前言 

面對日益增加的內網攻擊威脅，一些模糊了邊界，竊取信任的攻擊層出不窮；又加上云原生的威脅，導致以防火墻，路由，網關等傳統(tǒng)的邊界劃分手段，已經是力不從心；最后近些年的新技術，彌補了零信任的一大短板。使得國外的零信任發(fā)展越來越趨于完善，從而獲得很多產出，使得我們去借鑒。

為了將要更好的面對新技術的發(fā)展。小白我，一個不知名的安服工程師開始對零信任方面的技術和規(guī)劃進行了，稍微系統(tǒng)的學習，總結出來了一點自己的看法（如下圖所示）。

 產生零信任的需求是什么？

在內網環(huán)境復雜化的今天，我們國家整體的內網安全建設水平（懂得都懂）處于一個正在發(fā)展的水平，而零信任不亞于一針“強心劑”有力的支撐了未來我國內網安全體系的發(fā)展。并且隨著信息化建設的不斷深入，內網安全問題層出不窮。面對日益繁多的網絡攻擊，傳統(tǒng)網絡防護手段越來越難以支撐。在企業(yè)大量上云平臺的情況下，用戶在云平臺應用中進行訪問服務時，防火墻需要將應用訪問端口映射到互聯網，導致業(yè)務系統(tǒng)暴露直接在互聯網上，很容易受到來自互聯網側的網絡攻擊；其次內部網絡規(guī)劃也越發(fā)精細化，雖然分工管理維護上輕松不少，但是一旦出現安全問題各部門間協(xié)調難度較大；最重要的問題是傳統(tǒng)接入方式VPN需要安裝插件，過程復雜，經常出現異常。

而零信任網絡主要是利用現有的軟件組件和定制化軟件，以全新的方式集成在一起構建起來的；它可以通過軟件的統(tǒng)籌方式，使得傳統(tǒng)的防火墻，路由器，交換機等設備進行一個加持?？梢赃@樣理解：我們只要通過AI+靜態(tài)規(guī)則的零信任服務器，就可以調動傳統(tǒng)的安全設備，對企業(yè)的訪問和數據交換進行監(jiān)控，以降低內網被攻擊的概率。

由于零信任模型沒有基于網絡位置建立信任，而是在不依賴網絡傳輸層物理安全機制的前提下，有效地保護網絡通信和業(yè)務訪問，也使得VPN，內網穿透這種攻擊手段失效，從而大大降低被黑客攻擊的可能性。以保護消費者的個人隱私和公司的機密消息不外泄。

 零信任在安全里的作用是什么？

零信任架構的支撐系統(tǒng)稱為控制平面，其他部分稱為數據平面，數據平面由控制平面指揮和配置。訪問受保護資源的請求首先經過控制平面處理，包括設備和用戶的身份認證與授權。細粒度的控制策略也在這一層進行，控制平面可以基于組織中的角色、時間或設備類型進行授權。如果用戶需要訪問安全等級更高的資源，那么就需要執(zhí)行更高強度的認證。

持續(xù)優(yōu)化策略

當然，首先要尋找現有的解決方案。邊界安全模型是公認的保護網絡安全的方法，但這并不意味著沒有更好的方案。在網絡安全方面出現的最糟糕的情況是什么？這個問題的答案雖然有些絕對，但還是可以回答：信任出了問題。這個問題的答案，歸根結底還是效率問題（和安全/效率成為了一個博弈），除非出現新的技術，使得信任的成本大大的降低，否則零信任就只能和現在的5G一樣成為空中閣樓，難以短時間變?yōu)楝F實，又因為政策的需求，我們能否考慮搭上AI和數據安全的浪潮，規(guī)劃出新一代的標準呢？

零信任通過使用AI引擎成功的幫助我們解決了這個問題，我們知道因為公司的業(yè)務可能隨時間的變化也是不斷改變的，所以如果單單使用人工+靜態(tài)肯定是無法適應的。我們可以依靠這個超級大腦解決這個棘手的問題。

增加信任機制

零信任授權體系架構包括4個核心組件（如下圖所示）：

策略執(zhí)行組件（輔助者）

策略引擎（超級大腦，決策者）

信任引擎（執(zhí)行者）

數據存儲系統(tǒng)（源數據提供者）

策略執(zhí)行組件在整個零信任網絡中大量存在，部署時需要盡可能地靠近工作負載。策略執(zhí)行組件直接影響授權決策的結果，在實際場景中，可以由負載均衡器、代理服務器甚至防火墻充當策略執(zhí)行組件的角色。策略執(zhí)行組件和負責授權決策的策略引擎進行交互，確保網絡訪問請求的主體通過認證，并將每個訪問請求的上下文傳遞給授權引擎完成授權決策。策略引擎依據事先制定好的策略，對請求及其上下文進行比較并做出決策，根據決策結果通知策略執(zhí)行點對訪問請求放行還是拒絕。

策略引擎調用信任引擎，利用各種數據源分析并評估風險。風險評分類似信用等級，能有效防護未知威脅，通過風險評分可以提升策略的安全性和魯棒性，又不至于因為考慮各種邊界場景而引入復雜性。授權決策時，策略引擎將信任引擎作為一個重要的外部組件進行調用，Google公司的BeyondCorp項目率先采用了信任引擎技術。授權決策依據的大量數據都存放在數據存儲系統(tǒng)中，各種數據庫構成了授權決策的權威數據源，基于這些數據，可以將所有請求的上下文清晰地描繪出來。一般使用認證階段已經確認的實體標識信息作為數據庫的主鍵，用戶名和設備序列號都是常用的實體標識。這些數據庫，包含了用戶數據、設備數據等，策略引擎和信任引擎高度依賴這些數據，數據存儲系統(tǒng)是授權決策過程的重要支撐系統(tǒng)。

策略引擎是零信任授權模型中進行授權決策的組件，它接收來自策略執(zhí)行組件的授權請求，并和預先制定好的策略進行比較，決定請求是否被允許，并將決策結果返回策略執(zhí)行組件進行強制執(zhí)行。（受各種現實因素的影響，將策略引擎和策略執(zhí)行機制合并到一臺主機上部署的情況也時有發(fā)生，一種可能的場景是作為策略執(zhí)行組件的負載均衡器通過進程間通信（IPC）機制而不是網絡遠程調用發(fā)起授權請求，這種架構可以降低授權決策的時間延遲，此優(yōu)勢在某些場景下很有吸引力。）

信任引擎是對特定的網絡請求或活動進行風險分析的系統(tǒng)組件，其職責是對網絡請求及活動的風險進行數值評估，策略引擎基于這個風險評估進行進一步的授權策略，以確保是否允許此次訪問請求。信任引擎一般會混合使用基于規(guī)則的靜態(tài)評分方法加機器學習的混合方法，來應對復雜多變的情況。

數據存儲系統(tǒng)存儲的數據是系統(tǒng)當前和歷史狀態(tài)的權威數據源。數據庫存放的信息被控制平面的各個系統(tǒng)使用，是授權的一個重要的決策依據；零信任網絡一般具備多類按照功能劃分的數據庫，其中主要分為兩大類：清單庫和歷史庫。清單庫是記錄資源當前狀態(tài)的權威數據源，用戶清單庫存放所有的用戶信息，設備清單庫則記錄公司所有在冊的設備的最新信息。

小提示：控制平面本身的安全性較高，因此，整個網絡代理生命周期都應該限制在控制平面內以便充分地保護其數據安全，控制平面的系統(tǒng)應該在邏輯上和物理上都與數據平面隔離，應該定義明確的邊界，并且不要頻繁變更。

強化內網安全

通用的安全規(guī)則總是存在例外，它們通常被稱為防火墻例外規(guī)則（Firewall Exception）。這些例外規(guī)則應當盡可能嚴格地限制范圍。比如，Web開發(fā)人員希望使用SSH訪問用于生產環(huán)境的Web服務器，或者HR員工為了進行審計可能需要訪問HR軟件數據庫，等等。在這些情況下，可行的辦法是在防火墻上配置例外規(guī)則，允許某個IP地址訪問特定的服務器。

VPN的作用是對用戶進行身份認證并分配IP地址，然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸到遠程網絡，然后進行數據包的解封裝和路由?；蛟S人們從來沒有想過，在某種程度上，VPN是一種不會遭人懷疑的后門。但是零信任對VPN是一個毀滅性的打擊，但是VPN的優(yōu)點，它并沒有包容進來，反而通過增加一部分算力，極大的提升了網絡訪問的安全性！

零信任代理是應用級代理服務器，用來保護零信任網絡，它是處理認證、授權以及加密的基礎設施。這些代理的部署方式是保證零信任網絡安全的關鍵所在。零信任代理分為反向代理和前向代理兩種工作模式，運行時可以同時采用這兩種工作模式，也可以只采用其中的一種。在反向代理工作模式下，代理接收來自零信任客戶端的連接請求，并接收初始連接，校驗此連接是否應該被授權，授權通過后，把客戶端請求傳遞給后端的應用系統(tǒng)處理。在前向代理工作模式下，非零信任感知的組件需要向另一個零信任系統(tǒng)發(fā)出網絡請求。因為非零信任感知的組件不能和零信任控制平面交互，所以不能正確地初始化該請求，只能通過認證代理完成請求的初始化。

 零信任涉及了那些不成熟的技術？

RFC 格式零信任的實施表

所有網絡流量在處理前必須經過認證

所有網絡流量在傳輸前應當被加密

必須由網絡中的端點系統(tǒng)執(zhí)行認證和加密

必須枚舉所有網絡流量，這樣系統(tǒng)才可以執(zhí)行強制訪問控制

應當使用網絡中安全強度最高的認證和加密算法套件

認證不應當依賴公共PKI供應商，而應當使用私有PKI系統(tǒng)

應當定期執(zhí)行設備掃描、為設備安裝補丁以及輪換設備

我們挑選了幾個代表性的問題，來進行分析，這有助于我們更加全面的了解零信任！

協(xié)議兼容問題

例如，802.1X和可信網絡連接（Trusted Network Connect, TNC）這類網絡準入控制技術關注的焦點是網絡的準入而不是服務的準入，因此不屬于零信任模型的范疇。所以當我們開展零信任的時候，我們需要對協(xié)議的選擇，進行一部分的取舍，尤其是在公司是部分改造的情況下，我們并不能采用一刀切的方法，對其進行大規(guī)模私人認證的改造。

AI識別準確率/誤報率問題

安博通網絡流量安全分析系統(tǒng)在傳統(tǒng)流量采集、流量分析、流量回溯的基礎上，集成自研的威脅情報技術，并應用深度學習技術，降低誤報率。我們知道深度學習技術是機器學習技術的一種，而機器學習是實現人工智能的必經路徑。深度學習概念源于人工神經網絡的研究，其通過組合低層特征形成更加抽象的高層表示屬性類別或特征，并以發(fā)現數據的分布式特征表示。

研究深度學習的動機在于建立模擬人腦學習分析的神經網絡，它模擬人腦機制解釋數據，如圖像、聲音、文本等?；谏疃葘W習的惡意文件、惡意URL、DGA域名等檢測技術無需沙箱環(huán)境，可以直接將樣本文件轉換為二維圖片，進而應用改造后的卷積神經網絡進行訓練和檢測。但是由于環(huán)境復雜多樣，我們不一定可以取得很好的效果，再加上靜態(tài)規(guī)則可能會存在的干擾。

另外零信任網絡的哪些組件和實體需要被評分？這個問題很有趣。是對每個單獨的實體（如用戶、設備或應用程序）進行評分，還是將網絡代理作為一個整體進行評分？或者同時對網絡代理和構成網絡代理的元素進行評分（這很考驗AI的智能化）？

而且這種通過規(guī)則逐項評估信任評分的方式是一種較好的基礎方案，但是僅僅通過一組靜態(tài)規(guī)則是不夠的，它們不能滿足零信任網絡對未知攻擊進行防御這一預設目標。因此，成熟的信任引擎除了使用靜態(tài)規(guī)則，還大量采用機器學習技術來實現信任評分功能。這里我們是否可以利用AI智能的學習方法，做出相應的惡意誘導，導致AI生成的策略出現Bug!

小提示：尤其是最近，還有AI識別投毒的“反后門攻擊”，這給零信任危機也帶來了，不小的挑戰(zhàn)參考鏈接：

https://mp.weixin.qq.com/s/0swCFuVf612p88MACXeTmw）。

新的認證技術的融入問題

構建零信任網絡并不需要太多新的技術，而是采用全新的方式使用現有技術。零信任網絡有3個關鍵組件：用戶/應用程序認證、設備認證和信任。第一個組件包含了用戶認證和應用認證兩層含義，因為并不是所有的操作都由用戶執(zhí)行，比如在數據中心內部，很多操作由應用程序自動執(zhí)行，在這種情況下，通常把應用程序等同于用戶看待。其實這種方法的雛形就是像安全狗一樣給網站管理發(fā)信息提醒管理員，網站上的敏感操作是不是，管理員自己做的。沒意義的關鍵在于效率，關系網小還可以，一旦關系變復雜，只能呵呵了。

我們熟知的認證有：密碼認證，生物認證，父子延續(xù)認證。但是我們知道，安全圈有這樣的一個悖論，只要注意效率，難免會造成安全的隱患。所以我們也要考慮一下，我們設計的認證它帶來的成本和下降的效率，我們的客戶是不是可以接受。

設備生命周期問題

策略執(zhí)行組件有兩大職責。第一，和策略引擎交互完成授權決策，比如，負載均衡器收到一個請求時需要通過授權并獲悉此請求是否被允許。第二，授權決策結果的強制執(zhí)行。這兩大職責在零信任授權架構中既可以通過一個組件實現，也可以由兩個系統(tǒng)組件來分別實現。但是我們執(zhí)行這些策略，或者說我們通過AI生成的策略，該什么時候進行優(yōu)化，或者說升級與修正。

不光是AI的算法，我們也需要考慮硬件設備的壽命，這又是一筆不小的開支！

 零信任面臨的實際困難是什么？

零信任的防御方法有兩種：一種策略鎖死；另一種是公開透明化，監(jiān)督。

規(guī)則統(tǒng)一問題

目前，應用較廣泛的身份認證機制是安全工程師們都非常熟悉的X.509標準。該標準定義了數字證書的標準格式，并能夠通過信任鏈認證身份。X.509證書是TLS協(xié)議（以前是SSL協(xié)議）用來驗證連接的主要機制。既然涉及到了證書，那么會不會存在，密鑰的破解和證書的偽造呢？

也就是說，雖然身份憑據的合法性可以得到驗證，但是其機密性無法得到保證。因此，實踐中最好使用存儲在不同位置的多個秘密，根據這些秘密的組合授予訪問權限。在這種情形下，攻擊者必須竊取多個秘密才能完成攻擊，這增加了攻擊的難度。為身份認證憑據設定有效期限，不僅能夠最大限度地縮減憑據泄露或密鑰被盜的影響范圍，還可以給管理員更新密鑰和重建信任創(chuàng)造更多的機會，爭取更多的時間。管理員更改或更新密鑰/口令的行為被稱為憑據輪換（Credential Rotation）。雖然解決了上述問題，但是表面的可用性和實效性又有多少呢？

PKI服務供應商有很多類型，其中證書授權中心（CA）和信任網絡（WoT）是較受歡迎的兩類供應商。CA的信任依賴于數字簽名鏈，用戶能夠根據數字簽名鏈回溯到初始的可信根節(jié)點。WoT沒有使用信任鏈的形式，而是允許參與通信的系統(tǒng)斷言對等方身份的有效性，最終形成相互背書的網狀結構。用戶可以遍歷信任網站，尋找自己需要的、能夠信任的數字證書。WoT在PGP系統(tǒng)中得到了廣泛使用，但本書更關注CA這類PKI系統(tǒng)，因為CA的流行程度遠遠超過信任網絡。

所以我們?yōu)榱顺霈F上述問題，我們需要開發(fā)一套屬于自己的認證協(xié)議（這個成本是巨大的）！??！

策略配置問題

零信任網絡的策略和傳統(tǒng)的網絡安全策略雖然有幾分相似，但它們在很多方面卻截然不同

零信任策略尚未標準化

尚無策略描述標準

由誰定義策略

零信任網絡的授權策略往往粒度很細，如果仍然由系統(tǒng)管理員對所有策略進行集中定義和管理，那么管理員將不堪重負。因此，需要將策略定義和管理的權責開放給資源或服務的所有者，以便分擔管理員的策略維護壓力。這個時候可以考慮偽造協(xié)議（必定存在兼容標準一類的）或者利用策略分配的漏洞（本質還是人的錯誤）進行攻擊！

零信任模型認為，主機無論處于網絡的什么位置，都應當被視為互聯網主機。它們所在的網絡，無論是互聯網還是內部網絡，都必須被視為充滿威脅的危險網絡。只有認識到這一點，才能建立安全通信。由于大多數管理員都有建設和維護互聯網主機安全機制的經驗，因此至少有辦法阻止針對某個特定IP地址（主機）的攔截或篡改攻擊。自動化系統(tǒng)使我們能夠把這一級別的安全防護機制應用到基礎設施中的所有系統(tǒng)?？刂破矫婧蛿祿矫嬷g的交互需要自動化系統(tǒng)來處理。如果策略執(zhí)行不能動態(tài)更新，那么零信任網絡就無法實現，因此，策略執(zhí)行過程的自動化和速度是問題的關鍵。使用AI才可以達到這樣的目的，如果設定的底層標準出現問題，恐怕這又是一個供應鏈級別的漏洞！所以怎么考慮這方面的安全問題呢？有待我們去提高，而且web3.0的到來，又會是一波浪潮，其本質也是零信任。

權限設置問題

如果代理發(fā)出的訪問請求被批準，那么零信任模型的控制平面會通知數據平面接受該請求，這一動作還可以配置流量加密的細節(jié)參數。訪問流量的機密性也非常重要，至少要采用設備級加密或者應用程序級加密中的一種，也可以兩種方式同時采用。通過這些認證/授權組件，以及使用控制平面協(xié)助完成的加密通道，就可以確保網絡中每一個訪問流量都按照預期經過了認證、授權和加密；沒有經過認證、授權和加密完整處理的流量會被主機和網絡設備丟棄，以確保敏感數據不會泄露出去。另外，控制平面的每個事件和每項操作都會被記錄下來，用于完成基于訪問流或訪問請求的審計工作。

這樣的話有一個疑問？如果真的打進去了，會不會導致加密研判工作變的困難呢？認真思考NAT技術和私有地址空間，很明顯零信任模型使其安全參數失去了意義。的確，提出者也不是傻子，這個問題很有意思。但是，如果網絡訪問請求的路徑中部署了負載均衡設備或代理服務器，那么就能夠看到應用數據，也就有機會進行深度包檢測和授權操作。但是這種方法，真的可以在半零信任半傳統(tǒng)的防御中完全杜絕嗎？

安全/效率問題

如果在自動化部署的場景中引入了人工環(huán)節(jié)，那么對簽發(fā)和部署請求進行授權就很有意義了，雖然每次請求都由人工確認是理想的做法，可以杜絕未授權的簽名請求被批準，但是人無完人，人類很容易疲勞并且也有很多其他缺點，為避免人為犯錯，建議每個人只負責對他們自己發(fā)起的請求進行審批確認。通過使用一次性動態(tài)口令（TOTP）可以在單個步驟中完成部署和簽名授權。生成部署請求時可以提供一個TOTP并將其傳遞給簽名服務進行驗證，這種簡單而強大的機制確保了新證書簽發(fā)過程的可控，同時其需要的額外管理成本較小。因為一個TOTP口令只能使用一次，所以TOTP驗證失敗是一個重要的安全事件，可以杜絕安全隱患。

機構剛開始部署多因子認證設施時，經常采用基于時間的硬件動態(tài)口令令牌。隨著智能手機的流行，越來越多的用戶傾向于使用智能手機上安裝的軟件形態(tài)的多因子認證安全令牌。使用安全令牌的協(xié)議（如U2F）能夠有效防御釣魚攻擊，同時對于用戶來說其易用性也更好。所以，應盡可能選擇安全令牌系統(tǒng)代替?zhèn)鹘y(tǒng)的TOTP。但是上述都建立在公司不追求絕對的效益上面！

信任處理問題

零信任網絡的情形與之類似，用戶在大多數情況下以最小特權模式訪問網絡資源，只在需要執(zhí)行敏感操作時才提升權限。比如，經過身份認證的用戶可以自由地訪問公司的目錄或使用項目計劃軟件。但是，如果用戶要訪問關鍵的生產系統(tǒng)，那么就需要采用額外的手段確認該用戶的身份，確保該用戶的系統(tǒng)沒有被攻陷。對于風險相對較低的操作，特權提升過程可以很簡單，只需重新提示用戶輸入口令、要求出示雙因素認證令牌或者給用戶的手機推送認證通知。對于高風險的操作，可以選擇通過帶外方式要求相關人員進行主動確認。

客戶端以不可信的方式開始訪問會話請求，并在訪問過程中通過各種機制不斷積累信任，直到積累的信任足夠獲得系統(tǒng)的訪問權限。比如，用戶通過強認證能夠證明所使用的終端設備屬于公司，這可能積累了一些信任，但不足以獲得賬單系統(tǒng)的訪問權限。接下來，用戶提供了正確的RSA令牌，就可以積累更多的信任。最后，設備認證和用戶認證相結合計算出的信任評分滿足要求，用戶就可以獲得賬單系統(tǒng)的訪問權限了。這個恰恰是我們的攻擊點，我們的信任是不是可以惡意的刷取呢？

基于信任評分的策略模型也不是沒有缺點。其中一個問題是，單一的評分值是否足以保護所有的敏感資源。用戶的信任評分能夠基于歷史行為而降低，同樣也可以基于歷史的可信行為而增加。那么，攻擊者是否有可能通過在系統(tǒng)中慢慢建立信任，從而獲得更高的訪問權限呢？很有趣的思考？確實使用不同的策略會產生不同的效果，但是不同的策略會不會起沖突呢？不好說！

控制平面和數據平面是網絡系統(tǒng)經常使用的概念，其基本思想是，網絡設備有控制平面和數據平面兩個邏輯域，這兩個邏輯域之間存在清晰的接口。數據平面的作用是轉發(fā)網絡流量，它需要高速處理數據包，因此其處理邏輯相對簡單，通常使用專用硬件?？刂破矫婵梢钥醋魇蔷W絡設備的大腦，系統(tǒng)管理員用它來配置管理網絡設備，因此控制平面會隨著策略的變化而變化?？刂破矫娴膹娍伤苄詫е缕錈o法處理高速網絡數據包流量。因此，控制平面和數據平面之間的接口定義需要遵循這樣的原則：任何在數據平面執(zhí)行的策略行為，都要盡可能減少向控制平面發(fā)送請求（相對于網絡流量速率來說）。

網絡代理指在網絡請求中用于描述請求發(fā)起者的信息集合，一般包括用戶、應用程序和設備共3類實體信息。在傳統(tǒng)實現方案中，一般對這些實體進行單獨授權，但是在零信任網絡中，策略基于這3類實體信息的組合整體進行制定。用戶、應用程序和設備信息是訪問請求密不可分的上下文，將其作為整體進行授權，可以有效地應對憑證竊取等安全威脅。類似于黃金票據那樣的萬能票據攻擊可能會非常的方便！

 未來零信任的安全會受到那些威脅？

如果使用基于攻擊者視角的看，則可以把攻擊者按照能力（造成的損害）從低到高如下：

碰運氣攻擊者：這類攻擊者又被稱為“腳本小子”。他們往往利用那些眾所周知的漏洞和工具發(fā)起攻擊，廣撒網，碰運氣。

定向的攻擊者：此類攻擊者針對特定的目標發(fā)起針對性的攻擊。他們經常通過魚叉郵件、社交工程等手段發(fā)起攻擊。

內部人員：擁有合法憑據的系統(tǒng)用戶。外包人員、非特權的企業(yè)員工等，往往會被定向攻擊者“搞定”。

可信內部人員：可信度很高的系統(tǒng)管理員（概率小，危害極大）。

未來零信任的攻擊方向

枚舉終端

社會工程學

身份竊取

分布式拒絕服務攻擊（DDoS）

枚舉終端

我們知道，不論怎么改變，設備的認證都會帶有密碼。一旦存在弱口令，那么就算設備足夠完善，也可能出現嚴重的問題。因為零信任網絡需要控制網絡中的端點設備，所以它對互聯網威脅模型進行了擴展，充分考慮了端點設備被攻陷的情形。面對端點設備可能遭受的攻擊，通常的應對方式是首先對端點操作系統(tǒng)進行安全加固，然后采用端點系統(tǒng)安全掃描、系統(tǒng)活動行為分析等方式來進行攻擊檢測。此外，定期升級端點設備中的軟件，定期更換端點設備的登錄憑證，甚至定期更換端點設備本身等，也能夠緩解針對端點設備的攻擊。那最簡單的口令問題怎么辦呢？

我們還會遇到一些很難防御的、相對小眾的威脅，如利用虛擬機管理程序的漏洞復制虛擬機內存等。防御這類威脅需要付出相當大的代價，可能需要專用的物理硬件，因此大多數零信任網絡的威脅模型排除了這類攻擊。我們應該明白，在網絡安全方面雖然有許多最佳實踐，但是零信任模型僅需要保證用于認證和授權操作的信息的機密性，如存儲在磁盤上的憑據的機密性。

社會工程學

雖然我們可以使用上述的多重認證手段搭配解決。但是，我們不要忘記了，安全圈里的名言“出問題的永遠是人！”，我們知道人才造成是安全風險的最不可控的因素。在整個攻擊過程中，網絡中的安全防護措施在發(fā)揮什么作用？防火墻的部署是經過精心設計的，安全策略和例外規(guī)則嚴格限制了范圍。從網絡安全的角度看，一切都做得非常正確，那為什么攻擊還能成功呢？個人認為在攻防演練越來越成熟的時候，除非是供應鏈級別的0day，其他的在行業(yè)類造成的影響有限，同時培養(yǎng)的成本及其高昂（實驗室一群人，開發(fā)一波人，產品……）所以不是太劃算；這個時候釣魚社工就是一個付出成本較小，收益占比較高的事情?。。?/p>

身份竊取

零信任非常適合在云環(huán)境中部署，原因很明顯：你完全不需要信任公有云環(huán)境中的網絡！在零信任模型中，計算資源不依賴IP地址或網絡的安全性即可進行身份驗證和安全通信，這種能力意味著可以最大程度地把計算資源商品化。確實在數據上云的同時，我們也可以考慮如何獲取這些東西？

由于零信任模型主張加密所有通信數據，哪怕通信雙方位于同一個數據中心內部，因此管理員不需要操心哪些數據包流經互聯網，哪些不流經互聯網。安全性確實提高了，但是安全產品怎么分析他的特征值啊人們甚至可能連自己都無法完全信任，但是至少可以確信所采取的行動的確是自己所為。因此，零信任網絡中的信任往往源自系統(tǒng)管理員?！傲阈湃尉W絡中的信任”這句話聽上去似乎有些自相矛盾，但是理解這一點卻非常重要：如果不存在與生俱來的信任，那么就必須從某個地方產生信任并小心地管理它。

如何確定一個新生成的服務是自己的而不是其他人的？為了達到這個目的，管理員就必須將責任委托給供應系統(tǒng)（Provisioning System），授予它創(chuàng)建新主機和為新主機授予信任的能力。通過這種方式，我們就可以相信新創(chuàng)建的服務確實是自己的，因為供應系統(tǒng)已經確認過該服務是由它創(chuàng)建的，并且供應系統(tǒng)還可以證明系統(tǒng)管理員已經把這樣的權力授予了它。能夠返回給系統(tǒng)管理員的這一串信任通常被稱為信任鏈（Trust Chain），而系統(tǒng)管理員被稱為信任錨（Trust Anchor）。

信任委托非常重要。借助信任委托，人們可以構建自動化系統(tǒng)，在無須人為干預的情況下，以安全可信的方式管理大規(guī)模增長的零信任網絡。首先，系統(tǒng)管理員是可信的，然后他必須為系統(tǒng)賦予一定程度的信任，使該系統(tǒng)能夠以管理員的身份執(zhí)行后續(xù)動作。

如果管理員寄了，那么零信任也跟著寄，而且它的加密通訊，有恰恰提供了很好的隱蔽性！

分布式拒絕服務攻擊

這個是我們無法拒絕的??！

更多信息可以來這里獲取==>>電子技術應用-AET<<