必然是一場人力、資源、金錢、時(shí)間的持久消耗戰(zhàn)。